NAT44/NAT64/NAT66 之间的原理、区别与在真实应用场景

在网络世界中，NAT（网络地址转换）是在地址不够用、网络不对等、结构要隐藏的现实世界里，让通信还能继续发生的技术

在不同网络阶段、不同协议下，NAT 逐渐演化出了三种形态：

NAT44（IPv4 → IPv4）

NAT64（IPv6 → IPv4）

NAT66（IPv6 → IPv6）

NAT44

NAT44 的本质是 IPv4 私网地址->IPv4 公网地址

典型的场景:

内网一堆 192.168.？.？的设备，通过一个公网 IPv4 上网

为什么会诞生 NAT44 呢：因为 IPv4 地址不够用了，IPv4 只有 2 的 32 次方约等于 43 亿个地址，而互联网设备远远超过这个量，于是就想到了这个方法，内部随便用，出去的使用我给你翻译一下

本质作用：

节省 IPv4 地址

隐藏内网结构

简化内部网络规划

常见形式：

SNAT（源地址转换），常用于内网访问外网

192.168.1.10 → 1.1.1.1

DNAT（目的地址转换/端口映射），常用于外网访问内网服务(端口映射)

1.1.1.1:80 → 192.168.1.10:80

PAT（端口复用，最常见），用于多个内网主机共享一个公网 IP，通过端口区分连接，在显示生活中的家庭宽带上网，使用的就是 NAT44+PAT

192.168.1.10:12345 → 1.1.1.1:40001

192.168.1.11:23456 → 1.1.1.1:40002

NAT64

NAT64 是一种将 IPv6 网络流量通过中间设备转换为 IPv4 流量，从而使 IPv6 主机能够访问 IPv4 网络的技术

本质：

IPv6->IPv4 之间的协议级转换

关键点在于 IPv6 主机以为自己在和 IPv6 通信，实际上中间有人在“偷偷翻译”，这里翻译的过程是由 NAT64 网关完成的

IPv6 地址并不是被转换成 IPv4 地址，而是由 NAT64 设备代替，用 IPv4 地址与外部通信

关键配套技术：

NAT64 必须配合 DNS64 使用

因为 IPv6 终端只会请求 AAAA 记录，而很多 IPv4-only 网站只有 A 记录，所以 DNS64 做了一件事情：发现只有 A 记录->把 IPv4 地址嵌进一个“合成的 IPv6 地址”->返回一个假的 AAAA 记录给客户端

例如：

IPv4: 203.0.113.10

合成 IPv6: 64:ff9b::203.0.113.10

终端以为是在访问 IPv6,实际上流量被送到 NAT64 设备，再转成 IPv4 的

NAT64 的应用场景：

运营商 IPv6-only 接入网络

移动网络（部分运营商已大规模使用）

云环境 IPv6 优先架构

总结起来就是 NAT64 是 IPv6 走向主流的“过渡桥梁”

NAT66

NAT66 的本质是 IPv6->IPv6

使用场景(非常少)：

多运营商接入但不想跑 BGP

地址重规划困难

某些安全策略下“强制隐藏内部结构”

例如：
企业内部使用一套 ULA（fd00::/8），对外通过运营商前缀统一转换。

不推荐 NAT66 的使用，因为 IPv6 的设计哲学是端到端直连，不要用 NAT

NAT66 会带来：

排错困难

应用兼容问题

破坏端到端模型

总结起来就是能不使用 NAT66 就不用

三个 NAT 的形象比较

NAT44：老城区门牌不够，只能再同一个门牌下加“分机号”

NAT64：中文用户打电话给只会英文的客户，中间有翻译

NAT66：两个都会说中文，还非要找个翻译

这三个协议总结起来：

NAT44 是历史的必然产物，

NAT64 是现实的过渡方案，

NAT66 是工程上的妥协方案，

最终目标是全网都使用原生 IPv6,端到端直连，不需要使用任何 NAT