NAT网络地址转换在网络中是必须使用的技术，一般内网终端主机都是用私有地址段，只有出口设备使用公网IP地址，由私网地址转换成公网地址就是NAT。

一：NAT简介

NAT（Network Address Translation）网络地址转换是将IP数据报文头中的IP地址转换为另一个IP地址的过程。

IPv4地址枯竭已成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足问题，但目前众多网络设备和网络应用大多是基于IPv4的，因此在IPv6广泛应用之前，一些过渡技术（如CIDR、私网地址等）的使用是解决这个问题最主要的技术手段。NAT主要用于实现内部网络（简称内网，使用私有IP地址）访问外部网络（简称外网，使用公有IP地址）的功能。当内网的主机要访问外网时，通过NAT技术可以将其私网地址转换为公网地址，可以实现多个私网用户共用一个公网地址来访问外部网络，这样既可保证网络互通，又节省了公网地址。

二：源NAT

源NAT（Source NAT）简称SNAT，它的主要功能是在数据包离开私有网络进入公网时，修改数据包的源IP地址，目的是为了让私有网络中的设备能够使用公共IP地址与外部网络通信，源NAT通常在边界路由器或者防火墙上实现。源NAT一般分为Basic NAT、NAPT、Easy IP三种方式。

Basic NAT方式属于一对一的地址转换，在这种方式下只转换IP地址，而不处理TCP/UDP协议的端口号，一个公网IP地址不能同时被多个私网用户使用。【不常用】

NAPT（Network Address Port Translation）网络地址端口转换，可以实现并发的地址转换，允许多个内部地址映射到同一个公有地址上。NAPT方式属于多对一的地址转换，它通过使用“IP地址＋端口号”的形式进行转换，使多个私网用户可共用一个公网IP地址访问外网。【常用】

Easy IP方式特别适合小型局域网访问Internet的情况。这里的小型局域网主要指中小型网吧、小型办公室等环境，一般具有以下特点：内部主机较少、出接口通过拨号方式获得临时公网IP地址以供内部主机访问Internet。【小网络常用】

三：目的NAT

目的NAT（Destination NAT）简称DNAT，也称为反向地址转换或地址映射或端口映射，目的地址转换是一种单向的针对数据包目标地址的地址转换。主要用于将内网的服务端口发布到公网，从而让公网用户可通过公网地址访问到内网服务器，华为的目的NAT称为NAT Server，通过“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系，将服务器的“公网IP地址+端口号”根据映射关系替换成对应的“私网IP地址+端口号”。

四：NAT ALG

为什么需要NAT ALG？

NAT和NAPT只能对IP报文的头部地址和TCP/UDP头部的端口信息进行转换,对于一些特殊协议，例如FTP、SIP、RSTP等，它们报文的数据部分可能包含IP地址信息或者端口信息，这些内容不能被NAT有效的转换。解决这些特殊协议的NAT转换问题的方法就是在NAT实现中使用功能。

FTP报文中有IP地址和端口

什么是 NAT ALG?

应用层网关ALG（Application Level Gateway）：ALG是对特定的应用层协议进行转换，在对这些特定的应用层协议进行NAT转换过程中，通过NAT的状态信息来改变封装在IP报文数据部分中的特定数据，最终使应用层协议可以跨越不同范围运行。

五：双向NAT

源NAT+NAT Server组合使用成为双向NAT，组合是针对同一条数据流，不是在设备上同样配置了源NAT和NAT server，两种NAT针对不同的数据流，一般出题是在防火墙上做NAT。双向NAT分为域间NAT和域内NAT，其实这个域说的是防火墙的安全区域，考试以华为为主就这么记忆吧，其他安全厂商防火墙的双向NAT适用的场景是这里的域内NAT。

域间NAT：报文在两个安全区域之间流动，一般应用在业务服务器不配置网关地址时使用，私网业务服务器与防火墙必须在一个网段。【不常见】

域内NAT：内网用户通过公网域名或者IP访问服务器时使用。【常见】

域内NAT原理图

只配置NAT Server问题

（1）私网用户访问服务器的公网IP地址 1.1.1.1，防火墙查找对应私网地址是10.1.1.2；

（2）服务器使用10.1.1.2地址给私网用户回复；

（3）私网用户的TCP连接收到的不是1.1.1.1的回复，就中断此次连接。

配置SNAT+NAT Server后的数据流量

六：DNS Mapping

还有一种场景和双向NAT的使用的场景类似，私网用户希望通过域名访问位于同一私网的内部服务器，而DNS服务器却位于公网。由于通常DNS响应报文中携带的是内部服务器的公网IP地址，因此若NAT设备未将DNS Server解析的公网IP替换成内部服务器对应的私网IP，私网用户将无法通过域名访问到内部服务器。

DNS Mapping通过配置“域名—公网IP地址—公网端口—协议类型”映射表，建立内部服务器的域名与其公网信息间的对应关系。

上图中，Router作为NAT服务器。当Router设备收到DNS响应报文后，先根据其中携带的域名查找DNS Mapping映射表，再根据“公网IP地址—公网端口—协议类型”查找Web Server，然后将DNS响应报文中的公网IP地址替换成Web Server的私网IP地址。

七：真题解析

2023年5月网络工程师：

企业网络在运行一段时间后，网络管理员发现了一个现象，互联网用户通过公网地址可以正常访问Server，内网用户也可以通过内网地址正常访问Server，但是内网用户无法通过公网地址访问Server，经过排查，安全策略都配置正确，请分析造成该现象的原因并提供解决方案。

【解析】原因：缺少域内NAT。解决方案：配置PC的SNAT。

2022年11月网络工程师：

某信息系统内网IP为10.0.10.2,域名解析公网IP为113.201.123.14，现需要出口防火墙配置NAT，使得外部用户能正常访问该系统，其中NAT模式应配置为（1），源地址应配置为（2）

第一问选项：
A.源NAT

B.一对一源NAT

C.一对一目的NAT

D.不做转换

第二问选项：

A.任意

B.10.0.10.2

C.192.168.0.1

D.113.201.123.14

【解析】答案是C、A。第一问肯定是NAT Server只不过变换了说法，目的NAT和源NAT的定义需要牢记。第二问是任意，NAT Server做源地址的转换。