幾種源NAT技術比較分析

◆趙 菁

幾種源NAT技術比較分析

◆趙 菁

(北京信息職業(yè)技術學院 北京 100018)

基于源IP地址的NAT是指對發(fā)起連接的IP報文頭中的源地址進行轉換。它可以實現內部用戶訪問外部網絡的目的，本文介紹了三種常見的源NAT方式，并比較分析了它們的特點、適用場景。

NAT技術原理；源NAT；分類；應用場景

0 前言

NAT技術通過對IP報文頭中的源地址或目的地址進行轉換，可以使大量的私網IP地址通過共享少量的公網IP地址來訪問公網。NAT轉換設備處于內部網絡和外部網絡的連接處，內部的PC與外部服務器的交互報文全部通過該NAT轉換設備。常見的NAT轉換設備有路由器、防火墻等。根據應用場景的不同，NAT可以分為以下三類，即源NAT（Source NAT）、出接口地址方式（Esay IP）和靜態(tài)映射（NAT Server）。本文主要討論源NAT方式。

1 源NAT技術分類

基于源IP地址的NAT是指對發(fā)起連接的IP報文頭中的源地址進行轉換。它可以實現內部用戶訪問外部網絡的目的。通過將內部主機的私有地址轉換為公有地址，使一個局域網中的多臺主機使用少數的合法地址訪問外部資源，有效的隱藏了內部局域網的主機IP地址，起到了安全保護的作用。

華為防火墻支持的源NAT功能包括：地址池方式和出接口地址方式（Easy IP）。其中地址池方式又分為不帶端口轉換（NAT NO-PAT）和帶端口轉換(NAPT)。

（1）不帶端口轉換的地址池方式（NAT NO-PAT）

不帶端口轉換的地址池方式通過配置NAT地址池來實現，NAT地址池中可以包含多個公網地址。轉換時只轉換地址，不轉換端口，實現私網地址到公網地址一對一的轉換。如果地址池中的地址已經全部分配出去，則剩余內網主機訪問外網時不會進行NAT轉換，直到地址池中有空閑地址時才會進行NAT轉換。

（2）帶端口轉換的地址池方式(NAPT)

帶端口轉換的地址池方式通過配置NAT地址池來實現，NAT地址池中可以包含一個或多個公網地址。轉換時同時轉換地址和端口，即可實現多個私網地址共用一個或多個公網地址的需求。

（3）源NAT出接口地址方式（Easy IP）

出接口地址方式也稱為Easy IP，即直接使用接口的公網地址作為轉換后的地址，不需要配置NAT地址池。轉換時同時轉換地址和端口，即可實現多個私網地址共用外網接口的公網地址的需求。

2 源NAT技術的選擇

在NAT No-PAT的轉換方式中，一個公網IP地址不能同時被多個私網用戶使用，其實并沒有起到節(jié)省公網IP地址的效果。因此，這種方式適合于需要上網的私網用戶數量少，公網IP地址數量與同時上網的最大私網用戶數量基本相同場景。

在NAPT方式下，由于地址轉換的同時還進行端口的轉換，可以實現多個私網用戶共同使用一個公網IP地址上網，防火墻根據端口區(qū)分不同用戶，所以可以支持同時上網的用戶數量更多。這是一種利用第四層信息來擴展第三層地址的技術，一個IP地址有65535個端口可以使用。理論上來說，一個地址可以為其他65535個地址提供NAT轉換，防火墻還能將來自不同內部地址的數據報文映射到同一公有地址的不同端口號上，因而仍然能夠共享同一地址，對比一對一或多對多地址轉換。這樣極大的提升了地址空間，增加了IP地址的利用率。 因此這種方式適合于公網IP地址數量少，需要上網的私網用戶數量大的場景，它是最常用的一種地址轉換方式。

在Easy IP方式下，利用出接口的公網IP做源NAT轉換，適用于公網IP非常少或接口動態(tài)獲取IP的場景。easy-ip的NAT轉換方式和NAPT一樣，都是同時轉換IP和端口。一個公網IP地址可以同時被多個私網用戶使用，可以看成是NAPT方式的一種變體。

3 源NAT技術比較分析

幾種源NAT技術的特點對比參見表1。

表1 幾種源NAT技術比較

4 結論

源NAT技術對IP報文的源地址進行轉換，將私網IP地址轉換成公網IP地址，使大量的私網用戶可以利用少量公網IP地址訪問Internet，節(jié)約了寶貴的公網地址資源。在實際應用中，應根據不同的場景選擇不同的源NAT技術。

[1]郭子明.網絡地址轉換NAT技術分析與實現[J].福建電腦，2016.

[2]張知青.淺談網絡地址轉換（NAT）的三種方式 [J].信息技術，2011.