NAT技術(shù)在企業(yè)網(wǎng)中的研究與應(yīng)用

摘 要：由于Internet的迅速發(fā)展，網(wǎng)絡(luò)地址越來(lái)越珍貴。NAT是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。NAT在一定程度上能夠有效的解決公網(wǎng)地址不足的問(wèn)題。本文旨在從初學(xué)者的角度出發(fā)，研究了路由器中網(wǎng)絡(luò)地址轉(zhuǎn)換的NAT技術(shù)。

關(guān)鍵詞：NAT；路由器；地址轉(zhuǎn)換；Internet

中圖分類(lèi)號(hào)：TP393.02

1 NAT的簡(jiǎn)介

隨著Internet的膨脹式發(fā)展，其可用的IP地址越來(lái)越少，IPv4定義的有限地址空間將被耗盡，而地址空間的不足必將妨礙互聯(lián)網(wǎng)的進(jìn)一步發(fā)展。這不僅僅是費(fèi)用的問(wèn)題，而是IP地址的現(xiàn)行標(biāo)準(zhǔn)IPv4決定的。NAT（網(wǎng)絡(luò)地址翻譯）在一定程度上能解決這個(gè)問(wèn)題，當(dāng)一個(gè)私有網(wǎng)絡(luò)要通過(guò)Internet注冊(cè)的公有IP連接到外部時(shí)，位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)中的NAT路由器就負(fù)責(zé)在發(fā)送數(shù)據(jù)包之前把內(nèi)部IP翻譯成外部合法IP地址，使多重的內(nèi)部網(wǎng)絡(luò)可以使用相同的IP訪(fǎng)問(wèn)Internet，這樣一來(lái)就可以減少注冊(cè)IP地址的使用。

通常情況下NAT功能被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。NAT設(shè)備用來(lái)把非法的IP地址映射到合法的IP地址上去。每個(gè)包在NAT設(shè)備中都被翻譯成正確的IP地址發(fā)往下一級(jí)。

私有IP地址屬于非注冊(cè)地址，公有IP地址是指在因特網(wǎng)上全球唯一的IP地址。使用私有地址是無(wú)法直接連接到因特網(wǎng)上，但是能夠用在公司內(nèi)部的網(wǎng)絡(luò)上。

常用的私有地址范圍如下：

A 類(lèi)：10.0.0.0～10.255.255.255 子網(wǎng)掩碼：255.0.0.0

B 類(lèi)：172.16.0.0～172.31.255.255 子網(wǎng)掩碼：255.255.0.0

C 類(lèi)：192.168.0.0～192.168.255.255 子網(wǎng)掩碼：255.255.255.0

上述三個(gè)范圍內(nèi)的地址不會(huì)在因特網(wǎng)上被分配，私有地址可以通過(guò)防火墻、NAT等設(shè)備或特殊軟件間接連接到Internet。

2 NAT的工作原理

當(dāng)私有網(wǎng)主機(jī)和公共網(wǎng)主機(jī)通信的IP包經(jīng)過(guò)NAT網(wǎng)關(guān)時(shí)，將IP包中的源IP或目的IP在私有IP和NAT的公共IP之間進(jìn)行轉(zhuǎn)換。NAT網(wǎng)關(guān)有2個(gè)網(wǎng)絡(luò)端口，其中公共網(wǎng)絡(luò)端口的IP地址是統(tǒng)一分配的公共IP，；私有網(wǎng)絡(luò)端口的IP地址是保留地址。私有網(wǎng)中的主機(jī)向公共網(wǎng)中的主機(jī)發(fā)送了1個(gè)IP包。當(dāng)IP包經(jīng)過(guò)NAT網(wǎng)關(guān)時(shí)，NAT會(huì)將IP包的源IP轉(zhuǎn)換為NAT的公共IP并轉(zhuǎn)發(fā)到公共網(wǎng)，此時(shí)IP包中已經(jīng)不含任何私有網(wǎng)IP的信息。由于IP包的源IP已經(jīng)被轉(zhuǎn)換成NAT的公共IP，響應(yīng)的IP包將被發(fā)送到NAT。這時(shí)，NAT會(huì)將IP包的目的IP轉(zhuǎn)換成私有網(wǎng)中主機(jī)的IP，然后將IP包轉(zhuǎn)發(fā)到私有網(wǎng)。對(duì)于通信雙方而言，這種地址的轉(zhuǎn)換過(guò)程是完全透明的。

3 NAT的分類(lèi)

NAT有SNAT（靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換）、PNAT（動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換）和NNAT（網(wǎng)絡(luò)地址端口轉(zhuǎn)換）。

