路由器的NAT不仅可以使内部网络的用户访问外部网络,还允许内部网络中分属于不同VPN(Virtual Private Network)的用户通过同一个出口访问外部网络,解决内部网络中IP地址重叠的VPN同时访问外网主机的问题;路由器的NAT模块还支持VPN关联的NAT Server,允许外部网络中的主机访问内网中分属不同VPN的服务器,同时支持内网多个VPN地址重叠的场景。
VPN关联的源NAT
VPN关联的源NAT是指内部网络中分属于不同VPN的用户通过NAT技术访问外部网络,组网如图1所示:
图1 VPN关联的源NAT
实现方式如下:
1. VPN 1内的主机A和VPN 2内的主机B地址重叠,都为私网地址10.1.1.1,都要同时访问外部网络的一个服务器。
2. Router在做源NAT时,将内部VPN作为一个NAT的匹配条件,将主机A发出报文的源IP转换为202.1.1.1,将主机B发出报文的源IP转换为202.1.2.1,同时在建立的NAT转换表中,记录用户的VPN信息。
3. 当外部网络服务器回应内部网络主机A和B的报文经过Router时,根据已建立的NAT会话表,NAT模块将发往主机A报文的目的IP从202.1.1.1转换为10.1.1.1,然后再发往VPN 1的目的主机;将发往主机B报文的目的IP从202.1.2.1转换为10.1.1.1,然后再发往VPN 2的目的主机。
VPN关联的NAT Server
VPN关联的NAT Server是指外网主机通过NAT技术访问内网中分属不同VPN的服务器,组网如图2所示:
图2 VPN关联的NAT Server
实现方式如下:
1. 外部网络的主机访问VPN 1内的Server A,报文目的IP是202.1.10.1;访问VPN 2内的Server B,报文目的IP是202.1.20.1。
2. Router在做NAT server时,根据报文的目的IP及VPN信息进行判断,将目的IP是202.1.10.1的报文的目的IP转换为10.1.1.1,然后发往VPN 1的目的Server A;将目的IP是202.1.20.1的报文的目的IP转换为10.1.1.1,然后发往VPN 2的目的Server B;同时在新建的NAT会话表中,记录下关联的VPN信息。
3. 当内部Server A和B回应外部网络主机的报文经过Router时,根据已建立的NAT会话表,NAT模块将从Server A发出的报文的源IP从10.1.1.1转换为202.1.10.1,再发往外部网络;将从Server B发出的报文的源IP从10.1.1.1转换为202.1.20.1,再发往外部网络。
