NAT網(wǎng)絡(luò)技術(shù)白皮書

1、NAT網(wǎng)絡(luò)技術(shù)白皮書關(guān)鍵詞：NAT，NAPT，ALG，EASY IP，DNS mapping摘要：本文對NAT技術(shù)產(chǎn)生的背景、原理以及實(shí)現(xiàn)方式等進(jìn)行了整體介紹，其中包括各種NAT轉(zhuǎn)換方式的使用方法、適用范圍和組網(wǎng)方案等。縮略語：縮略語英文全名中文解釋ALGApplication Layer Gateway應(yīng)用級網(wǎng)關(guān)CIDRClassless InterDomain Routing無類域間路由選擇DNSDomain Name System域名系統(tǒng)DHCPDynamic Host Configuration Protocol動態(tài)主機(jī)配置協(xié)議FTPFile Transfer Protocol文件傳輸

2、協(xié)議HTTPHyper Text Transport Protocol超級文本傳輸協(xié)議ILSInternet Locator Server互聯(lián)網(wǎng)定位服務(wù)NATNetwork Address Translation網(wǎng)絡(luò)地址轉(zhuǎn)換NAPTNetwork Address Port Translation網(wǎng)絡(luò)地址端口轉(zhuǎn)換SIPSession Initiation Protocol會話發(fā)起協(xié)議TCPTransmission Control Protocol傳輸控制協(xié)議UDPUser Datagram Protocol用戶數(shù)據(jù)報(bào)協(xié)議目 錄 HYPERLINK l _bookmark0 概述 HYPERLIN

3、K l _bookmark0 3 HYPERLINK l _bookmark0 產(chǎn)生背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 技術(shù)優(yōu)點(diǎn) HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 NAT技術(shù)實(shí)現(xiàn) HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 NAT實(shí)現(xiàn)方式 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 Basic NAT方式 HYPERLINK l _bookmark1 4 HYPER

4、LINK l _bookmark2 NAPT方式 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 NAT Server方式 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 EASY IP方式 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 1.1.2 DNS Mapping方式 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark5 ALG機(jī)制 HYPERLINK l _bookmark5 8 HYPERLINK

5、 l _bookmark5 ALG機(jī)制簡介 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark6 FTP協(xié)議的ALG處理 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark8 NAT多實(shí)例的實(shí)現(xiàn) HYPERLINK l _bookmark8 11 HYPERLINK l _bookmark9 典型組網(wǎng)應(yīng)用 HYPERLINK l _bookmark9 12 HYPERLINK l _bookmark9 私網(wǎng)主機(jī)訪問公網(wǎng)服務(wù)器 HYPERLINK l _bookmark9 12 HYPERLINK l _book

6、mark10 公網(wǎng)主機(jī)訪問私網(wǎng)服務(wù)器 HYPERLINK l _bookmark10 13 HYPERLINK l _bookmark10 私網(wǎng)主機(jī)通過域名訪問私網(wǎng)服務(wù)器 HYPERLINK l _bookmark10 13 HYPERLINK l _bookmark11 NAT多實(shí)例 HYPERLINK l _bookmark11 14 HYPERLINK l _bookmark11 參考文獻(xiàn) HYPERLINK l _bookmark11 14概述產(chǎn)生背景隨著Internet的發(fā)展和網(wǎng)絡(luò)應(yīng)用的增多，IPv4地址枯竭已成為制約網(wǎng)絡(luò)發(fā)展的瓶頸。盡管IPv6可以從根本上解決IPv4地址空間不足問

