內(nèi)網(wǎng)和外網(wǎng)間的同名IP地址轉換技術及應用

潘唐賢　彭旭

【摘要】分析了內(nèi)外網(wǎng)間同名IP地址轉換相關問題的由來，圍繞都靜態(tài)NAT、動態(tài)NAT、端口NAT三種內(nèi)外網(wǎng)間IP地址轉換（映射）技術的特點進行梳理，并設計了一種內(nèi)外網(wǎng)間同名IP地址轉換技術的具體方案，以供參考。

【關鍵詞】內(nèi)網(wǎng);外網(wǎng);IP地址轉換;訪問

中圖分類號：TN92? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ? DOI：10.12246/j.issn.1673-0348.2021.21.003

IP的英文全稱為Internet Protocil，即“網(wǎng)絡之間互連的協(xié)議”，是為計算機通過網(wǎng)絡互相連接，繼而便于通信而設計的意向協(xié)議。所謂IP地址，即為每一臺計算機在與互聯(lián)網(wǎng)相連接時的編號。除此之外，IP地址的另一項功能在于，使互聯(lián)網(wǎng)上每一個網(wǎng)絡和每一臺主機都具備一個“邏輯地址”，用以屏蔽物理地址方面的差異。但互聯(lián)網(wǎng)分為內(nèi)網(wǎng)和外網(wǎng)，接入不同網(wǎng)絡時，有可能出現(xiàn)IP地址重名的情況，需通過特定的技術加以轉換。

1. 內(nèi)外網(wǎng)間同名IP地址轉換相關問題的由來簡析

近年來，我國綜合國力飛速發(fā)展，能夠取得如此巨大的成就，離不開經(jīng)濟全球化的趨勢。認識到這一要素之后，我國很多有識之士希望進一步“開眼看世界”，即通過網(wǎng)絡平臺登錄外國網(wǎng)站，了解外國人眼中的中國。但在這一過程中，很多人發(fā)現(xiàn)，我國在國內(nèi)、國外網(wǎng)絡之間建起了一面“墻”，即標記為國內(nèi)IP地址的計算機、移動互聯(lián)網(wǎng)設備無法訪問所有外國網(wǎng)站。“建墻”的目的在于，如果沒有“墻”的存在，則外國網(wǎng)絡世界中的所有內(nèi)容將會不受限制地流進國內(nèi)，其中不乏網(wǎng)絡黑客，以及試圖在文化網(wǎng)面全面入侵中國的別有居心者。此外，外國網(wǎng)絡世界的陰暗程度遠非中國人民所能夠想象，稍有不慎便可能上當，導致經(jīng)濟、人身方面的損失。由此可見，“墻”橫亙在不同網(wǎng)絡之間，主要起隔絕信息互通的目的。以國家為單位進行分析，則國內(nèi)互聯(lián)網(wǎng)即為“內(nèi)網(wǎng)”、國外互聯(lián)網(wǎng)即為“外網(wǎng)”，由于有“墻”的存在，故很少涉及同名IP地址轉換的問題。而該問題多出現(xiàn)在更小的網(wǎng)絡范圍內(nèi)。以我國很多企業(yè)為例?，F(xiàn)代社會已經(jīng)全面進入信息時代，數(shù)據(jù)信息十分重要，一旦泄露，必定會令相關企業(yè)產(chǎn)生經(jīng)濟損失。如3D模型設計公司，如果設計好的模型經(jīng)由網(wǎng)絡傳遞給其他公司，導致機密泄漏，則企業(yè)將會蒙受巨大損失。因此，該類企業(yè)為每一名員工配備電腦設備時，為其提供的網(wǎng)絡資源搜索服務往往限制在企業(yè)內(nèi)部，即共享內(nèi)網(wǎng)資源，不允許員工私自連接外網(wǎng)。此處的內(nèi)網(wǎng)、外網(wǎng)之間的“阻隔”實現(xiàn)方式，即為人們熟知的PIX防火墻。防火墻的一個特性在于，能夠將內(nèi)網(wǎng)、外網(wǎng)分別限制在各自的主機中，二者相互之間無法自由訪問對方。但企業(yè)的“內(nèi)外網(wǎng)”與國家層面的“內(nèi)外網(wǎng)”存在一定的差異，即企業(yè)內(nèi)網(wǎng)中的某個IP地址，如果能夠成功映射為一個外網(wǎng)認可的IP地址之后，則經(jīng)由該臺計算機，內(nèi)外網(wǎng)之間可互相訪問。但此處存在一個問題，即內(nèi)網(wǎng)的IP地址映射到外網(wǎng)之后，兩個地址的實際表達方式可能是相同的，也可能是不同的。而防火墻如何進行區(qū)分，且IP地址在表達方式上的相同與否，與其本質之間存在何種關聯(lián)？為解決該問題，必須圍繞內(nèi)外網(wǎng)間同名IP地址轉換技術展開探討。

