网络地址转换技术

一。网络地址转换技术的基本概念

网络地址转换技术：也称为NAT技术，它的基本作用是实现私网IP地址与公网IP地址之间的转换。

私网IP地址：在IP地址的空间中，A、B、C三类地址中各有一部分地址，它们被称为私网IP地址（或：私有IP地址）。

（1）A类：10.0.0.0~10.255.255.255；

（2）B类：172.16.0.0~172.31.255.255；

（3）C类：192.168.0.0~192.168.255.255。

公网IP地址（或：公有IP地址）：除了私网IP地址之外，IP地址空间里的其他的地址。

公网：就是使用公有IP地址的网络，在公网中是绝不能使用私有IP地址的。在公网中，各个网络接口的IP地址必须是公有IP地址。

私网：就是使用私有IP地址的网络，在私网中，各个网络接口的IP地址必须是私有IP地址，但是在某些情况下，私网中出现的I报文，其目的IP地址或源IP地址可以是公有IP地址。

补充：0.0.0.0这个IP地址在公网中和私网中都是可以出现的；224.0.0.9这个组播IP地址在公网中和私网中都是可以出现的。

Internet的含义：

广义上讲：私网也是Internet的组成部分，即Internet包含了公网和私网这两大部分。

狭义上讲：私网算不上Internet的组成部分。

但是在说到NAT技术时，所指的Internet总是取其狭义的含义讲。就是，在谈到NAT技术的时候，公网就是指Internet，Internet就是指公网。

凡是Internet（公网）上的设备，均不能接收、发送或者转发源IP地址或目的IP地址为私网IP地址的IP报文。就是说，私网IP地址是不能出现在Internet上的。

但是为了实现私网与Internet之间的通信，以及通过Internet实现私网与私网之间的通信，便引入了NAT技术。

二。静态NAT

静态NAT：也称为简单NAT（Simple NAT）。

静态NAT技术的核心内容是建立一张静态地址映射表。而静态地址映射表反映了公有IP地址与私有IP地址之间的一一对应关系。

上图中：某个公司有一个私有网络，该私有网络通过路由器R2与Internet相连。R2的GE2/0/0接口一侧是Internet，GE1/0/0接口一侧是私网。私网包含了两个网段（即两个网络），分别是192.168.1.0/24和192.168.2.0/24.私网中共使用了7个私有IP地址，同时，该公司获得了7个可用的公有IP地址200.24.5.1~200.24.5.7。

为了实现私网与Internet之间的通信，可以在R2上部署静态NAT。

静态NAT的工作原理及过程简述：

假设PC 1向Internet中的服务器发起了通信，就是指PC 1向服务器发送了一个IP报文X1。显然可以知道，X1的源IP地址为私有IP地址192.168.1.1，目的IP地址为公有IP地址211.100.7.34。当X1到达R2之后，NAT会检查X1的目的IP地址是不是公有IP地址。如果是，就会在静态地址映射表中去查找X1的源IP地址所对应的公有IP地址。经查表可以得到，私有IP地址192.168.1.1所对应的公有IP地址是200.24.5.1.于是，NAT就会将X1的源IP地址192.168.1.1替换为公有IP地址200.24.5.1（在X1的源IP地址发生改变时，X1的校验和字段的值等内容也必须进行相应的改变）。从而得到一个新的IP报文X2，X2会通过R2的GE2/0/0接口去往Internet，并最终到达服务器。

当服务器向PC 1返回一个IP报文Y1时，Y1的源IP地址应为公有IP地址211.100.7.34，目的IP地址应为公有IP地址200.24.5.1。Y1进入R2后，NAT会在静态地址映射表中查找Y1的目的IP地址200.24.5.1，发现其对应的私有IP地址为192.168.1.1。然后，NAT将Y1的目的IP地址200.24.5.1替换为私有IP地址192.168.1.1，从而得到一个新的IP报文Y2。Y2会通过R2的GE1/0/0接口去往私网，并且最终到达PC 1。

从上面的简述可以看出，静态NAT并不能节约公有IP地址资源。同时，静态NAT技术要求私有IP地址与公有IP地址保持固定不变的一一对应关系。

二。动态NAT

动态NAT包含了一个公有IP地址资源池和一张动态地址映射表。

当某个私网用户发起与Internet的通信时，NAT会先检查公有IP地址资源池中是否还有可用的地址。如果没有，则这次与Internet的通信就无法进行。如果有，则NAT会在公有地址资源池中选中一个公有IP地址，并在动态地址映射表中创建一个表项，该表项反映了该公有IP地址与该用户的私有IP地址之间的映射关系。当该用户结束了与Internet的通信后，NAT必须将该表项从动态地址映射表中清除，同时将该表项中的公有IP地址释放回公有IP地址资源池。简单点讲：就是在使用动态NAT技术时，同一个公有IP地址可以分配给不同的私网用户使用，但是在使用的时间上必须错开。

上图中：PC 1在某一时刻向Internet中的服务器发起通信，就是指PC 1向服务器发送了一个IP报文X1。可以看出，X1的源IP地址为私有IP地址192.168.1.1，目的IP地址为公有IP地址211.100.7.34。当X1到达R2之后，NAT在其公有地址资源池中选中了IP地址200.24.5.3，然后在其动态地址映射表中创建了200.24.5.3与192.168.1.1之间的映射表现。根据这个表现，NAT将X1的源IP地址192.168.1.1替换成了公有IP地址200.24.5.3，从而得到了一个新的IP抱娃恩X2。X2会通过R2的GE2/0/0接口去往Internet，并最终到达服务器。