地址轉(zhuǎn)換是指當(dāng)內(nèi)部網(wǎng)絡(luò)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)時(shí)，地址轉(zhuǎn)換將會(huì)選擇一個(gè)合適的外部地址，來(lái)替代內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)報(bào)文的源地址。SNAT（靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換）是指內(nèi)部網(wǎng)絡(luò)的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址，PNAT（動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換）是指在外部網(wǎng)絡(luò)定義了一批的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。

NAPT（網(wǎng)絡(luò)地址端口轉(zhuǎn)換）是NAT的一種變形，它允許多個(gè)內(nèi)部地址映射到同一個(gè)公有地址上，也可稱(chēng)之為“多對(duì)一地址轉(zhuǎn)換”或“地址復(fù)用”。NAPT同時(shí)映射IP地址和端口號(hào)：來(lái)自不同內(nèi)部地址的數(shù)據(jù)報(bào)的目的地址可以映射到同一外部地址，但它們的端口號(hào)被轉(zhuǎn)換為該地址的不同端口號(hào)，因而仍然能夠共享同一地址，也就是“私有地址+端口”與“公有地址+端口”之間的轉(zhuǎn)換。

4 NAT配置實(shí)例

企業(yè)內(nèi)部網(wǎng)絡(luò)使用的lP地址192.168.100.1—192.168.100.254，局域網(wǎng)默認(rèn)網(wǎng)關(guān)的IP地址為192.168.100.254，子網(wǎng)掩碼為255.255.255.0。企業(yè)注冊(cè)申請(qǐng)的合法IP地址范圍為61.183.207.193～61.183.207.198，路由器在廣域網(wǎng)中的IP地址為61.183.207.198，子網(wǎng)掩碼為255.255.255.248

4.1 SNAT（靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換）的實(shí)現(xiàn)

（1）設(shè)置企業(yè)網(wǎng)路由器外部端口。

指定路由器外部端口 interface serial 1/0

設(shè)置該端口的IP地址 ip address 61.183.207.198 255.255.255.248

外部端口NAT啟用 ip nat outside

（2）設(shè)置企業(yè)網(wǎng)路由器內(nèi)部端口。

指定路由器內(nèi)部端口 interface ethernet 0/0

設(shè)置該端口的IP地址 ip address 192.168.100.254 255.255.255.0

外部端口NAT啟用 ip nat inside

（3）在企業(yè)網(wǎng)內(nèi)部私有地址與注冊(cè)地址之間建立靜態(tài)地址轉(zhuǎn)換。

ip nat inside source static 192.168.100.1 61.183.207.193

ip nat inside source static 192.168.100.2 61.183.207.194

4.2 PNAT（動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換）的實(shí)現(xiàn)

（1）定義內(nèi)部網(wǎng)絡(luò)中允許訪(fǎng)問(wèn)外部網(wǎng)絡(luò)的訪(fǎng)問(wèn)控制列表access-list 1 permit 192.168.100.0 0.0.0.255

（2）定義合法IP地址池ip nat pool test1 61.183.207.193 61.183.207.198 netmask 255.255.255.248

（3）在局域網(wǎng)內(nèi)部私有地址與注冊(cè)地址之間建立動(dòng)態(tài)地址轉(zhuǎn)換。ip nat inside source list 1 pool test1

4.3 NAPT（網(wǎng)絡(luò)地址端口轉(zhuǎn)換）的實(shí)現(xiàn)

（1）啟用端口復(fù)用地址轉(zhuǎn)換

ip nat inside source list1 interface fastethernet0/1 overload

（2）轉(zhuǎn)換郵件服務(wù)器對(duì)應(yīng)的地址

ip nat inside source static tcp 192.168.100.1 80 61.183.207.195 25

ip nat inside source static tcp 192.168.100.1 80 61.183.207.195 110

（3）轉(zhuǎn)換FTP服務(wù)器對(duì)應(yīng)的地址

ip nat inside source static tcp 192.168.100.1 21 61.183.207.195 21

總之，NAT方案在一定程度上減緩了IP地址耗盡的周期和路由表越來(lái)越大的問(wèn)題，提供了一種非常方便的方式來(lái)解決私有網(wǎng)絡(luò)與Internet的互連問(wèn)題。

參考文獻(xiàn)：

[1]Allan Reid，Jim Lorenz.CCNA Discovery：在中小型企業(yè)或ISP工作[M].北京：人民郵電出版社，2009.

[2]張文庫(kù)，朱志輝.企業(yè)網(wǎng)搭建及應(yīng)用（第2版）[M].北京：電子工業(yè)出版社，2011.

作者簡(jiǎn)介：陳欣（1975-），女，湖北武漢人，武漢職業(yè)技術(shù)學(xué)院計(jì)算機(jī)學(xué)院副教授，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)工程、智能樓宇與系統(tǒng)集成技術(shù)。