DPtech NAT技术白皮书杭州迪普科技有限公司2013年8月目录1、概述32、迪普科技专业NAT技术32.1源NAT 32.2目的NAT 42.3一对一NAT 52.4 NAT stick功能52.5对称NAT 62.6圆锥NAT 72.7端口块NAT 92.8 NAT64与DS-Lite 102.9 Session级NAT 122.10 NAT会话管理与溯源122.11 NAT ALG 131、概述随着Internet的发展和网络应用的增多，IPv4地址枯竭已成为制约网络发展的瓶颈,尽管IPv6可以从根本上解决IPv4地址空间不足问题，但目前众多网络设备和网络应用大多是基于IPv4的。

同时对于国内各大运营商而言，随着业务的深入开展，互联网用户数也不断增多，IP地址资源已经严重匮乏，是IPv4网络发展面临的最紧迫问题。

因此在IPv6广泛应用之前，采用NAT（Network Address Translation）技术是解决这个问题最主要、最有效的技术手段。

NAT技术作为一种过渡方案，采用地址复用的方法来满足IP地址的需要，可以在一定程度上缓解IP地址空间枯竭的压力。

对于内部访问可以利用私网IP地址，如果需要与外部通信或访问外部资源，NAT网关会用一个合法的公网IP 地址替换原报文中的源IP地址，并对这种转换进行记录；之后，当报文从外网返回时，NAT网关查找原有的记录，将报文的目的地址再替换回原来的私网地址，并送回发出请求的主机。

对于一般用户而言，与普通的网络访问并没有任何的区别。

2、迪普科技专业NAT技术迪普科技NAT解决方案可支持多种NAT技术，可满足各种城域网、IDC、园区网等多种组网的需求。

2.1源地址NAT源地址NAT方式属于多对一的地址转换，它通过使用“IP地址＋端口号”的形式进行转换，使多个私网用户可共用一个公网IP地址访问外网，因此是地址转换实现的主要形式，也称作NAPT。

图1 源NAT方式配置截图迪普设备提供灵活的NAT复用方式，可以选择借用出接口、NAT地址池、和特定的流不做NAT功能，部署起来非常灵活，可以满足各种各样的需要。

2.2目的地址NAT出于安全考虑，大部分私网主机通常并不希望被公网用户访问。

但在某些实际应用中，需要给公网用户提供一个访问私网服务器的机会。

而在源NAT方式下，由于由公网用户发起的访问无法动态建立NAT表项，因此公网用户无法访问私网主机。

目的地址NAT（映射内部服务器）方式就可以解决这个问题——通过目的地址NAT配置“公网IP地址＋端口号”与“私网IP地址＋端口号”间的映射关系，NAT设备可以将公网地址“反向”转换成私网地址。

目的地址NAT方式的处理过程如下：1、在NAT设备上手工配置静态目的NAT转换表项（正反向）。

2、NAT设备收到公网侧主机发送的访问私网侧服务器的报文。

3、NAT设备根据公网侧报文的“目的IP地址＋目的端口号”查找目的NAT规则表项，并依据查表结果将报文转换后向私网侧发送，并建立会话信息。

4、NAT设备收到私网侧的回应报文后，根据其五元组查找会话信息，这时刚好匹配会话的反向流信息，并依据查表结果将报文转换后向公网侧发送。

图2 目的NAT配置截图2.3一对一NAT一对一NAT是高级的目的地址NAT，将内部服务器的私网IP通过静态的一对一NAT配置映射成公网IP地址。

一对一NAT就是将内部私网服务器的所以服务都进行开放，允许公网用户通过公网IP地址进行访问。

配置如下图：2.4 Sticky NAT功能一个IP地址通过NAT转换设备之后建立一个转换后IP与发起方IP的映射关系，之后该IP访问任何地址经过NAT转换设备都将转换为第一映射的IP地址。

PC1PC2PC3Sticky NAT PC1访问PC2,NAT 转换为ip111PC1访问PC3/其他任何ip,NAT 都转换为ip111Internet图3 Sticky NAT 某些视频监控客户端软件监控过程要求与多个服务器通信并要求IP 和端口要一直保持一致，以及网上银行应用登陆、认证、交易都是多服务器通信要求使用相同的IP 地址，如果没有Sticky NAT 功能，监控业务可能异常或网银可能登录不了，迪普科技NAT 设备采用IP 和端口的分配分别通过不同的算法来计算，因此不会存在这个问题，这种问题主要存在于端口＋IP 作为资源进行离散分配的设备上。

2.5对称NAT一条流通过NAT 转换设备后，将在NAT 网关中建立一个映射表，在表项老化期内只有同一个设备的反向流量到达NAT 网关才能匹配五元组映射表进行NAT 转换。

PC1PC2PC3对称NATi p 1,p o r t 1——>i p 2,p o r t 2 n a t 转换 i p 111,p o r t 111——>i p 2,p o r t 2i p 1,p o r t 1<——i p 2,p o r t 2 n a t 转换 i p 111,p o r t 111<——i p 2,p o r t 2i p 111,p o r t 111<——i p 3,p o r t3图4 对称NAT2.6圆锥NAT一条流经过NAT 设备转换，在老化期内任何IP 都可以允许访问该条NAT 转换后的IP 及端口。

