云小课 | 网络知识一箩筐——NAT网关，让IP地址华丽变身，轻松实现内外网互通

阅识风云是华为云信息大咖，擅长将复杂信息多元化呈现，其出品的一张图(云图说)、深入浅出的博文(云小课) 或短视频(云视厅)总有一款能让您快速上手华为云。更多精彩内容请单击此处。

摘要： 网络知识一箩筐：搜集分享网络基础知识，轻松掌握华为云网络服务。本篇分享NAT网关的相关知识，助您快速理解。

本文分享自华为云社区《【云小课】基础服务第71课 网络知识一箩筐——NAT网关，让IP地址华丽变身，轻松实现内外网互通》，原文作者：阅识风云

在我们使用华为云服务时，经常会用到NAT网关。那么NAT网关到底是什么呢？NAT网关有什么作用呢？

本节云小课为您解惑NAT网关，供大家学习参考~

网关：

网关(Gateway)又称网间连接器、协议转换器。网关就是一个网络连接到另一个网络的“关口”，也就是网络关卡。网关在网络层以上实现网络互连，是复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。

• 网关是一种充当转换重任的计算机系统或设备。
• 网关是一个翻译器，网关对收到的信息要重新打包，以适应目的系统的需求。
• 网关同时也可以提供过滤和安全功能。

网关就像我们居住小区的大门，小区就是一个局域网，住户就像局域网中的主机。在小区里的住户很方便的就可以送东西到别的住户家，不需要出大门，相应的同一局域网下的主机发送数据包不需要网关；但是想要送物品去其他小区住户家的时候就必须经过本小区的大门，然后通过目的住户小区大门的查验，将物品送达。在网络中也是相似的，假设网络A和网络B分属于不同局域网，网络A里的主机要给网络B里的主机发送数据，网络A中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络B的网关，网络B的网关再转发给网络B的某个主机。网络B中主机向网络A中主机发送数据过程也是如此。示意图如下：

简单的理解连接两个不同的网络的设备都可以叫网关设备，网关的作用就是实现两个网络之间进行通讯与控制。网关设备可以是交互机、路由器、启用了路由协议的服务器、代理服务器、防火墙等。网关也是一个网络通向其他网络的IP地址。

默认网关：

就像一个小区会有多个大门一样，一台主机可以有多个网关。默认网关就是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。

NAT：

在Windows环境下，打开你的命令行输入“ipconfig”查询你的IP地址，如下图：

打开搜索引擎，输入“IP地址查询”，查询你的ip地址，如下图：

是不是发现了一件奇怪的事情，两种方式查询的IP地址怎么不一样？但是我们又经常说每个主机只有一个IP，这个IP是他的身份标识，这完全矛盾啊。

其实并不矛盾，这里我们要用到公网IP和私网IP这两个概念，使用命令行查询到的是我们PC的私网地址，使用搜索引擎查到的是公网地址。私网地址只能在局域网中使用，不同的局域网可以使用相同的私网地址，私网地址是不能出现在互联网上的。那么私网地址是如何访问互联网呢？

NAT（Network Address Translation，网络地址转换）闪亮登场，NAT提供私网IP地址和公网IP地址进行互相转换的功能，就是替换IP报文头部的地址信息。对于有Internet访问需求而内部又使用私有IP地址的网络，就要在网络的出口位置部署NAT网关，在报文离开私网进入Internet时，将源IP替换为公网地址。一个对外的访问请求在到达目标以后，表现为由网络出口设备发起，因此被请求的服务端将响应由Internet发回出口网关。出口网关再将目的地址替换为私网的源主机地址，发回内部。这样一次由私网主机向公网服务端的请求和响应就完成了。

NAT有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（Port－Level NAT）。

静态NAT设置起来最为简单和最容易实现的一种，私有网络中的每个主机ip地址都被永久映射成一个公网IP地址，形成一对一的固定对应映射关系。

动态地址NAT是指不建立私网IP地址和公网IP地址的一对一的固定对应关系。而通过共享NAT地址池的IP地址动态建立NAT的映射关系。当内网主机需要进行NAT地址转换时，路由器会在NAT地址池中选择空闲的公网IP地址进行映射，每条映射记录是动态建立的，在连接终止时也被收回。

网络地址端口转换NAPT则是将IP地址和端口号一起进行转换，把众多私网IP地址映射到一个公网IP地址的不同端口上，私网内的众多主机使用同一个公网IP同时与公网通信。

很抽象？看一看下面的图解。

主机A（192.168.1.20）和主机B（192.168.1.21）同时与互联网服务器（120.222.223.10）进行通信，并且两个主机的本地端口都是1030。两个主机的私有IP地址都通过NAPT转换为公网IP：178.20.1.168，但是分配不同的端口号进行区分。生成一个NAPT转换表，正确的转换地址和端口的组合，实现使用私有IP的主机A和B同时与互联网服务器进行通信。

NAT网关：

NAT网关（NAT Gateway）顾名思义就是网关和NAT合并起来的产物，使用地址转换的功能联通不同网络。华为云提供NAT网关服务，为虚拟私有云内的云主机（弹性云服务器云主机、裸金属服务器物理机、云桌面）或者通过云专线/VPN接入虚拟私有云的本地数据中心的服务器，提供最高10Gbit/s能力的网络地址转换服务，使多个云主机可以共享弹性公网IP访问Internet或使云主机提供互联网服务。如下图所示：

NAT网关分为SNAT和DNAT两个功能。

SNAT功能通过绑定弹性公网IP，实现私有IP向公有IP的转换，可实现VPC内跨可用区的多个云主机共享弹性公网IP，安全，高效的访问互联网。

DNAT功能绑定弹性公网IP，可通过IP映射或端口映射两种方式，实现VPC内跨可用区的多个云主机共享弹性公网IP，为互联网提供服务。

戳这里了解更多华为云NAT网关服务知识，助您业务上云。

有的小伙伴会问，从私网访问公网华为云NAT网关服务可以办到，但是私网想访问私网呢？

华为云不会让您失望，华为云NAT网关服务提供私网NAT网关（Private NAT Gateway），满足您的需要。私网NAT网关能够为虚拟私有云内的云主机（弹性云服务器、裸金属服务器、云桌面）提供网络地址转换服务，使多个云主机可以共享私网IP访问用户本地数据中心（IDC）或其他虚拟私有云，同时，也支持云主机面向私网提供服务。

私网NAT网关支持大小网段灵活组网，IP网段可重叠，业务零改造，可降低企业上云的成本和风险。

点击关注，第一时间了解华为云新鲜技术~