7、題，但目前眾多網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用大多是基于IPv4的，因此在IPv6廣泛應(yīng)用之前，一些過渡技術(shù)（如CIDR、私網(wǎng)地址等）的使用是解決這個(gè)問題最主要的技術(shù)手段。其中，使用私網(wǎng)地址之所以能夠節(jié)省IPv4地址，主要是利用了這樣一個(gè)事實(shí)：一個(gè)局域網(wǎng)中在一定時(shí)間內(nèi)只有很少的主機(jī)需訪問外部網(wǎng)絡(luò)，而80%左右的流量只局限于局域網(wǎng)內(nèi)部。由于局域網(wǎng)內(nèi)部的互訪可通過私網(wǎng)地址實(shí)現(xiàn)，且私網(wǎng)地址在不同局域網(wǎng)內(nèi)可被重復(fù)利用，因此私網(wǎng)地址的使用有效緩解了IPv4地址不足的問題。當(dāng)局域網(wǎng)內(nèi)的主機(jī)要訪問外部網(wǎng)絡(luò)時(shí)，只需通過NAT技術(shù)將其私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址即可，這樣既可保證網(wǎng)絡(luò)互通，又節(jié)省了公網(wǎng)地址。說明：IANA 保留以下

8、三個(gè)網(wǎng)段中的地址作為私網(wǎng)地址：/8、/12 和/16。使用私網(wǎng)地址的主機(jī)不能直接訪問 Internet，而在 Internet 上也不能直接訪問使用私網(wǎng)地址的主機(jī)。技術(shù)優(yōu)點(diǎn)作為一種過渡方案，NAT通過地址重用的方法來滿足IP地址的需要，可以在一定程度上緩解IP地址空間枯竭的壓力。它具備以下優(yōu)點(diǎn)：對于內(nèi)部通訊可以利用私網(wǎng)地址，如果需要與外部通訊或訪問外部資源，則可通過將私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址來實(shí)現(xiàn)。通過公網(wǎng)地址與端口的結(jié)合，可使多個(gè)私網(wǎng)用戶共用一個(gè)公網(wǎng)地址。通過靜態(tài)映射，不同的內(nèi)部服務(wù)器可以映射到同一個(gè)公網(wǎng)地址。外部用戶可通過公網(wǎng)地址和端口訪問不同的內(nèi)部服務(wù)器，同時(shí)還隱藏了內(nèi)部服務(wù)器的真實(shí) IP

9、 地址，從而防止外部對內(nèi)部服務(wù)器乃至內(nèi)部網(wǎng)絡(luò)的攻擊行為。方便網(wǎng)絡(luò)管理，如通過改變映射表就可實(shí)現(xiàn)私網(wǎng)服務(wù)器的遷移，內(nèi)部網(wǎng)絡(luò)的改變也很容易。NAT技術(shù)實(shí)現(xiàn)NAT的基本原理是僅在私網(wǎng)主機(jī)需要訪問Internet時(shí)才會分配到合法的公網(wǎng)地址， 而在內(nèi)部互聯(lián)時(shí)則使用私網(wǎng)地址。當(dāng)訪問Internet的報(bào)文經(jīng)過NAT網(wǎng)關(guān)時(shí)，NAT網(wǎng)關(guān)會用一個(gè)合法的公網(wǎng)地址替換原報(bào)文中的源IP地址，并對這種轉(zhuǎn)換進(jìn)行記錄；之后，當(dāng)報(bào)文從Internet側(cè)返回時(shí)，NAT網(wǎng)關(guān)查找原有的記錄，將報(bào)文的目的地址再替換回原來的私網(wǎng)地址，并送回發(fā)出請求的主機(jī)。這樣，在私網(wǎng)側(cè)或公網(wǎng)側(cè)設(shè)備看來，這個(gè)過程與普通的網(wǎng)絡(luò)訪問并沒有任何的區(qū)別。NAT實(shí)

10、現(xiàn)方式Basic NAT方式Basic NAT 方式屬于一對一的地址轉(zhuǎn)換，在這種方式下只轉(zhuǎn)換IP地址，而對TCP/UDP協(xié)議的端口號不處理，一個(gè)公網(wǎng)IP地址不能同時(shí)被多個(gè)用戶使用。圖1 Basic NAT方式原理圖 HYPERLINK l _bookmark1 如圖1所示，Basic NAT方式的處理過程如下：NAT設(shè)備收到私網(wǎng)側(cè)主機(jī)發(fā)送的訪問公網(wǎng)側(cè)服務(wù)器的報(bào)文。NAT設(shè)備從地址池中選取一個(gè)空閑的公網(wǎng)IP地址，建立與私網(wǎng)側(cè)報(bào)文源IP地址間的NAT轉(zhuǎn)換表項(xiàng)（正反向），并依據(jù)查找正向NAT表項(xiàng)的結(jié)果將報(bào)文轉(zhuǎn)換后向公網(wǎng)側(cè)發(fā)送。NAT設(shè)備收到公網(wǎng)側(cè)的回應(yīng)報(bào)文后，根據(jù)其目的IP地址查找反向NAT表項(xiàng)，