PC1PC2PC3圆锥NATi p 1,p o r t 1——>i p 2,p o r t 2 n a t 转换 i p 111,p o r t 111——>i p 2,p o r t 2i p 1,p o r t1<——i p 2,p o r t 2 n a t 转换 i p 111,p o r t 111<——i p 2,p o r t 2i p 111,p o r t 111<——i p 3,p o r t ,a n y图5 圆锥 NAT圆锥NAT主要应用在P2P应用比较多的环境中。

由于NAT破坏了IP的端到端的网络模型，通过圆锥NAT可以弥补NAT在UDP方面的缺陷，由于目前各种UDP协议也考虑了NAT设备，因此部分后续的基于UDP协议的应用自身就可以穿越NAT设备，如QQ等。

圆锥NAT主要部署与用户对应用体验非常敏感的地方，如P2P下载，由于破坏了端到端的网络模型，如果应用不支持NAT穿越协议（STUN等协议），由公网侧发起对NAT后私网的下载报文将被NAT设备丢弃，部署圆锥NAT将改善这种情况。

圆锥NAT的公网IP及端口对，是报文匹配圆锥NAT规则，且在首次用户访问外网UDP应用时创建，其老化时间默认为30秒，如果公网用户访问其公网IP 及端口对，则将实时更新这个资源，如30秒后没有报文经过，则删除这资源对。

图6 圆锥NAT配置相应的圆锥NAT还有特殊的两种：限制圆锥NAT及端口限制圆锥NAT，这两种NAT无非就是对外部设备的IP及端口进行进一步的限制，如限制圆锥NAT就是对PC的IP地址进行限制，只有PC2的所有端口才可以对这地址及端口进行访问，而端口限制圆锥NAT就是对端口进行限制，所有PC的端口只有一个，不像圆锥NAT对所有的IP及端口都没有限制。

2.7端口块NAT首先把端口范围（1025－65535,由于1－1023属于知名端口因此保留）切块，每块大小是相同的；每个地址池IP中都有（端口范围/块大小）个端口块，端口块总资源=ip * port / block，每个内网IP独占一个端口块资源，内网IP数必须小于等于端口块资源数。

PC1 PC2PC3 NAT PoolNAT block5NAT block4NAT block3NAT block2NAT block1NAT block6PC4Internet图7 端口块NAT端口块NAT：网络设备上配置内网ip范围为addr1~addr2，外网IP地址池为addr3~addr4，块大小为n，根据ip * port / block分配方式得到端口块资源；PC1分block1，PC2分得block2。

PC1访问PC3转换后的IP和端口一定在block1中，PC2访问PC3转换后的IP和端口一定在block2中。

此中类型的NAT主要应用于对日志溯源有很高要求，且日志溯源系统能力不强的情况下。

由于NAT日志的量很大，用户不清楚是否日志丢失，因此使用端口块分配NAT，通过端口块分配日志来替代会话日志。

如果日志系统能力足够则NAT日志不会丢失则用户的溯源是没有问题的，因此也不需要部署这种NAT。

端口块NAT配置分两种，一种为静态端口块NAT，配置端口块与IP的对应关系已经确定，总资源大小为端口范围除以端口块大小乘以公网IP数。

图8 静态端口NAT配置另外一种为动态端口NAT，配置端口块时端口块总数就固定下了了，每次有一个新的内网IP发起就会占用一个端口块资源，直到资源耗尽为止，每个资源没有会话引用时会释放资源，新的IP可以重新占用该资源。

图9 动态端口NAT配置2.8 NAT64与DS-Lite顾名思义，NAT64转换机制是指将IPv6数据报文转换为IPv4数据报文，迪普科技支持完善的NAT64转换技术。

在NAT64网络环境中，发起端的IPv6数据在NAT网关上进行NAT64处理并转发到IPv4网络中去。

图10 NAT64配置截图DS-Lite(Dual Strack Lite),是一种IPv4 over IPv6的隧道技术。

通过在CPE（Customer Premises EqulPment家庭网关设备）和CGN（Carrier Grade NAT 运营商级NAT）支持双栈实现IPv4到IPv6过渡技术。

由于当前IPv4地址即将耗尽，因此运营商会直接建纯IPv6网络，由于IPv4的业务用户需要持续发展，可以使用隧道+NAT技术保证IPv4的业务正常承载。

通过CPE与CGN之间建立IPv4 over IPv6隧道，CPE把IPv4私网报文通过隧道发送到CGN后，由CGN进行NAT，CPE和CGN通过支持双栈完成IP承载。

图11 DS-Lite原理图如上图所示，CPE给Private主机分配IPv4的私网地址，当支持IPv4协议的主机想通过IPv6网络访问IPv4网络时，可以通过DS-Lite进行地址转换。

1、当CPE收到IPv4的报文后，将会对报文增加IPv6报文头。

IPv6报文的源地址为CPE的地址，目的地址为隧道的地址，CPE将报文发往CGN设备。

2、当CGN设备收到报文后，会先去除IPv6头部，然后将IPv4报文做NAT44的转换，替换IPv4报文中的源IP和源端口，并将报文发往IPv4公网。

3、当反向报文到达CGN时，先根据IPv4的转换信息替换报文的目的IP和目的端口，根据IPv6转换信息加上IPv6的报文头后将报文发给CPE设备。