防火墙NAT策略（一）

2023-02-08 206

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

公网NAT网关，每月750个小时 15CU

简介： 人类对计算机网路的使用已经拓展到各个领域，而计算机网络的设计者在当时无法想象网络能有今天的规模。任何一个接入互联网的计算机、lpad、手机及安卓电视，要想在互联网中畅游，必须有一个合法的IP地址。而IP地址，曾经认为足以容纳全球的计算机，但是在今天看来，已经严重枯竭。IPv6的出现就是为了解决地址不足的问题。但在IPv6普及之前，需要有一个过渡技术——NAT。NAT的出现缓解了地址不够用的情况，它可以让同一局域网内60000多用户同时使用一个合法P地址访问互联网。NAT技术不是新技术，对于我们来说也并不陌生，文本重点介绍华为的NAT技术。

📝理论讲解：

NAT概论：

NAT技术是用来解决当今IP地址资源枯竭的一种技术，同时也是IPv4到IPv6的过渡技术，绝大多数网络环境中在使用NAT技术。关于NAT技术的原理在之前的文章中已经有所提及，本文的重点放在华为相关的NAT知识和实验配置上。

NAT分类

在内外网的边界，流量有出、入两个方向，所以NAT技术源地址转换和目标地址转换两类。一般情况下，源地址转换主要用于解决内部局域网计算机访问Internet的场景；而目标地址转换主用于解决Internet用户访问局域网服务器的场景，目标地址通常被称为服务器地址映射。华为支持的源地址转换方式有如下几类:

NAT No-PAT：类似于Cisco的动态转换，只转换源IP地址，不转换端口，属于多对多转换，不能节约公网IP地址，实际情况下使用较少，主要适用于需要上网的用户较少，而公网地址又足够的场景下。

NAPT (Network Address and Port Translation，网络地址和端口转换)；类似于Cisco的PAT转换，NAPT既转换报文的源地址，又转换源端口。转换后的地址不能是外网接口IP地址。属于多对多或多对一转换，可以节约IP地址，使用场景较多，主要适用于内部大量用户需要上网，同时仅有少数几个公网P地址可用的场景下。

出接口地址(Easy-IP)：因其转换方式非常简单，所以也称为Easy-IP，和NAPT一样，既转换源IP地址，又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的P地址，属于多对一转换，可以节约IP地址，主要适用于没有额外的公网地址可用，内部上网用户非常多的场景下，直接通过外网接口本身的IP地址作为转换目标。

Smart NAT(智能转换)：通过预留一个公网地址进行NAPT转换，而其他的公网地址用来进行 NAT No-PAT 转换其主要用于平时上网用户比较少，而申请的公网地址基本可以满足这些少量用户进行NAT NO-PAT转换，但是偶尔会出现上网用户倍增的情况。

三元组NAT：与源IP地址、源端口和协议类型有关的一种转换，将源IP地址和源端口转换为固定公网IP地址和端口，能解决一些特殊应用在普通NAT中无法实现的问题。其主要用于外部用户访问局域网用户的一些P2P应用。