NAT技術(shù)在局域網(wǎng)中的應(yīng)用

朱雅琴

摘 要隨著網(wǎng)絡(luò)用戶(hù)的不斷擴(kuò)大，網(wǎng)絡(luò)中的IP資源已經(jīng)不能滿足用戶(hù)上網(wǎng)的需求，采用NAT地址轉(zhuǎn)換技術(shù)能夠在一定程度將網(wǎng)絡(luò)通信中的IP進(jìn)行轉(zhuǎn)換，通過(guò)對(duì)NAT技術(shù)在網(wǎng)絡(luò)的應(yīng)用，并用案例說(shuō)明了NAT配置方法。

【關(guān)鍵詞】NAT 局域網(wǎng) 地址轉(zhuǎn)換

1 NAT技術(shù)在網(wǎng)絡(luò)通信中的應(yīng)用

1.1 一對(duì)一轉(zhuǎn)換技術(shù)的應(yīng)用

一對(duì)一轉(zhuǎn)換是NAT技術(shù)的基本功能，實(shí)現(xiàn)局域網(wǎng)中的計(jì)算機(jī)與Internet網(wǎng)絡(luò)中計(jì)算機(jī)進(jìn)行一對(duì)一通信的功能，其具體的實(shí)現(xiàn)功能如圖1所示。在圖1中，路由器處在企業(yè)內(nèi)部的局域網(wǎng)與外部Internet網(wǎng)絡(luò)的結(jié)合出，作為NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的服務(wù)器，當(dāng)內(nèi)部局域網(wǎng)中的PC（10.1.1.15）向外部服務(wù)器（35.7.6.8）發(fā)送請(qǐng)求數(shù)據(jù)報(bào)1時(shí)，NAT服務(wù)器將會(huì)對(duì)報(bào)頭的內(nèi)容進(jìn)行查看分析，判斷該數(shù)據(jù)報(bào)是否是通向外網(wǎng)的數(shù)據(jù)報(bào)，在確認(rèn)為發(fā)往外部的數(shù)據(jù)報(bào)時(shí)，通過(guò)NAT轉(zhuǎn)換技術(shù)，將其轉(zhuǎn)變?yōu)閿?shù)據(jù)報(bào)2，這時(shí)就將數(shù)據(jù)報(bào)1中源地址轉(zhuǎn)換為局部地址200.16.1.2，然后通過(guò)網(wǎng)絡(luò)將數(shù)據(jù)報(bào)2發(fā)送個(gè)外部服務(wù)器，并在NAT服務(wù)器中將本次的地址轉(zhuǎn)換記錄保存起來(lái)，當(dāng)外部服務(wù)器發(fā)送外部報(bào)文3時(shí)，由于在網(wǎng)絡(luò)通信中，其目的地地址為200.16.1.2，這時(shí)NAT服務(wù)器就會(huì)查看該報(bào)文的報(bào)頭的源地址，分析其中的內(nèi)容與需要轉(zhuǎn)換的IP地址數(shù)據(jù)，然后根據(jù)NAT服務(wù)器記錄的地址轉(zhuǎn)換映射關(guān)系，就將數(shù)據(jù)報(bào)3轉(zhuǎn)變?yōu)閿?shù)據(jù)報(bào)4，即將數(shù)據(jù)報(bào)3中的目的地地址轉(zhuǎn)換為10.1.1.15，并數(shù)據(jù)報(bào)4發(fā)送給數(shù)據(jù)報(bào)1傳出的計(jì)算機(jī)，這樣就完成了一個(gè)一對(duì)一通信的過(guò)程。

