解決網(wǎng)絡(luò)空間不足的難題

引言：隨著計算機網(wǎng)絡(luò)深入人們生活的各個領(lǐng)域，大型主機、個人計算機、筆記本、PDA、存儲設(shè)備、路由器、交換機以及各種網(wǎng)絡(luò)設(shè)備都需要連接到Internet上，IPv4的地址空間嚴重不足。NAT技術(shù)是解決IP地址空間不足的暫時解決方案，下面筆者介紹一下NAT技術(shù)。

NAT的作用和主要功能

現(xiàn)在IPv4的地址空間嚴重不足，解決IPv4地址空間不足的方案有多種，IPv6被認為是解決IP地址不足的最終解決方案，NAT技術(shù)是解決IP地址空間不足的暫時解決方案。

當內(nèi)部網(wǎng)絡(luò)上的一臺主機訪問互聯(lián)網(wǎng)上的一臺主機時，內(nèi)部網(wǎng)絡(luò)主機所發(fā)出的數(shù)據(jù)包額源IP地址是私有地址，這個數(shù)據(jù)包到達某個路由器后，路由器使用事先設(shè)置好的注冊公有IP地址替換掉私有地址，這樣這個數(shù)據(jù)包的源IP地址就變成了互聯(lián)網(wǎng)上唯一的公有IP地址，此數(shù)據(jù)包將被發(fā)送到互聯(lián)網(wǎng)的目的主機處?；ヂ?lián)網(wǎng)上的主機認為是路由器在訪問它，因為數(shù)據(jù)包的源IP地址是路由器地址。NAT技術(shù)通過改變數(shù)據(jù)包中的IP地址，來實現(xiàn)內(nèi)部網(wǎng)絡(luò)使用私有地址的主機和互聯(lián)網(wǎng)上使用公有地址的主機之間進行通信。

NAT技術(shù)的四種地址

Inside local address：內(nèi)部本地地址，是指局域網(wǎng)內(nèi)部分配給主機的IP地址，這個地址通常是RFC1918規(guī)定的私有地址。

Inside global address：內(nèi)部全局地址，指設(shè)置在路由器等互聯(lián)網(wǎng)接口設(shè)備上，用來替代一個或者多個內(nèi)部私有地址的公有注冊IP地址，這個地址必須經(jīng)過注冊，并且在互聯(lián)網(wǎng)中是唯一的。

Outside local address：外部本地地址，指互聯(lián)網(wǎng)上另一端網(wǎng)絡(luò)內(nèi)部地址，該地址可能是RFC1918私有地址，也可能是注冊公有地址。

Outside global address：外部全局地址，指互聯(lián)網(wǎng)上的一個公有注冊地址，在互聯(lián)網(wǎng)上是唯一的。

一般情況下，Outside local address（外部本地地址）和Outside global address（外部全局地址）是同一個公有地址，它們是內(nèi)部網(wǎng)絡(luò)主機所訪問的互聯(lián)網(wǎng)上的主機。

當內(nèi)部網(wǎng)絡(luò)有多臺主機訪問互聯(lián)網(wǎng)上的多個目的主機時，路由器必須記住內(nèi)部網(wǎng)絡(luò)的哪臺主機訪問互聯(lián)網(wǎng)的哪臺主機，以防止在地址轉(zhuǎn)換時將不同的連接混淆，所以路由器將為NAT的眾多連接建立一個表，即NAT表。

NAT在做地址轉(zhuǎn)換時，依靠在NAT表中記錄內(nèi)部私有地址和外部公有地址的映射關(guān)系來保存地址轉(zhuǎn)換的依據(jù)。在做后續(xù)的NAT操作時，只需要查詢該NAT表，就可以得知應(yīng)該如何轉(zhuǎn)換地址，而不會發(fā)生數(shù)據(jù)連接混淆。

NAT的工作過程

如圖1所示，內(nèi)部網(wǎng)絡(luò)主機A被分配了一個私有IP地址192.168.1.8，內(nèi)部網(wǎng)絡(luò)通過一臺路由器與互聯(lián)網(wǎng)相連，地址是210.96.98.1，而我們?yōu)槁酚善鲉为毞峙淞艘粋€公有注冊地址212.10.1.8來負責NAT的轉(zhuǎn)換。實際上，如果我們所擁有的公有注冊地址比較緊張，也可以直接使用路由器連接互聯(lián)網(wǎng)的地址210.96.98.1來作為NAT轉(zhuǎn)換的內(nèi)部全局地址。

圖1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)

當內(nèi)部網(wǎng)絡(luò)主機A訪問互聯(lián)網(wǎng)的服務(wù)器B時，它向服務(wù)器B發(fā)出了源IP地址為 192.168.1.8，目的 IP地址為202.108.22.5的數(shù)據(jù)包。

當該數(shù)據(jù)包到達路由器時，路由器吧從主機A發(fā)送來的數(shù)據(jù)包中的源IP地址轉(zhuǎn)換為公有注冊地 址 212.10.1.8，數(shù) 據(jù) 包中的目的地址不變，還是202.108.22.5，然后將該數(shù)據(jù)包路由到互聯(lián)網(wǎng)。

同時該路由器向自己的NAT表中添加一個條目，該條目的Inside local address（內(nèi) 部 本地 地 址）是 192.168.1.8，Inside global address（內(nèi)部全局地址）是212.10.1.8，Outside local address（外 部本地地址）和Outside global address（外 部 全局地址）都是202.108.22.5.

當服務(wù)器B接收到該數(shù)據(jù)包時，它會認為這個數(shù)據(jù)包是由互聯(lián)網(wǎng)地址是212.10.1.8的節(jié)點發(fā)給它的，而不會認為是由192.168.1.8這臺主機發(fā)給它的。

于是服務(wù)器B將以源IP地址為202.108.22.5，目的IP地址為212.10.1.8向回發(fā)送響應(yīng)的數(shù)據(jù)包。

當服務(wù)器B發(fā)送回來的數(shù)據(jù)包到達路由器時，路由器將查找它的NAT表，從而得知訪問公有注冊地址202.108.22.5的本地局部主機地址是192.168.1.8，路由器將數(shù)據(jù)包中的目的IP地址212.10.1.8替換為192.168.1.8，然后把該數(shù)據(jù)包發(fā)送給主機A。

當主機A與服務(wù)器B之間的后續(xù)數(shù)據(jù)包再次通過路由器時，NAT的操作將重復(fù)進行。