11、并依據(jù)查表結(jié)果將報(bào)文轉(zhuǎn)換后向私網(wǎng)側(cè)發(fā)送。說明：由于 Basic NAT 這種一對一的轉(zhuǎn)換方式并未實(shí)現(xiàn)公網(wǎng)地址的復(fù)用，不能有效解決IP 地址短缺的問題，因此在實(shí)際應(yīng)用中并不常用。NAPT方式由于Basic NAT方式并未實(shí)現(xiàn)地址復(fù)用，因此并不能解決公網(wǎng)地址短缺的問題，而NAPT方式則可以解決這個(gè)問題。NAPT方式屬于多對一的地址轉(zhuǎn)換，它通過使用“IP地址端口號”的形式進(jìn)行轉(zhuǎn)換，使多個(gè)私網(wǎng)用戶可共用一個(gè)公網(wǎng)IP地址訪問外網(wǎng)，因此是地址轉(zhuǎn)換實(shí)現(xiàn)的主要形式。Host A00/8Source: 00:1025Destination: 00:1025NATSource: 5:16384567.Addres

12、s group Destination: 5:16384ServerHost B00/8Source: 00:1028Destination: 00:1028Source: 5:16400Intranet Internet Destination: 5:164004/24NAPT tableWayBefore NATAfter NATOutbound00:10255:16384Inbound5:1638400:1025Outbound00:10285:16400Inbound5:1640000:1028Packet from Host A to Server Packet from Serve

13、r to Host A Packet from Host B to Server Packet from Server to Host B圖2 NAPT方式原理圖 HYPERLINK l _bookmark2 如圖2所示，NAPT方式的處理過程如下：NAT設(shè)備收到私網(wǎng)側(cè)主機(jī)發(fā)送的訪問公網(wǎng)側(cè)服務(wù)器的報(bào)文。NAT設(shè)備從地址池中選取一對空閑的“公網(wǎng)IP地址端口號”，建立與私網(wǎng)側(cè)報(bào)文“源IP地址源端口號”間的NAPT轉(zhuǎn)換表項(xiàng)（正反向），并依據(jù)查找正向NAPT表項(xiàng)的結(jié)果將報(bào)文轉(zhuǎn)換后向公網(wǎng)側(cè)發(fā)送。NAT設(shè)備收到公網(wǎng)側(cè)的回應(yīng)報(bào)文后，根據(jù)其“目的IP地址目的端口號”查找反向NAPT表項(xiàng)，并依據(jù)查表結(jié)果將報(bào)文轉(zhuǎn)

14、換后向私網(wǎng)側(cè)發(fā)送。NAT Server方式圖3 NAT Server方式原理圖出于安全考慮，大部分私網(wǎng)主機(jī)通常并不希望被公網(wǎng)用戶訪問。但在某些實(shí)際應(yīng)用中，需要給公網(wǎng)用戶提供一個(gè)訪問私網(wǎng)服務(wù)器的機(jī)會。而在Basic NAT或NAPT方式下，由于由公網(wǎng)用戶發(fā)起的訪問無法動態(tài)建立NAT表項(xiàng)，因此公網(wǎng)用戶無法訪問私網(wǎng)主機(jī)。NAT Server（NAT內(nèi)部服務(wù)器）方式就可以解決這個(gè)問題通過靜態(tài)配置“公網(wǎng)IP地址端口號”與“私網(wǎng)IP地址端口號”間的映射關(guān)系，NAT設(shè)備可以將公網(wǎng)地址“反向”轉(zhuǎn)換成私網(wǎng)地址。 HYPERLINK l _bookmark3 如圖3所示，NAT Server方式的處理過程如下：在

