朱雅琴

摘 要隨著網(wǎng)絡(luò)用戶的不斷擴(kuò)大，網(wǎng)絡(luò)中的IP資源已經(jīng)不能滿足用戶上網(wǎng)的需求，采用NAT地址轉(zhuǎn)換技術(shù)能夠在一定程度將網(wǎng)絡(luò)通信中的IP進(jìn)行轉(zhuǎn)換，通過對NAT技術(shù)在網(wǎng)絡(luò)的應(yīng)用，并用案例說明了NAT配置方法。

【關(guān)鍵詞】NAT 局域網(wǎng) 地址轉(zhuǎn)換

1 NAT技術(shù)在網(wǎng)絡(luò)通信中的應(yīng)用

1.1 一對一轉(zhuǎn)換技術(shù)的應(yīng)用

一對一轉(zhuǎn)換是NAT技術(shù)的基本功能，實現(xiàn)局域網(wǎng)中的計算機(jī)與Internet網(wǎng)絡(luò)中計算機(jī)進(jìn)行一對一通信的功能，其具體的實現(xiàn)功能如圖1所示。在圖1中，路由器處在企業(yè)內(nèi)部的局域網(wǎng)與外部Internet網(wǎng)絡(luò)的結(jié)合出，作為NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的服務(wù)器，當(dāng)內(nèi)部局域網(wǎng)中的PC（10.1.1.15）向外部服務(wù)器（35.7.6.8）發(fā)送請求數(shù)據(jù)報1時，NAT服務(wù)器將會對報頭的內(nèi)容進(jìn)行查看分析，判斷該數(shù)據(jù)報是否是通向外網(wǎng)的數(shù)據(jù)報，在確認(rèn)為發(fā)往外部的數(shù)據(jù)報時，通過NAT轉(zhuǎn)換技術(shù)，將其轉(zhuǎn)變?yōu)閿?shù)據(jù)報2，這時就將數(shù)據(jù)報1中源地址轉(zhuǎn)換為局部地址200.16.1.2，然后通過網(wǎng)絡(luò)將數(shù)據(jù)報2發(fā)送個外部服務(wù)器，并在NAT服務(wù)器中將本次的地址轉(zhuǎn)換記錄保存起來，當(dāng)外部服務(wù)器發(fā)送外部報文3時，由于在網(wǎng)絡(luò)通信中，其目的地地址為200.16.1.2，這時NAT服務(wù)器就會查看該報文的報頭的源地址，分析其中的內(nèi)容與需要轉(zhuǎn)換的IP地址數(shù)據(jù)，然后根據(jù)NAT服務(wù)器記錄的地址轉(zhuǎn)換映射關(guān)系，就將數(shù)據(jù)報3轉(zhuǎn)變?yōu)閿?shù)據(jù)報4，即將數(shù)據(jù)報3中的目的地地址轉(zhuǎn)換為10.1.1.15，并數(shù)據(jù)報4發(fā)送給數(shù)據(jù)報1傳出的計算機(jī)，這樣就完成了一個一對一通信的過程。

