基于IPv4過渡時期NAT技術應用研究

楊 林， 楊 勇

0 引言

目前，隨著互聯網技術的迅猛發展，在IPv4上使用的公網IP地址越來越緊缺，各網絡使用單位分配到的IP地址資源越來越有限，IP地址資源的短缺已經對網絡應用造成相當嚴重的影響。

從技術方案上來說，為解決這個問題，出現了多種解決辦法，如從根本上將網絡協議技術從 IPv4更新、升級到IPv6，徹底拋棄過去使用的32位IP地址，而采用長達128位的IP地址來緩解。但具體實現起來，卻存在很多問題，原因是由于當前網絡上的絕大多數設備仍是 IPv4設備，若把這些設備全部取代更換為IPv6設備，網絡運營商及網絡使用單位耗費的成本巨大。同時，網絡的升級換代必須得保證不中斷現有的網絡應用服務業務，實現平滑過渡，其難度相對較大。

1 NAT技術的最初提出

可以這樣認為，是IP地址的耗盡才促成了無類型域間選路（CIDR，Classless Inter-Domain Routing）的開發，但CIDR開發的主要目的是為了有效地使用現有的Internet地址。而同時根據基本的互聯網通信協議開發的地址轉換技術卻可以在多重的 Internet子網中使用相同的 IP，用來減少注冊IP地址的使用[1]。

1.1 NAT技術

從IPv4過渡到IPv6是一個漸進的過程，而且這一過程要持續相當長的時間。根據網絡發展的現實情況來看，要在不同時期采用不同的規劃策略，在不中斷現有業務的基礎上來實現平滑過渡。而根除此矛盾的一個根本方法，即在當前現有的路由器上實行不同種類的網絡地址轉換技術（NAT，Network Address Translation），以此解決當前IPv4過渡時期時IP地址資源嚴重不足的問題。

NAT技術使得一個私有網絡可以通過Internet注冊IP連接到外界，位于Inside網絡和Outside網絡中的NAT路由器在發送數據包之前，負責把內部IP地址轉換成外部合法公網地址[2]。

1.2 NAT種類

NAT的轉換可以采取靜態轉換（Static Translation）和動態轉換（Dynamic Translation）兩種方式。靜態轉換將內部地址和外部地址一對一映射。當NAT需要確認哪個地址需要轉換，轉換時采用哪個地址Pool時，就使用動態翻譯。采用端口多路復用技術，或改變外出數據的源Port技術可以將多個內部IP地址影射到同一個外部地址，這就是端口地址轉換（PAT，Port Address Translator）[3]。

反過來，要影射一個外部IP到內部地址時，則可以利用TCP的負荷分布技術。當使用這個特征時，內部主機基于輪叫調度機制，將外部提交訪問的新鏈接地址不斷定位到內網的相應主機上去。

2 NAT技術應用

使用NAT大大節省了公網IP地址的用量。一個網絡使用單位申請到的合法IP地址往往很少，而內部網絡用戶相對卻很多，通過NAT功能就能實現多個用戶共同使用一個合法的 IP地址與外部網絡進行通信。

2.1 NAT配置方式

配置NAT的方式有靜態NAT、動態NAT、NAT超載等方式。NAT超載是使用最多的一種地址轉換方式，采用的工作原理是當多個用戶同時使用一個IP地址時，路由器利用上層的TCP或UDP端口號唯一標識某臺計算機，允許多個內部私有IP地址共用一個外部合法公網IP地址[4]。這對于只申請到少量IP地址，但卻經常同時有多個內部用戶訪問外部網絡的時候，這種轉換極為有用。

2.2 NAT技術部署

當位于 NAT設備內側的內部網絡用戶連接Internet時，NAT將用戶的內部網絡IP地址轉換成一個存儲在NAT地址池里的外部公共IP地址，將它交換出去，并在NAT地址轉換表中記錄下這個轉換項。當外部網絡數據返回時，NAT技術查詢 NAT地址轉換表項，將目標IP地址替換成初始的內部用戶IP地址，從而將數據包轉發給內部網絡用戶[5]。

從工作方式上看，NAT確實提高了內部網絡的安全。一個單位不想讓外部網絡用戶知道自己內部網絡的結構，可以依賴 NAT將內部網絡與外部Internet隔離開來，外部網絡用戶就無法識別使用NAT技術的內部用戶，也就無法直接對內部用戶進行控制，從而達到保護內網的目的。

NAT功能的設備大多安放在網絡的邊緣，路由部署在網絡的邊界，當網絡內的計算機要訪問本網絡內的服務器時，直接使用私有IP地址，當訪問外部服務器時，數據包被轉發給路由器，路由器執行NAT操作，把內部的私有地址轉換成外部的、可路由的公共IP地址后，再轉發出去[6]。

3 NAT配置實例

某網絡使用單位申請到一個合法IP地址，即路由器Fa0/0接口的IP地址222.56.127.137，此時要提供給全單位的計算機都可以訪問Internet。Web服務器內部地址 192.168.2.2，子網掩碼255.255.255.0， 網 關 192.168.2.220，DNS 211.98.72.8。外部的一臺計算機 IP地址192.168.3.3，子網掩碼 255.255.255.0，網關192.168.3.1，DNS 211.98.72.8。網絡拓撲結構圖如圖1所示。

