NAT的基本介绍

一、NAT

1.什么是NAT

NAT（Network Address Translation）是网络地址转换的缩写。它是一种在IP数据包通过路由器或防火墙时重写源IP地址或/和目标IP地址的技术。NAT通常用于私有IP地址和公共IP地址之间的转换

1.1私有网络和公有网络

公有网络地址（简称公网地址）是指在互联网上全球唯一的IP地址
私有网络地址（简称私网地址）是指内部网络或主机的IP地址，IANA （互联网数字分配机构）规定将下列的IP地址保留用作私网地址，不在Internet（互联网）上被分配，可在一个单位或公司内部使用。RFC1918中规定私有地址如下：
A类私有地址：10.0.0.010.255.255.255
B类私有地址：172.16.0.0172.31.255.255
c类私有地址：192.168.0.0~192.168.255.255

2.为什么使用NAT

1.节省IP地址：

随着互联网的发展，越来越多的设备需要连接到网络上。然而，IPv4地址是有限的，这意味着没有足够的公共IP地址分配给每个设备。NAT允许我们在内部网络中使用私有IP地址，当数据雪要发送到外部网络时，NAT设备会将这些私有地址转换成公共IP地址，从而节省了公共IP地址的使用

2.隐藏内部网络：

NAT就像一个保护置，可以隐藏你的内部网络。当外部设备试图访问你的内部网络时，它们只能看到NAT设备的公共IP地址，而无法直接看到内部设备的真实IP地址。这增加了网络的安全性，因为攻击者需要首先攻破NAT设备才能进一步访问内部网络

3.简化网络配置：

在一个大型网络中，如果每个设备都需要一个独立的公共IP地址，那么网络配置将变得非常复杂。NAT允许我们只需要一个或少数几个公共IP地址就可以让整个内部网络连接到外部网络，大大简化了网络配置

4.支持远程访问：

有时候，你可能需要从外部网络访问内部网络中的某个设备或服务。通过使用NAT，你可以将外部网络的某个端口映射到内部网络中的某个设备或服务上，从而实现远程访问

5.灵活性：

NAT提供了多种实现方式，包括静态NAT、动态NAT和端口多路复用（PAT）等。这些不同的实现方式可以根据不同的网络环境和需求进行灵活配置，满足各种复杂的应用场景

二、工作原理

NAT用来将内网地址和端口号转换成合法的公网地址和端口号，建立一个会话，与公网主机进行通信
NAT外部的主机无法主动跟位于NAT内部的主机通信，NAT内部主机想要通信，必须主动和公网的一个IP通信，路由器负责建立一个映射关系，从而实现数据的转发

主要原理：地址转换
当内部网络的设备想要访问外部网络时，NAT设备（如路由器）会拦截这个请求

NAT设备会查看这个请求的源IP地址（也就是内部设备的私有IP地址），并将其替换为一个公共IP地址。这个替换过程是基于NAT设备内部的一个映射表来完成的

映射表记录了内部私有IP地址与外部公共IP地址之间的对应关系。当外部网络的响应返回时，NAT设备会再次查看这个响应的目标IP地址（也就是之前替换的公共IP地址），并将其替换回原来的私有IP地址，然后将响应转发给内部设备

1.功能

NAT不仅能解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的入侵，隐藏并保护网络内部的计算机

宽带分享：这是NAT主机的最大功能

安全防护：NAT之内的PC联机到Internet上面时，他所显示的IP是NAT主机的公网IP，所以client端的PC就具有一定程度的安全了，外界在进行portscan （端口扫描）的时候，就侦测不到源client端的PC

2.优缺点

优点：节省公有合法IP地址、处理地址重叠、增强灵活性、安全性
缺点：延迟增大、配置和维护的复杂性、不支持某些应用（比如VPN）

三，静态、动态

1.静态NAT

静态NAT实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址

静态NAT不能节约公网地址，但可以起到隐藏内部网络的作用

内部网络向外部网络发送报文时，静态NAT将报文的源IP地址替换为对应的公网地址：外部网络向内部网络发送响应报文时，静态NAT将报文的目的地址替换为相应的私网地址

工作原理：

在静态NAT中，内部网络中的每个需要外部访问的设备都被分配一个固定的公有IP地址。当内部设备尝试与外部网络通信时，NAT设备（如路由器或防火墙）会查看静态NAT映射表，找到与该内部IP地址对应的公有IP地址，并将其用于出站的数据包。对于入站的数据包NAT设备会根据其目标公有IP地址在映射表中找到对应的内部IP地址，并将数据包转发给该内部设备