1.2 多對多轉(zhuǎn)換技術(shù)的應(yīng)用

多對多地址轉(zhuǎn)換技術(shù)就是在網(wǎng)絡(luò)通信的過程時，在NAT服務(wù)器中將局域網(wǎng)中需要通信的計算機(jī)發(fā)出的數(shù)據(jù)報的報頭IP地址進(jìn)行重寫，將源地址改為多個目標(biāo)地址，并在NAT服務(wù)器中將修改的原始記錄保存下來，然后依據(jù)通信的目標(biāo)地址，將數(shù)據(jù)報發(fā)送給個目標(biāo)IP地址的計算機(jī)，在多對多轉(zhuǎn)換的過程中，NAT服務(wù)器使用的是組個局地址來實現(xiàn)IP地址的轉(zhuǎn)換，通常將這組個局地址稱為NAT地址池，其實現(xiàn)技術(shù)過程與一對一轉(zhuǎn)換技術(shù)相似，在地址池中寫入多個IP地址進(jìn)行發(fā)生數(shù)據(jù)，并向外部發(fā)送數(shù)據(jù)報，多對多地址轉(zhuǎn)換的原理如圖2所示。在外部Internet網(wǎng)絡(luò)中向內(nèi)部局域網(wǎng)計算機(jī)發(fā)送數(shù)據(jù)的過程中，NAT服務(wù)器就會查看該報文的報頭的源地址，分析其中的內(nèi)容與需要轉(zhuǎn)換的IP地址數(shù)據(jù)，在地址池中對外部數(shù)據(jù)報的IP地址進(jìn)行轉(zhuǎn)換，然后發(fā)送到目標(biāo)計算機(jī)上，可見多對多的IP轉(zhuǎn)換的本質(zhì)是將局域網(wǎng)內(nèi)部的計算機(jī)網(wǎng)絡(luò)空間地址空間映射到小的NAT地址池空間中，在地址轉(zhuǎn)換的過程中，NAT服務(wù)器中可以保存若干條映射的轉(zhuǎn)換記錄，網(wǎng)絡(luò)中記錄的轉(zhuǎn)換最大值就是地址池空間中的IP地址數(shù)，該記錄值決定了局域網(wǎng)與Internet網(wǎng)絡(luò)中主機(jī)通信的數(shù)量。

1.3 多對一轉(zhuǎn)換技術(shù)的應(yīng)用

多對地址轉(zhuǎn)換技術(shù)在網(wǎng)絡(luò)通信中也是經(jīng)常應(yīng)用的，該技術(shù)在網(wǎng)絡(luò)通信地址端有時也被稱為網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（NetworkAddress Port Translation），它能夠允許在多個局域網(wǎng)地址能夠同時映射到一個全局網(wǎng)的網(wǎng)址上，實現(xiàn)一對多的通信，NAPT的轉(zhuǎn)換轉(zhuǎn)換技術(shù)過程如圖3所示。在NAPT轉(zhuǎn)換技術(shù)中，主要實現(xiàn)的功能是將【局部地址+端口】與【全局地址+端口】的IP地址之間的相互轉(zhuǎn)換，實現(xiàn)多對一的通信過程，在圖3中，局域網(wǎng)的多個數(shù)據(jù)段通過NAT服務(wù)器轉(zhuǎn)換為一個公網(wǎng)的IP通信地址，實現(xiàn)了多對一的網(wǎng)絡(luò)通信，在數(shù)據(jù)通的過程中，局域網(wǎng)與Internet網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)報的報頭轉(zhuǎn)換，與之對應(yīng)的NAT轉(zhuǎn)換服務(wù)中，需要4條記錄，做好5個字段的數(shù)據(jù)記錄，這此字段共同決定了內(nèi)外網(wǎng)之間的不同通信連接方式，由于不同網(wǎng)絡(luò)通信之間的不同端口數(shù)量為65536個。因此，在NAT技術(shù)轉(zhuǎn)換的過程中，理論上一個全局地址最多可滿足65536個內(nèi)部主機(jī)在通信的過程中，同時訪問外部的Internet網(wǎng)絡(luò)，如果全局的地址數(shù)量為n個，那么能夠同時訪問外網(wǎng)的個數(shù)就為65536n，這說明通過NAT轉(zhuǎn)換技術(shù)，能夠同時實現(xiàn)局域網(wǎng)的多個用戶同時訪問局域網(wǎng)，但是在實際通信的過程中，同時訪問外網(wǎng)的用戶會遠(yuǎn)小于這個數(shù)目。

