透析目标 NAT 类型的防火墙，网络工程师必看！

源 NAT 和目的 NAT 有什么区别？

1. 源NAT通常将私网IP地址映射到公网IP地址，以便内部用户可以上网。
2. 目的 NAT 将公网 IP 地址映射到内部服务器 IP，以便 Internet 用户可以访问内部服务器上实现的服务。
3. 一般情况下，源 NAT 将私有 IP 转换为公共 IP，相反，目标 NAT 将公共 IP 地址转换为私有 IP 地址。
4. 目的 NAT 可以在转换过程中分配端口映射，但源 NAT 不能，设备而不是管理员将分配将在源 NAT 中使用的端口。

简单来说，源端帮助内部用户访问Internet，目的NAT帮助Internet用户访问内部服务器。

目标 NAT 类型

目的NAT包括两种主要类型：静态目的NAT和动态目的NAT。

对于静态目的NAT，可以细分为四个子类：

• 公共和私有 IP 地址之间的一对一映射，
• 公共端口和私有端口之间的一对一映射，
• 公共端口和私有IP地址之间的一对一映射，
• 公共地址和私有端口之间的一对一映射。

对于动态目的NAT，可以细分为两个子类：

• 将公共 IP 地址随机转换为目标 NAT 池中的地址
• 基于 ACL 的目标 NAT。

除了静态目的 NAT 和动态目的 NAT 之外，还有另一个特殊的目的 NAT，即 NAT 服务器，严格来说，NAT 服务器是静态目的 NAT 的一个特殊类别。

公私IP地址一一对应

从字面上看，公共 IP 地址和私有 IP 地址之间的一对一映射将每个公共 IP 地址转换为唯一的私有 IP 地址，这种目的地不会节省公共IP地址资源，一般用于多台内部服务器提供同一种服务的场景，管理员不想在用户键入URL时给用户造成负担。

例如，四台内部服务器提供四种 Web 服务，但管理员不想在键入 URL 时添加端口号来增加用户的负担。因为这对用户不友好。

公共端口和私有端口之间的一对一映射

与公网IP地址与私网IP地址的一对一映射相同，公私端口的一对一映射将公网IP地址的每个端口转换为私有IP地址的唯一端口，与第一种不同，公共端口和私有端口之间的一对一映射只需要一个公共 IP 地址和一个私有 IP 地址，换句话说，它非常适合那些提供此类服务但只有一个公共 IP 地址的公司。

例如，管理员可以在同一台内部服务器上同时实现 HTTPS、DNS、SMTP，并将 HTTPS、DNS 和 SMTP 服务映射到公共 IP 地址端口 443、53 和 25。

公共端口和私有地址之间的一对一映射

在第二种静态目的NAT中，我们描述了所有的服务都在同一个服务器上实现，如果我们有几十万个服务怎么办？

另一方面，所有服务都在同一台服务器上实现会带来很大的风险，比如物理服务器宕机会导致所有服务宕机。这在这个年龄是不能接受的。

为了解决这个问题，我们可以使用公共地址和私有端口之间的一对一映射。

公共地址和私有端口之间的一对一映射将每个公共端口转换为唯一的私有 IP。在这种情况下，当用户访问公共 IP 地址的不同端口时，他们的流量将被转发到不同的内部服务器，这样即使一台服务器物理停机，其他服务也可以访问。

公共地址和私有端口之间的一对一映射

有时，尽管很少，公司没有足够的独立物理服务器来安装服务。为了减轻用户输入的负担，同样的情况在第一种静态目的NAT中，我们可以使用公网地址和私网端口的一对一映射。公共地址和私有端口的一对一映射可以将不同的公共IP地址转换为相同私有IP地址的不同端口。

将公共 IP 地址随机转换为目标 NAT 池中的地址

这种目的 NAT 可以将公共地址随机转换为目的 NAT 池中的地址，这样可以减少特定服务器的负载。

基于 ACL 的目标 NAT

基于 ACL 的目标 NAT 是一种特殊类型的随机转换公共 IP 地址到目标 NAT 池中的地址。它仅转换与 ACL 匹配的目标 IP 地址。

NAT服务器

与静态目的NAT一样，NAT服务器建立公网IP地址和内部私网IP地址之间的静态映射，与静态目的 NAT 不同，NAT 服务器生成一个 server-map 表来存储 pre-NAT 和 post-NAT 地址之间的映射。

就像公私IP地址的一对一映射以及公私端口的一对一映射一样，NAT服务器只映射IP或端口，它不能将端口转换为IP或将IP转换为端口。