2. 內(nèi)外網(wǎng)間IP地址轉換技術（映射）簡介

早在十數(shù)年前，Cisco公司便已經(jīng)圍繞內(nèi)外網(wǎng)防火墻的建設進行深入研究，采用定制的操作系統(tǒng)，為有需求的個人及企業(yè)用戶提供多種訪問限制的技術。具體而言，可分為靜態(tài)NAT、動態(tài)NAT、端口NAT三種。

靜態(tài)NAT。此種內(nèi)外網(wǎng)絡訪問權限控制方式在實現(xiàn)原理和運用方式上的難度最低，理論支持的復雜程度也最低，即一個內(nèi)網(wǎng)的IP地址對應一個外網(wǎng)的IP地址，此種映射是永久成立的。比如某企業(yè)目前有100臺辦公電腦，編號分別為001～100（為舉例說明方便，編號并非真實的IP地址數(shù)字構成模式）。則編號為001的電腦的外網(wǎng)IP映射地址為XX1，只要該企業(yè)當前租用的互聯(lián)網(wǎng)服務沒有發(fā)生改變，則編號為001的電腦無論何時訪問外網(wǎng)，外網(wǎng)映射地址只會是XX1，不會轉變?yōu)槠渌刂贰?/p>

動態(tài)NAT。可由網(wǎng)絡運營服務商在外網(wǎng)中定義一系列IP地址。以此為基礎，內(nèi)網(wǎng)的IP地址若要訪問外網(wǎng)時，依然可以映射到外網(wǎng)，但映射為哪一個具體的外網(wǎng)地址，具備隨機性。此種映射模式的優(yōu)點在于，可大幅度釋放外網(wǎng)地址，使其具備更大的應用型。以上文提到的靜態(tài)NAT模式為例，當內(nèi)網(wǎng)編號為001的電腦沒有連接外網(wǎng)時，則外網(wǎng)編號為XX1的地址便處于“無人連接”的閑置狀態(tài)。而改成動態(tài)NAT模式后，即時內(nèi)網(wǎng)001不連接，則XX1也不會閑置，而是為其他連接且隨機映射至此的內(nèi)網(wǎng)IP地址提供連接服務。

端口NAT。將多個內(nèi)網(wǎng)IP地址共同映射為同一個外網(wǎng)IP地址。在此基礎上，從內(nèi)網(wǎng)到外網(wǎng)進行IP地址轉換時，外網(wǎng)的IP地址數(shù)據(jù)包中將會加入一個由NAT設備選定的TCP或UDP端口號，最終形成的結果是，數(shù)據(jù)包的外網(wǎng)均來源于同一個IP地址。具體的案例為：傳統(tǒng)的寬帶互聯(lián)網(wǎng)網(wǎng)絡通信服務商網(wǎng)通，多采用靜態(tài)NAT模式，每臺電腦每次啟動后，均有使用者手動連接入網(wǎng)，之后方可進行網(wǎng)絡訪問。但隨著寬帶用戶數(shù)量的激增，任何用戶都不可能24小時不間斷在線，故導致了大量的外網(wǎng)靜態(tài)IP地址處于閑置狀態(tài)，造成了極大的浪費（伴有極大的維護成本）。因此，靜態(tài)NAT逐漸遭到淘汰。而長城、移動等網(wǎng)絡紛紛采取了端口NAT模式并延續(xù)至今，盡管有時會出現(xiàn)大量用戶集中搶占有限外網(wǎng)連接帶寬的情況，但隨著網(wǎng)絡通信信道的不斷擴大，斷線、互相“搶資源”的情況已經(jīng)很少發(fā)生，使得運營公司節(jié)省大量的成本。

3. 內(nèi)外網(wǎng)間同名IP地址轉換技術的具體應設計

除了運維方面的問題之外，靜態(tài)NAT模式的局限性還體現(xiàn)在IP地址重名問題。比如很多內(nèi)網(wǎng)用戶的服務器往往有兩個IP地址，或域名相同，但在內(nèi)網(wǎng)、外網(wǎng)卻會析出不同的IP地址。為解決內(nèi)外網(wǎng)間同名IP地址轉換問題，本文介紹一種NAT技術配置，即內(nèi)外網(wǎng)同名IP地址轉換問題。