1.2 多對(duì)多轉(zhuǎn)換技術(shù)的應(yīng)用

多對(duì)多地址轉(zhuǎn)換技術(shù)就是在網(wǎng)絡(luò)通信的過(guò)程時(shí)，在NAT服務(wù)器中將局域網(wǎng)中需要通信的計(jì)算機(jī)發(fā)出的數(shù)據(jù)報(bào)的報(bào)頭IP地址進(jìn)行重寫(xiě)，將源地址改為多個(gè)目標(biāo)地址，并在NAT服務(wù)器中將修改的原始記錄保存下來(lái)，然后依據(jù)通信的目標(biāo)地址，將數(shù)據(jù)報(bào)發(fā)送給個(gè)目標(biāo)IP地址的計(jì)算機(jī)，在多對(duì)多轉(zhuǎn)換的過(guò)程中，NAT服務(wù)器使用的是組個(gè)局地址來(lái)實(shí)現(xiàn)IP地址的轉(zhuǎn)換，通常將這組個(gè)局地址稱(chēng)為NAT地址池，其實(shí)現(xiàn)技術(shù)過(guò)程與一對(duì)一轉(zhuǎn)換技術(shù)相似，在地址池中寫(xiě)入多個(gè)IP地址進(jìn)行發(fā)生數(shù)據(jù)，并向外部發(fā)送數(shù)據(jù)報(bào)，多對(duì)多地址轉(zhuǎn)換的原理如圖2所示。在外部Internet網(wǎng)絡(luò)中向內(nèi)部局域網(wǎng)計(jì)算機(jī)發(fā)送數(shù)據(jù)的過(guò)程中，NAT服務(wù)器就會(huì)查看該報(bào)文的報(bào)頭的源地址，分析其中的內(nèi)容與需要轉(zhuǎn)換的IP地址數(shù)據(jù)，在地址池中對(duì)外部數(shù)據(jù)報(bào)的IP地址進(jìn)行轉(zhuǎn)換，然后發(fā)送到目標(biāo)計(jì)算機(jī)上，可見(jiàn)多對(duì)多的IP轉(zhuǎn)換的本質(zhì)是將局域網(wǎng)內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)空間地址空間映射到小的NAT地址池空間中，在地址轉(zhuǎn)換的過(guò)程中，NAT服務(wù)器中可以保存若干條映射的轉(zhuǎn)換記錄，網(wǎng)絡(luò)中記錄的轉(zhuǎn)換最大值就是地址池空間中的IP地址數(shù)，該記錄值決定了局域網(wǎng)與Internet網(wǎng)絡(luò)中主機(jī)通信的數(shù)量。

1.3 多對(duì)一轉(zhuǎn)換技術(shù)的應(yīng)用

多對(duì)地址轉(zhuǎn)換技術(shù)在網(wǎng)絡(luò)通信中也是經(jīng)常應(yīng)用的，該技術(shù)在網(wǎng)絡(luò)通信地址端有時(shí)也被稱(chēng)為網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（NetworkAddress Port Translation），它能夠允許在多個(gè)局域網(wǎng)地址能夠同時(shí)映射到一個(gè)全局網(wǎng)的網(wǎng)址上，實(shí)現(xiàn)一對(duì)多的通信，NAPT的轉(zhuǎn)換轉(zhuǎn)換技術(shù)過(guò)程如圖3所示。在NAPT轉(zhuǎn)換技術(shù)中，主要實(shí)現(xiàn)的功能是將【局部地址+端口】與【全局地址+端口】的IP地址之間的相互轉(zhuǎn)換，實(shí)現(xiàn)多對(duì)一的通信過(guò)程，在圖3中，局域網(wǎng)的多個(gè)數(shù)據(jù)段通過(guò)NAT服務(wù)器轉(zhuǎn)換為一個(gè)公網(wǎng)的IP通信地址，實(shí)現(xiàn)了多對(duì)一的網(wǎng)絡(luò)通信，在數(shù)據(jù)通的過(guò)程中，局域網(wǎng)與Internet網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)報(bào)的報(bào)頭轉(zhuǎn)換，與之對(duì)應(yīng)的NAT轉(zhuǎn)換服務(wù)中，需要4條記錄，做好5個(gè)字段的數(shù)據(jù)記錄，這此字段共同決定了內(nèi)外網(wǎng)之間的不同通信連接方式，由于不同網(wǎng)絡(luò)通信之間的不同端口數(shù)量為65536個(gè)。因此，在NAT技術(shù)轉(zhuǎn)換的過(guò)程中，理論上一個(gè)全局地址最多可滿足65536個(gè)內(nèi)部主機(jī)在通信的過(guò)程中，同時(shí)訪問(wèn)外部的Internet網(wǎng)絡(luò)，如果全局的地址數(shù)量為n個(gè)，那么能夠同時(shí)訪問(wèn)外網(wǎng)的個(gè)數(shù)就為65536n，這說(shuō)明通過(guò)NAT轉(zhuǎn)換技術(shù)，能夠同時(shí)實(shí)現(xiàn)局域網(wǎng)的多個(gè)用戶(hù)同時(shí)訪問(wèn)局域網(wǎng)，但是在實(shí)際通信的過(guò)程中，同時(shí)訪問(wèn)外網(wǎng)的用戶(hù)會(huì)遠(yuǎn)小于這個(gè)數(shù)目。

