从零开始彻底搞懂NAT！一文吃透网络地址转换的所有秘密

公众号：网络技术联盟站

在1994年的某个深夜，互联网之父Vint Cerf凝视着屏幕上的IP地址分配表，眉头紧锁。当时的互联网正在经历爆炸式增长，但IPv4协议仅有约43亿个地址，按这个速度发展，到2000年就会耗尽！

此时，两位工程师K. Egevang和P. Francis提出了改变互联网格局的RFC 1631标准——Network Address Translation（网络地址转换），这项技术后来被称为"互联网的救世主"🦸♂️。

关键数据：

• 全球IPv4地址于2019年11月26日正式耗尽
• 1个公网IP可通过NAT支持约6.5万台设备（理论值）
• 家庭路由器默认开启NAT的比例：99.7%

🧠庖丁解牛——NAT技术原理全解析

传统NAT四步转换法（以HTTP访问为例）

1. 出站请求：内网设备192.168.1.1:1001 → 路由器NAT表

// 转换记录示例
{
  "protocol": "TCP",
  "internal_ip": "192.168.1.1",
  "internal_port": 1001,
  "external_ip": "170.10.12.5",
  "external_port": 8001
}

1. 地址改写：请求头变为170.10.12.5:8001 → 目标服务器

2. 响应返回：服务器应答170.10.12.5:8001

3. 逆向转换：路由器查表还原为192.168.1.1:1001

NAT的三种形态

⚡2.3 高级NAT技术揭秘

锥形NAT：宽松的映射策略（适合P2P）

• Full Cone：任何外部IP都可访问映射端口
• Restricted Cone：仅允许特定IP访问
• Port Restricted Cone：限制IP+端口

对称NAT：严格的安全策略

• 每个会话创建独立映射
• 有效防御端口扫描攻击️

实战演练——NAT配置全指南

️思科路由器配置示例

interface GigabitEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
!
interface GigabitEthernet0/1
 ip address 203.0.113.5 255.255.255.248
 ip nat outside
!
ip nat pool PUBLIC_POOL 203.0.113.6 203.0.113.10 netmask 255.255.255.248
ip nat inside source list 1 pool PUBLIC_POOL overload
!
access-list 1 permit 192.168.1.0 0.0.0.255

⭐华为路由器（着重介绍）

华为路由器在企业网络和家庭网络中广泛应用，其NAT配置灵活且功能强大。以下是详细的配置示例和说明，帮助你快速掌握华为路由器的NAT配置技巧！

1. 基础NAT配置（PAT模式）

场景描述：

• 内网网段：192.168.1.0/24
• 公网接口：GigabitEthernet0/0/1，IP地址为203.0.113.1
• 内网接口：GigabitEthernet0/0/2，IP地址为192.168.1.1
• 目标：实现内网用户通过PAT（端口地址转换）访问外网。

配置步骤：

# 进入系统视图
system-view

# 配置ACL（访问控制列表），允许内网网段
acl number 2000  
 rule 5 permit source 192.168.1.0 0.0.0.255

# 配置NAT地址池（使用接口地址）
nat address-group 1  
 section 0 203.0.113.1 203.0.113.1

# 在外网接口启用NAT
interface GigabitEthernet0/0/1  
 ip address 203.0.113.1 255.255.255.0  
 nat outbound 2000 address-group 1

# 配置内网接口
interface GigabitEthernet0/0/2  
 ip address 192.168.1.1 255.255.255.0

配置解析：

• ACL 2000：定义允许NAT转换的内网地址范围。
• NAT地址池：使用公网接口的IP地址作为转换地址。
• nat outbound：将ACL与地址池绑定，实现PAT功能。

2. 静态NAT配置（1:1映射）

场景描述：

• 内网服务器IP：192.168.1.100
• 公网IP：203.0.113.10
• 目标：将内网服务器映射到公网，允许外部访问。

配置步骤：

# 进入系统视图
system-view

# 配置静态NAT映射
nat static global 203.0.113.10 inside 192.168.1.100

# 在外网接口启用NAT
interface GigabitEthernet0/0/1  
 ip address 203.0.113.1 255.255.255.0  
 nat static enable

配置解析：

• nat static：创建静态NAT映射，将公网IP与内网IP绑定。
• nat static enable：在公网接口启用静态NAT功能。

3. 高级NAT配置（端口映射）

场景描述：

• 内网Web服务器：192.168.1.100:80
• 公网IP：203.0.113.10
• 目标：将公网IP的80端口映射到内网服务器的80端口。

配置步骤：

# 进入系统视图
system-view

# 配置端口映射
nat server protocol tcp global 203.0.113.10 80 inside 192.168.1.100 80

# 在外网接口启用NAT
interface GigabitEthernet0/0/1  
 ip address 203.0.113.1 255.255.255.0  
 nat server enable

配置解析：

• nat server：配置端口映射规则，支持TCP/UDP协议。
• global：指定公网IP和端口。
• inside：指定内网IP和端口。

4. NAT ALG配置（支持特殊协议）

场景描述：

• 内网用户需要通过FTP协议访问外网。
• 目标：启用NAT ALG（应用层网关）以支持FTP协议。

配置步骤：

# 进入系统视图
system-view

# 启用FTP ALG功能
nat alg ftp enable

配置解析：

• nat alg：启用特定协议的ALG功能，支持FTP、SIP、H.323等协议。
• ftp enable：针对FTP协议的特殊处理，解决PORT/PASV模式问题。