1.4 NAT內(nèi)部服務(wù)器

（1）NAT內(nèi)部服務(wù)器的功能比較強(qiáng)大，只要NAT服務(wù)器的資源允許以及通信網(wǎng)絡(luò)連接有效，就能夠允許任何從內(nèi)網(wǎng)向外網(wǎng)的連接請求進(jìn)行通信，并且服務(wù)器都能夠快速的得到響應(yīng)：若在NAT轉(zhuǎn)換農(nóng)中沒有對應(yīng)的映射記錄，NAT服務(wù)器就會動態(tài)的建立映射，并動態(tài)添加記錄，否則NAT服務(wù)器就直接利用已經(jīng)記錄的數(shù)據(jù)來建立連接，實現(xiàn)二者的通信。

（2）從外網(wǎng)訪問內(nèi)網(wǎng)主機(jī)是有條件的，需要得到NAT服務(wù)器的許可之后才能夠建立連接，即在NAT轉(zhuǎn)換表中對必須已存在該主機(jī)的映射記錄信息。

（3）NAT服務(wù)器在通信的過程中，隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，能夠有效的保證內(nèi)網(wǎng)、外網(wǎng)之間通信的安全，說明NAT服務(wù)器具有屏蔽內(nèi)部主機(jī)的功能。但是，在實際通信的過程中，有時內(nèi)網(wǎng)需要能夠被外網(wǎng)訪問，比如對外的公共服務(wù)器的訪問，這時就需要NAT服務(wù)器對其進(jìn)行判斷，實現(xiàn)外網(wǎng)對內(nèi)網(wǎng)的訪問。通過NAT數(shù)據(jù)轉(zhuǎn)換技術(shù)，也可以方便的實現(xiàn)外網(wǎng)主機(jī)對內(nèi)網(wǎng)計算機(jī)的訪問。要實現(xiàn)這一功能，就需要在NAT服務(wù)器的轉(zhuǎn)換列表中靜態(tài)的添加與外網(wǎng)訪問對象的IP地址，這樣，在外部網(wǎng)絡(luò)訪問內(nèi)部計算機(jī)時，NAT服務(wù)器就會讀取外網(wǎng)的數(shù)據(jù)報的報頭IP地址，就會根據(jù)記錄的轉(zhuǎn)換列表中查詢相對應(yīng)的IP地址，當(dāng)內(nèi)部的計算機(jī)發(fā)送應(yīng)答的報文時，NAT服務(wù)器就會將外部數(shù)據(jù)報報文的源地址轉(zhuǎn)換為局域網(wǎng)的IP地址，實現(xiàn)外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的連接。

2 NAT服務(wù)器轉(zhuǎn)換技術(shù)的案例分析

在這里，我們以化為路由器為例，來分析NAT轉(zhuǎn)換技術(shù)在局域網(wǎng)與Internet網(wǎng)絡(luò)通信中的轉(zhuǎn)換應(yīng)用。

2.1 組網(wǎng)需求分析

某企業(yè)公司為了實現(xiàn)企業(yè)的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互相連接，希望通過Quidway路由器的NAT地址轉(zhuǎn)換功能連接到廣域網(wǎng)要求，并且能夠保證內(nèi)網(wǎng)與外網(wǎng)的有效通信。該企業(yè)要求能夠通過Quidway路由器的NAT轉(zhuǎn)換功能來提供的Ethernet 0接口訪問Internet外部網(wǎng)絡(luò)，同時企業(yè)為了保證正常的通信需要，還向外提供了WWW服務(wù)與ftp服務(wù)，該公司設(shè)置的內(nèi)部IP地址為192.168.1.1～192.168.255.255，外部的計算機(jī)可以通過網(wǎng)絡(luò)來訪問公司的內(nèi)部服務(wù)器的IP地址段為：192.168.1.1～192.168.1.210，而內(nèi)部的所有IP段都能夠方法外部的計算機(jī)網(wǎng)絡(luò)，而企業(yè)的內(nèi)部IP段是不能訪問外部的計算機(jī)網(wǎng)絡(luò)。該企業(yè)具有200.16.15.42至202.16.15.54等6個網(wǎng)絡(luò)通信的全局IP地址，企業(yè)在設(shè)置的過程中，選用200.16.15.42作為企業(yè)對外通信web服務(wù)器的IP地址，將IP地址200.16.15.40作為企業(yè)對外的ftp通信服務(wù)器，而將剩下的地址作為NAT服務(wù)器的轉(zhuǎn)換IP地址池。

