您的位置：贝锐首页 > 花生壳首页 > 新闻资讯 > 反向NAT的原理是什么？花生壳是如何实现反向NAT的？

反向NAT的原理是什么？花生壳是如何实现反向NAT的？

动态域名解析 | 2019-05-24

当你与外部网络进行通信时，你可以转换自己的私有IP地址到全局唯一的IP地址。可以通过静态或动态NAT来实现以上目的。静态NAT在内部本地址和内部全局地址之间建立一对一的映射关系，而动态NAT建立一个内部本地址到一个全局地址池的映射关系。而把需要同时具有两方面的转换，称之为双向转换。正向转换时只需要定义内部本地址和内部全局地址；反向NAT时则需要定义外部本地址和外部全局地址；双向转换时则需要同时定义内部本地址、内部全局地址、外部本地址和外部全局地址。今日重点介绍反向NAT。

反向NAT的原理是什么？

反向NAT是一种特殊的NAT方式,往往应用于防火墙上，当然也有用于路由上的。很多公司都有自己的服务器，如Web、邮件等，当我们需要Internet的用户可以访问这些服务器时，可以不额外申请IP地址来实现，只需在连接Internet的设备上定义一个规则。它的基本思想是，当有人访问此设备的某端口时，它便把请求转发给某IP的某端口。从另一个角度看，它也可以达到一个安全的作用。

反向NAT它需要定义外部本地地址和外部全局地址。同样以一个示例进行介绍（网络结构参照图1）。本示例要实现的目的是：当NAT路由器外部网络接口s1接收到源地址为171.16.68.1外部本地地址的数据包后，数据包的源地址将转变为10.10.10.5外部全局地址。当NAT路由器在内部网络接口s0接收到源地址为10.10.10.5外部全局地址的数据包时，数据包的目的地址将被转变为171.16.68.1外部本地地址。完整的的配置如下：

图1

（1）使用ip nat outside source static全局配置命令创建从外网到内网的静态NAT IP地址转换。

Router（config）#ip nat outside source static171.16.68.1 10.10.10.5 # 在外部网络本地地址171.16.68.1与外部网络全局地址10.10.10.5之间建立静态NAT转换关系，使外部网络主机知道要以10.10.10.5这个地址到达内部网络主机

（2）使用以下两条语句配置路由器的NAT内部接口s0

Router（config）#interface s 0

Router（config-if）#ip nat inside

（3）使用以下两条语句配置路由器的NAT内部接口s1

Router（config）#interface s 1

Router（config-if）#ip nat outside

（4）使用show ip nat translations特权模式命令验证上述进行的路由器NAT配置。外部网络的本地地址为10.10.10.5，外部网络的全局地址为171.16.68.1。

Router#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- --- --- 10.10.10.5 171.16.68.1

同样，如果此时执行一个从外部网络主机（171.16.68.1）到内部网络主机（10.10.10.1）的ping操作，然后再在路由器特权模式下执行“show ip nat translations”命令，则显示如下结果。因为此时仅配置了外部网络本地地址和全局地址，所以结果中显示的内部网络本地地址和全局地址都是一样的，都是ping操作目的主机地址10.10.10.1。

Router#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- --- --- 10.10.10.5 171.16.68.1

icmp 10.10.10.1:37 10.10.10.1:37 10.10.10.5:37 171.16.68.1:37

与前面仅配置内部网络本地地址和全局地址相反，此处从外部网络发往内部网络的数据包的源地址（SA）将在经过路由器后进行转换（由外部本地地址171.16.68.1转换成内部全局地址10.10.10.5），但目标地址（DA）不变；但从内部网络发往外部网络的数据包的源地址没有改变，只是经过路由器后的数据目的地址发生了改变（由外部网络的全局地址10.10.10.5转换成外部网络的本地地址171.16.68.1），因为此时还没有为NAT路由器配置内部网络的本地地址和全局地址转换。