配置：

静态NAT的配置通常在路由器或防火墙等网络设备上进行。管理员需要定义内部IP地址和对应的外部IP地址之间的映射关系。这些映射关系被存储在NAT映射表中，用于指导数据包的转发

优点：

1.可预测性：由于映射关系是静态的，因此管理员可以准确地知道哪个内部IP地址将使用哪个外部IP地址
2.可靠性：静态NAT不会因为内部IP地址的变化而受到影响，从而保证了通信的可靠性
3.灵活性：管理员可以根据需要随时添加、修改或删除静态NAT映射

缺点：

1.IP地址浪费：静态NAT为每个需要外部访问的内部设备分配一个公有IP地址，可能导致公有IP地址的浪费
2.管理复杂性：随着内部网络中设备数量的增加，管理静态NAT映射表的复杂性也会增加
3.可扩展性差：当公有IP地址资源有限时，静态NAT可能无法满足大量内部设备的外部访问需求

2.动态NAT

多个私网IP地址对应多个公网IP地址，基于地址池一对一映射

工作原理：

当内部网络中的主机需要访问外部网络时，它会发送一个数据包

NAT设备（如路由器）会拦截这个数据包，并查看其源IP地址（即内部私有IP地址）

NAT设备会在其NAT转换表中查找一个可用的公有IP地址，并将其分配给这个内部主机

NAT设备会修改数据包的源IP地址为分配的公有IP地址，并将其发送到外部网络

当外部网络向内部主机发送响应数据包时，NAT设备会查找其NAT转换表，找到对应的内
部私有IP地址，并将数据包转发给该主机

配置：

创建公有IP地址池：

在NAT设备上配置一个公有IP地址池，该池包含可用的公有IP地址

走义内部网络：

指定需要进行NAT转换的内部网络范围

配置动态NAT规则：

将内部网络范围与公有IP地址池关联起来，以便在需要时进行动态地址转换

优点：

1.节省公有IP地址资源
2.动态分配地址，提高了IP地址的利用率
3.适用于内部主机数量较多且需要访问外部网络的场景

缺点：

1.需要预先配置公有IP地址池和内部网络范围
2.如果公有IP地址池中的地址数量不足，可能会导致地址分配失败
3.在某些情况下，可能需要手动干预以调整地址分配策略

四、PAT端口多路复用

1.原理

地址映射：

PAT将不同内部网络地址的报文的源IP地址转换为同一公网IP地址，但为每个内部主机分配一个不同的端口号。这样，即使多个内部主机共享一个公网IP地址，它们仍然可以通过不同的端口号与外部网络进行通信

端口号转换：

内部主机与外部主机通信时，PAT不仅改变数据包的IP地址，还改变其端口号。这确保了即使多个内部主机使用相同的内部端口号，它们也可以通过PAT映射到公网IP的不同端口号上，从而避免冲突

2.作用

1.节约公网IP地址：

通过PAT，多个内部主机可以共享一个或多个公网IP地址，从而大大节约公网IP资源

2.增强安全性：

由于外部网络只能看到公网IP地址和对应的端口号，而无法直接看到内部网络的结构和主机信息，因此PAT可以提高网络的安全性

3.隐藏内部网络结构：

PAT可以隐藏内部网络的结构和主机信息，防止外部网络对内部网络的攻击和探测

3.配置

定义内外网接口：

在路由器或NAT设备上，需要定义内网和外网的接口。内网接口连接内部网络，外网接口连接外部网络（如互联网）

定义内网地址范围和外网地址：

使用访问控制列表（ACL）定义允许通过NAT的内部地址范围，并使用NAT池定义公网IP地址

配置NAT规则：

在路由器或NAT设备上配置NAT规则，指定哪些内部地址和端口号应该被映射到哪个公网IP地址和端口号

五、PAT

PAT在网络中通常指的是端口地址转换，它是NAT（Network Address Translation，网络地址转换）技术中的一种具体实现方式。NAT技术允许私有网络中的设备使用非路由的私有IP地址，同时仍然可以访问公共网络（如互联网），NAT有多种实现方式，包括静态NAT、动态NAT和PAT（也称为NAPT，Network Address Port Translation）

