网络地址转换（NAT）详解：静态NAT、动态NAT与PAT

在IPv4地址日益枯竭的背景下，网络地址转换（Network Address Translation, NAT） 技术已成为现代网络不可或缺的基石。它允许多台设备共享一个或少量公网IP地址来访问互联网，极大地延缓了IPv4地址耗尽的速度，同时也在一定程度上隐藏了内网结构，提供了基础的安全屏障。

NAT技术主要分为三种类型：静态NAT、动态NAT 和 PAT（端口地址转换），后者也被称为 NAT重载（NAT Overload）。这三种类型各有其应用场景和配置逻辑。本文将深入解析它们的工作原理、优缺点以及跨厂商的通用配置方法。

一、 NAT技术核心概念与术语

在深入了解不同类型之前，必须统一理解NAT的基本术语，这些术语是所有厂商配置的基础：

内部网络（Inside Network）：通常指企业或家庭的私有网络。外部网络（Outside Network）：通常指公共互联网。内部本地地址（Inside Local Address）：分配给内部网络中设备的私有IP地址（如192.168.1.100）。该地址在公网上不可路由。内部全局地址（Inside Global Address）：在外部网络（互联网）上代表内部设备的公有IP地址。该地址由ISP提供，在公网上可路由。外部本地地址（Outside Local Address）：内部网络中的设备所看到的外部设备IP地址（此概念在基础NAT中较少使用）。外部全局地址（Outside Global Address）：外部设备在公网上真正的、可路由的IP地址。NAT表（NAT Table）：路由器或防火墙中维护的一张表，用于跟踪内部本地地址/端口与内部全局地址/端口之间的映射关系。这是NAT能够正确转发返回流量的关键。

基本工作原理：当一台内网设备（拥有内部本地地址）需要与公网通信时，其数据包到达执行NAT的设备（通常是出口路由器或防火墙）。该设备会根据NAT规则，将数据包的源IP地址（和/或端口）进行转换，替换为一个公网IP地址（内部全局地址），然后将数据包转发到互联网。返回的数据包目的地址是该公网IP，NAT设备根据其NAT表反向转换目的地址，将数据包送回正确的内网设备。

二、 静态NAT（Static NAT）

静态NAT建立了内部本地地址和内部全局地址之间一对一的永久映射。

1. 工作原理网络管理员手动配置一个固定的映射关系，例如将内网服务器192.168.1.10永久映射到公网IP203.0.113.10。无论该服务器是否有流量，这个映射关系始终存在于NAT表中。

2. 特点与适用场景

特点：一对一映射：一个私网IP固定对应一个公网IP。双向发起连接：既可以从内网主动访问外网，也可以从外网主动访问内网服务器（因为映射始终存在）。缺乏灵活性：浪费公网IP地址，因为即使设备关机，公网IP也被占用。适用场景：托管内部服务器：如Web服务器、邮件服务器、FTP服务器等需要从互联网被访问的设备。特殊应用：某些需要固定公网IP地址的客户端应用或VPN连接。

3. 通用配置逻辑与思路静态NAT的配置通常涉及两个步骤：定义映射关系，并在相关接口上应用。

场景假设：将内网服务器192.168.1.10映射到公网IP203.0.113.10。路由器连接内网的接口是GigabitEthernet0/0/1，连接公网的接口是GigabitEthernet0/0/0。

步骤一：创建静态NAT映射规则逻辑：创建一个规则，指明将哪个内部本地地址转换为哪个内部全局地址。通用命令思路：nat static global <内部全局地址> inside <内部本地地址>例如：nat static global 203.0.113.10 inside 192.168.1.10步骤二：在接口上启用NAT逻辑：需要在接口视图下指定该接口是“内部”还是“外部”，并应用相应的NAT规则。对于静态NAT，通常在内外接口上都需要应用。在内部接口上的配置：interface GigabitEthernet0/0/1 nat static enable # 含义：此接口是内部网络侧，允许执行之前定义的静态NAT规则。在外部接口上的配置（有时此步骤可省略，取决于厂商实现）：interface GigabitEthernet0/0/0 nat static enable # 含义：此接口是外部网络侧，允许执行反向的NAT转换（将公网IP转回私网IP）。

验证命令：display nat static 查看静态NAT配置状态。

三、 动态NAT（Dynamic NAT）

动态NAT建立了内部本地地址和内部全局地址池（Pool）之间一对一的临时映射。

1. 工作原理管理员预先定义一个可用的公网IP地址池（Global Address Pool）。当内网设备需要访问外网时，NAT设备会从地址池中动态地选择一个未被使用的公网IP地址，为其建立一对一的映射，并记录在NAT表中。该映射在连接持续期间有效，一旦连接超时（通常为数分钟到数小时），映射关系将被解除，公网IP地址被释放回地址池供其他设备使用。

2. 特点与适用场景

特点：一对一临时映射：仍然是一个私网IP对应一个公网IP，但只是临时的。只能由内网发起连接：外网无法主动访问内网设备，因为映射关系是动态的、不固定的。节省公网IP：相比静态NAT，提高了公网IP的利用率。但支持的并发连接数受限于地址池中的IP数量。适用场景：适用于内网设备数量有限，且不需要从外网被访问的场景。现在已较少使用，因其效率远低于PAT。

