NAT技术

HappyAston

已于 2024-02-10 23:32:42 修改

阅读量525

点赞数 16

文章标签：网络服务器运维

于 2024-02-09 03:48:36 首次发布

本文链接：https://blog.csdn.net/HappyAston/article/details/136084178

版权

本文介绍了NAT技术，包括其工作原理、源NAT的不同转换方式（如No-PAT、NAPT、Easy-IP和SmartNAT），以及在多出口网络环境中的选路问题。重点讲解了如何通过NAT策略管理和解决IPv4地址短缺问题。

摘要由CSDN通过智能技术生成

NAT简介

NAT（Network Address Translator，网络地址转换）是用于在本地网络中使用私有地址，在连接互联网时转而使用全局 IP 地址的技术。NAT实际上是为解决IPv4地址短缺而开发的技术。

源NAT工作原理

NAT技术实际上就是通过替换IP报文头部的地址信息达到内部网络访问外部网络的目的。
内部网络：一般在企业内部都会使用私有地址，只能使用在局域网中，无法在广域网上使用。
那么对于有Internet访问需求的私网来说，需要在出口位置部署NAT网关，当私网用户访问Internet的报文到达NAT网关时，NAT网关将报文的源IP地址由私网地址转换为公网地址；当回程报文返回至防火墙时，NAT网关再将报文的目的地址由公网IP地转换为私网地址。整个NAT转换过程对于内部网络中的用户和Internet上的主机来说是完全透明的。
在这里插入图片描述

NAT地址池

NAT地址池是一个虚拟的概念，它是存放公网IP的容器，NAT网关在进行地址转换时会从NAT地址池中随机的挑选一个公网IP地址，然后对私网IP地址进行转换。

NAT策略

NAT策略由条件和动作组成。可以通过部署多条NAT策略选择哪些网段可以进行NAT转换以及转换成什么公网地址。
在这里插入图片描述
多条NAT策略之间存在匹配顺序，如果报文命中了某一条NAT策略，就会按照该NAT策略中引用的地址池进行转换；如果没有报文命中NAT策略，则会继续向下查找。

源NAT的转换方式列表

在这里插入图片描述
每种源NAT方式都各有各的不足，并没有完美的存在

NAT No-PAT

No-PAT表示不进行端口转换，所以NAT No-PAT方式只转换IP地址，故也称为一对一地址转换。
在这里插入图片描述
以上图为例在私网用户需要通过NAT No-PAT方式访问Internet上的web服务时，需要进行以下步骤：

创建一个NAT地址池，将202.1.1.2 - 202.1.1.3的地址放入其中
通过ACL匹配上网的地址段192.168.0.0/24
配置NAT引用NAT地址池及ACL
如果NAT网关是防火墙还需要配置安全策略，放行192.168.0.0/24去往210.1.1.2/32的流量
缺点：无法节省公网IP，现实环境中基本无法实现

NAPT

NAPT（Network Address and Port Translation）表示网络
地址和端口转换，即同时对IP地址和端口进行转换，也可称为PAT（PAT不是只转换端口的意思，而是IP地址和端口同时转换）。NAPT是一种应用最广泛的地址转换方式，可以利用少量的公网IP地址来满足大量私网用户访问Internet的需求。
配置了NAPT方式后，私网用户共用同一个公网IP地址，但是端口不一样。NAT网关会给进行NAT服务的主机分配一个随机端口号，通过端口号来区分内网主机，这样就不会发生转换冲突的问题。

Easy-IP

Easy-IP指的是利用出接口的公网IP地址作为NAT转换后的地址，也同时转换地址和端口，可以看作是NAPT的变种。
这种方式适合于公网接口的IP地址是动态变化的，那么每次NAT转换都可以将私网地址翻译成公网接口的IP地址，此时无论公网接口的IP地址如何变化都不会影响NAT的正常运作。

Smart NAT

Smart NAT其实就是结合了No-PAT和NAPT两种方式，先执行No-PAT，当需要上网的用户过多，它才会使用NAPT方式。那么在我看来这种方式可以应用在优先保证重要用户上网的场景中，比如说企业的老板给他使用No-PAT的方式进行一对一地址转换，其他的员工则使用NAPT方式大家都使用同一个公网IP上网。

三元组NAT

三原组由协议、源IP地址、端口号组成。
P2P业务和NAT共存的问题：
在这里插入图片描述
以上图为例：PC1和PC2是两台允许P2P业务的客户端，它们允许P2P应用是首先会和P2P服务器进行交互，P2P服务器会记录客户端的地址和端口。如果PC1位于内部网络，防火墙会对PC1访问P2P服务器的报文进行NAPT方式的转换，这样P2P服务器上记录的是经过转换后的公网地址和端口。
当PC2需要下载文件时，服务器会将PC1的地址和端口（经过转换后的地址和端口）发送给PC2，然后PC2会向PC1发送请求，并从PC1上下载文件。
上述方式存在两个问题：
1.为了保持服务，PC1会定期向P2P服务器发送报文，经过NAPT转换的端口并不是固定的，会动态变化。P2P服务器记录的PC1的地址和端口的信息也要经常刷新，会影响P2P业务正常允许。
2.根据防火墙的转发原理，只有P2P服务器返回给PC1的报文命中会话表后才能通过防火墙，其他主机如PC2不能通过转换后的地址和端口来主动访问PC1，默认情况下，防火墙上的安全策略不允许这一类的访问报文通过。
三元组NAT可以解决这两个问题：
1.对外呈现端口一致性
PC1访问P2P服务器后，在一段时间内，PC1再次访问P2P服务器或者访问Internet上的其他主机时，防火墙都会将PC1的端口转换成相同的端口，这样就保证了PC1对外所呈现的端口的一致性，不会动态变化。
2.支持外网主动访问
无论PC1是否访问过PC2，只要PC2获取到PC1经过NAT转换后的地址和端口，就可以主动向该地址和端口发起访问。防火墙上即使没有配置对应的安全策略，只要在表项老化之前，任何主机都被允许访问报文通过。
需注意：华为防火墙需要开启端点无过滤功能，才能够实现外网命中Serverv-map表项访问内网主机且不受安全策略控制的功能。如果关闭该功能需要配置相应安全策略允许报文通过。