网络地址转换（NAT）简介

网络地址转换（Network Address Translation）简称为NAT，是将IP 数据包包头中的IP 地址转换为另一个IP 地址。当IP 数据包通过路由器或者安全网关时，路由器或者安全网关会把IP 数据包的源IP 地址和/或者目的IP 地址进行转换。在实际应用中，NAT 主要用于私有网络访问外部网络或外部网络访问私有网络的情况。

NAT 有以下优点：

♦ 通过使用少量的公有IP 地址代表多数的私有IP 地址，缓解了可用IP 地址空间枯竭的速度。
♦ NAT 可以隐藏私有网络，达到保护私有网络的目的。

私有网络一般使用私有地址，RFC1918 规定的三类私有地址如下：

♦ A 类：10.0.0.0 - 10.255.255.255（10.0.0.0/8）
♦ B 类：172.16.0.0 - 172.31.255.255（172.16.0.0/12）
♦ C 类：192.168.0.0 - 192.168.255.255（192.168.0.0/16）

上述三个范围的IP 地址不会在因特网上被分配，因而可以不必向ISP（InternetService Provider）或注册中心申请，而在公司或企业内部自由使用。

NAT 的基本转换过程

安全网关执行NAT 功能时，处于公有网络和私有网络的连接处。图14-1 描述了NAT 的基本转换过程。

如上图所示，安全网关处于私有网络和公有网络的连接处。当内部PC（10.1.1.2）向外部服务器（202.1.1.2）发送一个IP 包1 时，IP 包将通过安全网关。安全网关查看包头内容，发现该IP 包是发向公有网络的，然后它将IP 包1的源地址10.1.1.2 换成一个可以在Internet 上选路的公有地址202.1.1.1，并将该IP 包发送到外部服务器，与此同时，安全网关还在网络地址转换表中记录这一映射。外部服务器给内部PC发送IP 包1的应答报文2（其初始目的地址为202.1.1.1），到达安全网关后，安全网关再次查看包头内容，然后查找当前网络地址转换表的记录，用内部PC 的私有地址10.1.1.2 替换目的地址。

这个过程中，安全网关对PC 和Server 来说是透明的。对外部服务器来说，它认为内部PC 的地址就是202.1.1.1，并不知道10.1.1.2 这个地址。因此，NAT“隐藏”了企业的私有网络。

Hillstone SA 系列安全网关的NAT 功能

Hillstone SA 系列安全网关的NAT 功能将内部网络主机的IP 地址和端口替换为安全网关外部网络的地址和端口，以及将安全网关的外部网络地址和端口转换为内部网络主机的IP 地址和端口。也就是“私有地址+端口”与“公有地址+端口”之间的转换。

SA 系列安全网关通过创建并执行NAT 规则来实现NAT 功能。

NAT 规则有两类，分别为源NAT 规则（SNAT Rule）和目的NAT 规则（DNAT Rule）。SNAT 转换源IP 地址，从而隐藏内部IP 地址或者分享有限的IP 地址；DNAT 转换目的IP 地址，通常是将受安全网关保护的内部服务器（如WWW 服务器或者SMTP 服务器）的IP地址转换成公网IP 地址。

Hillstone SA 系列安全网关NAT的几种模式

Hillstone NAT配置的基本模式界面

NAT的static模式

静态源NAT 转换即一对一的转换。该模式要求被转换到的地址条目（trans-to-address）包含的IP 地址数与流量的源地址的地址条目（src-address）包含的IP 地址数相同。

NAT的dynamicip模式

动态源NAT 转换即多对多的转换。该模式将源地址转换到指定的IP 地址。每一个源地址会被映射到一个唯一的IP 地址做转换，直到指定地址全部被占用。

NAT的dynamicport模式

即PAT。多个源地址将被转换成指定IP 地址条目中的一个地址。如果不使用sticky，地址条目中的第一个地址将会首先被使用，当第一个地址的端口资源被用尽，第二个地址将会被使用。如果使用了sticky，每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址。

Hillstone NAT配置的高级模式界面

NAT 规则排列顺序

每一条NAT 都有唯一一个ID 号。流量进入安全网关时，安全网关对NAT规则进行顺序查找，然后按照查找到的相匹配的第一条规则对流量的源IP 做NAT转换。但是，ID 的大小顺序并不是规则匹配顺序。使用show snat (dnat)命令列出的规则顺序才是规则匹配顺序。

还没写完这章，下班了，明天继续，长假都第一天上班，事情比较多