摘 要：由于Internet的迅速發(fā)展，網(wǎng)絡地址越來越珍貴。NAT是一種把內(nèi)部私有網(wǎng)絡地址（IP地址）翻譯成合法網(wǎng)絡IP地址的技術(shù)。NAT在一定程度上能夠有效的解決公網(wǎng)地址不足的問題。本文旨在從初學者的角度出發(fā)，研究了路由器中網(wǎng)絡地址轉(zhuǎn)換的NAT技術(shù)。

關鍵詞：NAT；路由器；地址轉(zhuǎn)換；Internet

中圖分類號：TP393.02

1 NAT的簡介

隨著Internet的膨脹式發(fā)展，其可用的IP地址越來越少，IPv4定義的有限地址空間將被耗盡，而地址空間的不足必將妨礙互聯(lián)網(wǎng)的進一步發(fā)展。這不僅僅是費用的問題，而是IP地址的現(xiàn)行標準IPv4決定的。NAT（網(wǎng)絡地址翻譯）在一定程度上能解決這個問題，當一個私有網(wǎng)絡要通過Internet注冊的公有IP連接到外部時，位于內(nèi)部網(wǎng)絡和外部網(wǎng)絡中的NAT路由器就負責在發(fā)送數(shù)據(jù)包之前把內(nèi)部IP翻譯成外部合法IP地址，使多重的內(nèi)部網(wǎng)絡可以使用相同的IP訪問Internet，這樣一來就可以減少注冊IP地址的使用。

通常情況下NAT功能被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。NAT設備用來把非法的IP地址映射到合法的IP地址上去。每個包在NAT設備中都被翻譯成正確的IP地址發(fā)往下一級。

私有IP地址屬于非注冊地址，公有IP地址是指在因特網(wǎng)上全球唯一的IP地址。使用私有地址是無法直接連接到因特網(wǎng)上，但是能夠用在公司內(nèi)部的網(wǎng)絡上。

常用的私有地址范圍如下：

A 類：10.0.0.0～10.255.255.255 子網(wǎng)掩碼：255.0.0.0

B 類：172.16.0.0～172.31.255.255 子網(wǎng)掩碼：255.255.0.0

C 類：192.168.0.0～192.168.255.255 子網(wǎng)掩碼：255.255.255.0

上述三個范圍內(nèi)的地址不會在因特網(wǎng)上被分配，私有地址可以通過防火墻、NAT等設備或特殊軟件間接連接到Internet。

2 NAT的工作原理

當私有網(wǎng)主機和公共網(wǎng)主機通信的IP包經(jīng)過NAT網(wǎng)關時，將IP包中的源IP或目的IP在私有IP和NAT的公共IP之間進行轉(zhuǎn)換。NAT網(wǎng)關有2個網(wǎng)絡端口，其中公共網(wǎng)絡端口的IP地址是統(tǒng)一分配的公共IP，；私有網(wǎng)絡端口的IP地址是保留地址。私有網(wǎng)中的主機向公共網(wǎng)中的主機發(fā)送了1個IP包。當IP包經(jīng)過NAT網(wǎng)關時，NAT會將IP包的源IP轉(zhuǎn)換為NAT的公共IP并轉(zhuǎn)發(fā)到公共網(wǎng)，此時IP包中已經(jīng)不含任何私有網(wǎng)IP的信息。由于IP包的源IP已經(jīng)被轉(zhuǎn)換成NAT的公共IP，響應的IP包將被發(fā)送到NAT。這時，NAT會將IP包的目的IP轉(zhuǎn)換成私有網(wǎng)中主機的IP，然后將IP包轉(zhuǎn)發(fā)到私有網(wǎng)。對于通信雙方而言，這種地址的轉(zhuǎn)換過程是完全透明的。

3 NAT的分類

NAT有SNAT（靜態(tài)網(wǎng)絡地址轉(zhuǎn)換）、PNAT（動態(tài)網(wǎng)絡地址轉(zhuǎn)換）和NNAT（網(wǎng)絡地址端口轉(zhuǎn)換）。