假設在一個企業(yè)的網(wǎng)絡中，L1是公司出口網(wǎng)關路由器，公司內(nèi)的計算機設備及服務器分別通過交換機S1和S2與L1相連。此外，L2是連接外網(wǎng)的網(wǎng)關路由器，直接與L1相連。除了上述情況之外，連接該企業(yè)內(nèi)網(wǎng)的所有計算機設備均擁有各自的私有IP地址。按照上文所述，該企業(yè)所有辦公計算機若要訪問外網(wǎng)，需要連接L1。網(wǎng)絡管理員在檢查每個訪問用戶的權限，確認具備訪問外網(wǎng)資格后，需對該內(nèi)網(wǎng)IP地址進行NAT配置。暫定的內(nèi)網(wǎng)計算機訪問外網(wǎng)的NAT方式為靜態(tài)NAT模式。

假設該企業(yè)編號為001的計算機為客戶經(jīng)理，其需要的外網(wǎng)訪問權限為：內(nèi)外均能無障礙訪問。為實現(xiàn)該目的，需為其配置一個IP地址：202.168.10.5，用于靜態(tài)NAT外網(wǎng)映射用。網(wǎng)絡后臺顯示情況為：

[R1]ip route-static 0.0.0.0 0.0.0.0 202.169.10.2配置默認路由

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]nat static global 202.169.10.5 inside 172.16.1.1

基于display nat static命令查看NAT的配置情況。

除客戶經(jīng)理之外，該企業(yè)市場部員工在辦公期間，均應自由訪問外網(wǎng)。為這些員工提供的靜態(tài)內(nèi)網(wǎng)IP地址為172.17.1.0～172.17.1.24，共計25個。網(wǎng)絡管理員使用的公有地址池為202.169.10.50/60，用于NAT轉換。

在L1路由器上使用nat address-group配置NAT地址池的后臺數(shù)據(jù)顯示為：

[R1]nat address-group 1 202.169.10.50 202.169.10.60

完成基本ACL 2001創(chuàng)建之后，管理員允許172.17.1.0/24網(wǎng)段地址轉換，在G0/0/0接口下使用nat outbound命令，關聯(lián)acl 2001與地址池，轉換的后臺顯示數(shù)據(jù)為：

[R1]acl 2001

[R1]rule 5 permit source 172.17.1.0 0.0.0.255

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]nat outbound 2001address-group 1nat-pat

為盡可能地節(jié)省公網(wǎng)地址，可采用的方法為：將路由器接口IP地址直接作為公網(wǎng)地址，并將多個內(nèi)部地址映射到同一個公網(wǎng)地址的不同端口號上，可實現(xiàn)多個內(nèi)網(wǎng)地址到1個外網(wǎng)地址的轉換。配置后的后臺顯示為：

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]nat outbound 2001

在其他電腦上，使用UDP發(fā)包工具，將數(shù)據(jù)包到公網(wǎng)地址202.169.21.1，并完成目標IP地址和UDP源的配置后，可輸入字符串數(shù)據(jù)，并完成發(fā)送。按照上述方式，內(nèi)網(wǎng)、外網(wǎng)之間的IP地址的名字是一一對應且相同的，企業(yè)外網(wǎng)訪問用戶能夠獲得更多而而訪問功能，無須擔心映射混亂的情況。

4.結語

綜上所述，本文介紹的內(nèi)網(wǎng)、外網(wǎng)同名IP地址轉換（映射）技術實際上基于企業(yè)級網(wǎng)絡服務器提供的FTP服務，供外網(wǎng)用戶訪問，需配合NAT Server，使公網(wǎng)地址對外公布服務器地址并開啟NAT ALG功能后，方可進行正常的同名IP地址動/靜態(tài)NAT轉換?？傮w而言，此種方式可避免訪問外網(wǎng)時受到限制，具備一定的應用價值。

參考文獻：

[1]劉展.NAT技術在網(wǎng)絡邊緣計算中的應用分析[J].決策探索（中），2020（02）：81.

[2]席東.NAT地址轉換淺析[J].現(xiàn)代計算機，2019（26）：69-72+92.

[3]苗新，卜廣全，宋璇坤，等.采用約束映射機制的IPv4電力終端接入IPv6網(wǎng)絡的方法[J].電力系統(tǒng)自動化，2018，42（23）：168-173.