双向地址转换

一般我们遇到三种NAT分别为;源地址转换、目的地址转换、双向地址装换。前两种源地址转换和目的地址转换比较常见也易理解。那什么是双向地址转换呢?
顾名思义双向地址转换就是源地址和目的地址都要进行装换;那什么情况下要转换;为什么要转换呢???
首先我们设想一个简单的环境;公司内部有个业务需要发布至互联网。内部业务服务器是10.0.0.1 公网出口是30.0.0.1 业务的域名是www.test.com。互联网用户浏览器访问www.test.com访问到内部10.0.0.1上面的业务。采用的是目的地址转换。内部用户20.0.0.1源地址NAT成40.0.0.1到达互联网

首先看外部用户通过目的地址访问的网络数据包转换
1、互联网用户通过DNS解析www.test.com;解析到地址30.0.0.1
2、数据包的原地址为222.222.222.222目的地址是30.0.0.1
3、数据包到达出口防火墙之后存在目的地址转换;源地址还是222.222.222.222;目的地址则转换成10.0.0.1
4、内部业务服务器10.0.0.1收到请求之后回包;源地址10.0.0.1目的地址30.0.0.1
5、回包到达防火墙后;源地址30.0.0.1 目的222.222.222.222完成整个数据请求。

现在看内部用户通过目的地址访问的网络数据包转换
1、内部用户通过互联网DNS解析到www.test.com地址是 30.0.0.1
2、数据包的员地址为20.0.0.1目的地址是30.0.0.1
3、数据包到达出口防火墙之后存在目的地址转换;源地址还是20.0.0.1;目的地址则转换成10.0.0.1
4、内部业务服务器10.0.0.1收到请求之后回包;源地址10.0.0.1目的地址20.0.0.1
5、这时候20.0.0.1收到10.0.0.1的回包发现和请求的目的IP不一致丢弃数据包。
所以内部用户通过目的地址转换访问对外发布的服务器是不行的;需要将源地址也转换。

最后看内部用户通过双向地址访问的网络数据包转换*
1、内部用户通过互联网DNS解析到www.test.com地址是 30.0.0.1
2、数据包的员地址为20.0.0.1目的地址是30.0.0.1
3、数据包到达出口防火墙之后存在目的地址转换;源地址转换成40.0.0.1;目的地址则转换成10.0.0.1
4、内部业务服务器10.0.0.1收到请求之后回包;源地址10.0.0.1目的地址40.0.0.1
5、数据包到达防火墙之后源和目的地址重新转换成源30.0.0.1目的20.0.0.1;响应包和请求包源目的地址一致;完成整个数据请求。