地址轉(zhuǎn)換是指當內(nèi)部網(wǎng)絡訪問外部網(wǎng)絡時，地址轉(zhuǎn)換將會選擇一個合適的外部地址，來替代內(nèi)部網(wǎng)絡數(shù)據(jù)報文的源地址。SNAT（靜態(tài)網(wǎng)絡地址轉(zhuǎn)換）是指內(nèi)部網(wǎng)絡的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址，PNAT（動態(tài)網(wǎng)絡地址轉(zhuǎn)換）是指在外部網(wǎng)絡定義了一批的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡。

NAPT（網(wǎng)絡地址端口轉(zhuǎn)換）是NAT的一種變形，它允許多個內(nèi)部地址映射到同一個公有地址上，也可稱之為“多對一地址轉(zhuǎn)換”或“地址復用”。NAPT同時映射IP地址和端口號：來自不同內(nèi)部地址的數(shù)據(jù)報的目的地址可以映射到同一外部地址，但它們的端口號被轉(zhuǎn)換為該地址的不同端口號，因而仍然能夠共享同一地址，也就是“私有地址+端口”與“公有地址+端口”之間的轉(zhuǎn)換。

4 NAT配置實例

企業(yè)內(nèi)部網(wǎng)絡使用的lP地址192.168.100.1—192.168.100.254，局域網(wǎng)默認網(wǎng)關的IP地址為192.168.100.254，子網(wǎng)掩碼為255.255.255.0。企業(yè)注冊申請的合法IP地址范圍為61.183.207.193～61.183.207.198，路由器在廣域網(wǎng)中的IP地址為61.183.207.198，子網(wǎng)掩碼為255.255.255.248

4.1 SNAT（靜態(tài)網(wǎng)絡地址轉(zhuǎn)換）的實現(xiàn)

（1）設置企業(yè)網(wǎng)路由器外部端口。

指定路由器外部端口 interface serial 1/0

設置該端口的IP地址 ip address 61.183.207.198 255.255.255.248

外部端口NAT啟用 ip nat outside

（2）設置企業(yè)網(wǎng)路由器內(nèi)部端口。

指定路由器內(nèi)部端口 interface ethernet 0/0

設置該端口的IP地址 ip address 192.168.100.254 255.255.255.0

外部端口NAT啟用 ip nat inside

（3）在企業(yè)網(wǎng)內(nèi)部私有地址與注冊地址之間建立靜態(tài)地址轉(zhuǎn)換。

ip nat inside source static 192.168.100.1 61.183.207.193

ip nat inside source static 192.168.100.2 61.183.207.194

4.2 PNAT（動態(tài)網(wǎng)絡地址轉(zhuǎn)換）的實現(xiàn)

（1）定義內(nèi)部網(wǎng)絡中允許訪問外部網(wǎng)絡的訪問控制列表access-list 1 permit 192.168.100.0 0.0.0.255

（2）定義合法IP地址池ip nat pool test1 61.183.207.193 61.183.207.198 netmask 255.255.255.248

（3）在局域網(wǎng)內(nèi)部私有地址與注冊地址之間建立動態(tài)地址轉(zhuǎn)換。ip nat inside source list 1 pool test1

4.3 NAPT（網(wǎng)絡地址端口轉(zhuǎn)換）的實現(xiàn)

（1）啟用端口復用地址轉(zhuǎn)換

ip nat inside source list1 interface fastethernet0/1 overload

（2）轉(zhuǎn)換郵件服務器對應的地址

ip nat inside source static tcp 192.168.100.1 80 61.183.207.195 25

ip nat inside source static tcp 192.168.100.1 80 61.183.207.195 110

（3）轉(zhuǎn)換FTP服務器對應的地址

ip nat inside source static tcp 192.168.100.1 21 61.183.207.195 21

總之，NAT方案在一定程度上減緩了IP地址耗盡的周期和路由表越來越大的問題，提供了一種非常方便的方式來解決私有網(wǎng)絡與Internet的互連問題。

參考文獻：

[1]Allan Reid，Jim Lorenz.CCNA Discovery：在中小型企業(yè)或ISP工作[M].北京：人民郵電出版社，2009.

[2]張文庫，朱志輝.企業(yè)網(wǎng)搭建及應用（第2版）[M].北京：電子工業(yè)出版社，2011.

作者簡介：陳欣（1975-），女，湖北武漢人，武漢職業(yè)技術(shù)學院計算機學院副教授，研究方向：計算機網(wǎng)絡工程、智能樓宇與系統(tǒng)集成技術(shù)。