◆趙 菁

幾種源NAT技術(shù)比較分析

◆趙 菁

(北京信息職業(yè)技術(shù)學(xué)院 北京 100018)

基于源IP地址的NAT是指對(duì)發(fā)起連接的IP報(bào)文頭中的源地址進(jìn)行轉(zhuǎn)換。它可以實(shí)現(xiàn)內(nèi)部用戶訪問外部網(wǎng)絡(luò)的目的，本文介紹了三種常見的源NAT方式，并比較分析了它們的特點(diǎn)、適用場(chǎng)景。

NAT技術(shù)原理；源NAT；分類；應(yīng)用場(chǎng)景

0 前言

NAT技術(shù)通過對(duì)IP報(bào)文頭中的源地址或目的地址進(jìn)行轉(zhuǎn)換，可以使大量的私網(wǎng)IP地址通過共享少量的公網(wǎng)IP地址來訪問公網(wǎng)。NAT轉(zhuǎn)換設(shè)備處于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處，內(nèi)部的PC與外部服務(wù)器的交互報(bào)文全部通過該NAT轉(zhuǎn)換設(shè)備。常見的NAT轉(zhuǎn)換設(shè)備有路由器、防火墻等。根據(jù)應(yīng)用場(chǎng)景的不同，NAT可以分為以下三類，即源NAT（Source NAT）、出接口地址方式（Esay IP）和靜態(tài)映射（NAT Server）。本文主要討論源NAT方式。

1 源NAT技術(shù)分類

基于源IP地址的NAT是指對(duì)發(fā)起連接的IP報(bào)文頭中的源地址進(jìn)行轉(zhuǎn)換。它可以實(shí)現(xiàn)內(nèi)部用戶訪問外部網(wǎng)絡(luò)的目的。通過將內(nèi)部主機(jī)的私有地址轉(zhuǎn)換為公有地址，使一個(gè)局域網(wǎng)中的多臺(tái)主機(jī)使用少數(shù)的合法地址訪問外部資源，有效的隱藏了內(nèi)部局域網(wǎng)的主機(jī)IP地址，起到了安全保護(hù)的作用。

華為防火墻支持的源NAT功能包括：地址池方式和出接口地址方式（Easy IP）。其中地址池方式又分為不帶端口轉(zhuǎn)換（NAT NO-PAT）和帶端口轉(zhuǎn)換(NAPT)。

（1）不帶端口轉(zhuǎn)換的地址池方式（NAT NO-PAT）

不帶端口轉(zhuǎn)換的地址池方式通過配置NAT地址池來實(shí)現(xiàn)，NAT地址池中可以包含多個(gè)公網(wǎng)地址。轉(zhuǎn)換時(shí)只轉(zhuǎn)換地址，不轉(zhuǎn)換端口，實(shí)現(xiàn)私網(wǎng)地址到公網(wǎng)地址一對(duì)一的轉(zhuǎn)換。如果地址池中的地址已經(jīng)全部分配出去，則剩余內(nèi)網(wǎng)主機(jī)訪問外網(wǎng)時(shí)不會(huì)進(jìn)行NAT轉(zhuǎn)換，直到地址池中有空閑地址時(shí)才會(huì)進(jìn)行NAT轉(zhuǎn)換。

（2）帶端口轉(zhuǎn)換的地址池方式(NAPT)

帶端口轉(zhuǎn)換的地址池方式通過配置NAT地址池來實(shí)現(xiàn)，NAT地址池中可以包含一個(gè)或多個(gè)公網(wǎng)地址。轉(zhuǎn)換時(shí)同時(shí)轉(zhuǎn)換地址和端口，即可實(shí)現(xiàn)多個(gè)私網(wǎng)地址共用一個(gè)或多個(gè)公網(wǎng)地址的需求。

（3）源NAT出接口地址方式（Easy IP）

出接口地址方式也稱為Easy IP，即直接使用接口的公網(wǎng)地址作為轉(zhuǎn)換后的地址，不需要配置NAT地址池。轉(zhuǎn)換時(shí)同時(shí)轉(zhuǎn)換地址和端口，即可實(shí)現(xiàn)多個(gè)私網(wǎng)地址共用外網(wǎng)接口的公網(wǎng)地址的需求。

2 源NAT技術(shù)的選擇

在NAT No-PAT的轉(zhuǎn)換方式中，一個(gè)公網(wǎng)IP地址不能同時(shí)被多個(gè)私網(wǎng)用戶使用，其實(shí)并沒有起到節(jié)省公網(wǎng)IP地址的效果。因此，這種方式適合于需要上網(wǎng)的私網(wǎng)用戶數(shù)量少，公網(wǎng)IP地址數(shù)量與同時(shí)上網(wǎng)的最大私網(wǎng)用戶數(shù)量基本相同場(chǎng)景。

在NAPT方式下，由于地址轉(zhuǎn)換的同時(shí)還進(jìn)行端口的轉(zhuǎn)換，可以實(shí)現(xiàn)多個(gè)私網(wǎng)用戶共同使用一個(gè)公網(wǎng)IP地址上網(wǎng)，防火墻根據(jù)端口區(qū)分不同用戶，所以可以支持同時(shí)上網(wǎng)的用戶數(shù)量更多。這是一種利用第四層信息來擴(kuò)展第三層地址的技術(shù)，一個(gè)IP地址有65535個(gè)端口可以使用。理論上來說，一個(gè)地址可以為其他65535個(gè)地址提供NAT轉(zhuǎn)換，防火墻還能將來自不同內(nèi)部地址的數(shù)據(jù)報(bào)文映射到同一公有地址的不同端口號(hào)上，因而仍然能夠共享同一地址，對(duì)比一對(duì)一或多對(duì)多地址轉(zhuǎn)換。這樣極大的提升了地址空間，增加了IP地址的利用率。 因此這種方式適合于公網(wǎng)IP地址數(shù)量少，需要上網(wǎng)的私網(wǎng)用戶數(shù)量大的場(chǎng)景，它是最常用的一種地址轉(zhuǎn)換方式。

在Easy IP方式下，利用出接口的公網(wǎng)IP做源NAT轉(zhuǎn)換，適用于公網(wǎng)IP非常少或接口動(dòng)態(tài)獲取IP的場(chǎng)景。easy-ip的NAT轉(zhuǎn)換方式和NAPT一樣，都是同時(shí)轉(zhuǎn)換IP和端口。一個(gè)公網(wǎng)IP地址可以同時(shí)被多個(gè)私網(wǎng)用戶使用，可以看成是NAPT方式的一種變體。

3 源NAT技術(shù)比較分析

幾種源NAT技術(shù)的特點(diǎn)對(duì)比參見表1。

表1 幾種源NAT技術(shù)比較

4 結(jié)論

源NAT技術(shù)對(duì)IP報(bào)文的源地址進(jìn)行轉(zhuǎn)換，將私網(wǎng)IP地址轉(zhuǎn)換成公網(wǎng)IP地址，使大量的私網(wǎng)用戶可以利用少量公網(wǎng)IP地址訪問Internet，節(jié)約了寶貴的公網(wǎng)地址資源。在實(shí)際應(yīng)用中，應(yīng)根據(jù)不同的場(chǎng)景選擇不同的源NAT技術(shù)。

[1]郭子明.網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)分析與實(shí)現(xiàn)[J].福建電腦，2016.

[2]張知青.淺談網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的三種方式 [J].信息技術(shù)，2011.