網工漲薪必備：NAT網路地址轉化技術

內網ip怎麼對映外網

前言

之前有小夥伴詢問過有沒有關於NAT方面的技術文章，思來想去，今天還是給大家安利上吧！

1。為什麼需要NAT？

隨著網路使用者數量不斷增長人們，對IPv4地址的需求也不斷增加，導致可用IPv4地址空間逐漸耗盡。於是分配可重複使用的各類私網地址段給企業內部或家庭使用。但是，在網際網路上私網地址是不能在網路上進行通訊的， 於是在連線外網與內網的閘道器裝置上部署NAT，實現內外網地址轉換。

如下圖所示：

2。什麼是NAT？

NAT（Network Address Translation，網路地址轉換）是一種網路地址轉換技術， NAT使用少量公網IP地址代表比較多的私有IP地址這種方式方式，減緩可用的IP地址空間的枯竭，它不僅能解決IP地址不足的問題，而且還能夠有效地避免來自網路外部的攻擊，隱藏並保護網路內部的計算機。

3。NAT是如何解決地址不足的問題的？

內外網地址對映關係一對多，多對多的時候

4。什麼是動態轉換、埠多路複用？

NAT技術常見的轉換方式：

靜態NAT：每個私有地址都有與之對應並且固定的共有地址，他們的關係是一對一的，如下圖所示，在閘道器NAT對映表中，每個私網地址對應了一個公有地址；

動態NAT轉換：

將多個公有地址組成一個地址池，他們相當於多對多的關係，當內部私網地址需要訪問公網時，臨時分配一個公網地址池中未使用的地址，並將該地址標記為“In Use”，當主句不再使用時會進行回收，重新標記為“Not Use”。動態NAT地址池中的地址用盡以後，只能等待被佔用的公用IP被釋放後，其他主機才能使用它來訪問公網。如圖所示：

埠多路複用（Network Address Port Translation NAPT）：

允許多個內部地址對映到同一個公有地址的不同埠，實現公有地址與私有地址一對多的關係，不同私有地址（不同的私有地址，不同的源埠）對映到同一個公有地址（相同的公有地址，不同的源埠），如下圖所示：

Easy IP：

允許將內部多個內部地址對映到網關出介面地址上的不同埠，原理和NAPT相同，區別在於Easy IP沒有地址池概念，使用介面作為NAT轉換的共有地址。如下圖所示：

NAT伺服器：

指定公有地址、埠與私有地址、埠實現一一對應關係，將內網伺服器對映到公網，如圖所示：

5。這些不同的NAT技術分別使用在什麼場景下？

動態地址轉換：

內網主機使用內網IP地址訪問外網主機，企業內的主機使用私網IP地址可以實現內網主機間的通訊，但不能和外網通訊。

裝置透過配置動態NAT功能可以把需要訪問外網的私網IP地址替換為公網IP地址，並建立對映關係，待返回報文到達裝置時再“反向”把公網IP地址替換回私網IP地址，然後轉發給主機，實現內網使用者和外網的通訊。

動態NAT在轉換地址時，做不到用固定的公網IP和埠號替換同一個私網IP和埠號。而一些重要主機需要對外通訊時使用固定的公網IP地址和埠號，此時動態NAT無法滿足要求。

靜態地址轉換：

內網的重要主機的IP地址和埠號對映成固定外網IP地址和埠號與外網主機通訊，NAT在轉換地址時，做不到用固定的公網IP和埠號替換同一個私網IP和埠號。

而一些重要主機需要對外通訊時使用固定的公網IP地址和埠號，此時動態NAT無法滿足要求。靜態NAT可以建立固定的一對一的公網IP地址和私網IP地址的對映，特定的私網IP地址只會被特定的公網IP地址替換。這樣，就保證了重要主機使用固定的公網IP地址訪問外網

NAT伺服器：

外網使用者訪問內網伺服器，NAT具有“遮蔽”內部主機的作用，但有時內網需要向外網提供服務，如提供WWW服務或FTP服務。

這種情況下需要內網的伺服器不被“遮蔽”，外網使用者可以隨時訪問內網。NAT伺服器就 剛好解決這個問題，當外網訪問內網時，它透過事先配置好的“公網IP地址+埠號”與“私網IP地址+埠號”間的對映關係，將伺服器的“公網IP地址+埠號”根據對映關係替換成對應的“私網IP地址+埠號”。

