神奇的NAT

NAT协议大家都不会感到陌生，它的基本作用是实现私网主机访问公网（不加密）的一种方式。NAT通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用的IP地址空间的枯竭。今天给大家介绍NAT的另外一种使用——NAT hairpin。

NAT hairpin功能用于实现位于内网侧的用户之间或内网侧的用户与服务器之间通过NAT公网地址进行访问的需求。使能NAT hairpin的内网侧接口上会对报文同时进行源地址和目的地址的转换。它支持两种组网模式：

P2P：位于内网侧的用户之间通过动态分配的NAT地址互访。

C/S：位于内网侧的用户使用静态配置的NAT地址访问内网服务器。

我们来分析一个实际的工程案例，拓扑图如下。

项目需求如下：

某公司内部网络中有一台FTP服务器，地址为192.168.1.4/24。该公司拥有两个外网IP地址：202.100.1.1（NAT公网接口）和202.100.1.3。外网主机可以通过202.100.1.2访问内网中的FTP服务器。

内网主机也可以通过202.38.1.2访问内网中的FTP服务器。

配置思路：

此项目是一个典型的NAT hairpin的C/S模式。在配置好IP地址后，首先要在NAT设备上配置NAT Server，使公网PC2可以通过公网地址202.100.1.3访问私网FTP服务器。其次PC需要正常访问互联网，使用Easy IP方式。最后在NAT设备上开启NAT hairpin功能。

配置步骤：

1、 配置IP地址及FTP-Server的ftp服务，此处省略。

2、 NAT设备配置nat server，使公网PC2通过公网地址202.100.1.3访问私网FTP服务器。

PC2测试ftp连接：

3、 NAT设备配置Easy IP，使私网PC可以访问公网。

PC访问PC2，并查看natsession会话表。

4、 未配置NAThairpin测试PC通过202.100.1.3访问ftp服务器。

结果为PC无法访问

5、 在私网接口配置NAThairpin，测试PC访问ftp服务器

PC通过公网地址202.100.1.3访问FTP-server

查看NAT设备的session会话表，结果如下：