15、NAT設(shè)備上手工配置靜態(tài)NAT轉(zhuǎn)換表項(xiàng)（正反向）。NAT設(shè)備收到公網(wǎng)側(cè)主機(jī)發(fā)送的訪問私網(wǎng)側(cè)服務(wù)器的報(bào)文。NAT設(shè)備根據(jù)公網(wǎng)側(cè)報(bào)文的“目的IP地址目的端口號”查找反向靜態(tài)NAT表項(xiàng)，并依據(jù)查表結(jié)果將報(bào)文轉(zhuǎn)換后向私網(wǎng)側(cè)發(fā)送。NAT設(shè)備收到私網(wǎng)側(cè)的回應(yīng)報(bào)文后，根據(jù)其“源IP地址源端口號”查找正向靜態(tài)NAT表項(xiàng)，并依據(jù)查表結(jié)果將報(bào)文轉(zhuǎn)換后向公網(wǎng)側(cè)發(fā)送。EASY IP方式EASY IP方式是指直接使用接口的公網(wǎng)IP地址作為轉(zhuǎn)換后的源地址進(jìn)行地址轉(zhuǎn)換， 它可以動態(tài)獲取出接口地址，從而有效支持出接口通過撥號或DHCP方式獲取公網(wǎng)IP地址的應(yīng)用場景。同時(shí)，EASY IP方式也可以利用訪問控制列表來控制哪些內(nèi)部

16、地址可以進(jìn)行地址轉(zhuǎn)換。EASY IP方式特別適合小型局域網(wǎng)訪問Internet的情況。這里的小型局域網(wǎng)主要指中小型網(wǎng)吧、小型辦公室等環(huán)境，一般具有以下特點(diǎn)：內(nèi)部主機(jī)較少、出接口通過撥號方式獲得臨時(shí)公網(wǎng)IP地址以供內(nèi)部主機(jī)訪問Internet。對于這種情況，可以使用EASY IP方式使局域網(wǎng)用戶都通過這個(gè)IP地址接入Internet。Host A00/8Host BSource: 00:1540Destination: 00:1540NAT/24Source: :5480Destination: :5480Source: :5481Server4/2400/8Source:00:1586Dest

17、ination: 00:1586Intranet Internet Destination: :5481EASY IP tableWayBefore NATAfter NATOutbound00:1540:5480Inbound:548000:1540Outbound00:1586:5481Inbound:548100:1586Packet from Host A to Server Packet from Server to Host A Packet from Host B to Server Packet from Server to Host B圖4 EASY IP方式原理圖 HYPE

18、RLINK l _bookmark4 如圖4所示，EASY IP方式的處理過程如下：NAT設(shè)備收到私網(wǎng)側(cè)主機(jī)發(fā)送的訪問公網(wǎng)側(cè)服務(wù)器的報(bào)文。NAT設(shè)備利用公網(wǎng)側(cè)接口的“公網(wǎng)IP地址端口號”，建立與私網(wǎng)側(cè)報(bào)文“源IP地址源端口號”間的EASY IP轉(zhuǎn)換表項(xiàng)（正反向），并依據(jù)查找正向EASY IP表項(xiàng)的結(jié)果將報(bào)文轉(zhuǎn)換后向公網(wǎng)側(cè)發(fā)送。NAT設(shè)備收到公網(wǎng)側(cè)的回應(yīng)報(bào)文后，根據(jù)其“目的IP地址目的端口號”查找反向EASY IP表項(xiàng)，并依據(jù)查表結(jié)果將報(bào)文轉(zhuǎn)換后向私網(wǎng)側(cè)發(fā)送。1.1.2 DNS Mapping方式在某些應(yīng)用中，私網(wǎng)用戶希望通過域名訪問位于同一私網(wǎng)的內(nèi)部服務(wù)器，而DNS服務(wù)器卻位于公網(wǎng)。由于通常D