当服务器向PC 1返回一个IP报文Y1时，Y1的源IP地址应该是公有IP地址211.100.7.34，目的IP地址是公有IP地址200.24.5.3。Y1进入R2之后，NAT会在动态地址映射表中查找Y1的目的IP地址200.24.5.3，并发现其对应的私有IP地址为192.168.1.1。然后，NAT会将Y1的目的IP地址200.24.5.3替换为私有IP地址192.168.1.1，从而得到一个新的IP报文Y2。Y2会通过R2的GE1/0/0接口去往私网，并最终到达PC 1。

当PC 1完成了与服务器的通信之后，NAT必须清除其动态地址映射表中关于公有IP地址200.24.5.3的表项，并将公有IP地址200.24.5.3释放回公有地址资源池。

三。NAPT

NAPT：是Network Address and Port Translation的简称，其根本的原理是将TCP报文或UDP报文中的端口号作为映射参数加入到公有IP地址与私有IP地址之间的映射关系中，从而使同一个公有IP地址在同一时刻可以与多个私有IP地址进行映射。

无论是静态NAT还是动态NAT，同一时刻一个公有IP地址只能与一个私有IP地址进行映射（绑定）。

可以使用NAPT技术，使得同一个公有IP地址在同一时刻可与多个私有IP地址进行映射，以便提高公有IP地址的利用率。

上方的图片上：R2上部署了NAPT。现假设私网与Internet的应用层通信都是基于UDP的通信。

某一时刻，PC 1向Internet中的服务器发起通信，也就是指PC 1向服务器发送了一个IP报文X1。可以看出，X1的源IP地址为私有IP地址192.168.1.1，源端口号假设为1031，目的IP地址为公有IP地址211.100.7.34，目的端口号假设为z1。当X1到达R2后，NAPT在其公有地址资源池中选中IP地址200.24.5.1，并根据某种规则确定出一个端口号5531，然后在其动态地址及端口映射表中建立200.24.5.1：5531与192.168.1.1：1031之间的映射表项。根据这个表项，NAPT将X1的源IP地址192.168.1.1替换成了公有IP地址200.24.5.1，将X1的源端口号1031替换成了5531，从而可以得到一个新的IP报文X2。X2可以通过R2的GE2/0/0接口去往Internet，并最终到达服务器。

当服务器向PC 1返回一个IP报文Y1时，Y1的源IP地址为公有IP地址211.100.7.34，源端口号假设为Z2，目的IP地址应为公有IP地址200.24.5.1，目的端口号应为5531。Y1在进入R2之后，NAPT会在动态地址及端口映射表中查找Y1的目的IP地址200.24.5.1及目的端口号5531，并发现它应该映射到192.168.1.1：1031。于是，NAPT会将Y1的目的IP地址200.24.5.1替换成私有IP地址192.168.1.1，目的端口号5531替换成1031，已至得到一个新的IP报文Y2。而Y2可以通过R2的GE1/0/0去往私网，并最终到达PC 1。

假设在PC 1与服务器的通信过程中，PC 2也向Internet中的服务器发起了通信，及PC 2也向服务器发送了一个IP报文U1。U1的源IP地址为私有IP地址192.168.1.2，源端口号假设为1540，目的IP地址为公有IP地址211.100.7.34，目的端口号假设为Z3。当U1到达PC 2之后，NAPT会在其公有地址资源池中还是选中了IP地址200.24.5.1，并根据某种规则确定出了一个新的端口号5532，然后在其动态地址及端口映射表中创建了200.14.5.1：5532与192.168.1.1：1540之间的映射表项。根据这个表项，NAPT会将U1的源IP地址192.168.1.2替换成公有IP地址200.24.5.1，将U1的源端口号1540替换成5532，从而得到一个新的IP报文U2。U2会通过R2的GE2/0/0接口去往Internet，并最终到达服务器。

当服务器向PC 2返回一个IP报文V1时，V1的源IP地址为公有IP地址211.100.7.34，源端口号假设为Z4，目的IP地址应为公有IP地址200.24.5.1，目的端口号应为5532。V1在进入R2之后，NAPT会在动态地址及端口映射表中查找V1的目的IP地址200.24.5.1及目的端口号5532，并发现它应该映射到192.168.1.2：1540。于是，NAPT会将V1的目的IP地址200.24.5.1替换成私有IP地址192.168.1.2，目的端口号5532替换成1540，已至得到一个新的IP报文V2。而V2可以通过R2的GE1/0/0去往私网，并最终到达PC 2。

四。Easy IP

Easy IP技术：是NAPT技术的一种简化情况。Easy IP无需建立公有IP地址资源池，因为Easy IP只会用到一个公有IP地址。

如图示：其他方面，Easy IP都是与NAPT一样的。

不同的是，Easy IP只会用到一个公有IP地址，该IP地址就是路由器R2的GE2/0/0接口的IP地址。Easy IP也会建立并维护一张动态地址及端口映射表，而且，Easy IP会将这张表中的公有IP地址绑定成R2的GE2/0/0接口的IP地址。R2的GE2/0/0接口的IP地址如果发生改变，则表中的公有IP地址也会自动跟着变化。GE2/0/0接口的IP地址可以是手工配置的，也可以是动态分配的。