关于NAT outbound的问题

苍龙

内网有台终端，配了内网IP：A
内网边界路由器出口，配了公网IP：B

在边界路由器配置命令：
                          nat static outbound     A   B
在边界路由器出接口
                         ip address  B
                          nat static enable
-----------------------------------
我知道终端A访问外网，会转换成B的地址出去
那么外边终端想访问A的服务（前提网络可达），在浏览器访问B的地址可以实现么，也是通过NAT转换的么？

王赜

苍龙 发表于 2020-2-21 15:08
那就是说outbound是进出双向NAT转换？
那么inbound也是这样么

首先你得搞清楚NAT的机制:
3种转换，NAT server，NAT inbound，NAT outbound


1.NAT server，主要是将静态地址加上端口转换为公网地址加端口，所以不分进出方向都会转换。一般说的将内网服务映射到公网IP地址上，就是使用的NAT server，数据包进出都是按照静态配置的条目来严格匹配。


2.NAT inbound，这个是将公网地址访问内网时转换，也就是说当公网数据包到达NAT网关时，网关设备会将数据包中的源目地址都转换为私网地址，那么源目地址就相当于身处同一私网网段中，此时PC端接收到了此数据包后发现源地址和本身目的地址是处于同一网段，则会发送ARP报文来请求MAC地址来回复报文，这时候NAT网关设备会响应ARP报文的请求。一般inbound和server两种转换结合使用，达到源目地址的共同转换，这样减少了查找路由的动作。


3.NAT outbound，这个不用多说了，就是将内部私网数据包转换成公网接口的数据包进行通信，回包的时候会查找NAT session会话表项，outbound并不是出向入向都会转换，而是你出去的时候转换会形成session会话，回包的时候是查找session会话表的，如果等待session会话表时间结束了，没有转换表项了，那么外面回包NAT设备也不会接收的会丢弃。


NAT主要查看session会话，这才是关键。

王赜

是的，静态地址映射，配置静态地址转换的时候将内网端口与公网地址端口一对一绑定，那么去访问此公网IP的绑定端口时，NAT设备会匹配转换条目将数据包转换到内网终端的相应端口上提供应用服务。

苍龙

王赜 发表于 2020-2-21 14:54
是的，静态地址映射，配置静态地址转换的时候将内网端口与公网地址端口一对一绑定，那么去访问此公网IP的绑 ...

那就是说outbound是进出双向NAT转换？
那么inbound也是这样么

zhongwangGG

inside local    outside local    | inside global      outside global
内网源IP          内网目标IP           外网源IP           外网目标IP

ip nat inside:  inside local 和 inside global 地址转换。 场景：内网用户访问外网internet.
ip nat outside: outside local 和 outside global地址转换。场景：就是你需要的，外网用户访问内网HTTP服务器。

王赜

苍龙 发表于 2020-2-21 15:08
那就是说outbound是进出双向NAT转换？
那么inbound也是这样么

关于外部访问内部就是NAT server的事情，在生产环境中俗称端口映射，也就是一对一的映射，一个公网地址可以开放多个端口映射给内网的多个私有地址的应用端口使用。
比如:
A地址:192.168.1.10是WEB服务器，上面跑了80业务，配置了NAT server之后，指定公网IP+端口号，公网上的终端想去访问内部私有网络中的此WEB应用，直接使用公网IP加端口号的URL就能自动跳转到内网，前提是此公网IP可达。
同时公网IP的其他端口也可以映射给不同的私网IP，比如此公网IP的80端口给了192.168.1.10的WEB应用服务器，此公网IP的443端口可以给另外的192.168.1.20WEB应用服务器，只要公网IP端口不冲突即可。

但是不支持公网IP的一个端口号映射给一个内网私有IP的多个端口号，只支持端口号一对一的映射。
不过现在运营商对80和443都有管控，如果想映射80和443端口到公网的话，需要去运营商那里提交申请，走流程。