Nat设备的类型

假设有一个客户端(位于nat设备之后), 两个公网服务端。他们对应的地址分别为:
客户端私网地址(192.168.1.99)
客户端nat公网地址(1.1.1.1)
服务器A公网地址(2.2.2.2)
服务器B公网地址(3.3.3.3)

1. 全纺锤型(Full cone NAT)

设客户端往服务器A发送数据包
192.168.1.99:11111 => 2.2.2.2:22222
nat设备中会记录类似如下的映射关系:
192.168.1.99:11111 <=> 1.1.1.1:11112
nat设备同时纪录类似如下的入向过滤列表:
(1.1.1.1, 11112, *, *)
入包只要是发往1.1.1.1:11112, nat设备就会为其转发(不论入包的源地址和端口是啥).

2. 地址受限型(Restricted Cone NAT)

同全纺锤型的例子, 只是nat设备记录的入向过滤列表为:
(1.1.1.1, 11112, 2.2.2.2, *)
入包被放行的条件是入包的目的地址端口是1.1.1.1:11112且入包的源地址是2.2.2.2

3. 地址端口受限型(Port Restricted Cone NAT)

同全纺锤型的例子, 只是nat设备记录的入向过滤列表为
(1.1.1.1, 11112, 2.2.2.2, 22222)
入包被放行的条件是入包的目的地址端口是1.1.1.1:11112且源地址是2.2.2.2, 源端口是22222
假设此时客户端使用同样的地址端口对向服务器B发数据包
192.168.1.99:11111 => 3.3.3.3:33333
nat设备中会记录类似如下的映射关系:
192.168.1.99:11111 <=> 1.1.1.1:11112
这个特点是，当源客户主机使用相同的IP、端口号时，NAT通常也会使用相同的IP、端口号予以映射, 入向过滤列表为:
(1.1.1.1, 11112, 2.2.2.2, 22222)
(1.1.1.1, 11112, 3.3.3.3, 33333)

4. 对称型(Symmetric NAT)

同地址端口受限型的例子, 只是当客户端使用同样的地址端口对向服务器B发数据包时
192.168.1.99:11111 => 3.3.3.3:33333
nat设备中会记录类似如下的映射关系:
192.168.1.99:11111 <=> 1.1.1.1:11113
即使源客户主机使用相同的IP、端口号, 但是NAT会用不同的端口号予以映射. 入向过滤列表为:
(1.1.1.1, 11112, 2.2.2.2, 22222)
(1.1.1.1, 11113, 3.3.3.3, 33333)