圖1 網絡拓撲結構

3.1 固定公網IP地址配置實現

第1步：對路由器R1做基本配置。（斜體加粗字部分為鍵入命令）

Router>en

Router#conf t

Router（config）#host R1 R1（config）#int fa 0/0

R1（config-if）#ip add 222.56.127.137 255.255.255.0 路由器連接Internet的接口，配置合法IP地址

R1（config-if）#no shut

R1（config-if）#int fa 2/0

R1（config-if）#ip add 192.168.2.220 255.255.255.0 路由器連接內網接口，配置內網私有地址

R1（config-if）#no shut

R1（config-if）#no cdp run關閉CDP協議

R1（config-if）#ip route 0.0.0.0 0.0.0.0 192.168.1.1 配置路由器的默認路由

第2步：對路由器R1做配置，指定對外接口。

R1（config）#int fa 0/0

R1（config-if）#ip nat outside指明接口是對外的接口第3步：對路由器R1做配置，指定對內接口。R1（config）#int fa 2/0

R1（config-if）#ip nat inside指明接口是對內的接口

第4步：對路由器R1做配置，創建地址池。

R1（config）#ip nat pool out-pool 222.56.127.137 222.56.127.137 netmask 255.255.255.0創建地址池 Out-pool，起始至結束地址是222.56.127.137 ，使用掩碼為255.255.255.0。如申請到多個合法IP地址，則開始至結束地址分別改為IP地址段即可。

第5步：對路由器R1做配置，允許被NAT轉換。

R1（config）#access-list 1 permit 192.168.2.0 0.0.0.255 配置允許被NAT的條件，這里只允許一部分IP地址被NAT。

第6步：對路由器R1做配置，關聯允許被NAT的列表和地址池。

R1（config）#ip nat inside source list 1 pool out-pool overload 把允許被NAT的ACL 1和前面創建的地址池 Out-pool關聯起來，Overload允許使用上層的UDP和TCP端口標識會話，尤其是在內網上網主機多于地址池中合法IP地址的情況下，這個關鍵字必不可少。

3.2 動態IP地址配置實現

在實際的網絡組建中，若單位不對外提供 Web服務，選擇的網絡接入方式可以是動態IP接入（即寬帶拔號方式，這種方式比使用固定 IP接入費用低），也就是路由器的對外接口使用DHCP動態獲取公網IP地址，因獲得的這個IP地址不固定，故無法創建地址池。此時可以把配置第4步和第6步變成一步，即將上述配置的第4步省略，把第6步更換成如下配置：

R1（config）#ip nat inside source list 1 interface fa 0/0 overload 把允許被 NAT和ACL和路由器對外接口關聯起來，無論路由器對外接口獲取到什么IP地址，路由器都使用對外接口的IP地址進行NAT。

3.3 Web服務配置

若在內網中還需對外提供Web服務，則在路由器R1上配置端口映射，配置內容如下：

R1（config）#ip nat inside source static tcp 192.168.2.2 80 int fa 0/0 80 配置端口映射，外界對 Fa0/0接口 80端口的訪問，被轉換到內網192.168.2.2的80端口，

第7步：測試配置是否成功。在筆記本IE地址欄中鍵入 http：//222.56.127.137，可以成功訪問到Web服務器上的Web主頁。

4 NAT技術弊端

首先，NAT違反了 IP地址結構模型的設計原則[7-8]。IP地址結構模型的基礎是每個IP地址均標識了一個網絡的連接。Internet的軟件設計就是建立在這個前提之上，而NAT使得有很多主機可能使用相同的地址[9]。

其次，NAT使得IP協議從面向無連接變成面向連接。NAT必須維護專用IP地址與公用IP地址以及端口號的映射關系。在TCP/IP協議體系中，如果一個路由器出現故障，不會影響到TCP協議的執行。因為只要幾秒收不到應答，發送進程就會進入超時重傳處理。而當存在 NAT時，最初設計的 TCP/IP協議過程將發生變化，Internet將變得非常脆弱[10]。

另外，NAT違反了基本的網絡分層結構模型的設計原則。因為在傳統的網絡分層結構模型中，第N層是不能修改第N+1層的報頭內容的。NAT破壞了這種各層獨立的原則。

5 結語

NAT技術在當前IPv4過渡時期，對信息化、網絡化建設方面仍起著很大的作用，對緩解IP地址資源不足提供了良好的解決方案，同時也在一定范圍內避免了外界硬件資源條件不足而對網絡服務造成的影響，一定程度上突破了網絡地址空間不夠導致在網絡應用上的障礙，相應地解決了NAT與網絡性能問題。盡管它本身還存在一系列的弊端，這有待于在IPv6時代來臨之前繼續加強打破該限制與不利的研究，進而讓NAT技術能夠繼續發揮它相應的作用。

[1] 邵澤云．網絡地址轉換和策略路由在校園網中的應用[J].隴東學院學報，2010(05)：30-32.

[2] 劉風華，丁賀龍，張永平．關于NAT技術的研究與應用[J].計算機工程與設計，2006(10)：1814-1817.

[3] 周利利，張平，梁祖華．IPv4/IPv6過渡技術在校園網中的應用[J].通信技術，2009，42(02)：212-214.

[4] 李文琴．NAT技術在校園內部網絡中的應用[J].重慶工商大學學報：自然科學版，2007(04)：353-356.

[5] 張建偉，賀蕾，郭云飛,等．基于路由器的 NAT系統的擴展與實現[J].通信技術，2008，41(06)：36-37.

[6] 孫衛喜，茍紅玲．NAT技術在高校多校區資源共享中的應用[J].微型電腦應用，2009(10)：59-60.

[7] 馬義濤,薛質,王軼駿.關于TCP穿越 NAT技術的研究與分析[J].信息安全與通信保密,2008(04)：47-49.

[8] 阮宜龍.NAT和IPSec相容性研究[J].信息安全與通信保密,2007(02)：108-110.

[9] 吳紹興，劉德春，尹應鵬．路由器下NAT技術的實現[J].計算機與現代化，2004(02)：50-53.

[10] 王瑾，吳啟山．基于IPv6過渡技術在校園網中的應用研究[J].通信技術，2008,41(09)：142-144.