19、NS響應(yīng)報(bào)文中攜帶的是內(nèi)部服務(wù)器的公網(wǎng)IP地址，因此若不在NAT設(shè)備上進(jìn)行處理，私網(wǎng)用戶將無法通過域名訪問到內(nèi)部服務(wù)器。這個(gè)問題可以使用DNS Mapping方式來解決，通過配置“域名公網(wǎng)IP地址公網(wǎng)端口協(xié)議類型”映射表，建立內(nèi)部服務(wù)器的域名與其公網(wǎng)信息間的對應(yīng)關(guān)系。圖5 DNS Mapping方式原理圖如 HYPERLINK l _bookmark5 圖5所示，私網(wǎng)用戶Host希望通過域名方式訪問Web服務(wù)器。當(dāng)NAT設(shè)備收到DNS響應(yīng)報(bào)文后，先根據(jù)其中攜帶的域名查找DNS Mapping映射表，再根據(jù)“公網(wǎng)IP地址公網(wǎng)端口協(xié)議類型”查找Web服務(wù)器，然后將DNS響應(yīng)報(bào)文中的公網(wǎng)IP地址替換

20、成Web服務(wù)器的私網(wǎng)IP地址。這樣，Host收到的DNS響應(yīng)報(bào)文中就攜帶了Web服務(wù)器的私網(wǎng)IP地址，從而可以通過域名來訪問Web服務(wù)器。ALG機(jī)制ALG機(jī)制簡介通常情況下，NAT只改變IP報(bào)文頭部地址信息，而不對報(bào)文載荷進(jìn)行分析，這對于普通的應(yīng)用層協(xié)議（如Telnet）來說，并不會影響其業(yè)務(wù)的開展；然而有一些應(yīng)用層協(xié)議，其報(bào)文載荷中可能也攜帶有地址或端口信息，若這些信息不能被有效轉(zhuǎn)換，就可能導(dǎo)致問題。譬如，某些應(yīng)用層協(xié)議會在客戶端與服務(wù)器之間協(xié)商端口號，然后服務(wù)器使用協(xié)商出的端口號向客戶端發(fā)起連接。如果NAT設(shè)備對二者的協(xié)商過程一無所知，那么當(dāng)服務(wù)器向客戶端發(fā)起連接時(shí)，就會因?yàn)樵贜AT設(shè)備上

21、找不到內(nèi)部與外部的IP地址/端口號對應(yīng)關(guān)系而造成連接失敗。這個(gè)問題可以通過應(yīng)用級網(wǎng)關(guān)（ALG）機(jī)制來解決。ALG是特定應(yīng)用協(xié)議的轉(zhuǎn)換代理，它通過對IP報(bào)文的載荷進(jìn)行解析，改變封裝在其中的地址和端口信息，并完成其它必要的工作以使應(yīng)用協(xié)議可以穿越NAT。ALG機(jī)制可處理的應(yīng)用層協(xié)議包括DNS、FTP、H.323、ILS和SIP等，下面以FTP協(xié)議為例介紹ALG處理的過程。FTP協(xié)議的ALG處理在FTP工作過程中，客戶端與服務(wù)器之間將建立兩條TCP連接：一條為控制連接， 負(fù)責(zé)傳輸諸如用戶指令和參數(shù)等控制信息，其中包括發(fā)起數(shù)據(jù)連接時(shí)要用到的端口信息；另一條為數(shù)據(jù)連接，負(fù)責(zé)在服務(wù)器與客戶端之間建立數(shù)據(jù)通

22、道以傳送文件。FTP可分為主動和被動兩種模式，根據(jù)所采用的模式以及服務(wù)器/客戶端的位置來決定是否需要進(jìn)行ALG處理：主動模式在主動模式下，在由客戶端發(fā)起控制連接中，客戶端將指定的端口通過PORT指令發(fā)送給服務(wù)器，然后由服務(wù)器向該端口發(fā)起數(shù)據(jù)連接，因此：當(dāng)客戶端位于公網(wǎng)而服務(wù)器位于私網(wǎng)時(shí)，由于客戶端向服務(wù)器通告的是公網(wǎng)地址和端口，服務(wù)器可直接向其發(fā)起數(shù)據(jù)連接，因此無需在控制連接中進(jìn)行ALG 處理；當(dāng)客戶端位于私網(wǎng)而服務(wù)器位于公網(wǎng)時(shí)，由于客戶端向服務(wù)器通告的是私網(wǎng)地址和端口，因此需在控制連接中通過ALG處理將其轉(zhuǎn)換為公網(wǎng)地址和端口，以供服務(wù)器發(fā)起數(shù)據(jù)連接所用，其過程如 HYPERLINK l _b

