NAT不仅可以实现内部网络用户访问外部网络,还可以使内部网络中分属不同VPN的用户通过一个出口访问外部网络,解决内部网络中IP地址重叠的VPN同时访问外部网络;NAT支持VPN关联的NAT Server,允许外部网络中的主机访问内网中分属不同VPN的服务器,同时支持内网多个VPN地址重叠的场景。
1. VPN关联的源NAT
VPN关联的源NAT是指前面所说的内部网络中分属不同VPN的用户通过同一个NAT出口访问外部网络,仅可应用于静态NAT中。
VPN1中的主机A和VPN2中的主机B地址重叠,都为私网地址192.168.1.1,都要同时访问外网服务器。
出口路由器在做源NAT转换时,将内部VPN作为一个NAT的匹配条件,将主机A发出
报文的源IP转换为200.1.1.1,将B主机发出报文的源IP转换为200.1.2.1,同时在建立的NAT转换表这个,记录用户的VPN信息。
当外部网络服务器回应内部主机A和B时的报文经过出口路由器时,根据已建立的NAT映射表,NAT模块将发往主机A报文的目的地址从200.1.1.1转换为192.168.1.1,然后发往VPN1的目的主机;将发往主机B报文的目的IP从200.1.2.1转换为192.168.1.1,然后发往VPN2的目的主机。
2. VPN关联的NAT Server
VPN关联的NAT Server是指外网主机通过NAT技术访问内网中分属不同VPN的服务器仅应用于NAT Server中。
VPN1和2中的服务器地址均为192.168.1.1;使用200.1.1.1作为VPN1内的Server A的外部地址,使用200.1.2.1作为VPN2内的Server B的外部地址。这样外部用户使用200.1.1.1节可以访问VPN1提供的服务,使用200.1.2.1就可以访问VPN2提供的服务。
实现方式:
外部网络主机访问VPN1中的A时的报文目的IP是200.1.1.1;访问VPN2内的B时的报文目的IP是200.1.2.1.
出口路由器在充当NAT Server时,根据报文的目的IP及VPN信息进行判断,将目的IP是200.1.1.1的报文的目的IP转换为192.168.1.1,然后发往VPN1的目的服务器A;将目的IP是200.1.2.1的报文目的IP转换为192.168.1.1,然后发往VPN2的目的服务器B;同时在新建的NAT映射表中,记录下关联的VPN信息。
当内部服务器A和B回应外部主机的报文经过出口路由器时,根据已建立的NAT映射表,将从服务器A发出的报文源IP 192.168.1.1转换为200.1.1.1,再发送到公网;将从服务器B发出的报文源IP 192.168.1.1转换为200.1.2.1,再发送到公网。