NAT

NAT

NAT（Network Address Translation，网络地址转换）是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要应用在连接两个网络的边缘设备上，用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源（例如内部服务器）的目的。

NAT工作机制

配置了NAT功能的连接内部网络和外部网络的边缘设备，通常被称为NAT设备。当内部网络访问外部网络的报文经过NAT设备时，NAT设备会用一个合法的公网地址替换原报文中的源IP地址，并对这种转换进行记录；之后，当报文从外网侧返回时，NAT设备查找原有的记录，将报文的目的地址再替换回原来的私网地址，并转发给内网侧主机。这个过程，在私网侧或公网侧设备看来，与普通的网络访问并没有任何的区别。

 

传统NAT的典型工作过程：

(1)     当内网用户主机（192.168.1.3）向外网服务器（1.1.1.2）发送的IP报文通过NAT设备时，NAT设备查看报文的IP头内容，发现该报文是发往外网的，则将其源IP地址字段的内网地址192.168.1.3转换成一个可路由的外网地址20.1.1.1，并将该报文发送给外网服务器，同时在NAT设备上建立表项记录这一映射。

(2)     外网服务器给内网用户发送的应答报文到达NAT设备后，NAT设备使用报文信息匹配建立的表项，然后查找匹配到的表项记录，用内网私有地址192.168.1.3替换初始的目的IP地址20.1.1.1。

上述的NAT过程对终端（如图中的Host和Server）来说是透明的。对外网服务器而言，它认为内网用户主机的IP地址就是20.1.1.1，并不知道有192.168.1.3这个地址。因此，NAT“隐藏”了企业的私有网络。

NAT实现方式

1. 静态方式：指外部网络和内部网络之间的地址映射关系由配置确定，该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访：内网用户可以主动访问外网，外网用户也可以主动访问内网。

2. 动态方式：指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态地址转换存在两种转换模式：

NO-PAT模式：NO-PAT（Not PortAddress Translation）模式下，一个外网地址同一时间只能分配给一个内网地址进行地址转换，不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时，NAT会将其占用的外网地址释放并分配给其他内网用户使用。

该模式下，NAT设备只对报文的IP地址进行NAT转换，同时会建立一个NO-PAT表项用于记录IP地址映射关系，并可支持所有IP协议的报文。

PAT模式：PAT（Port AddressTranslation）模式下，一个NAT地址可以同时分配给多个内网地址共用。该模式下，NAT设备需要对报文的IP地址和传输层端口同时进行转换，且只支持TCP、UDP和ICMP（Internet Control Message Protocol，互联网控制消息协议）查询报文。

PAT基本原理示意图：

三个带有内网地址的报文到达NAT设备，其中报文1和报文2来自同一个内网地址但有不同的源端口号，报文1和报文3来自不同的内网地址但具有相同的源端口号。通过PAT映射，三个报文的源IP地址都被转换为同一个外网地址，但每个报文都被赋予了不同的源端口号，因而仍保留了报文之间的区别。当各报文的回应报文到达时，NAT设备仍能够根据回应报文的目的IP地址和目的端口号来区别该报文应转发到的内部主机。采用PAT方式可以更加充分地利用IP地址资源，实现更多内部网络主机对外部网络的同时访问。

目前，PAT支持两种不同的地址转换模式：

· Endpoint-Independent Mapping（不关心对端地址和端口转换模式）：只要是来自相同源地址和源端口号的报文，不论其目的地址是否相同，通过PAT映射后，其源地址和源端口号都被转换为同一个外部地址和端口号，该映射关系会被记录下来并生成一个EIM表项；并且NAT设备允许所有外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机进行互访。

· Address and Port-DependentMapping（关心对端地址和端口转换模式）：对于来自相同源地址和源端口号的报文，相同的源地址和源端口号并不要求被转换为相同的外部地址和端口号，若其目的地址或目的端口号不同，通过PAT映射后，相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。与Endpoint-Independent Mapping模式不同的是，NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好，但由于同一个内网主机地址转换后的外部地址不唯一，因此不便于位于不同NAT网关之后的主机使用内网主机转换后的地址进行互访。

 

 

 

抓包

路由器中设置nat地址池，PC ping 外网地址（h3c.com），抓wan口的包，显示的request源报文为设置的nat地址池，目的地址为外网地址。源MAC为wan口MAC。

设置一对一nat，显示也是正确的。