附華為產品文件學習資料如下：

NAT簡介

定義

網路地址轉換NAT（Network Address Translation）是將IP資料報文頭中的IP地址轉換為另一個IP地址的過程。

目的

隨著Internet的發展和網路應用的增多，IPv4地址枯竭已成為制約網路發展的瓶頸。儘管IPv6可以從根本上解決IPv4地址空間不足問題，但目前眾多網路裝置和網路應用大多是基於IPv4的，因此在IPv6廣泛應用之前，一些過渡技術（如CIDR、私網地址等）的使用是解決這個問題最主要的技術手段。

NAT主要用於實現內部網路（簡稱內網，使用私有IP地址）訪問外部網路（簡稱外網，使用公有IP地址）的功能。當內網的主機要訪問外網時，透過NAT技術可以將其私網地址轉換為公網地址，可以實現多個私網使用者共用一個公網地址來訪問外部網路，這樣既可保證網路互通，又節省了公網地址。私網地址的型別和分類請參見IPv4地址。

受益

作為減緩IP地址枯竭的一種過渡方案，NAT透過地址重用的方法來滿足IP地址的需要，可以在一定程度上緩解IP地址空間枯竭的壓力。NAT除了解決IP地址短缺的問題，還帶來了兩個好處：

有效避免來自外網的攻擊，可以很大程度上提高網路安全性。

控制內網主機訪問外網，同時也可以控制外網主機訪問內網，解決了內網和外網不能互通的問題

NAT概述

NAT是將IP資料報文頭中的IP地址轉換為另一個IP地址的過程，主要用於實現內部網路（私有IP地址）訪問外部網路（公有IP地址）的功能。Basic NAT是實現一對一的IP地址轉換，而NAPT可以實現多個私有IP地址對映到同一個公有IP地址上。

Basic NAT

Basic NAT方式屬於一對一的地址轉換，在這種方式下只轉換IP地址，而不處理TCP/UDP協議的埠號，一個公網IP地址不能同時被多個私網使用者使用。

圖1 Basic NAT示意圖

圖1描述了Basic NAT的基本原理，實現過程如下：

Router收到內網側Host傳送的訪問公網側Server的報文，其源IP地址為10。1。1。100。

Router從地址池中選取一個空閒的公網IP地址，建立與內網側報文源IP地址間的NAT轉換表項（正反向），並依據查詢正向NAT表項的結果將報文轉換後向公網側傳送，其源IP地址是1。1。1。1，目的IP地址是2。2。2。2。

Router收到公網側的迴應報文後，根據其目的IP地址查詢反向NAT表項，並依據查表結果將報文轉換後向私網側傳送，其源IP地址是2。2。2。2，目的IP地址是10。1。1。100。

由於Basic NAT這種一對一的轉換方式並未實現公網地址的複用，不能有效解決IP地址短缺的問題，因此在實際應用中並不常用。

NAT裝置擁有的公有IP地址數目要遠少於內部網路的主機數目，這是因為所有內部主機並不會同時訪問外部網路。公有IP地址數目的確定，應根據網路高峰期可能訪問外部網路的內部主機數目的統計值來確定。

NAPT

除了一對一的NAT轉換方式外，網路地址埠轉換NAPT（Network Address Port Translation）可以實現併發的地址轉換。它允許多個內部地址對映到同一個公有地址上，因此也可以稱為“多對一地址轉換”或地址複用。

NAPT方式屬於多對一的地址轉換，它透過使用“IP地址＋埠號”的形式進行轉換，使多個私網使用者可共用一個公網IP地址訪問外網。

圖2 NAPT示意圖

圖2描述了NAPT的基本原理，實現過程如下：

Router收到內網側Host傳送的訪問公網側Server的報文。比如收到Host A報文的源地址是10。1。1。100，埠號1025。

Router從地址池中選取一對空閒的“公網IP地址＋埠號”，建立與內網側報文“源IP地址＋源埠號”間的NAPT轉換表項（正反向），並依據查詢正向NAPT表項的結果將報文轉換後向公網側傳送。比如Host A的報文經Router轉換後的報文源地址為1。1。1。1，埠號16384。

Router收到公網側的迴應報文後，根據其“目的IP地址＋目的埠號”查詢反向NAPT表項，並依據查表結果將報文轉換後向私網側傳送。比如Server迴應Host A的報文經Router轉換後，目的地址為10。1。1。100，埠號1025

NAT實現

Basic NAT和NAPT是私網IP地址透過NAT裝置轉換成公網IP地址的過程，分別實現一對一和多對一的地址轉換功能。在現網環境下，NAT功能的實現還得依據Basic NAT和NAPT的原理，NAT實現主要包括：Easy IP、地址池NAT、NAT Server和靜態NAT/NAPT。