1.4 NAT內(nèi)部服務(wù)器

（1）NAT內(nèi)部服務(wù)器的功能比較強(qiáng)大，只要NAT服務(wù)器的資源允許以及通信網(wǎng)絡(luò)連接有效，就能夠允許任何從內(nèi)網(wǎng)向外網(wǎng)的連接請(qǐng)求進(jìn)行通信，并且服務(wù)器都能夠快速的得到響應(yīng)：若在NAT轉(zhuǎn)換農(nóng)中沒(méi)有對(duì)應(yīng)的映射記錄，NAT服務(wù)器就會(huì)動(dòng)態(tài)的建立映射，并動(dòng)態(tài)添加記錄，否則NAT服務(wù)器就直接利用已經(jīng)記錄的數(shù)據(jù)來(lái)建立連接，實(shí)現(xiàn)二者的通信。

（2）從外網(wǎng)訪問(wèn)內(nèi)網(wǎng)主機(jī)是有條件的，需要得到NAT服務(wù)器的許可之后才能夠建立連接，即在NAT轉(zhuǎn)換表中對(duì)必須已存在該主機(jī)的映射記錄信息。

（3）NAT服務(wù)器在通信的過(guò)程中，隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，能夠有效的保證內(nèi)網(wǎng)、外網(wǎng)之間通信的安全，說(shuō)明NAT服務(wù)器具有屏蔽內(nèi)部主機(jī)的功能。但是，在實(shí)際通信的過(guò)程中，有時(shí)內(nèi)網(wǎng)需要能夠被外網(wǎng)訪問(wèn)，比如對(duì)外的公共服務(wù)器的訪問(wèn)，這時(shí)就需要NAT服務(wù)器對(duì)其進(jìn)行判斷，實(shí)現(xiàn)外網(wǎng)對(duì)內(nèi)網(wǎng)的訪問(wèn)。通過(guò)NAT數(shù)據(jù)轉(zhuǎn)換技術(shù)，也可以方便的實(shí)現(xiàn)外網(wǎng)主機(jī)對(duì)內(nèi)網(wǎng)計(jì)算機(jī)的訪問(wèn)。要實(shí)現(xiàn)這一功能，就需要在NAT服務(wù)器的轉(zhuǎn)換列表中靜態(tài)的添加與外網(wǎng)訪問(wèn)對(duì)象的IP地址，這樣，在外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部計(jì)算機(jī)時(shí)，NAT服務(wù)器就會(huì)讀取外網(wǎng)的數(shù)據(jù)報(bào)的報(bào)頭IP地址，就會(huì)根據(jù)記錄的轉(zhuǎn)換列表中查詢(xún)相對(duì)應(yīng)的IP地址，當(dāng)內(nèi)部的計(jì)算機(jī)發(fā)送應(yīng)答的報(bào)文時(shí)，NAT服務(wù)器就會(huì)將外部數(shù)據(jù)報(bào)報(bào)文的源地址轉(zhuǎn)換為局域網(wǎng)的IP地址，實(shí)現(xiàn)外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的連接。

2 NAT服務(wù)器轉(zhuǎn)換技術(shù)的案例分析

在這里，我們以化為路由器為例，來(lái)分析NAT轉(zhuǎn)換技術(shù)在局域網(wǎng)與Internet網(wǎng)絡(luò)通信中的轉(zhuǎn)換應(yīng)用。

2.1 組網(wǎng)需求分析

某企業(yè)公司為了實(shí)現(xiàn)企業(yè)的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互相連接，希望通過(guò)Quidway路由器的NAT地址轉(zhuǎn)換功能連接到廣域網(wǎng)要求，并且能夠保證內(nèi)網(wǎng)與外網(wǎng)的有效通信。該企業(yè)要求能夠通過(guò)Quidway路由器的NAT轉(zhuǎn)換功能來(lái)提供的Ethernet 0接口訪問(wèn)Internet外部網(wǎng)絡(luò)，同時(shí)企業(yè)為了保證正常的通信需要，還向外提供了WWW服務(wù)與ftp服務(wù)，該公司設(shè)置的內(nèi)部IP地址為192.168.1.1～192.168.255.255，外部的計(jì)算機(jī)可以通過(guò)網(wǎng)絡(luò)來(lái)訪問(wèn)公司的內(nèi)部服務(wù)器的IP地址段為：192.168.1.1～192.168.1.210，而內(nèi)部的所有IP段都能夠方法外部的計(jì)算機(jī)網(wǎng)絡(luò)，而企業(yè)的內(nèi)部IP段是不能訪問(wèn)外部的計(jì)算機(jī)網(wǎng)絡(luò)。該企業(yè)具有200.16.15.42至202.16.15.54等6個(gè)網(wǎng)絡(luò)通信的全局IP地址，企業(yè)在設(shè)置的過(guò)程中，選用200.16.15.42作為企業(yè)對(duì)外通信web服務(wù)器的IP地址，將IP地址200.16.15.40作為企業(yè)對(duì)外的ftp通信服務(wù)器，而將剩下的地址作為NAT服務(wù)器的轉(zhuǎn)換IP地址池。

