这是一所大学，所以很可能最初一切都在公共 IP 上，但由于 IP 紧缩，需要引入私有 IP。

在网络边缘使用 NAT 意味着大学的网络流量不会受到影响。这意味着大学内部的内部连接就像过去一切都有公共 IP 一样。

将几个 NAT 盒连接到边缘路由器并添加基于源地址的路由以将流量定向到正确的 NAT 大概是在网络边缘为来自私有子网的流量引入 NAT 的最简单方法，同时允许来自公共的流量IPs 像以前一样继续流动。

（注意：本文中使用的任何 IP 都只是示例，与 OP 图所取自的真实网络没有任何关系，我假设他们使用 10.0.0.0/8 用于私有，1.2.0.0/16为公众）

如果NAT盒只连接边界，每个NAT盒和边界路由器之间需要2条链路，对吗？

这可能取决于 NAT 的实现。我很确定 iptables 可以只通过一个到核心路由器的链接来完成，其他实现可能需要单独的“内部”和“外部”链接。

此设置需要的是边界路由器，它可以根据源地址进行路由（正常路由基于目标地址），以便来自私有子网的流量直接流向 NAT，而来自公共子网的流量则直接通过。

在没有物理约束的情况下，为核心 <--> NAT <--> 边界添加链接，同时保留当前核心 <--> 边界链接而不是将 NAT 框附加到图中的边界不是更好吗？

我可以看到为什么他们所采用的设置可能比您建议的设置更可取的几个原因。

首先，我认为你不应该忽视身体上的限制。核心路由器和边界路由器很可能位于不同的物理位置，在这些位置之间添加额外的电缆可能会很昂贵。

其次，我希望在边界路由器上这样做实际上更简单。如果数据包到达边界路由器，它就会离开网络。因此，边界路由器可以有非常简单的规则，例如“将源 IP 匹配 10.0.0.0/9 的任何内容发送到 nat box a”和“将源 IP 匹配 10.128.0.0/9 的任何内容发送到 nat box b” . 另一方面，核心路由器需要更复杂的规则，例如“将源 IP 与 10.0.0.0/9 匹配的任何内容发送到 nat 框，目标 IP 不在 10.0.0.0/8 或 1.2.0.0/ 16 到 NAT 盒 a”和“将源 IP 与 10.128.0.0/9 匹配的任何内容发送到 NAT 盒，将不在 10.0.0.0/8 或 1.2.0.0/16 中的目标 IP 发送到 NAT 盒 b”。

最后，可能只是边界路由器具有所需功能而核心路由器不具有这些功能的情况。基于源地址的路由是一项相当高级的功能。

NAT 是转换地址的过程。它应该放置在寻址域的边缘，在那里地址需要被转换。如果您整个公司使用相同的地址，它将处于公司的边缘。

如果在地址域中间转换地址，寻址域内的寻址将不正确，并且流量可能无法正确路由（取决于转换方向），因为寻址域对新寻址一无所知。此外，传入流量可能存在路由问题，因为寻址域的边缘对外部寻址一无所知，并且无法将流量路由到转换点。

在不知道配置的情况下很难确定。但我最好的猜测是假设 20gbps 链接的两个箭头每个都表示 NAT 设备位于边缘路由器“内部”。所以像：

Edge --> NAT --> Edge --> Core

这可以使用 VRF（甚至 VLAN）来完成。但这同样只是一个猜测，如果不查看配置，就不会有明确的答案。