计算机网络地址翻译(NAT)的原理及具体应用

　　网络地址翻译(NAT,Network Address Translation)是计算机网络技术中的一个重要技术。通过分析NAT技术的原理,文章完整的介绍了NAT技术的各个方面,并以CISCO路由器为例,提出了具体应用。

　　随着Internet的膨胀式发展,其可用的公网IP地址越来越少,要想再申请到一个新的公网IP地址已是很不容易的事了。NAT技术很方便的解决了这些问题。NAT(Network Address Translation)网络地址翻译,指的是将一个内网私有IP地址转换成外网(公网)IP地址。利用NAT技术,公网IP地址可以对外代表一个或多个内部地址。我们一般可以把NAT技术分为三种:静态NAT,动态NAT和NAPT,其中NAPT又可以称为PAT。

　　1、静态NAT

　　静态NAT的工作原理很简单。NAT将网络分为内部网络(inside)和外部网络(outside),内部网络指的是单位内部局域网,外部网络指的是公共网络,一般是指Internet。静态NAT将内部本地私有IP地址与外部合法公网IP地址进行一对一的转换,且需要指定到底内部IP和哪个合法地址进行转换,即需要建立一张网络地址转换表;内部地址与全局地址一一对应,每当内部节点与外界通信时,内部私有IP地址就会转换为对应的公网IP 地址。

　　某学校内部局域网使用的IP网段是192.168.0.0/24,现在它们申请了一段公网IP:100.0.0.3—— 100.0.0.100/24。静态NAT就是要求内部私有IP地址和公网IP地址是一一对应的关系。那么假设PC1有一个私有 IP:192.168.0.3/24,当它需要访问Internet时,它先向路由器发出请求,路由器会根据静态NAT的设置,把私有 IP(192.168.0.3)转换为公网IP(100.0.0.3),然后把数据包发送出去。Internet需要返回数据时,返回的数据是发送给 100.0.0.3,然后由路由器根据对应关系,把这个数据包发送到192.168.0.3。

　　可以看出,静态NAT实现的是一对一的转换,将内部私有IP固定的转换为外网合法IP,这是不可能节省IP地址资源的。但是静态NAT的好处是,如果内网中建立了服务器,比如Web,Ftp,E-mail等服务器,这些服务器往往同时为内网和外网提供服务,对于这样的服务,就必须建立静态 NAT进行转换。

　　CISCO路由器的配置命令是:

　　端口模式下:

　　Ip nat inside !将某端口指定为内部端口

　　Ip nat outside!将端口指定为外部端口

　　全局模式下:

　　Ip nat inside source static inside_ip outside_ip

　　Inside_ip,指的是内部IP地址

　　Outside_ip,指的是翻译成的外部IP地址

　　2、动态NAT

　　动态NAT也是实现私有IP和公网IP之间的一一对应转换,但是它们的关系是不固定的,就是说私有IP访问外网时也要进行转换,转换成公网IP,但是转换时不是固定转换成某一IP,而是随机的。

　　(1)首先还是要地址转换,内网转换成外网。(2)和静态的不同,是动态的转换。动态NAT是定义了一个地址池(pool),其中地址池中的地址是一组连续的外网IP地址,所有内网中允许的IP都可以使用地址池中的任意一个进行转换。所谓允许的IP是指可以在路由器上使用访问控制列表来定义, 允许哪一部分内网IP使用这个地址池进行转换。根据访问控制列表的命令要求,允许的IP一般是某一个网段,如192.168.0.0/24等。(3)动态 NAT的外网转换IP是动态的,不固定,当需要时从地址池随机选择。用完后(通信结束)就需要把这个地址放回地址池,供其他主机使用。这样就可以部分缓解外网IP地址压力。(4)注意,静态NAT和动态NAT可以共存。如果有需要内、外网都访问的服务器,可以采用静态NAT,别的可以采用动态NAT。动态 NAT还有一个好处,因为内网主机访问出去的IP经常随机变化,增加了网络安全性。

　　3、PAT或NAPT

　　PAT是NAT技术中的一种特殊的方法,可以将一段私有IP转换成一个公网IP地址,从而节省了公网IP地址资源,这种技术称为 PAT(Port Address Translation)端口地址翻译。有的地方称为NAPT(Network Address Port Translation)网络地址端口转换,意思是一样的。

　　实际上PAT和动态NAT几乎是一样的,只不过在地址转换的时候没有地址池,或说地址池内只有一个地址,所有的私有地址都转换成同一个公网IP地址,转换时对网关路由器的外网接口IP地址进行复用(overload)。复用技术是通过利用对话的端口号来实现的。

　　端口模式下:

　　Ip nat inside !将某端口指定为内部端口

　　Ip nat outside!将端口指定为外部端口

　　全局模式下:

　　(1)Ip nat pool name start_ip end_ip netmask netmask

　　其中:name指的是地址池的名称

　　Start_ip end_ip指的是地址池的开始IP和结束IP,在PAT时,这两个IP地址是一样的,但要写两个,不能省略。如100.0.0.1 100.0.0.1

　　Netmask指的是地址池的IP地址的子网掩码

　　(2)access_list number permit source wildcard

　　其中:number指的是访问控制列表的号码,1——99

　　source wildcard指的是允许地址转换的地址段和对应的通配符。

　　(3)ip nat inside source list number pool name overload

　　其中:number还是那个2号命令中的那个访问控制列表号

　　Name还是那个1号命令中地址池的名字

　　Overload是实现PAT的关键字,不能省略

　　和动态NAT对照比较可以看出,PAT仅仅在定义IP地址池的地方换成一个IP地址和最后增加overload两处不同。

　　最后,NAT隐藏了内部IP地址,使其具有一定的安全性,但我们绝不能将NAT作为网络单一的安全防范措施,尤其是静态NAT。因为:

　　(1)NAT只对地址进行转换而不进行其他操作,因此,一旦建立了与外部网络的连接时,NAT不会阻止任何从外部返回的恶意破坏信息。(2) 虽然NAT隐藏了端到端的IP地址,但它并不隐藏主机信息。如果通过NAT设备访问某些功能服务器,服务器记录的不仅是主机名,还有内部IP地址和操作系统。(3)Internet上的恶意攻击通常针对机器的“熟知端口”,如HTTP的80端口、FTP的21端口和POP的110端口等。虽然NAT可以屏蔽不向外部网络开放的端口,但针对面向熟知端口的攻击,它是无能为力的。(4)许多NAT设备都不记录从外部网络到内部网络的连接,这会使内部计算机受到来自外部网络的攻击时,由于没有记录可以追查,根本无法发觉自己受到过什么攻击。

　　作者：张世勇 来源：数字技术与应用 2011年1期