大家好，我是技福的小咖老师。

前两天给大家分享了NAT策略问题的23个问题，有朋友私信我，想再普及一下NAT基础知识。今天咱们就来复习下NAT的工作原理。

随着网络应用的增多，IPv4地址枯竭的问题越来越严重。尽管IPv6可以从根本上解决IPv4地址空间不足问题，但目前众多网络设备和网络应用大多是基于IPv4的，因此在IPv6广泛应用之前，使用一些过渡技术（如CIDR、私网地址等）是解决这个问题的主要方式，NAT就是这众多过渡技术中的一种。

NAT是如何工作的？

当私网用户访问公网的报文到达网关设备后，如果网关设备上部署了NAT功能，设备会将收到的IP数据报文头中的IP地址转换为另一个IP地址，端口号转换为另一个端口号之后转发给公网。在这个过程中，设备可以用同一个公网地址来转换多个私网用户发过来的报文，并通过端口号来区分不同的私网用户，从而达到地址复用的目的。

早期的NAT是指Basic NAT，Basic NAT在技术上实现比较简单，只支持地址转换，不支持端口转换。因此，Basic NAT只能解决私网主机访问公网问题，无法解决IPv4地址短缺问题。后期的NAT主要是指网络地址端口转换NAPT（Network Address Port Translation），NAPT既支持地址转换也支持端口转换，允许多台私网主机共享一个公网IP地址访问公网，因此NAPT才可以真正改善IP地址短缺问题。

下面我们分别从源NAT和目的NAT中各选一种NAT为代表，介绍其工作原理。其他类型的NAT虽然在转换时，转换的内容有细微差别，但是工作原理都相似，不再重复介绍。此外，双向NAT是源NAT和目的NAT的组合，双向NAT的工作原理也不再重复介绍。

NAPT工作原理

NAPT在进行地址转换的同时还进行端口转换，可以实现多个私网用户共同使用一个公网IP地址上网。NAPT根据端口来区分不同用户，真正做到了地址复用。

NAPT工作原理示意图

当Host访问Web Server时，设备的处理过程如下：

• 设备收到Host发送的报文后查找NAT策略，发现需要对报文进行地址转换。

• 设备根据源IP Hash算法从NAT地址池中选择一个公网IP地址，替换报文的源IP地址，同时使用新的端口号替换报文的源端口号，并建立会话表，然后将报文发送至Internet。

• 设备收到Web Server响应Host的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的目的地址替换为Host的IP地址，将报文的目的端口号替换为原始的端口号，然后将报文发送至Intranet。

NAT Server工作原理

使用NAT Server时，需要先在设备上配置公网地址和私网地址的固定映射关系。配置完成后，设备将会生成Server-Map表项，存放公网地址和私网地址的映射关系。该表项将一直存在除非NAT Server的配置被删除。

NAT Server工作原理示意图

内部Server的私网IPv4地址为192.168.1.2/24，对外的公网IPv4地址为1.1.1.10，端口号都为80，它们之间的映射关系在设备上已提前配置好。当Host访问Server时，设备的处理过程如下：

• 设备收到Internet上用户访问1.1.1.10的报文的首包后，查找并匹配到Server-Map表项，将报文的目的IP地址转换为192.168.1.2。

• 设备建立会话表，然后将报文发送至Intranet。

• 设备收到Server响应Host的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的源地址替换为1.1.1.10，然后将报文发送至Internet。

• 后续Host继续发送给Server的报文，设备都会直接根据会话表项的记录对其进行转换，而不会再去查找Server-map表项。

如何使用NAT？

下面介绍几种典型的NAT应用，帮助用户使用NAT。

私网用户通过NAPT访问Internet

在许多小区、学校和企业的私网规划中，由于公网地址资源有限，通常给私网用户分配私网IPv4地址。此时，可以配置源NAT来实现私网用户访问Internet。用户可以根据自己拥有的公网IPv4地址的个数，选择使用NAPT或者Easy IP。

当用户拥有的公网IP地址个数较多时，配置了NAT设备出接口的IP地址和其他应用之后，还有可用的空闲公网IP地址时，可以选择NAPT。NAPT使用地址池内的IPv4地址作为私网主机转换后的公网IPv4地址。如下图所示，在设备上配置NAPT，实现私网主机访问Internet功能。

私网用户通过NAPT访问Internet

私网用户通过Easy IP访问Internet

当用户拥有的公网IPv4地址个数较少时，配置了NAT设备出接口的IPv4地址和其他应用之后，没有可用的空闲公网IPv4地址时，可以选择Easy IP。Easy IP使用出接口的IPv4地址作为私网主机转换后的公网IPv4地址。如下图所示，在设备上配置Easy IP，实现私网主机访问Internet功能。

私网用户通过Easy IP访问Internet

公网用户通过NAT Server访问私网服务器

在某些场合，私网中有一些服务器需要向公网用户提供服务，比如私网中部署的一些Web服务器、FTP服务器等，NAT支持这样的应用，此时可以配置NAT Server来实现公网用户访问私网服务器。如下图所示，在设备上配置NAT Server，固定“公网IP地址＋端口号”与“私网IP地址＋端口号”间的映射关系，实现公网主机通过该映射关系访问私网服务器功能。

公网用户通过NAT Server访问私网服务器

来源：华为IP知识百科，感谢官方分享。

大家有什么想了解讨论分享的，欢迎给我留言！关注技福小咖，请帮忙点赞分享，您的支持是我们最大的动力！