張波　萬麗

摘 要：當(dāng)前信息網(wǎng)絡(luò)飛速發(fā)展，網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，Network Address Translation）在計(jì)算機(jī)網(wǎng)絡(luò)中的作用非常重要。NAT技術(shù)的應(yīng)用，能夠有助于減緩可用IP地址空間嚴(yán)重不足的問題。本文針對某一局域網(wǎng)連接到Internet的案例，論述了當(dāng)前應(yīng)用較多的基于端口映射的PAT技術(shù)，分析了當(dāng)ISP分配的公用IP地址池和路由器的廣域網(wǎng)口IP不在同一網(wǎng)段的情況下，NAT的配置方式。實(shí)現(xiàn)了讓內(nèi)部網(wǎng)用戶通過PAT轉(zhuǎn)換為公用IP地址，訪問Internet。

關(guān)鍵詞：NAT；PAT；網(wǎng)絡(luò)；路由器

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

1 引言（Introduction）

當(dāng)前，我們進(jìn)入信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā)展，對IP地址的需要也就越來越緊缺。根據(jù)調(diào)查統(tǒng)計(jì)，目前，我國的網(wǎng)民數(shù)量達(dá)到6.5億，而我國擁有的IP地址數(shù)量只有幾千萬個(gè)。于是，產(chǎn)生了NAT技術(shù)，大量的上網(wǎng)用戶都是通過局域網(wǎng)接入到Internet，局域網(wǎng)內(nèi)部使用內(nèi)部IP地址，出去訪問的時(shí)候使用公用IP地址。

NAT技術(shù)即將局域網(wǎng)私有IP轉(zhuǎn)換為可以上Internet的公網(wǎng)IP。私有IP地址是指內(nèi)部網(wǎng)絡(luò)或主機(jī)的IP地址，公有IP地址是指在Internet上全球唯一的IP地址。私有IP地址塊是任何局域網(wǎng)內(nèi)部都可以使用的，但其身份不能出去訪問，包括三個(gè)部分[1]，如下：

A類：10.0.0.0～10.255.255.255

B類：172.16.0.0～172.31.255.255

C類：192.168.0.0～192.168.255.255

上述三個(gè)范圍內(nèi)的地址在Internet上沒有身份，只能在局域網(wǎng)內(nèi)部使用，不同的局域網(wǎng)可以使用相同網(wǎng)段的內(nèi)部IP地址，因?yàn)樗鼈兿嗷ブg不沖突。

2 NAT的定義（The definition of NAT）

NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是1994年提出的。當(dāng)在局域網(wǎng)內(nèi)部的一些主機(jī)本來已經(jīng)分配到了私有IP地址（即僅在本專用網(wǎng)內(nèi)使用的專用地址），但現(xiàn)在又想和因特網(wǎng)上的主機(jī)通信（并不需要加密）時(shí)，可使用NAT方法[2]。

這種方法需要在局域網(wǎng)連接到Internet的出口路由器上，啟用NAT功能。啟用NAT功能的路由器我們稱之為NAT路由器，它至少有一個(gè)有效的公用全球IP地址，也可以向所在的ISP申請多個(gè)公用IP地址[3]。這樣，當(dāng)任何一個(gè)局域網(wǎng)用戶需要訪問Internet的時(shí)候，數(shù)據(jù)包首先發(fā)到局域網(wǎng)出口的NAT路由器。然后，NAT路由器將其內(nèi)部地址轉(zhuǎn)換成公用IP地址，才能和Internet通信。所以，NAT即將私有IP和公用IP進(jìn)行映射的一種方法。

3 NAT的分類和分析（The classification and analysis

of NAT）

NAT技術(shù)可以分為三類，分別是靜態(tài)轉(zhuǎn)換Static Nat、動態(tài)轉(zhuǎn)換Dynamic Nat和端口多路復(fù)用OverLoad[4]。