2.2 化為服務(wù)器的相關(guān)命令設(shè)置

# 配置NAT服務(wù)器的地址池

[Quidway] nat addess-group 1 200.16.15.42 200.16.15.54

#定義NAT數(shù)據(jù)記錄訪問(wèn)控制列表IP地址

[Quidway] acl number 2001/選擇acl命令

[Quidway-acl-basic-2001] rule permit source 192.168.1.1～0.0.0.255/設(shè)置相應(yīng)的訪問(wèn)IP段地址

[Quidway-acl-basic-2001] rule deny source 192.168.1.210～0.0.255.255/設(shè)置外部服務(wù)器不能訪問(wèn)的內(nèi)部IP地址段

#在NAT服務(wù)器內(nèi)允許192.168.1.0/255網(wǎng)段的IP地址轉(zhuǎn)換

[Quidway-Ethernet0] nat outbound 2001 address-group 1

#設(shè)置企業(yè)內(nèi)部的ftp服務(wù)器訪問(wèn)IP地址

[Quidway-Ethernet0] nat server protocol tcp global 200.16.15.40 inside 192.168.1.1 ftp

#設(shè)置企業(yè)的內(nèi)部web服務(wù)器的訪問(wèn)地址

[Quidway -Ethernet0] nat server protocol tcp global 200.16.15.42 inside 192.168.1.12 web

2.3 連接測(cè)試

在對(duì)NAT轉(zhuǎn)換服務(wù)器進(jìn)行設(shè)置之后，通過(guò)外部網(wǎng)絡(luò)訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)的IP地址段：192.168.1.1～192.168.1.210，是能夠?qū)崿F(xiàn)所有的網(wǎng)絡(luò)訪問(wèn)，而其他的IP段地址是不能夠進(jìn)行訪問(wèn)的。企業(yè)內(nèi)部的所有IP地址段都能夠訪問(wèn)外部的Internet網(wǎng)絡(luò)。在外部的網(wǎng)絡(luò)中可以有效的訪問(wèn)企業(yè)的內(nèi)部ftp與web服務(wù)器。

3 結(jié)束語(yǔ)

采用NAT技術(shù)，能夠在一定的程度上解決了IPV4中的網(wǎng)絡(luò)IP地址的逐漸耗竭的問(wèn)題，提升網(wǎng)絡(luò)IP地址的利用效率。同時(shí)，也能夠根據(jù)局域網(wǎng)的內(nèi)部需要，有效建立內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的訪問(wèn)與控制機(jī)制，實(shí)現(xiàn)了內(nèi)部網(wǎng)絡(luò)與外部Internet網(wǎng)絡(luò)之間的連接。另外，NAT技術(shù)還能有效地隱蔽了企業(yè)內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，避免來(lái)自網(wǎng)絡(luò)外部的攻擊，保證網(wǎng)絡(luò)通信的安全，同時(shí)還能夠隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)的信息，避免了外來(lái)陌生的用戶(hù)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)，增強(qiáng)了網(wǎng)絡(luò)的穩(wěn)定性與安全性。

參考文獻(xiàn)

[1]何偉.NAT技術(shù)的研究及其應(yīng)用[J].懷化學(xué)院學(xué)報(bào)，2012（02）.

[2]劉欣，王行建.NAT技術(shù)的研究與應(yīng)用[J].自動(dòng)化技術(shù)與應(yīng)用，2013（07）.

[3]李廣華，朱志祥等.NAT技術(shù)基本原理及其在實(shí)際中的應(yīng)用[J].西安郵電學(xué)院學(xué)報(bào)，2015（01）.

[4]姚政.NAT技術(shù)原理探究及在校園網(wǎng)上的應(yīng)用實(shí)例[J].電腦知識(shí)與技術(shù)，2015（12）.

作者單位

廣東省粵東商貿(mào)技工學(xué)校 廣東省梅州市 514031