23、ookmark6 圖 6所示。Intranet InternetClientNATFTP serverALG:(IP 1, Port 1) - (IP 2, Port 2)PORT (IP 1, Port 1)Control connectionPORT (IP 2, Port 2)Data connectionData connect (IP 1, Port 1)Data connect (IP 2, Port 2)圖6 主動模式下的ALG處理首先，由客戶端向服務(wù)器發(fā)送PORT指令，以向服務(wù)器通知發(fā)起數(shù)據(jù)連接所應(yīng)使用的地址和端口（IP 1，Port 1）；NAT設(shè)備收到該指令后，將其中所攜帶

24、的私網(wǎng)地址和端口（IP 1，Port 1）替換為公網(wǎng)地址和端口（IP 2，Port 2），并據(jù)此創(chuàng)建相應(yīng)的NAPT表項(xiàng)此過程即為ALG處理；服務(wù)器收到該指令后，主動向公網(wǎng)地址和端口（IP 2，Port 2）發(fā)起數(shù)據(jù)連接，并在通過NAT設(shè)備時(shí)被轉(zhuǎn)化為私網(wǎng)地址和端口（IP 1，Port 1）。被動模式在被動模式下，在由客戶端發(fā)起控制連接中，客戶端向服務(wù)器發(fā)送PASV請求來通知服務(wù)器它將發(fā)起被動模式，服務(wù)器再將指定的端口通過PASV響應(yīng)發(fā)送給客戶端，然后由客戶端向該端口發(fā)起數(shù)據(jù)連接，因此：當(dāng)服務(wù)器位于公網(wǎng)而客戶端位于私網(wǎng)時(shí)，由于服務(wù)器向客戶端通告的是公網(wǎng)地址和端口，客戶端可直接向其發(fā)起數(shù)據(jù)連接，因此

25、無需在控制連接中進(jìn)行ALG 處理；當(dāng)服務(wù)器位于私網(wǎng)而客戶端位于公網(wǎng)時(shí)，由于服務(wù)器向客戶端通告的是私網(wǎng)地址和端口，因此需在控制連接中通過ALG處理將其轉(zhuǎn)換為公網(wǎng)地址和端口，以供客戶端發(fā)起數(shù)據(jù)連接所用，其過程如 HYPERLINK l _bookmark7 圖 7所示。Intranet InternetFTP serverNATClientPASVEntering passive (IP 1, Port 1)Entering passive (IP 2, Port 2)Data connect (IP 2, Port 2)Data connect (IP 1, Port 1)ALG:(IP 1,

26、Port 1) - (IP 2, Port 2)Control connectionData connection圖7 被動模式下的ALG處理首先，由客戶端向服務(wù)器發(fā)送PASV請求；服務(wù)器收到該請求后，選擇并打開服務(wù)器端數(shù)據(jù)通道的地址和端口（IP 1， Port 1），并通過PASV響應(yīng)向客戶端返回該地址和端口；NAT設(shè)備收到該響應(yīng)后，將其中所攜帶的私網(wǎng)地址和端口（IP 1，Port 1）替換為公網(wǎng)地址和端口（IP 2，Port 2），并據(jù)此創(chuàng)建相應(yīng)的NAPT表項(xiàng)此過程即為ALG處理；客戶端收到該響應(yīng)后，向公網(wǎng)地址和端口（IP 2，Port 2）發(fā)起數(shù)據(jù)連接，并在通過NAT設(shè)備時(shí)被轉(zhuǎn)換為私網(wǎng)地