地址池NAT和Easy IP類似，此處只介紹Easy IP，關於地址池NAT相關內容請參見NAT概述中的NAPT。

Easy IP

Easy IP方式可以利用訪問控制列表來控制哪些內部地址可以進行地址轉換。

Easy IP方式特別適合小型區域網訪問Internet的情況。這裡的小型區域網主要指中小型網咖、小型辦公室等環境，一般具有以下特點：內部主機較少、出介面透過撥號方式獲得臨時公網IP地址以供內部主機訪問Internet。對於這種情況，可以使用Easy IP方式使區域網使用者都透過這個IP地址接入Internet。

Easy IP示意圖

如圖1所示，Easy IP方式的處理過程如下：

Router收到內網側主機發送的訪問公網側伺服器的報文。

Router利用公網側介面的“公網IP地址＋埠號”，建立與內網側報文“源IP地址＋源埠號”間的Easy IP轉換表項（正反向），並依據查詢正向Easy IP表項的結果將報文轉換後向公網側傳送。

Router收到公網側的迴應報文後，根據其“目的IP地址＋目的埠號”查詢反向Easy IP表項，並依據查表結果將報文轉換後向內網側傳送。

NAT Server

NAT具有“遮蔽”內部主機的作用，但有時內網需要向外網提供服務，比如提供WWW服務或者FTP服務。這種情況下需要內網的伺服器不被“遮蔽”，外網使用者可以隨時訪問內網伺服器。

NAT Server可以很好地解決這個問題，當外網使用者訪問內網伺服器時，它透過事先配置好的“公網IP地址+埠號”與“私網IP地址+埠號”間的對映關係，將伺服器的“公網IP地址+埠號”根據對映關係替換成對應的“私網IP地址+埠號”。

圖2 NAT Server實現原理圖

如圖2所示，NAT Server的地址轉換過程如下：

1。在Router上配置NAT Server的轉換表項。

2。Router收到公網使用者發起的訪問請求，裝置根據該請求的“目的IP+埠號”查詢NAT Server轉換表項，找出對應的“私網IP+埠號”，然後用查詢結果替換報文的“目的IP+埠號”。

3。Router收到內網伺服器的迴應報文後，根據該回應報文的“源IP地址＋源埠號”查詢NAT Server轉換表項，找出對應的“公網IP+埠號”，然後用查詢結果替換報文的“源IP地址＋源埠號”。

靜態NAT/NAPT

靜態NAT是指在進行NAT轉換時，內部網路主機的IP同公網IP是一對一靜態繫結的，靜態NAT中的公網IP只會給唯一且固定的內網主機轉換使用。

靜態NAPT是指“內部網路主機的IP+協議號+埠號”同“公網IP+協議號+埠號”是一對一靜態繫結的，靜態NAPT中的公網IP可以為多個私網IP使用。

靜態NAT/NAPT還支援將指定私網範圍內的主機IP轉換為指定的公網範圍內的主機IP。當內部主機訪問外部網路時，如果該主機地址在指定的內部主機地址範圍內，會被轉換為對應的公網地址；同樣，當公網主機對內部主機進行訪問時，如果該公網主機IP經過NAT轉換後對應的私網IP地址在指定的內部主機地址範圍內，也是可以直接訪問到內部主機

NAT應用場景

私網主機訪問公網

在許多小區、學校和企業的內網規劃中，由於公網地址資源有限，內網使用者實際使用的都是私網地址，在這種情況下，可以使用NAT技術來實現私網使用者對公網的訪問。如圖1所示，透過在Router上配置Easy IP，可以實現私網主機訪問公網伺服器。

圖1 私網主機訪問公網伺服器示意圖

公網主機訪問私網伺服器

在某些場合，私網內部有一些伺服器需要向公網提供服務，比如一些位於私網內的Web伺服器、FTP伺服器等，NAT可以支援這樣的應用。如圖1所示，透過配置NAT Server，即定義“公網IP地址＋埠號”與“私網IP地址＋埠號”間的對映關係，使位於公網的主機能夠透過該對映關係訪問到位於私網的伺服器。

圖1 公網主機訪問私網伺服器示意圖

私網主機透過域名訪問私網伺服器

在某些場合，私網使用者希望透過域名訪問位於同一私網的內部伺服器，而DNS伺服器卻位於公網，此時可透過DNS Mapping方式來實現。如圖1所示，透過配置DNS Mapping對映表，即定義“域名—公網IP地址—公網埠—協議型別”間的對映關係，將DNS響應報文中攜帶的公網IP地址替換成內部伺服器的私網IP地址，從而使私網使用者可以透過域名來訪問該伺服器。

圖1 私網主機透過域名訪問私網伺服器示意圖