靜態(tài)NAT是指將局域網(wǎng)的某個(gè)特定的私有IP地址映射為某個(gè)特定的公有IP地址。IP地址的映射是一對一的，而且是固定匹配的。某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。靜態(tài)NAT技術(shù)，通常使用在局域網(wǎng)中的某個(gè)服務(wù)器需要對外發(fā)布服務(wù)，例如局域網(wǎng)的WEB服務(wù)器等。

動態(tài)轉(zhuǎn)換NAT是指將局域網(wǎng)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的，是隨機(jī)的。即局域網(wǎng)的任意一個(gè)內(nèi)部主機(jī)出去訪問Internet時(shí)，隨機(jī)被轉(zhuǎn)換為某一個(gè)公網(wǎng)地址池的地址。通常，需要定義內(nèi)部IP地址的范圍和外部IP地址的地址池，就可以進(jìn)行動態(tài)NAT轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個(gè)合法全局地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。

端口多路復(fù)用（Port Address Translation，PAT）是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換。采用端口多路復(fù)用NAT，可以最大限度地節(jié)約IP地址資源，幾百個(gè)內(nèi)部IP可以共用一個(gè)外部地址出去訪問Internet[5]。

端口地址轉(zhuǎn)換NAT，使用了端口映射轉(zhuǎn)換，可以隱藏局域網(wǎng)內(nèi)部的所有主機(jī)，讓Internet的用戶看不到內(nèi)部網(wǎng)絡(luò)。這樣，可以有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式[6]。該方式不僅能解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。

4 NAT方案規(guī)劃和實(shí)現(xiàn)（Planning and

Implementation of NAT Program）

4.1 方案建設(shè)原則

本項(xiàng)目以多NAT技術(shù)為核心，解決局域網(wǎng)內(nèi)部各個(gè)主機(jī)訪問外網(wǎng)的問題；應(yīng)用NAT保護(hù)內(nèi)網(wǎng)的安全性，解決隱藏內(nèi)部主機(jī)暴露在Internet的問題；以路由器環(huán)回口代表一個(gè)網(wǎng)段，解決路由器的出口IP地址和申請到的ISP地址不在同一個(gè)網(wǎng)段的問題，有效提升NAT轉(zhuǎn)換地址的能力。

4.2 方案的總體規(guī)劃

本系統(tǒng)分為內(nèi)部網(wǎng)和外網(wǎng)，R1為內(nèi)部網(wǎng)的出口路由器，R2為ISP的路由器，他們之間廣域網(wǎng)線路所在的網(wǎng)段為201.1.1.0/24。R1和R2之間運(yùn)行OSPF協(xié)議，工作在area0區(qū)域，要求內(nèi)部網(wǎng)的主機(jī)對外網(wǎng)是隱藏的。內(nèi)部網(wǎng)的IP網(wǎng)段是192.168.1.0，外網(wǎng)服務(wù)器的IP是210.1.1.2，內(nèi)部網(wǎng)出口路由器R1向ISP申請的公網(wǎng)IP地址是198.26.112.1—198.26.112.10/24，NAT使用類型為端口多路復(fù)用。最后，讓內(nèi)部網(wǎng)的主機(jī)可以通過NAT訪問外網(wǎng)的服務(wù)器Server0，外網(wǎng)的用戶不能訪問內(nèi)部網(wǎng)主機(jī)。

整個(gè)系統(tǒng)的拓?fù)鋱D如圖1所示。

圖1 系統(tǒng)拓?fù)鋱D

Fig.1 System topology

4.3 方案的實(shí)現(xiàn)

（1）先配置各個(gè)接口IP地址。

如圖2所示，配置R1的IP地址，這里注意R1除了配置局域網(wǎng)口和廣域網(wǎng)口的IP，還需要配置一個(gè)環(huán)回口loopback0，將其IP設(shè)置為申請的ISP公用地址網(wǎng)段198.26.112.1/24。R2的接口IP配置和R1類似，配置局域網(wǎng)口和廣域網(wǎng)口IP。