5. NAT会话管理

场景描述：

• 需要查看当前NAT会话状态。
• 目标：监控NAT转换情况，排查问题。

操作命令：

# 查看NAT会话表
display nat session

# 查看NAT统计信息
display nat statistics

# 清除NAT会话
reset nat session

输出示例：

[Router] display nat session
Slot 0:
Total sessions: 256
TCP sessions: 128
UDP sessions: 128

Source IP/Port      Destination IP/Port  Protocol  State
192.168.1.100:1234  203.0.113.1:80       TCP       ESTABLISHED
192.168.1.101:5678  203.0.113.1:443      TCP       ESTABLISHED

6. NAT调优与故障排查

调整NAT超时时间

# 修改TCP超时时间（默认：86400秒）
nat timeout tcp 7200

# 修改UDP超时时间（默认：300秒）
nat timeout udp 120

常见问题排查

问题1：内网用户无法访问外网

• 检查ACL规则是否正确。
• 确认NAT地址池配置。
• 检查接口NAT是否启用。

问题2：外部无法访问内网服务器

• 确认静态NAT或端口映射配置。
• 检查防火墙策略是否放行。

7. NAT与IPv6共存配置

场景描述：

• 网络同时支持IPv4和IPv6。
• 目标：实现NAT与IPv6的共存。

配置步骤：

# 配置NAT64（IPv6访问IPv4资源）
nat64 enable

# 配置NAT64前缀
nat64 prefix 64:ff9b::/96

配置解析：

• nat64 enable：启用NAT64功能。
• nat64 prefix：指定NAT64前缀，用于IPv6到IPv4的地址转换。

家庭路由器隐藏功能

长按复位键10秒进入工程模式：

• 调整UDP超时：30→120秒（改善游戏体验）
• 开启SIP ALG：改善VOIP通话质量
• 端口触发规则：自动开放游戏端口

NAT那些令人头疼的问题

协议兼容性挑战

• FTP的噩梦：PORT/PASV模式需要特殊处理

// 原始FTP控制命令
PORT 192,168,1,100,12,34 → 需要转换为公网IP

• IPSec VPN的NAT穿透：需要UDP封装（NAT-T）

• 在线游戏的严格型NAT：Xbox Live显示"NAT类型：严格"

️监控与取证难题

取证时需要同时获取：

• 路由器NAT日志
• 对应时间段的连接记录
• 设备MAC地址绑定表

IPv6带来的冲击

虽然IPv6地址总量达3.4×10³⁸个，但NAT仍存在：

• 企业内网安全需求
• 隐私保护（通过临时地址）
• 过渡期的兼容需求

️NAT调优大师课

会话数优化公式

理论最大并发数 = (公网IP数 × 端口范围) / 协议数
例：单个IP的TCP连接数 = (65535 - 1024) ≈ 64,511

性能压测数据对比

路由器型号最大NAT吞吐并发连接数新建连接速率家用级300Mbps30,0005,000/s企业级10Gbps1,000,00050,000/s运营商级100Gbps10,000,000200,000/s

诊断命令大全

# Windows
netsh interface ipv4 show excludedportrange protocol=tcp

# Linux
conntrack -L -n

# 路由器
show ip nat translations verbose

写在最后

从1994年诞生至今，NAT技术已经支撑互联网发展近30年。虽然IPv6正在逐步普及，但根据APNIC最新统计，全球仍有68%的网络流量经过NAT转换。

正如TCP/IP协议联合设计者Robert Kahn所说："NAT是工程智慧的完美体现——用简单的方法解决复杂的问题。" 在未来可见的十年内，这项经典技术仍将继续闪耀光芒✨。

记得点赞⭐收藏，转发给需要的小伙伴！有任何问题欢迎在评论区留言讨论~

构建高质量的技术交流社群，欢迎从事网络技术、网络安全、系统集成、网络开发、或者对网络技术感兴趣，也欢迎技术招聘HR进群，也欢迎大家分享自己公司的内推信息，相互帮助，一起进步！

8群已满！9群开放！！！文明发言，以交流技术、职位内推、行业探讨为主广告人士勿入，切勿轻信私聊，防止被骗加我好友，拉你进群，注明来意！

喜欢就分享

认同就点赞

支持就在看

一键四连，你的技术也四连