1.作用

1.改变数据包的ip地址和端口号
2.能够大量节约公网IP地址

2.类型

1.动态PAT，包括NAPT和Easy IP：NAT是一对一转换 NAPT 多对一转换
2.静态PAT，包括NAT Server

六、NAPT

1.原理

1.地址转换：

当私有网络中的设备尝试访问公共网络时，NAPT设备（如路由器或防火墙）会将该设备的私有IP地址替换为公共IP地址。这是NAT的基本功能

2.端口转换：

由于多个私有设备共享同一个公共|P地址，NAPT还需要将每个设备的私有端口号映射到一个独特的公共端口号。这样，当外部设备响应来自私有设备的请求时，NAPT设备可以正确地将响应路由回私有网络中的原始设备

3.维护转换表：

NAPT设备维护一个转换表，该表记录了私有IP地址、私有端口号、公共IP地址和公共端口号之间的映射关系。当数据包通过NAPT设备时，设备会查看转换表以确定如何修改数据包的源地址和端口号（对于出站数据包）或目的地址和端口号（对于入站数据包）

2.优点

节约公共IP地址：

通过允许多个私有设备共享一个公共IP地址，NAPT极大地节省了公共IP地址的使用

隐藏内部网络结构：

由于外部设备只能看到公共IP地址和端口号，因此NAPT隐藏了内部网络的真实结构和设备信息

增强安全性：

由于隐藏了内部网络的结构和设备信息，NAPT增加了网络的安全性。此外，NAPT还可以与防火墙等安全设备结合使用，进一步提高网络的安全性

七、EasyIp

1.原理

当内部网络主机要访问外部网络时，防火墙（或路由器）会将IP数据报文头中的内网IP地址和端口号转换为外网IP地址和端口号。这个外网IP地址就是防火墙（或路由器）的接口地址，而端口号则是根据内部主机的请求动态分配的

2.优点

简化配置：

EasyIP不需要建立公有IP地址池，直接使用防火墙（或路由器）的接口地址作为NAT转换的公网地址，从而简化了配置过程

动态分配：

端口号是根据内部主机的请求动态分配的，因此可以支持多个内部主机同时访问外部网络

八、NAT server

1.原理

1.地址映射：

NAT Server通过配置，将内部网络中服务器的私有IP地址和端口号映射到外部网络中的公共IP地址和端口号。这个映射关系可以是静态的（即手动配置），也可以是动态的（即根据内部服务器的请求自动分配）

2.请求转发：

当外部网络主机尝试访问内部网络中的服务器时，它会向NAT Server发送请求。NAT Server会根据事先配置好的地址映射关系，将请求中的目标地址和端口号替换为内部服务器的私有IP地址和端口号，并将请求转发给内部服务器

3.响应返回：

内部服务器收到请求后，会处理该请求并生成响应。这个响应会首先被NAT Server截获然后NAT Server会根据连接追踪和地址映射表，将响应中的源地址和端口号替换为外部网络主机的公共IP地址和端口号，并将响应返回给外部网络主机

2.优点

1.安全性：

通过NAT Server的地址映射和转发功能，内部网络中的服务器可以隐藏其真实的IP地址，从而避免了直接暴露给外部网络的风险。这增加了内部网络的安全性

2.灵活性：

NAT Server可以根据需要配置多个地址映射关系，支持多个内部服务器同时被外部网络访问。同时，NAT Server还支持动态地址映射和端口转发，使得配置更加灵活和方便

3.性能优化：

NAT Server可以优化内部网络和外部网络之间的通信性能。通过地址映射和转发功能NAT Server可以减少网络中的路由表项和数据包转发次数，提高网络的整体性能