1、i NAT 技术白皮书 Copyright 2024 新华三技术有限公司 版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品。1 目 录 1 概述 2 1.1 产生背景 2 1.2 技术优点 2 2 NAT 技术实现 1 2.1 NAT 基本概念 1 2.2 NAT 基本原理 1 2.3 NAT 实现方式 1 2.3.1 静态方式 1 2.3.2 NO-PAT 方

2、式 1 2.3.3 PAT 方式 2 2.3.4 NAT Server 方式 3 2.3.5 Easy IP 方式 4 2.3.6 NAT hairpin 4 2.4 NAT ALG 机制 6 2.4.1 NAT ALG 机制简介 6 2.4.2 基本概念 7 2.4.3 FTP 协议的 ALG 处理 7 2.4.4 DNS 协议的 ALG 处理 9 2.4.5 ICMP 协议的 ALG 处理 10 2.4.6 DNS Mapping 方式 10 2.5 NAT 支持端口复用 11 2.6 NAT 支持多 VPN 实例 12 3 典型组网应用 1 3.1 私网主机访问公网服务器 1 3.2 公

3、网主机访问私网服务器 1 3.3 私网主机通过域名访问私网服务器 2 3.4 不同 VPN 的主机使用相同的私网地址访问公网 2 4 参考文献 1 2 1 概述概述 1.1 产生背景 随着 Internet 的发展和网络应用的增多，IPv4 地址枯竭已成为制约网络发展的瓶颈。尽管 IPv6 可以从根本上解决 IPv4 地址空间不足问题，但目前众多网络设备和网络应用大多是基于 IPv4 的，IPv6在实际引入上进展缓慢。在 IPv6 广泛应用之前，即 IPv4 向 IPv6 过渡期间，使用 NAT（Network Address Translation，网络地址转换）能够提高 IPv4 地址的利

4、用率，保证业务的平滑过渡，为 IPv6的部署争取时间。1.2 技术优点 作为一种过渡方案，NAT 通过地址重用的方法来满足 IP 地址的需要，可以在一定程度上缓解 IP 地址空间枯竭的压力。它具备以下优点：对于内部通讯可以利用私网地址，如果需要与外部通讯或访问外部资源，则可通过将私网地址转换成公网地址来实现。通过公网地址与端口的结合，可使多个私网用户共用一个公网地址。通过静态映射，不同的内部服务器可以映射到同一个公网地址。外部用户可通过公网地址和端口访问不同的内部服务器，同时还隐藏了内部服务器的真实 IP 地址，从而防止外部对内部服务器乃至内部网络的攻击行为。方便网络管理，如通过改变地址映射表

5、就可实现私网服务器的迁移，内部网络的改变也很容易。1 2 NAT 技术实现技术实现 2.1 NAT基本概念 NAT 基本概念如下：NAT 设备：配置了 NAT 功能的连接内部网络和外部网络的边缘设备。NAT 规则：用于进行地址转换的 NAT 配置称为 NAT 规则。NAT 地址：用于进行地址转换的公网 IP 地址，与外部网络路由可达，可静态指定或动态分配。NAT 表项：NAT 设备上用于记录网络地址转换映射关系的表项。Easy IP 功能：NAT 转换时直接使用设备上接口的 IP 地址作为 NAT 地址。设备上接口的地址可静态指定或通过 DHCP 协议动态获取。2.2 NAT基本原理 当内部网

6、络访问外部网络的报文经过 NAT 设备时，NAT 设备会用一个合法的公网地址替换原报文中的源 IP 地址，并对这种转换进行记录；之后，当报文从外网侧返回时，NAT 设备查找原有的记录，将报文的目的地址再替换回原来的私网地址，并转发给内网侧主机。这个过程对于私网侧或公网侧设备透明。基于这种基本的地址转换原理，数量庞大的内网主机就不再需要公网 IP 地址了。2.3 NAT实现方式 2.3.1 静态方式 静态方式的地址转换是指外部网络和内部网络之间的地址映射关系由配置确定，即一个公网 IP 地址唯一对应一个内部主机。该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互