初識 NATIP 地址分為公網地址和私有地址。公網地址有 IANA 統一分配，用于連接互聯網；私有地址可以自由分配，用于私有網絡內部通信。

私網和公網

隨著互聯網用戶的快速增長，2019 年 11 月 25 日全球的公網 IPv4 地址已耗盡。在 IPv4 地址耗盡前，使用 NAT（ Network Address Translation ）技術解決 IPv4 地址不夠用的問題，并持續至今。

NAT 技術的是將私有地址轉換成公網地址，使私有網絡中的主機可以通過少量公網地址訪問互聯網。

但 NAT只是一種過渡技術，從根本上解決問題，是采用支持更大地址空間的下一代 IP 技術，即 IPv6 協議，它提供了幾乎用不完的地址空間。

NAT技術

NAT 技術IP 地址中預留了 3 個私有地址網段，在私有網絡內，可以任意使用。

私有地址范圍

其余的 IP 地址可以在互聯網上使用，由 IANA 統一管理，稱為公網地址。

公網地址范圍

NAT 解決了 IPv4 地址不夠用的問題，另外 NAT 屏蔽了私網用戶真實地址，提高了私網用戶的安全性。

典型的 NAT 組網模型，網絡通常是被劃分為私網和公網兩部分，各自使用獨立的地址空間。私網使用私有地址 10.0.0.0/24 ，而公網使用公網地址。為了讓主機 A 和 B 訪問互聯網上的服務器 Server ，需要在網絡邊界部署一臺 NAT 設備用于執行地址轉換。NAT 設備通常是路由器或防火墻。

典型NAT組網

基本 NAT

基本 NAT 是最簡單的一種地址轉換方式，它只對數據包的 IP 層參數進行轉換，它可分為靜態 NAT 和動態 NAT 。

靜態 NAT 是公網 IP 地址和私有 IP 地址有一對一的關系，一個公網 IP 地址對應一個私有 IP 地址，建立和維護一張靜態地址映射表。

動態 NAT 是公網 IP 地址和私有 IP 地址有一對多的關系，同一個公網 IP 地址分配給不同的私網用戶使用，使用時間必須錯開。它包含一個公有 IP 地址池和一張動態地址映射表。

舉個動態 NAT 栗子

私網主機 A（ 10.0.0.1 ）需要訪問公網的服務器 Server（ 61.144.249.229 ），在路由器 RT 上配置 NAT ，地址池為 219.134.180.11 ~ 219.134.180.20 ，地址轉換過程如下：

基本NAT

A 向 Server 發送報文，網關是 10.0.0.254 ，源地址是 10.0.0.1 ，目的地址是 61.144.249.229 。

A發包

RT 收到 IP 報文后，查找路由表，將 IP 報文轉發至出接口，由于出接口上配置了 NAT ，因此 RT 需要將源地址 10.0.0.1 轉換為公網地址。

RT收包

RT 從地址池中查找第一個可用的公網地址 219.134.180.11 ，用這個地址替換數據包的源地址，轉換后的數據包源地址為 219.134.180.11 ，目的地址不變。同時 RT 在自己的 NAT 表中添加一個表項，記錄私有地址 10.0.0.1 到 公網地址 219.134.180.11 的映射。RT 再將報文轉發給目的地址 61.144.249.229 。

NAT轉換

Server 收到報文后做相應處理。

Server 發送回應報文，報文的源地址是 61.144.249.229 ，目的地址是 219.134.180.11 。

Server發回應包

RT 收到報文，發現報文的目的地址 219.134.180.11 在 NAT 地址池內，于是檢查 NAT 表，找到對應表項后，使用私有地址 10.0.0.1 替換公網地址 219.134.180.11，轉換后的報文源地址不變，目的地址為 10.0.0.1 。RT 在將報文轉發給 A 。

NAT轉換

A 收到報文，地址轉換過程結束。

A收包

如果 B 也要訪問 Server ，則 RT 會從地址池中分配另一個可用公網地址 219.134.180.12 ，并在 NAT 表中添加一個相應的表項，記錄 B 的私有地址 10.0.0.2 到公網地址 219.134.180.12 的映射關系。

B的NAT轉換

NAPT

在基礎 NAT 中，私有地址和公網地址存在一對一地址轉換的對應關系，即一個公網地址同時只能分配給一個私有地址。它只解決了公網和私網的通信問題，并沒有解決公網地址不足的問題。

NAT表

NAPT（ Network Address Port Translation ）對數據包的 IP 地址、協議類型、傳輸層端口號同時進行轉換，可以明顯提高公網 IP 地址的利用率。

NAPT的NAT表

舉個栗子

私網主機 A（ 10.0.0.1 ）需要訪問公網的服務器 Server 的 WWW 服務（ 61.144.249.229 ），在路由器 RT 上配置 NAPT ，地址池為 219.134.180.11 ~ 219.134.180.20 ，地址轉換過程如下：

