域间NAT和域内NAT的爱恨情仇

你好，这里是网络技术联盟站。

本文主要给大家介绍一下域间NAT和域内NAT，让我们直接开始！

目录：

TOC

域间NAT

域间NAT（Network Address Translation）是指在网络中进行地址转换的一种方式，其中源地址和目的地址属于不同的安全区域。根据报文的传输方向，域间NAT可以分为两类：NAT Inbound（外网访问内网）和NAT Outbound（内网访问外网）。

NAT Inbound

NAT Inbound发生在报文由低安全级别的安全区域向高安全级别的安全区域传输时，基于源地址进行转换。通常，NAT Inbound会与NAT Server配合使用。它允许外部网络的用户通过公网IP地址访问内网的服务。

在NAT Inbound中，外部用户发起请求，并将请求报文发送到NAT Server。NAT Server根据配置的转换规则，将源地址替换为内网服务器的私有IP地址，并将请求转发给相应的内网服务器。内网服务器处理请求，并将响应报文发送回NAT Server，NAT Server再将响应报文中的源地址替换为对应的公网IP地址，将响应传递给外部用户。

NAT Outbound

NAT Outbound发生在报文由高安全级别的安全区域向低安全级别的安全区域传输时，基于源地址进行转换。之前提到的“内网用户访问外网资源”的场景通常使用NAT Outbound。

在NAT Outbound中，内网用户发起请求，并将请求报文发送到NAT Server。NAT Server根据配置的转换规则，将源地址替换为公网IP地址，并将请求转发给外部网络的目标服务器。目标服务器处理请求，并将响应报文发送回NAT Server。NAT Server再将响应报文中的目的地址替换为内网用户的私有IP地址，将响应传递给内网用户。

域内NAT（内网访问内网）

域内NAT是指报文的源地址和目的地址属于相同的安全区域。一般情况下，域内NAT会与NAT Server配合使用，而单独配置域内NAT的情况较少见。

在域内NAT中，内网用户发起请求，并将请求报文发送到NAT Server。NAT Server根据配置的转换规则，将源地址替换为目标内网服务器的私有IP地址，并将请求转发给目标内网服务器。目标内网服务器处理请求，并将响应报文发送回NAT Server。NAT Server再将响应报文中的目的地址替换为对应的内网用户的私有IP地址，将响应传递给内网用户。

双向NAT

域间NAT和域内NAT与NAT Server配合使用时，可以实现双向NAT。在配置域间NAT和域内NAT时，有一个前提是合理设置安全区域的级别并规划网络。通常情况下，内网设备属于Trust域（高级别），内网服务器属于DMZ域（中级别），外网设备属于Untrust域（低级别）。

通过合理设置安全区域的级别，域间NAT和域内NAT与NAT Server的配置能够实现以下功能：

• 允许外部用户通过公网IP地址访问内网服务器，实现外网访问内网的服务。
• 允许内网用户访问外部网络资源，实现内网访问外网的需求。
• 允许内网用户在相同安全区域内访问其他内网资源，实现内网访问内网的通信。

下面是一些常见厂商设备的配置示例：

域间域内NAT配置

以下是域间NAT和域内NAT配合NAT Server的拓扑示意图：

在上述拓扑中，安全区域A表示高安全级别的区域，包含了内网服务器和内网用户。安全区域B表示低安全级别的区域，包含了外网设备和外部用户。

NAT Server位于两个安全区域之间，充当了地址转换的角色。它与安全区域A和安全区域B相连，并通过配置合适的转换规则，实现了域间NAT和域内NAT的功能。

域间NAT的场景中，外部用户通过公网IP地址访问内网服务器，NAT Server根据转换规则将请求转发到内网服务器，并将响应传递回外部用户。

域内NAT的场景中，内网用户访问内网服务器，NAT Server根据转换规则将请求转发到目标内网服务器，并将响应传递回内网用户。

拓扑图仅为示意，实际网络拓扑可能更加复杂，具体配置需要根据实际情况进行调整。

华为设备配置示例：

1. 配置域间NAT（NAT Inbound）：

nat address-group 1 10.0.0.0 255.255.255.0 202.0.0.0 255.255.255.0
acl number 2001
rule permit tcp source any destination 202.0.0.0 0.0.0.255
nat instance 1
acl 2001
address-group 1
interface GigabitEthernet 0/0/1
nat server global 1
interface GigabitEthernet 0/0/1
nat server protocol tcp global 80 inside 10.0.0.10 80

1. 配置域内NAT（NAT Inbound）：

interface GigabitEthernet 0/0/2
nat server global 2
interface GigabitEthernet 0/0/2
nat server protocol tcp global 8080 inside 10.0.0.20 80

思科设备配置示例：

1. 配置域间NAT（NAT Inbound）：

ip nat inside source static tcp 10.0.0.10 80 202.0.0.10 80

1. 配置域内NAT（NAT Inbound）：

ip nat inside source static tcp 10.0.0.20 80 202.0.0.20 8080

Juniper设备配置示例：

1. 配置域间NAT（NAT Inbound）：

set security nat source rule-set SOURCE_RULE_SET rule NAT_INBOUND match source-address any
set security nat source rule-set SOURCE_RULE_SET rule NAT_INBOUND match destination-address 202.0.0.0/24
set security nat source rule-set SOURCE_RULE_SET rule NAT_INBOUND then source-nat pool NAT_POOL
set security nat source rule-set SOURCE_RULE_SET rule NAT_INBOUND then destination-nat pool NAT_POOL

1. 配置域内NAT（NAT Inbound）：

set security nat source rule-set SOURCE_RULE_SET rule NAT_INTRAZONE match source-address any
set security nat source rule-set SOURCE_RULE_SET rule NAT_INTRAZONE match destination-address any
set security nat source rule-set SOURCE_RULE_SET rule NAT_INTRAZONE then source-nat pool NAT_POOL

以上配置示例仅供参考，实际配置可能因设备型号、固件版本和网络拓扑而有所不同。在进行设备配置时，请参考厂商的官方文档，并根据实际情况进行配置。

总结

域间NAT和域内NAT与NAT Server配合使用，可以实现外部用户访问内网服务器和内网用户访问外部资源的需求。域间NAT适用于不同安全区域间的地址转换，而域内NAT适用于相同安全区域内的地址转换。通过合理设置安全区域的级别并规划网络，可以确保安全性和网络通信的顺畅性。