端口受限Cone NAT（Port-Restricted Cone NAT）


Symmetric NAT（对称NAT）
上海寰创网络科技有限公司

Basic NAT
报文经过Basic NAT时，Basic NAT将报文的源IP地址从私网

IP转换为公网IP，但对报文的TCP/UDP端口不做转换。
上海寰创网络科技有限公司

Port Restricted Cone NAT

Private Host发送一个dport为1234的报文到Public Host A. NAT会创建一个私网/公网的映射表项（记录sport和sip映射关系、并记录外部
主机的IP和端口信息）：将私网主机的源private port (2210)转换为外部端口
Private Host
UDP Packet s=192.168.1.100:2210 d=10.0.0.6:1234
NAT Device
UDP Packet s=10.0.0.4:8801 d=10.0.0.6:1234
Public Host A
Public Host B
NAT bindings to 192.168.1.100:2210 d=10.0.0.4:8801 <- s=10.0.0.5:ANY d=10.0.0.4:8801 <- s=10.0.0.6:ANY UDP Packet s=10.0.0.6:1234 d=192.168.1.100:2210 UDP Packet s=10.0.0.6:4321 d=192.168.1.100:2210 UDP Packet s=10.0.0.6:1234 d=10.0.0.4:8801 UDP Packet s=10.0.0.6:4321 d=10.0.0.4:8801
Unreachable
Restricted Cone NAT
Private IP Address Realm 192.168.1.0/24 192.168.1.100 192.168.1.1 10.0.0.4 Public IP Address Realm s=souce address:port Internet d=destination address:port 10.0.0.5 10.0.0.6
NAT Device
UDP Packet s=192.168.1.100:2210 d=10.0.0.5:1234
UDP Packet s=10.0.0.4:8801 d=10.0.0.5:1234
NAT bindings to 192.168.1.100:2210 d=10.0.0.4:8801 <- s=10.0.0.5:ANY UDP Packet s=10.0.0.5:1234 d=192.168.1.100:2210 UDP Packet s=10.0.0.5:4321 d=192.168.1.100:2210 UDP Packet s=10.0.0.5:1234 d=10.0.0.4:8801 UDP Packet s=10.0.0.5:4321 d=10.0.0.4:8801 UDP Packet s=10.0.0.6:1234 d=10.0.0.4:8801 上海寰创网络科技有限公司

只有NAT映射表项中有记录的外部主机才可以访问特定端口：Public Host A访
问 public port (8801)时，报文的目的端口转换为private port (2210) 发送给私
网主机， Public Host B访问public port (8801)时，将会被丢弃.

Private Host发送一个报文到Public Host B.
上海寰创网络科技有限公司

Port Restricted Cone NAT
Private IP Address Realm 192.168.1.0/24 192.168.1.100 Private Host Public IP Address Realm Internet s=souce address:port d=destination address:port 10.0.0.6 Public Host B
Restricted Cone NAT

Private Host私网主机发送一个报文到公网主机Public Host A. NAT会创建一个私网/公网的映射表项（记录sport和sip映射关系、并记录外部 主机的IP）：将私网主机的源private port (2210)转换为外部端口public port (8801).
192.168.1.100
Private Host
192.168.1.1
10.0.0.4
10.0.0.5
Public Host A
10.0.0.6
Public Host B
NAT Device UDP Packet s=10.0.0.4:8801 d=10.0.0.5:1234
UDP Packet s=192.168.1.100:2210 d=10.0.0.5:1234
NAT bindings to 192.168.1.100:2210 d=10.0.0.4:8801 <- s=ANY
UDP Packet s=10.0.0.5:1234 d=192.168.1.100:2210 UDP Packet s=10.0.0.5:4321 d=192.168.1.100:2210 UDP Packet s=10.0.0.6:1234 d=192.168.1.100:2210 UDP Packet s=10.0.0.6:4321 d=192.168.1.100:2210

Basic NAT一般用在NAT设备有很多公网IP的时候，由于它 只对IP址进行转换，所以，内网主机访问外网服务的时候，
内网中的每台主机都要绑定不同的公网IP，在IPv4地址紧缺
的当下，该技术已经被淘汰；
上海寰创网络科技有限公司

Full Cone NAT

Private Host私网主机发送一个报文到公网主机Public Host A.
192.168.1.1
10.0.0.4
10.0.0.5 Public Host A
NAT Device
UDP Packet s=192.168.1.100:2210 d=10.0.0.5:1234
UDP Packet s=10.0.0.4:8801 d=10.0.0.5:1234
NAT bindings to 192.168.1.100:2210 d=10.0.0.4:8801 <- s=10.0.0.5:1234 UDP Packet s=10.0.0.5:1234 d=192.168.1.100:2210 UDP Packet s=10.0.0.5:1234 d=10.0.0.4:8801 UDP Packet s=10.0.0.5:4321 d=10.0.0.4:8801 UDP Packet s=10.0.0.6:1234 d=10.0.0.4:8801
实践：PPPoE抓包进行协议分析
上海寰创网络科技有限公司
NAT概述
背景： 随着互联网尤其是移动互联网的普及，IPv4地址变得匮乏，在IPv6 普及之前，NAT很好的解决PC、移动终端等设备接入互联网的需求。 优点： 节省稀缺的公网IP：局域网内的所有主机只需要一个公网IP便 可以上网，同时也节省了购买IP的费用； 增强了连接到internet灵活性，网络变动时无需重新规划IP。 缺点： 地址转换会引起传输延时、以及性能影响； 无法进行端到端的IP路由追踪； 导致某些应用无法使用，比如VoIP、VPN等。
上海寰创网络科技有限公司
单击此处编辑母版标题样式 snmp协议详解 NAT及PPPoE原理入门介绍
上海寰创网络科技有限公 司
• 2016/10/18
1 上海寰创网络科技有限公司
课程提纲
NAT作用及分类 不同NAT类型工作原理 实践：如何测试厂园网关NAT类型 PPPoE协议简介 PPPoE发现阶段原理流程 PPPoE LCP及认证阶段原理流程 PPPoE NCP阶段原理流程
上海寰创网络科技有限公司
UDP Packet s=10.0.0.5:1234 d=10.0.0.4:8801 UDP Packet s=10.0.0.5:4321 d=10.0.0.4:8801 UDP Packet
s=10.0.0.6:1234 d=10.0.0.4:8801 UDP Packet s=10.0.0.6:4321 d=10.0.0.4:8801
NAT会创建一个私网/公网的映射表项（记录sport和sip映射关
系）：将私网主机的源private port (2210)转换为外部端口
public port (8801).

NAT会接收任何访问该端口地址的报文（ Public Host A or
Public Host B ），并将该报文的目的public port (8801) 转换为
上海寰创网络科技有限公司

NAT是什么？

NAT（Network Address Translation）-网络地址转换

RFC 3022 - Traditional IP Network Address Translator RFC 1918 - Address Allocation for Private Internets RFC 2993 - Architectural Implications of NAT RFC 3027 - Protocol Complications with the IP Network
Address Translator