圖2 配置接口的IP

Fig.2 Configuration interface IP

（2）配置OSPF協(xié)議。

在R1上啟用OSPF協(xié)議，注意在使用network命令通告網(wǎng)段的時(shí)候，不需要通告192.168.1.0，因?yàn)閷?nèi)部網(wǎng)段對外隱藏。具體配置如圖3所示。

圖3 OSPF協(xié)議配置

Fig.3 OSPF protocol configuration

（3）PAT的配置。

PAT的配置可以讓內(nèi)部網(wǎng)的多臺主機(jī)共用一個(gè)外部全局IP訪問Internet。先設(shè)置公用IP地址池，再設(shè)置內(nèi)部IP地址訪問列表，再設(shè)置他們的映射關(guān)系，最后設(shè)置NAT的出口類型。具體配置如圖4所示。

圖4 PAT配置

Fig.4 The PAT configuration

（4）系統(tǒng)測試結(jié)果。

最后，設(shè)置內(nèi)部網(wǎng)PC機(jī)的IP地址為192.168.1.1默認(rèn)網(wǎng)關(guān)為192.168.1.254。打開PC機(jī)的DOS窗口，使用ping命令測試內(nèi)部網(wǎng)到外網(wǎng)的連通性，發(fā)出四個(gè)數(shù)據(jù)包，收到四個(gè)數(shù)據(jù)包，數(shù)據(jù)通信正常，如圖5所示。表明內(nèi)部網(wǎng)主機(jī)出去訪問Internet時(shí)，轉(zhuǎn)換了公用地址池的IP地址。如圖6所示，運(yùn)行PAT功能的路由器的地址映射表。

圖5 ping測試結(jié)果

Fig.5 The ping test results

圖6 地址映射表

Fig.6 Address mapping table

5 結(jié)論（Conclusion）

系統(tǒng)主要集成了基于端口映射的NAT技術(shù)、環(huán)回口代表地址池技術(shù)、路由協(xié)議隱藏內(nèi)部網(wǎng)段技術(shù)。NAT技術(shù)分類較多，本文重點(diǎn)論述了應(yīng)用較多的PAT技術(shù)，并且討論了當(dāng)ISP分配的公用IP地址池和路由器的廣域網(wǎng)口IP不在同一網(wǎng)段的情況下，應(yīng)該如何處理。最后，系統(tǒng)成功讓內(nèi)部網(wǎng)用戶通過PAT轉(zhuǎn)換為公用IP地址池的地址，訪問Internet。

參考文獻(xiàn)（References）

[1] 袁希群.使用NAT技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換[J].電腦知識與技術(shù)：學(xué)術(shù)交流，2012，（2）：790-793.

[2] 陳顯亭，賈曉飛.網(wǎng)絡(luò)出口轉(zhuǎn)換技術(shù)研究[J].電子科技，2010，（12）：73-75.

[3] 任浩，王勁林，魯逸峰.UPnP和STUN相結(jié)合的NAT穿越技術(shù)研究[J].計(jì)算機(jī)工程與應(yīng)用，2009，（2）：98-100.

[4] 羅瑞紅，申海軍.利用CISCO PT軟件模擬計(jì)算機(jī)網(wǎng)絡(luò)中DHCP、NAT的應(yīng)用[J].軟件導(dǎo)刊，2012，（12）：150-152.

[5] 梁偉.訪問互聯(lián)網(wǎng)NAT配置項(xiàng)目綜合實(shí)訓(xùn)[J].電子世界，2013，（10）：150-153.

[6] 于坤，陳曉兵.面向P2P網(wǎng)絡(luò)應(yīng)用的NAT穿透機(jī)制研究[J].軟件，2013，（09）：115-117.

作者簡介：

張 波（1977-），男，學(xué)士，一級教師.研究領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)通訊和計(jì)算機(jī)學(xué)科教學(xué).

萬 麗（1977-），女，學(xué)士，一級教師.研究領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)管理和計(jì)算機(jī)學(xué)科教學(xué).