网络地址转换

1.静态NAT

在进行NAT时，内部网络主机的IP同公网IP是一对一静态绑定的，静态NAT中的公网IP只会给唯一且固定的内网主机IP转换使用。是指“内部网络主机的IP+协议号+端口号”同“公网IP+协议号+端口号” 是一对一静态绑定的，静态NAPT中的公网IP可以为多个NAPT条目使用通常用来对外网主动发起访问内网服务器的数据应用进行放行。支持内网主机发起对外网主机的访问，以及外网主机发起对内网主机的访问。

2.动态NAT（NO-PAT）

使用地址池（有1个或多个地址），有数据包要穿越设备时，通过动态地从地址池里选出可用的地址，进行1对1翻译，并且放行。

3.NAPT（PAT）

NAPT（Network Address Port Translation）能实现并发的地址转换。它允许多个内部地址映射到同一个或少量公有地址上，非正式的也可称之为“多对一地址转换”或地址复用。NAPT映射

IP地址和端口号，来自不同内部地址的数据报可以映射到同一公有地址的不同端口号上，因而仍然能够共享同一公有地址。

4.NAT-PT

NAT-PT（Network Address Translation-Protocol Translation，附带协议转换的网络地址转换）技术秉承NAT技术（RFC2663）的思想，但在原理方面大有不同，可以这样简单的理解，NAT技术是IPv4私网地址与公网地址之间的转换，它是为了解决IPv4公网地址缺乏问题；NAT-PT技术则是IPv6协议与IPv4协议之间的转换，为了解决两者的互通问题。在IPv4网络完全过渡到IPv6网络之前，两种类型网络之间直接的通信可以通过NAT-PT来实现。

NAT-PT和隧道都是IPv4向IPv6过渡的技术，但是它们之间的实现和适用范围都是有很大的不同的。

首先报文转换和转发的方式不同，这个是NAT-PT和隧道最根本的差别。NAT-PT是对报文的网络层内容进行转换修改，剥离原先的报文头，替换为转换之后的报文头（IPv4->IPv6或者IPv6->IPv4）；而隧道是对初始报文作另一层报文封装，根据隧道的不同类型加上相应的报文头。

正是由于转换的方式不同，导致他们检查报文的方式也不同。NAT-PT会检查并且可以更改报文中的端口号；而隧道从来不会检查报文的传输层内容。

转换方式的不同同样致使了他们的使用范围不一样，NAT-PT一般适用于IPv4与IPv6不同网络中主机互相访问的环境中；而隧道一般用于实现一种网络协议跨越另一种网络协议之间的通讯。所以，形成NAT-PT的环境只需要有一台可以进行NAT-PT转换的设备即可；而构造一种隧道的环境就必须要两台设备形成一个隧道。

5.Easy IP

EasyIP方式可以利用访问控制列表来控制哪些内部地址可以进行地址转换。

EasyIP方式特别适合小型局域网访问Internet的情况。这里的小型局域网主要指中小型网吧、小型办公室等环境，一般具有以下特点：内部主机较少、出接口通过拨号方式获得临时公网IP地址以供内部主机访问Internet。对于这种情况，可以使用EasyIP方式使局域网用户都通过这个IP地址接入Internet。

如图所示，Easy IP方式的处理过程如下：

1.Router收到内网侧主机发送的访问公网侧服务器的报文。比如收到Host A报文的源地址是10.1.1.100，端口号1540。

2.Router利用公网侧接口的“公网IP地址＋端口号”，建立与内网侧报文“源IP地址＋源端口号”间的Easy IP转换表项（正反向），并依据查找正向EasyIP表项的结果将报文转换后向公网侧发送。比如Host A的报文经Router转换后的报文源地址为162.10.2.8，端口号5480。

3.Router收到公网侧的回应报文后，根据其“目的IP地址＋目的端口号”查找反向EasyIP表项，并依据查表结果将报文转换后向内网侧发送。比如Server回应Host A的报文经Router转换后，目的地址为10.1.1.100，端口号1540。

6.NAT服务器

大型企业网,有些服务对外开放(百度、新浪等），在内网部署一台服务器，隐藏服务器

NAT具有“屏蔽”内部主机的作用，但有时内网需要向外网提供服务，比如提供WWW服务或者FTP服务。这种情况下需要内网的服务器不被“屏蔽”，外网用户可以随时访问内网服务器；

NATServer可以很好地解决这个问题，当外网用户访问内网服务器时，它通过事先配置好的“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系，将服务器的“公网IP地址+端口号”根据映射关系替换成对应的“私网IP地址+端口号”。

7.两次NAT

两次NAT即TwiceNAT，指源IP和目的IP同时转换，该技术应用于内部网络主机地址与外部网络上主机地址重叠的情况。

两次NAT示意图

如图所示，两次NAT转换的过程如下:

1. 内网HostA要访问地址重叠的外部网络Host B，Host A向位于外部网络的DNS服务器发送访问外网Host B的DNS请求，DNS服务器应答HostB的IP地址为1.1.1.1，DNS应答报文在经过Router时，进行DNSALG，Router将DNS应答报文中的重叠地址1.1.1.1转换为唯一的临时地址3.3.3.1，然后再转发给Host A。

2. Host A访问HostB，目的IP为临时地址3.3.3.1，报文在经过Router时，Router检查到目的IP是临时地址，进行目的地址转换，将报文的目的IP转换为HostB的真实地址1.1.1.1，同时进行正常的NAT Outbound转换，将报文的源IP转换为源NAT地址池地址；Router将报文转发到Host B。

3. Host B回应HostA，目的IP为Host A的NAT Outbound地址池地址，源IP为HostB的地址1.1.1.1，报文在经过Router时，Router检查到源IP是重叠地址，进行源地址转换，将报文的源IP转换为对应的临时地址3.3.3.1，同时进行正常的目的地址转换，将报文的目的IP从源NAT地址池地址转换为HostA的内网地址1.1.1.1；Router将报文转发到Host A。

NAT功能中Easy IP方式跟地址池方式的区别

采用EasyIP方式进行NAT映射时，接口的IP地址作为映射后的公网地址，如图所示。

Easy IP方式NAT映射组网图

采用地址池方式进行NAT映射时，需要配置公网地址池，私网地址映射的公网地址会从公网地址池中选择，如图所示。

用户通过NAT功能访问公网时，可以根据公网IP的规划情况选择以下其中一种方式：

用户在配置了NAT设备出接口的IP和其他应用之后，还有空闲公网IP地址，可以选择地址池方式的NAT映射。

用户在配置了NAT设备出接口的IP和其他应用之后，已没有其他可用公网IP地址，可以选择Easy IP方式的NAT映射。