3. 通用配置逻辑与思路动态NAT配置通常包含四个步骤：定义ACL识别内部流量、创建公网地址池、建立ACL与地址池的关联、在接口上应用。

场景假设：允许内网网段192.168.1.0/24的所有主机动态使用公网IP池203.0.113.20到203.0.113.30。

步骤一：创建ACL（访问控制列表）识别需要转换的内部流量逻辑：使用ACL来匹配哪些内部本地地址需要进行NAT转换。通用命令思路：acl number 2000 # 创建一个基本ACL（编号因厂商而异） rule 5 permit source 192.168.1.0 0.0.0.255 # 允许源IP为192.168.1.0/24的流量步骤二：创建公网IP地址池（NAT Address Pool）逻辑：定义一个可用的公网IP地址范围。通用命令思路：nat address-group GROUP1 203.0.113.20 203.0.113.30 # 创建一个名为GROUP1的地址池，范围从203.0.113.20到203.0.113.30步骤三：建立ACL与地址池的关联（创建NAT规则）逻辑：在系统视图下创建一个规则，声明“匹配ACL 2000的流量，其源地址使用地址池GROUP1进行转换”。通用命令思路：nat outbound 2000 address-group GROUP1 no-pat # `outbound`表示出方向转换。 # `2000`指向之前创建的ACL。 # `address-group GROUP1`指定使用的地址池。 # `no-pat`是关键，表示“不使用端口转换”，即进行一对一的动态NAT。步骤四：在接口上启用NAT逻辑：在连接公网的出口接口上应用此出方向NAT规则。通用命令思路：interface GigabitEthernet0/0/0 nat outbound 2000 # 在某些厂商设备上，此步骤可能已在步骤三中隐含完成。

验证命令：display nat address-group 查看地址池状态；display nat session 查看活跃的动态NAT会话。

四、 PAT（端口地址转换 / NAT重载）

PAT是动态NAT的增强版，它实现了内部本地地址和单个内部全局地址之间多对一的映射。这是通过使用传输层端口号（Port Number） 来区分不同连接实现的。这也是目前家庭和企业网络中最普遍使用的NAT类型。

1. 工作原理当内网多台设备使用同一个公网IP访问外网时，NAT设备不仅转换源IP地址，还会转换源端口号。例如：

主机A (192.168.1.10:1050) -> NAT -> 203.0.113.1:10500主机B (192.168.1.11:3050) -> NAT -> 203.0.113.1:30500NAT设备会生成一个唯一的源端口号（如10500, 30500），并建立(内网IP:内网端口) <-> (公网IP:新端口)的映射记录在NAT表中。返回的数据包根据目的端口号（10500或30500）即可被正确转换并送回主机A或主机B。

2. 特点与适用场景

特点：多对一映射：成百上千个内网IP可以共享一个公网IP。极致节省公网IP：一个公网IP即可满足整个内网的上网需求。只能由内网发起连接：外网无法主动发起连接（除非配置端口转发）。适用场景：所有需要访问互联网的通用场景：家庭网络、中小企业网络、公司员工上网等。这是最经济、最高效的NAT解决方案。

3. 通用配置逻辑与思路PAT的配置与动态NAT极其相似，唯一的区别在于省略no-pat参数。甚至可以直接使用出口接口的IP地址作为唯一的公网IP（Easy IP功能），而无需创建地址池。

场景A：使用地址池进行PAT配置步骤与动态NAT完全相同，只需在关联命令中去掉no-pat。

acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255nat address-group GROUP1 203.0.113.20 203.0.113.30 # 池里可以有多个IPnat outbound 2000 address-group GROUP1# 注意：这里没有 `no-pat` 参数，即默认启用PAT（端口转换）。interface GigabitEthernet0/0/0 nat outbound 2000

场景B：使用接口IP进行PAT（Easy IP）这是更常见的方式，特别是在家庭网关中。直接使用出口接口获取到的公网IP（可能是DHCP获取的）作为转换后的地址。

acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255nat outbound 2000# 不指定address-group，直接使用接口IPinterface GigabitEthernet0/0/0 nat outbound 2000

验证命令：display nat session 查看详细的NAT会话表，你会看到同一个公网IP下有不同的端口号，对应不同的内网主机。

五、 总结与对比

特性

静态NAT

动态NAT

PAT (NAT重载)

映射关系

一对一，永久

一对一，临时

多对一，基于端口

地址转换

IP地址

IP地址

IP地址 + 端口号

连接方向

双向

仅内部发起

仅内部发起

公网IP需求

与内网服务器数量相同

≥ 并发主机数

极省，通常1个

配置复杂度

中

高

中（Easy IP方式低）

主要应用

内部服务器发布

旧式网络，特定需求

通用互联网访问

配置逻辑总览：

静态NAT：创建静态映射 -> 在内外接口上启用静态NAT。动态NAT：创建ACL -> 创建地址池 -> 关联ACL与地址池(no-pat) -> 在出口接口应用。PAT：创建ACL -> (可选 创建地址池) -> 关联ACL与地址池(无no-pat) 或 关联ACL与接口IP(Easy IP) -> 在出口接口应用。

尽管不同厂商的设备（华为的nat static, nat outbound；H3C的nat static, nat outbound；Juniper的security nat static, security nat source）在命令语法上存在差异，但其底层的工作原理和配置思路是完全一致的。理解上述通用逻辑后，再查阅具体厂商的配置指南，即可轻松地在任何网络设备上部署所需的NAT功能。NAT技术巧妙地解决了地址短缺问题，是IPv4网络能够延续至今的重要功臣。