发现 NAT 这东西挺好用啊，做一层 nat ，不做端口映射，后面的服务器基本不用担心来自公网的爆破了。

感谢各位的分享和指点. 这里虽然只提了NAT, 但是也使用了其他技术, 诸如通过 IPsec(IKEv2) 连接内网组网等等.
至于GRE over IPsec, 构建DMVPN运行动态路由协议OSPF/EIGRP 这种倒是没有做, 主要原因还是身后的站点没有那么庞大, 暂时使用静态路由解决了.

nat 减速，不如开个防火墙更灵活。

本来就好用啊，结合防火墙策略使用有很好的隔离效果。
我们公司即便 IPv6 也是做要 NAT66 的。
但是单独使用 NAT 是没有你以为的安全性的。

web 服务可以用反向代理，没必要 nat ，特殊的开防火墙

其实，本质上来说，NAT 就是防火墙的一种形式。。。。。。

坏消息是对 p2p 也会有一定影响，不同 nat 锥形对 p2p 打洞的影响是不一样的。

那你穿 10 层 nat,岂不是天下无敌

op 没说到点子上，企业级路由器一条规则就可以丢弃来自外部的请求流量。

NAT 是需要映射表来做流量转发，这个在连接量大的时候就会成为瓶颈。早期的光猫拨号性能不足就是这种情况，所以大家基本上做的第一件事情就是改成桥接。

请问你们是什么硬件和软件方案，我一直想弄这个，但是不太了解 ipv6 好像很多设备也不支持，想换也不知道该换什么

哈哈哈哈笑死了

将来您还会发现更多好用的，比如 GRE ，OSPF ，IP 。。。

＃8 我这边小公司，出口就是一个 RouterOS ，内部是三层交换机做 IPv6 SLAAC

你确定吗？我上个月刚做了简单的测试，家里路由器加一层 NAT ，延迟差别根本无感，网速也没问题。所以减速在哪？

?
和 NAT 没关系，是存储转发的基本通信方式，
你的包从我手上过，我把它递给下一条还是随手扔了，那还不是我说了算吗，

不穿衣服住山洞里的确挺舒服的。前提只要你一辈子不用出去。

＃12 包多了转发的时候比较考验设备，当然家庭没所谓了。不过防火墙也一样有这个问题。。。

＃12 一个是包多，另一个是网络带机量大，NAT 表复杂

＃2 NAT66 和限制 ipv6 入站数据包转发相比有什么优势么？

＃17 一些场景下，组织的出口是动态 IPv6 前缀，而内部有多个子网，想把动态的地址通过 DHCPv6 正常分配到不同子网里，配置会比较麻烦，而且三层交换机上的接口地址前缀可能会不可控。总的来说，越复杂的内部网络越可能要用 ULA ，那么出口就要做 NAT66 。

即使是 Full cone NAT 也能防止公网的爆破, 因为往往要求内网设备主动打洞. 而且企业网络通常不要求可能不允许员工进行 P2P, 如果是特殊需求那么肯定是能配置网关的.

请问什么是桥接呢？

那你需要的不是 NAT ，而是反代。。。。

抛开安全性不谈，我就很讨厌 NAT ，20 年前很多软件对 NAT 的适配都不好，每次帮别人做 IT 维护烦得要死
后来学了 CCIE ，才知道 NAT 也分好多种，什么 SNAT,DNAT,PNAT.....感觉也就大陆由于 IPV4 缺乏（还要加上舆论管控）才把 NAT 当个宝

＃12 首先这里有一个历史遗留问题。早年间的路由器都是 MIPS 架构的，电路是针对路由协议设计的，NAT 性能远低于采用 x86 架构的防火墙。很久之前我实测过思科 2811 路由器从外往里访问服的 NAT 性能远低于同级别的 ASA 防火墙（当然防火墙贵非常多）。
但是现在这个时代，ARM 的算力太强，基本上 NAT 随便算，家用路由器对 NAT 的要求又不高，并不会感觉到什么减速。