NAT 策略概述

CSO 支持三种类型的 NAT：

• 源 NAT — 转换离开信任区域（出站流量）的数据包的源 IP 地址。它会转换源自信任区域中设备的信息流。流量的源 IP 地址（即专用 IP 地址）转换为公共 IP 地址，可由 NAT 规则中指定的目标设备访问。目标 IP 地址未转换。

  以下用例显示支持 IPv6 和 IPv4 地址域之间的源 NAT 转换：

  • 从一个 IPv6 子网转换到另一个 IPv6 子网，无需网络地址端口转换 （NAPT），也称为端口地址转换 （PAT）。

  • 从 IPv4 地址转换为 IPv6 前缀，以及 IPv4 地址转换。

  • 使用或不使用 NAPT 从 IPv6 主机转换为 IPv6 主机。

  • 使用或不使用 NAPT 从 IPv6 主机转换为 IPv4 主机。

  • 将 IPv4 主机转换为带 NAPT 或不带 NAPT 的 IPv6 主机。

• 目标 NAT — 转换数据包的目标 IP 地址。使用目标 NAT，外部设备可将数据包发送至隐藏的内部设备。例如，考虑 NAT 设备背后的 Web 服务器的情况。面向 WAN 的公共 IP 地址（目标 IP 地址）的流量将转换为内部 Webserver 专用 IP 地址。

  以下用例显示支持 IPv6 和 IPv4 地址域之间的目标 NAT 转换：

  • 将一个 IPv6 子网映射到另一个 IPv6 子网

  • 一个 IPv6 主机和另一个 IPv6 主机之间的映射

  • 将一个 IPv6 主机（和可选的端口号）映射到另一个特殊 IPv6 主机（和可选端口号）

  • 将一个 IPv6 主机（和可选的端口号）映射到另一个特殊 IPv4 主机（和可选端口号）

  • 将一个 IPv4 主机（和可选的端口号）映射到另一个特殊 IPv6 主机（和可选端口号）

• 静态 NAT — 始终将专用 IP 地址转换为同一公共 IP 地址。它可转换来自网络两侧（源和目标）的流量。例如，具有专用 IP 地址的 Web 服务器可以使用静态一对一地址转换来访问互联网。在这种情况下，从 Web 服务器传出的流量将进行源 NAT 转换，而到 Web 服务器的传入流量将进行目标 NAT 转换。

  以下用例显示支持 IPv6 和 IPv4 地址域之间的静态 NAT 转换：

  • 将一个 IPv6 子网映射到另一个 IPv6 子网。

  • 一个 IPv6 主机和另一个 IPv6 主机之间的映射。

  • IPv4 地址 a.b.c.d 和 IPv6 地址 Prefix::a.b.c.d之间的映射。

  • IPv4 主机和 IPv6 主机之间的映射。

  • IPv6 主机和 IPv4 主机之间的映射。

CSO 还支持持久 NAT，其中地址转换在数据库中维护，以便在会话结束后的可配置时间。

表 1 显示了对不同源 NAT 和目标 NAT 地址的持久 NAT 支持。

表 1：持续 NAT 支持

源 NAT 地址	已翻译地址	目标 NAT 地址	持久 NAT
IPv4	IPv6	IPv4	不
IPv4	IPv6	IPv6	不
IPv6	IPv4	IPv4	是的
IPv6	IPv6	IPv6	不

表 2 和 表 3 显示源 NAT、目标 NAT 和静态 NAT 地址的已转换地址池选择。

表 2：源 NAT 的已转换地址池选择

源 NAT 地址	目标地址	池地址
IPv4	IPv4	IPv4
IPv4	IPv6 - 子网必须大于 96	IPv6
IPv6	IPv4	IPv4
IPv6	IPv6	IPv6

表 3：目标 NAT 和静态 NAT 的已转换地址池选择

源 NAT 地址	目标地址	池地址
IPv4	IPv4	IPv4 或 IPv6
IPv4	IPv6 - 子网必须大于 96	IPv4 或 IPv6
IPv6	IPv4	IPv4
IPv6	IPv6	IPv4 或 IPv6

注意：

• 对于源 NAT，代理邻接方发现协议 （NDP） 可用于 NAT 池地址。对于目标 NAT 和静态 NAT，代理 NDP 可用于目标 NAT 地址。

• NAT 池可以有一个 IPv6 子网或多个 IPv6 主机。

• 如果地址类型为 IPv6，则无法配置溢流池。

• NAT 池仅允许一种版本类型的地址条目：IPv4 或 IPv6。