A 向 Server 發送報文，網關是 RT（ 10.0.0.254 ），源地址和端口是 10.0.0.1:1024 ，目的地址和端口是 61.144.249.229:80 。

A發包

RT 收到 IP 報文后，查找路由表，將 IP 報文轉發至出接口，由于出接口上配置了 NAPT ，因此 RT 需要將源地址 10.0.0.1:1024 轉換為公網地址和端口。

RT 從地址池中查找第一個可用的公網地址 219.134.180.11 ，用這個地址替換數據包的源地址，并查找這個公網地址的一個可用端口，例如 2001 ，用這個端口替換源端口。轉換后的數據包源地址為 219.134.180.11:2001 ，目的地址和端口不變。同時 RT 在自己的 NAT 表中添加一個表項，記錄私有地址 10.0.0.1:1024 到 公網地址 219.134.180.11:2001 的映射。RT 再將報文轉發給目的地址 61.144.249.229 。

NAPT轉換

Server 收到報文后做相應處理。

Server 發送回應報文，報文的源地址是 61.144.249.229:80 ，目的地址是 219.134.180.11:2001 。

Server發回應包

RT 收到報文，發現報文的目的地址在 NAT 地址池內，于是檢查 NAT 表，找到對應表項后，使用私有地址和端口 10.0.0.1:1024 替換公網地址 219.134.180.11:2001，轉換后的報文源地址和端口不變，目的地址和端口為 10.0.0.1:1024 。RT 再將報文轉發給 A 。

NAPT轉換

A 收到報文，地址轉換過程結束。

如果 B 也要訪問 Server ，則 RT 會從地址池中分配同一個公網地址 219.134.180.11 ，但分配另一個端口 3001 ，并在 NAT 表中添加一個相應的表項，記錄 B 的私有地址 10.0.0.2:1024 到公網地址 219.134.180.12:3001 的映射關系。

B的NAPT轉換

Easy IP

在標準的 NAPT 配置中需要創建公網地址池，也就是必須先知道公網 IP 地址的范圍。而在撥號接入的上網方式中，公網 IP 地址是有運營商動態分配的，無法事先確定，標準的 NAPT 無法做地址轉換。要解決這個問題，就要使用 Easy IP 。

Easy IP 又稱為基于接口的地址轉換。在地址轉換時，Easy IP 的工作原理與 NAPT 相同，對數據包的 IP 地址、協議類型、傳輸層端口號同時進行轉換。但 Easy IP 直接使用公網接口的 IP 地址作為轉換后的源地址。Easy IP 適用于撥號接入互聯網，動態獲取公網 IP 地址的場合。

Easy IP

Easy IP 無需配置地址池，只需要配置一個 ACL（訪問控制列表），用來指定需要進行 NAT 轉換的私有 IP 地址范圍。

NAT Server

從基本 NAT 和 NAPT 的工作原理可知，NAT 表項由私網主機主動向公網主機發起訪問而生成，公網主機無法主動向私網主機發起連接。因此 NAT 隱藏了內部網絡結構，具有屏蔽主機的作用。但是在實際應用中，內網網絡可能需要對外提供服務，例如 Web 服務，常規的 NAT 就無法滿足需求了。

為了滿足公網用戶訪問私網內部服務器的需求，需要使用 NAT Server 功能，將私網地址和端口靜態映射成公網地址和端口，供公網用戶訪問。

NAT Server

舉個栗子

A 的私網地址為 10.0.0.1 ，端口 8080 提供 Web 服務，在對公網提供 Web 服務時，要求端口號為 80 。在 NAT 設備上啟動 NAT Server 功能，將私網 IP 地址和端口 10.0.0.1:8080 映射成公網 IP 地址和端口 219.134.180.11:80 ，這樣公網主機 C 就可以通過 219.134.180.11:80 訪問 A 的 Web 服務。

NAT ALG

基本 NAT 和 NAPT 只能識別并修改 IP 報文中的 IP 地址和端口號信息，無法修改報文內攜帶的信息，因此對于一些 IP 報文內攜帶網絡信息的協議，例如 FTP 、DNS 、SIP 、H.323 等，是無法正確轉換的。

ALG 能夠識別應用層協議內的網絡信息，在轉換 IP 地址和端口號時，也會對應用層數據中的網絡信息進行正確的轉換。

舉個栗子：ALG 處理 FTP 的 Active 模式

FTP 是一種基于 TCP 的協議，用于在客戶端和服務器間傳輸文件。FTP 協議工作時建立 2 個通道：Control 通道和 Data 通道。Control 用于傳輸 FTP 控制信息，Data 通道用于傳輸文件數據。

私網 A（ 10.0.0.1 ）訪問公網 Server（ 61.144.249.229 ）的 FTP 服務，在 RT 上配置 NAPT，地址池為 219.134.180.11 ~ 219.134.180.20 ，地址轉換過程如下：

