路由器的NAT类型

一、NAT技术简介

1、技术背景

IPV4公有地址资源存在地址分配不均的问题，这导致部分地区的IPv4可用公有地址严重不足。

NAT技术可以缓解IPv4地址短缺的问题，同时让外网无法直接与使用私有地址的内网进行通信，提升了内网的安全性。

2、技术原理

NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程，主要用于实现内部网络（私有IP地址）访问外部网络（公有IP地址）的功能。

典型应用场景：在私有网络内部(园区、家庭)使用私有地址，出口设备部署NAT，对于“从内到外”的流量，网络设备通过NAT将数据包的源地址进行转换(转换成特定的公有地址)，而对于“从外到内的”流量，则对数据包的目的地址进行转换。

二、NAT模式分类

NAT的工作模式一般可以分为：

• 静态NAT
• 动态NAT
• NAPT
• Easy IP
• NAT Server

静态NAT

通过建立一对一的地址映射关系来实现内外网之间的通信。

• 内部主机的私有IP地址被手动配置映射到一个公有IP地址。
• 当内部主机发送数据包时，NAT设备会检查数据包的源IP地址，并在静态NAT转换表中查找与源IP地址匹配的映射规则

如将私网IP192.168.10.1 转换成 全局接口IP（公有IP地址） 202.101.1.100

动态NAT

使用地址池中的公有IP地址来动态地为内部网络的主机分配地址

• 建立一个公有IP的地址池
• 当内部主机需要访问外部网络时，NAT设备会从地址池中选取一个未使用的公有IP地址，并将其与内部主机的私有IP地址建立映射关系

基本没有用，限制了可以同时访问公网的设备数量

NAPT

NAPT即Network Address Port Translation，网络地址端口转换

• NAT的一种扩展形式，允许多个内部主机共享一个公有IP地址
• NAPT不仅转换IP地址，还转换TCP或UDP端口号
• 当内部主机向外部网络发送数据包时，NAPT设备会将源IP地址和源端口号替换为公有IP地址和一个不冲突的端口号，并在转换表中记录这个映射关系

Easy IP

• 实现原理和NAPT相同，同时转换IP地址、传输层端口
• 区别在于EasyIP没有地址池的概念，直接用出口IP地址作为NAT转换的公有地址
• 适用于不具备固定公网IP地址的场景: 如通过DHCP、PPPoE拨号获取地址的私有网络出口，可以直接使用获取到的动态地址进行转换

NAT Server

一种在NAT设备上实现的特定服务，允许内部网络中的特定服务器通过公有IP地址主动暴露给外部网络

• 指定[公有地址:端口]与[私有地址:端口]的一对一映射关系，从而将内网服务器映射到公网
• 当私有网络中的服务器需要对公网提供服务时使用
• 外网主机可以主动访问[公有地址:端口]实现对内网服务器的访问

三、NAPT分类

按照端口转换的工作方式不同，又可以对NAPT进行更进一步的划分

全锥形Full cone NAT

• 所有从同一个内网的（IP，端口）发送出来的请求都会被映射到同一个外网（IP，端口）
• 且任何一个外网主机都可以通过访问映射后的公网地址，实现访问位于内网的主机设备功能

即外网主机可以主动连接内网主机。

该类型NAT只与源IP和源端口相关，只要**（源IP，源端口）相同**则可以通过映射后的（公网IP，端口）访问任意网站

类似于静态NAT

地址限制锥形Restricted Cone NAT

• 所有从同一个内网的（IP，端口）发送出来的请求都会被映射到通过一个外网（IP，端口）
• 但生成的映射表项与目的IP有关，只有符合要求的目的IP(要访问的公网服务器IP)才可以通讯

不能主动连接内网中的主机地址，连接必须由内网地址发起

端口限制锥形Port Restricted Cone NAT

• 所有从同一个内网的（IP，端口）发送出来的请求都会被映射到一个外网（IP，端口）
• 在地址受限锥形NAT基础上增加了端口的限制
• 即除了之前内网（IP，端口）主动连接了外网主机（IP，Port1）可以通讯，其他的（IP，Port2）等都不可以与之通讯

NAT映射与报文的三元组绑定

对称型Symetric NAT

• 所有从同一个内网（IP，端口）发送到同一个目的IP和端口的请求都会被映射到同一个IP和端口
• 即对源IP、源端口、目的IP、目的端口都进行严格绑定
• 此NAT映射与报文四元组绑定

实际上就是一对一

总结

参考

• 【华为】NAT的分类和实验配置

• NAT技术研究

• NAT的四种分类简介