IP承载网的私网穿越问题之地址转换设备NAT的几种不同工作方式

时间：2020-01-06 08:40 作者：admin 分享到：

NAT设备可分为完全NAT、受限NAT、端口受限NAT和对称NAT四类工作方式，不同工作方式的NAT都会对软交换业务造成影响，对采用不同工作方式的NAT的解决方案不同。为此，下面简单介绍一下地址转换设备NAT的几种不同工作方式。
(1) 完全NAT
完全（Full Cone)NAT把所有来自同一个内部私网地址/端口的请求都映射到同一个外部公网地址/端口，并且无论通信是否由私网上的终端发起，任何外部主机都可以通过向映射得到的该外部地址发送数据报，从而将数据报发送到该内部主机。
例如，当私网地址为“10. 1. 1. 1”的主机A应用程序使用5060端口访问外部地址为 “61. 1.1. 1”的主机B的5060端口时，假设地址转换设备NAT将源IP地址和源端口号 “10. 1. 1. 1:5060”翻译为“202. 1. 1. 1:8000”后发送给位于公网的外部主机B的5060端口，并在NAT建立地址映射表“10.1. 1. 1: 5060—202. 1. 1. 1:8000”。对于完全型NAT 来说，任意外部主机都"j以使用“202. 1. 1. 1:8000”作为目的地址访问内部网用户A的 5060 端口。
(2) 受限NAT
受限（Restricted Cone)NAT把所有来自同一个内部私网地址/端口的请求都映射到同个外部公网地址/端口。似是，只有当该内部主机曾经向某个外部主机发送过数据报时，这个外部主机才能向该内部主机发送数据报，即通信只能首先由私网上的终端发起。
例如，当私网地址为“10. 1. 1. 1”的主机A应用程序使用5060端口访问外部地址为 “61. 1.1. 1”的主机B的5060端口时，假设地址转换设备NAT将源IP地址和源端口号 “10. 1. 1. 1:5060”翻译为“202. 1. 1. 1:8000”后发送给位于公网的外部主机B的5060端口，并在NAT建立地址映射表“10.1. 1. 1: 5060—202. 1. 1. 1:8000”。对于受限型NAT 来说，只允许外部地址为“61.1.1.1”的主机B使用“202. 1.1.1:8000”作为目的地址访问内部网用户A的5060端口 .其他主机发往该地址的包将被丢弃。
(3) 端口受限NAT
端口受限（Port Restricted Cone)NAT类似于受限NAT，但是限制更加严格。NAT 把所有来自于同-•个内部地址/端口的请求将被映射到同一个外部地址/端口，而且只有当内部主机曾经向某个外部主机地址上的某个特定端口发送过数据报时，这个外部主机地址上的特定端口才能向该内部主机发送数据报。
例如当私网地址为“10. 1. 1. 1”的主机A应用程序使用5060端口访问外部地址为 “61. 1.1. 1”的主机B的5060端口时，假设地址转换设备NAT将源IP地址和源端口号 “10. 1. 1. 1:5060”翻译为“202. 1. 1. 1:8000”后发送给位于公网的外部主机B的5060端口，并在NAT建立地址映射表“10.1. 1. 1: 5060—202. 1. 1. 1:8000”。对于受限型NAT 来说，只允许外部地址为“61. 1. 1. 1”的主机B的5060端口“使用“202. 1. 1. 1:8000”作为目的地址访问内部网用户A的5060端口.其他主机或外部主机B的其他端口发往该地址的包将被丢弃。
(4) 对称NAT
对称（SymmetrkONAT的限制是最严格的。NAT把所有来自于同一个内部地址/ 端口并且要发送到某个特定目的地址/端口的请求将被映射到同一个外部地址/端口。如果同-•个内部主机从同一端口上发送了数据报，如果目的地址/端口不同，那么在 NAT上映射关系也将是不同的。而且只有当内部主机曾经向某个外部主机地址上的某个特定端口发送过数据报时，这个外部主机地址上的特定端口才能向该内部主机发送数据报。
对于对称型NAT来说，当私网地址为“10. 1. 1.1”的主机A应用程序使用5060端口访问外部地址为“61. 1.1.1”的主机B的5060端口时，假设地址转换设备NAT将源IP 地址和源端口号“10. 1. 1. 1:5060”翻译为“202. 1. 1. 1:8000”后发送给位于公网的外部主机B的5060端口，对称型NAT只接受地址为“61. 1. 1. 1:5060”发往“202. 1. 1. 1:8000” 的包，并将其送往用户A，其他的将被丢弃。