NAT基础一览

最近在研究安全测试相关的内容，安全测试和网络息息相关，网络中NAT又是一个重头戏。下面来详细整理了一些nat的基础内容：

• 简介
  

NAT（Network Address Translation）是一种地址转换技术，支持将报文的源地址进行转换，也支持将报文的目的地址进行转换。

• 分类
  

根据转换方式的不同，NAT可以分为以下三类：

1. 源NAT

2. 目的NAT

3. 双向NAT

• 几种nat转换的详细说明

1. NAT No-PAT    

NAT No-PAT是一种NAT转换时只转换地址，不转换端口，实现私网地址到公网地址一对一的地址转换方式。适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景。

NAT NO-PAT有两种：

（1）本地（Local）NO-PAT  

本地NO-PAT生成的Server-Map表中包含安全区域参数，只有此安全区域的Server可以访问内网Host。

（2）全局（Global）NO-PAT    

全局NO-PAT生成的Server-Map表中不包含安全区域参数，一旦建立，所有安全区域的Server都可以访问内网Host。

2. NAPT    

NAPT是一种转换时同时转换地址和端口，实现多个私网地址共用一个或多个公网地址的地址转换方式。适用于公网地址数量少，需要上网的私网用户数量大的场景。

3. Smart NAT    Smart NAT是No-PAT方式的一种补充。Smart NAT是一种可以在No-PAT的NAT模式下，指定某个IP地址预留做NAPT方式的地址转换方式。适用于平时上网的用户数量少，公网IP地址数量与同时上网用户数基本相同，但个别时段上网用户数激增的场景。    

使用No-PAT方式时，进行地址池的一对一转换。随着内部用户数量的不断增加，地址池中的地址数可能不再能满足用户上网需求，部分用户将得不到转换地址而无法访问Internet。此时，用户可以利用预留的IP地址进行NAPT地址转换，然后访问Internet。

4. Easy IP    Easy IP是一种利用出接口的公网IP地址作为NAT转后的地址，同时转换地址和端口的地址转换方式。对于接口IP是动态获取的场景，Easy IP也一样支持。    

当FW的公网接口通过拨号方式动态获取公网地址时，如果只想使用这一个公网IP地址进行地址转换，此时不能在NAT地址池中配置固定的地址，因为公网IP地址是动态变化的。此时，可以使用Easy IP方式，即使出接口上获取的公网IP地址发生变化，FW也会按照新的公网IP地址来进行地址转换。

5. 三元组NAT    三元组NAT是一种转换时同时转换地址和端口，实现多个私网地址共用一个或多个公网地址的地址转换方式。它允许Internet上的用户主动访问私网用户，与基于P2P技术的文件共享、语音通信、视频传输等业务可以很好地共存。

三元组NAT有两种：

（1）本地（Local）三元组NAT    本地三元组NAT生成的Server-Map表中包含安全区域参数，只有此安全区域的Host可以访问内网Host。

（1）全局（Global）三元组NAT    全局三元组NAT生成的Server-Map表中不包含安全区域参数，一旦建立，所有安全区域的Host都可以访问内网Host。  

FW支持Smart三元组NAT功能，可以根据报文的目的端口来选择分配端口的模式，在一定程度上提高公网地址的利用率。当报文的目的端口属于设置的端口范围之内，就采用NAPT模式来分配端口，如果报文的目的端口不属于设置的端口范围之内，则采用三元组NAT模式来分配端口。

参考链接：https://baijiahao.baidu.com/s?id=1603855949771492366&wfr=spider&for=pc