NAT ALG

A 發送到 Server 的 FTP Control 通道建立請求，報文源地址和端口為 10.0.0.1:1024 ，目的地址和端口為 61.144.249.229:21 ，攜帶數據是 “ IP = 10.0.0.1 port=5001 ”，即告訴 Server 自己使用 TCP 端口 5001 傳輸 Data。

A發包

RT 收到報文，建立 10.0.0.1:1024 到 219.134.180.11:2001 的映射關系，轉換源 IP 地址和 TCP 端口。根據目的端口 21 ，RT 識別出這是一個 FTP 報文，因此還要檢查應用層數據，發現原始數據為 “ IP = 10.0.0.1 port=5001 ”，于是為 Data 通道 10.0.0.1:5001 建立第二個映射關系：10.0.0.1:5001 到 219.134.180.11:2002 ，轉換后的報文源地址和端口為 219.134.180.11:2001 ，目的地址和端口不變，攜帶數據為 “ IP = 219.134.180.11 port=2002 ”。

NAT ALG轉換

Server 收到報文，向 A 回應 command okay 報文，FTP Control 通道建立成功。同時 Server 根據應用層數據確定 A 的 Data 通道網絡參數為 219.134.180.11:2002 。

A 需要從 FTP 服務器下載文件，于是發起文件請求報文。Server 收到請求后，發起 Data 通道建立請求，IP 報文的源地址和端口為 61.144.249.229:20 ，目的地址和端口為 219.134.180.11:2002，并攜帶 FTP 數據。

Data通道

NAT 實戰基本 NAT 實驗

實驗拓撲圖

拓撲圖

實驗要求

ENSP 模擬器

PC 通過公網地址訪問互聯網

實驗步驟

根據接口 IP 地址表，配置各個設備的接口地址。

IP地址表

PC配置

RT配置

ISP配置

在 RT 上配置 NAT 配置。

NAT配置

配置基本 NAT 只需要一條命令：把私有 IP 地址轉換成公網 IP 地址，在接口視圖下配置 nat static global global-address inside host-address 命令。默認路由是網關路由器上的常見配置。使用 display nat static 命令查看 RT 上的靜態 NAT 配置。

在 PC 上驗證聯網功能。

PC驗證結果

抓包查看 NAT 轉換效果。分別抓包 RT 的內網口 G0/0/0 和外網口 G0/0/1 的報文，看出發送的 Echo Request 報文和接收的 Echo Reply 報文都有進行 NAT 轉換。

RT內網口抓包

RT外網口抓包

NAPT 實驗

實驗拓撲圖

拓撲圖

實驗要求

RT 使用 NAPT 功能

ISP 分配 4 個可用的公網地址：202.0.0.3 ~ 202.0.0.6

VLAN 10 的用戶使用兩個公網地址

VLAN 20 的用戶使用另外兩個公網地址

實驗步驟

根據接口 IP 地址表，配置各個設備的接口地址。配置命令可參考上一個實驗步驟 1 。

IP地址表

在 RT 上配置 NAPT 配置。

NAPT配置

在 NAPT 的配置中，使用基本 ACL 來指定私有 IP 地址范圍。ACL 2010 指定 VLAN 10 的 IP 地址空間，ACL 2020 指定 VLAN 20 的 IP 地址空間。使用 nat address-group group-index start-address end-address 命令指定公網 IP 地址范圍，分別指定了兩個 NAT 地址組，編號分別選擇了 1 和 2 。在外網接口上，使用 nat outbound acl-number address-group group-index ，綁定 NAT 轉換關系。

使用 display nat address-group 命令查看 RT 上的 NAT 地址組配置。命令 display nat outbound 查看出方向 NAT 的轉換關系。

分別在 PC10 和 PC 20 上驗證上網功能。

PC10驗證結果

PC20驗證結果

抓包查看 NAT 轉換效果。分別抓包 RT 的內網口 G0/0/1 和外網口 G0/0/0 的報文，查看 VLAN 10 的用戶出發送的 Echo Request 報文和接收的 Echo Reply 報文都有進行 NAT 轉換。

RT內網口VLAN10抓包

RT外網口抓包

其它常用 NAT 命令

NAT Server 是在接口視圖下配置，命令格式為：nat server protocol { tcp | udp } global global-address global-port inside host-address host-port 。

檢查 NAT Server 配置信息命令：display nat server 。

檢查 NAT 會話命令：display nat session all 。

啟動 NAT ALG 功能命令：nat alg all enable 。

查看 NAT ALG 功能命令：display nat alg 。

原文標題：42張圖詳解 NAT ： 換個馬甲就能上網

文章出處：【微信公眾號：Linux愛好者】歡迎添加關注！文章轉載請注明出處。

責任編輯：haq