云小课 | 网络知识一箩筐——NAT 网关，让 IP 地址华丽变身，轻松实现内外网互通

华为云开发者社区

关注

发布于: 57 分钟前

阅识风云是华为云信息大咖，擅长将复杂信息多元化呈现，其出品的一张图(云图说)、深入浅出的博文(云小课) 或短视频(云视厅)总有一款能让您快速上手华为云。更多精彩内容请单击此处。

摘要：网络知识一箩筐：搜集分享网络基础知识，轻松掌握华为云网络服务。本篇分享 NAT 网关的相关知识，助您快速理解。

本文分享自华为云社区《【云小课】基础服务第71课网络知识一箩筐——NAT网关，让IP地址华丽变身，轻松实现内外网互通》，作者：云小萌。

在我们使用华为云服务时，经常会用到 NAT 网关。那么 NAT 网关到底是什么呢？NAT 网关有什么作用呢？

本节云小课为您解惑 NAT 网关，供大家学习参考~

网关

网关(Gateway)又称网间连接器、协议转换器。网关就是一个网络连接到另一个网络的“关口”，也就是网络关卡。网关在网络层以上实现网络互连，是复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。

网关是一种充当转换重任的计算机系统或设备。
网关是一个翻译器，网关对收到的信息要重新打包，以适应目的系统的需求。
网关同时也可以提供过滤和安全功能。

网关就像我们居住小区的大门，小区就是一个局域网，住户就像局域网中的主机。在小区里的住户很方便的就可以送东西到别的住户家，不需要出大门，相应的同一局域网下的主机发送数据包不需要网关；但是想要送物品去其他小区住户家的时候就必须经过本小区的大门，然后通过目的住户小区大门的查验，将物品送达。在网络中也是相似的，假设网络 A 和网络 B 分属于不同局域网，网络 A 里的主机要给网络 B 里的主机发送数据，网络 A 中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络 B 的网关，网络 B 的网关再转发给网络 B 的某个主机。网络 B 中主机向网络 A 中主机发送数据过程也是如此。示意图如下：

简单的理解连接两个不同的网络的设备都可以叫网关设备，网关的作用就是实现两个网络之间进行通讯与控制。网关设备可以是交互机、路由器、启用了路由协议的服务器、代理服务器、防火墙等。网关也是一个网络通向其他网络的 IP 地址。

默认网关：

就像一个小区会有多个大门一样，一台主机可以有多个网关。默认网关就是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。

NAT

在 Windows 环境下，打开你的命令行输入“ipconfig”查询你的 IP 地址，如下图：

打开搜索引擎，输入“IP 地址查询”，查询你的 ip 地址，如下图：

是不是发现了一件奇怪的事情，两种方式查询的 IP 地址怎么不一样？但是我们又经常说每个主机只有一个 IP，这个 IP 是他的身份标识，这完全矛盾啊。

其实并不矛盾，这里我们要用到公网 IP 和私网 IP 这两个概念，使用命令行查询到的是我们 PC 的私网地址，使用搜索引擎查到的是公网地址。私网地址只能在局域网中使用，不同的局域网可以使用相同的私网地址，私网地址是不能出现在互联网上的。那么私网地址是如何访问互联网呢？

NAT（NetworkAddress Translation，网络地址转换）闪亮登场，NAT 提供私网 IP 地址和公网 IP 地址进行互相转换的功能，就是替换 IP 报文头部的地址信息。对于有 Internet 访问需求而内部又使用私有 IP 地址的网络，就要在网络的出口位置部署 NAT 网关，在报文离开私网进入 Internet 时，将源 IP 替换为公网地址。一个对外的访问请求在到达目标以后，表现为由网络出口设备发起，因此被请求的服务端将响应由 Internet 发回出口网关。出口网关再将目的地址替换为私网的源主机地址，发回内部。这样一次由私网主机向公网服务端的请求和响应就完成了。

NAT 有三种类型：静态 NAT(Static NAT)、动态地址 NAT(Pooled NAT)、网络地址端口转换 NAPT（Port－Level NAT）。

静态 NAT 设置起来最为简单和最容易实现的一种，私有网络中的每个主机 ip 地址都被永久映射成一个公网 IP 地址，形成一对一的固定对应映射关系。

动态地址 NAT 是指不建立私网 IP 地址和公网 IP 地址的一对一的固定对应关系。而通过共享 NAT 地址池的 IP 地址动态建立 NAT 的映射关系。当内网主机需要进行 NAT 地址转换时，路由器会在 NAT 地址池中选择空闲的公网 IP 地址进行映射，每条映射记录是动态建立的，在连接终止时也被收回。

网络地址端口转换 NAPT 则是将 IP 地址和端口号一起进行转换，把众多私网 IP 地址映射到一个公网 IP 地址的不同端口上，私网内的众多主机使用同一个公网 IP 同时与公网通信。

很抽象？看一看下面的图解。

主机 A（192.168.1.20）和主机 B（192.168.1.21）同时与互联网服务器（120.222.223.10）进行通信，并且两个主机的本地端口都是 1030。两个主机的私有 IP 地址都通过 NAPT 转换为公网 IP：178.20.1.168，但是分配不同的端口号进行区分。生成一个 NAPT 转换表，正确的转换地址和端口的组合，实现使用私有 IP 的主机 A 和 B 同时与互联网服务器进行通信。

NAT 网关

NAT 网关（NATGateway）顾名思义就是网关和 NAT 合并起来的产物，使用地址转换的功能联通不同网络。华为云提供 NAT 网关服务，为虚拟私有云内的云主机（弹性云服务器云主机、裸金属服务器物理机、云桌面）或者通过云专线/VPN 接入虚拟私有云的本地数据中心的服务器，提供最高 10Gbit/s 能力的网络地址转换服务，使多个云主机可以共享弹性公网 IP 访问 Internet 或使云主机提供互联网服务。如下图所示：

NAT 网关分为 SNAT 和 DNAT 两个功能。

SNAT 功能通过绑定弹性公网 IP，实现私有 IP 向公有 IP 的转换，可实现 VPC 内跨可用区的多个云主机共享弹性公网 IP，安全，高效的访问互联网。

DNAT 功能绑定弹性公网 IP，可通过 IP 映射或端口映射两种方式，实现 VPC 内跨可用区的多个云主机共享弹性公网 IP，为互联网提供服务。

戳这里了解更多华为云 NAT 网关服务知识，助您业务上云。

有的小伙伴会问，从私网访问公网华为云 NAT 网关服务可以办到，但是私网想访问私网呢？

华为云不会让您失望，华为云 NAT 网关服务提供私网 NAT 网关（PrivateNAT Gateway），满足您的需要。私网 NAT 网关能够为虚拟私有云内的云主机（弹性云服务器、裸金属服务器、云桌面）提供网络地址转换服务，使多个云主机可以共享私网 IP 访问用户本地数据中心（IDC）或其他虚拟私有云，同时，也支持云主机面向私网提供服务。