Nat配置中，在企業(yè)出口網(wǎng)關(guān)路由器中配置缺省路由，那么在運(yùn)營(yíng)商的路由器中需要配置回程路由嗎？

理論上不同子網(wǎng)之間通信，需要在各自的路由器上配置指向?qū)Χ说穆酚桑@里僅僅以靜態(tài)路由為例，為了省事，通常配置默認(rèn)路由，即華為路由器的命令ip route-static 0.0.0.0 0.0.0.0 X. X. X. X（下一跳）。

為了弄明白這個(gè)問(wèn)題，也沒(méi)有參與過(guò)運(yùn)營(yíng)商的配置，我首先發(fā)了微頭條，請(qǐng)教大神。

非常感謝各位老鐵熱情的參與及專(zhuān)業(yè)分享。

下面用華為模擬器實(shí)驗(yàn)說(shuō)明

拓?fù)?/p>

如上圖，當(dāng)PC1需要訪(fǎng)問(wèn)AR2環(huán)回口202.169.20.1（模擬公網(wǎng)地址）的時(shí)候，先在AR1上配置一條到達(dá)202.169.10.0/24網(wǎng)絡(luò)的路由

[ar1]ip route-static 0.0.0.0 0.0.0.0 202.169.10.2

在PC1上測(cè)試，

PC>ping 202.169.10.2

可以看到網(wǎng)絡(luò)不通，不能到達(dá)ISP路由器AR2的g0/0/0與企業(yè)網(wǎng)關(guān)相連的接口（IP為202.169.10.2），說(shuō)明單向靜態(tài)路由無(wú)法使網(wǎng)絡(luò)通信，只能到達(dá)企業(yè)網(wǎng)關(guān)路由器AR1的接口g0/0/0(IP：202.169.10.1)。

此時(shí)R2上沒(méi)有做任何路由配置。

那么下面在R1上連接ISP的接口g0/0/0配置一條靜態(tài)NAT,ISP分配的IP是202.169.10.5（下面NAT轉(zhuǎn)換時(shí)會(huì)用到）

[ar1-GigabitEthernet0/0/0]nat server global 202.169.10.5 inside 172.16.1.1

此時(shí)測(cè)試PC1到公網(wǎng)202.169.20.1

由上圖知悉，網(wǎng)絡(luò)暢通，而在ISP運(yùn)營(yíng)商處的路由器沒(méi)有做任何路由配置。

R2上的路由表如下圖

這種NAT配置，私網(wǎng)通過(guò)一個(gè)私網(wǎng)IP連接公網(wǎng)的情況，運(yùn)營(yíng)商不用配置回程路由，完全由NAT來(lái)完成路由回程。

那么其原理是什么呢？

了解NAT之前，先明白幾個(gè)必要的概念。

NAT英文全稱(chēng)是“Network Address Translation”， 它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。

NAT有三種類(lèi)型：

靜態(tài)NAT(Static NAT)、

動(dòng)態(tài)地址NAT(Pooled NAT)、

網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port-Level NAT）。

NAPT是使用最普遍的一種轉(zhuǎn)換方式，在HomeGW中也主要使用該方式。它又包含兩種轉(zhuǎn)換方式：SNAT和DNAT。

(1)源NAT（Source NAT，SNAT）：修改數(shù)據(jù)包的源地址。源NAT改變第一個(gè)數(shù)據(jù)包的來(lái)源地址，它永遠(yuǎn)會(huì)在數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)之前完成，數(shù)據(jù)包偽裝就是SNAT的例子。

(2)目的NAT（Destination NAT，DNAT）：修改數(shù)據(jù)包的目的地址。Destination NAT剛好與SNAT相反，它是改變第一個(gè)數(shù)據(jù)的目的地地址，如負(fù)載平衡、端口轉(zhuǎn)發(fā)和透明代理就是屬于DNAT。

結(jié)合以下拓?fù)鋱D說(shuō)明

上圖中

NAT網(wǎng)關(guān)是AR1，有3個(gè)網(wǎng)絡(luò)端口，

私網(wǎng)兩個(gè)172.16.1.254和172.17.1.254，這里用172.16.1.254代表說(shuō)明，

其中公網(wǎng)端口的IP地址是ISP統(tǒng)一分配的公共 IP，為202.169.10.1；

私有網(wǎng)絡(luò)端口的IP地址是保留地址，為172.16.1.254。私有網(wǎng)中的主機(jī)（PC1）172.16.1.1向公共網(wǎng)中的ISP路由器接口AR2的地址202.169.10.2發(fā)送了1個(gè)IP包(Dst=202.169.10.2,Src=172.16.1.1)。

當(dāng)IP包經(jīng)過(guò)NAT網(wǎng)關(guān)時(shí)，NAT Gateway（AR1）會(huì)將IP包的源IP轉(zhuǎn)換為NAT Gateway的公共IP并轉(zhuǎn)發(fā)到公共網(wǎng)，此時(shí)IP包（Dst=202.169.10.2，Src=202.169.10.5）中已經(jīng)不含任何私有網(wǎng)IP的信息。

由于IP包的源IP已經(jīng)被轉(zhuǎn)換成ISP提供的公共IP，ISP的路由器AR2發(fā)出的響應(yīng)IP包（Dst= 202.169.10.5,Src=202.169.10.2）將被發(fā)送到NAT Gateway（AR1）。

這時(shí)，NAT Gateway會(huì)將IP包的目的IP轉(zhuǎn)換成私有網(wǎng)中主機(jī)的IP，然后將IP包（Des=172.16.1.1，Src=202.169.10.2）轉(zhuǎn)發(fā)到私有網(wǎng)。對(duì)于通信雙方而言，這種地址的轉(zhuǎn)換過(guò)程是完全透明的。轉(zhuǎn)換示意圖如下。

由上圖知悉，內(nèi)網(wǎng)地址通過(guò)NAT轉(zhuǎn)換后可以到達(dá)外網(wǎng)，可以到達(dá)ISP運(yùn)營(yíng)商路由器，回程是在NAT中完成的，運(yùn)營(yíng)商不用配置回程路由。