27、址和端口（IP 1，Port 1）。NAT多實(shí)例的實(shí)現(xiàn)NAT多實(shí)例主要針對MPLS L3VPN用戶訪問公網(wǎng)或?yàn)楣W(wǎng)提供服務(wù)而提出，可實(shí)現(xiàn)不同VPN內(nèi)、使用相同私網(wǎng)地址的用戶同時(shí)訪問外部網(wǎng)絡(luò)。NAT多實(shí)例在轉(zhuǎn)換過程中增加了對VPN的識別和處理，把VPN作為區(qū)分會話的參數(shù)之一，以此實(shí)現(xiàn)了多實(shí)例同時(shí)訪問公網(wǎng)的功能。多實(shí)例Basic NAT與單實(shí)例一樣，多實(shí)例的Basic NAT只對私網(wǎng)的IP地址進(jìn)行轉(zhuǎn)換，但不同的是多實(shí)例Basic NAT在原有私網(wǎng)IP地址轉(zhuǎn)換的基礎(chǔ)上增加了對VPN的識別和處理，即在NAT轉(zhuǎn)換表項(xiàng)中增加了VPN信息，并將其作為轉(zhuǎn)換依據(jù)之一，以確保將不同VPN內(nèi)相同的私網(wǎng)IP地址轉(zhuǎn)換成

28、不同的公網(wǎng)IP地址。多實(shí)例NAPT與單實(shí)例相比，多實(shí)例的NAPT在原有私網(wǎng)IP地址和端口號轉(zhuǎn)換的基礎(chǔ)上，增加了對VPN的識別和處理，即在NAPT轉(zhuǎn)換表項(xiàng)中增加了VPN信息，并將其作為轉(zhuǎn)換依據(jù)之一，以確保將不同VPN內(nèi)相同的“私網(wǎng)IP地址端口號”轉(zhuǎn)換成不同的“公網(wǎng)IP地址端口號”。多實(shí)例NAT Server與單實(shí)例相比，多實(shí)例的NAT Server增加了私網(wǎng)側(cè)對VPN的支持，即在所配置的靜態(tài)NAT轉(zhuǎn)換表項(xiàng)中增加了VPN信息，并將其作為轉(zhuǎn)換依據(jù)之一，以確保將訪問不同VPN的報(bào)文送達(dá)正確的VPN，其處理流程與單實(shí)例相同。多實(shí)例EASY IP與單實(shí)例相比，多實(shí)例的EASY IP在原有私網(wǎng)IP地址和端口

29、號轉(zhuǎn)換的基礎(chǔ)上，增加了對VPN的識別和處理，即在EASY IP轉(zhuǎn)換表項(xiàng)中增加了VPN信息，并將其作為轉(zhuǎn)換依據(jù)之一，以確保將不同VPN內(nèi)相同的“私網(wǎng)IP地址端口號”轉(zhuǎn)換成不同的Intranet“公網(wǎng)IP地址端口號”。多實(shí)例DNS Mapping與單實(shí)例相比，多實(shí)例的DNS Mapping增加了私網(wǎng)側(cè)對VPN的支持，即在所配置的DNS Mapping映射表項(xiàng)中增加了VPN信息，并將其作為轉(zhuǎn)換依據(jù)之一，以確保將訪問不同VPN的報(bào)文送達(dá)正確的VPN，其處理流程與單實(shí)例相同。多實(shí)例ALG處理多實(shí)例的ALG處理流程與單實(shí)例基本相同，不同的是NAT設(shè)備在創(chuàng)建公網(wǎng)與私網(wǎng)的地址端口映射表項(xiàng)時(shí)，NAT多實(shí)例在私網(wǎng)側(cè)地址和端口基礎(chǔ)上增加了對VPN的識別與處理，即在映射表項(xiàng)中增加了VPN信息，譬如將私網(wǎng)側(cè)的（VPN A，IP 1，Port 1）與公網(wǎng)側(cè)的（IP 2，Port 2）進(jìn)行映射。典型組網(wǎng)應(yīng)用私網(wǎng)主機(jī)訪問公網(wǎng)服務(wù)器圖8 私網(wǎng)主機(jī)訪問公網(wǎng)服務(wù)器組網(wǎng)圖在許多小區(qū)、學(xué)校和企業(yè)網(wǎng)的內(nèi)網(wǎng)規(guī)劃中，由于公網(wǎng)地址資源有限，內(nèi)部用戶實(shí)際使用的都是私網(wǎng)地址，在這種情況下，可以使用NAT技術(shù)來實(shí)現(xiàn)內(nèi)部用戶對公網(wǎng)的訪問。如 HYPERLINK