NAT基本原理

基本原理

   由于IPV4地址短缺，以及出于安全考虑等问题，在英特网中广泛采用NAT技术，由于不同厂商的实现NAT功能不同，可能会导致使用STUN、TURN、ICE技术的应用软件无法穿越NAT，这些技术广泛应用与SIP代理等软件。因此有必要实现符合这些软件能够一致工作必须实现的NAT类型为外部地址无关的映射(又称Full Cone NAT类型)。建议实现的NAT类型为外部地址相关映射(又称Restricted Cone NAT)；外部地址和端口相关映射(Port Retricted Cone NAT)，已实现的NAT类型基本就是这种类型。RFC4787定义了上述NAT类型。

 

外部地址无关的映射：

     对相同的内部IP和端口重用相同的地址端口映射，即为原来的Full Cone NAT(RFC3489)。

 

外部地址相关映射：

     对相同的内部IP和端口访问相同的外部IP地址时重用相同的端口映射，也即Restricted Cone NAT(RFC3489)

 

外部地址和端口相关的映射：

    对相同的内部IP地址和端口访问相同的外部IP地址和端口重用相同的端口映射(如果此映射条目还处于活动状态)。也即Port Restricted Cone NAT(RFC3489).

 

多对多地址转换

      允许NAT网关拥有多个公有IP地址，当第一个内部主机访问外网时，NAT选择公有地址IP1.在地址转换表中添加记录并发送数据包。当另一个内部主机访问外网时，NAT选择另一个公有地址IP2，以此类推，为满足多台内部主机访问外网的请求。这称为“多地址转换”。当内部主机比公有地址多时，会出现主机无法分配到地址的情况。

      利用访问控制列表限制地址转换，只有满足访问控制列表条件的数据才可以进行地址转换，这样可以有效地控制地址转换的使用范围，使特定主机能偶有权利访问Internet。

 

NATPT

      NATPT为实现地址复用。多对一的地址转换，它通过使用IP地址+端口号的形式进行转换，使多个私网用户可共用一个公网IP地址访问外网，因此是地址转换实现的主要形式。

 

Easy IP

      Easy IP方式是指直接使用接口的公网IP地址作为转换后的源地址进行地址转换，它可以动态获取出接口地址，从而有效支持出接口通过拨号或者DHCP方式获取公网IP地址的应用场景。同时EasyIP方式也可以利用访问控制列表来控制哪些内部地址可以进行地址转换。

 

NAT多实例

    就是在NAT设备中虚拟多个NAT设备，各个设备之间通过VPN区分。