2.2 化為服務(wù)器的相關(guān)命令設(shè)置

# 配置NAT服務(wù)器的地址池

[Quidway] nat addess-group 1 200.16.15.42 200.16.15.54

#定義NAT數(shù)據(jù)記錄訪問控制列表IP地址

[Quidway] acl number 2001/選擇acl命令

[Quidway-acl-basic-2001] rule permit source 192.168.1.1～0.0.0.255/設(shè)置相應(yīng)的訪問IP段地址

[Quidway-acl-basic-2001] rule deny source 192.168.1.210～0.0.255.255/設(shè)置外部服務(wù)器不能訪問的內(nèi)部IP地址段

#在NAT服務(wù)器內(nèi)允許192.168.1.0/255網(wǎng)段的IP地址轉(zhuǎn)換

[Quidway-Ethernet0] nat outbound 2001 address-group 1

#設(shè)置企業(yè)內(nèi)部的ftp服務(wù)器訪問IP地址

[Quidway-Ethernet0] nat server protocol tcp global 200.16.15.40 inside 192.168.1.1 ftp

#設(shè)置企業(yè)的內(nèi)部web服務(wù)器的訪問地址

[Quidway -Ethernet0] nat server protocol tcp global 200.16.15.42 inside 192.168.1.12 web

2.3 連接測試

在對NAT轉(zhuǎn)換服務(wù)器進(jìn)行設(shè)置之后，通過外部網(wǎng)絡(luò)訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的IP地址段：192.168.1.1～192.168.1.210，是能夠?qū)崿F(xiàn)所有的網(wǎng)絡(luò)訪問，而其他的IP段地址是不能夠進(jìn)行訪問的。企業(yè)內(nèi)部的所有IP地址段都能夠訪問外部的Internet網(wǎng)絡(luò)。在外部的網(wǎng)絡(luò)中可以有效的訪問企業(yè)的內(nèi)部ftp與web服務(wù)器。

3 結(jié)束語

采用NAT技術(shù)，能夠在一定的程度上解決了IPV4中的網(wǎng)絡(luò)IP地址的逐漸耗竭的問題，提升網(wǎng)絡(luò)IP地址的利用效率。同時，也能夠根據(jù)局域網(wǎng)的內(nèi)部需要，有效建立內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的訪問與控制機(jī)制，實現(xiàn)了內(nèi)部網(wǎng)絡(luò)與外部Internet網(wǎng)絡(luò)之間的連接。另外，NAT技術(shù)還能有效地隱蔽了企業(yè)內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，避免來自網(wǎng)絡(luò)外部的攻擊，保證網(wǎng)絡(luò)通信的安全，同時還能夠隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機(jī)的信息，避免了外來陌生的用戶訪問內(nèi)部網(wǎng)絡(luò)的計算機(jī)，增強(qiáng)了網(wǎng)絡(luò)的穩(wěn)定性與安全性。

參考文獻(xiàn)

[1]何偉.NAT技術(shù)的研究及其應(yīng)用[J].懷化學(xué)院學(xué)報，2012（02）.

[2]劉欣，王行建.NAT技術(shù)的研究與應(yīng)用[J].自動化技術(shù)與應(yīng)用，2013（07）.

[3]李廣華，朱志祥等.NAT技術(shù)基本原理及其在實際中的應(yīng)用[J].西安郵電學(xué)院學(xué)報，2015（01）.

[4]姚政.NAT技術(shù)原理探究及在校園網(wǎng)上的應(yīng)用實例[J].電腦知識與技術(shù)，2015（12）.

作者單位

廣東省粵東商貿(mào)技工學(xué)校 廣東省梅州市 514031