楊文彬

（太原師范學(xué)院計(jì)算機(jī)系,山西晉中030619）

NAT網(wǎng)絡(luò)地址翻譯技術(shù)在高校網(wǎng)絡(luò)管理中的應(yīng)用

楊文彬

（太原師范學(xué)院計(jì)算機(jī)系,山西晉中030619）

隨著Internet的飛速發(fā)展，網(wǎng)上豐富的資源產(chǎn)生著越來越大的吸引力，接入Internet成為當(dāng)今信息業(yè)最為迫切的需求。不過在接入的過程中也不是一帆風(fēng)順。通常這些LAN的內(nèi)部IP不符合Internet國際標(biāo)準(zhǔn)，無法在現(xiàn)實(shí)互聯(lián)網(wǎng)中傳遞數(shù)據(jù)。更主要的是隨著Internet的膨脹式發(fā)展，可用的IPv4地址越來越少，發(fā)達(dá)國家和發(fā)展中國家地址分配極不均衡，導(dǎo)致互聯(lián)網(wǎng)欠發(fā)達(dá)地區(qū)的IP地址資源非常匱乏。NAT技術(shù)的出現(xiàn)可以很好將內(nèi)部本地地址和內(nèi)部全局地址進(jìn)行轉(zhuǎn)化，解決IPV4地址匱乏帶來的上網(wǎng)困境。

NAT技術(shù);IPV4地址匱乏;內(nèi)部本地和內(nèi)部全局轉(zhuǎn)換

隨著Internet的飛速發(fā)展，網(wǎng)上豐富的資源產(chǎn)生著越來越大的吸引力，接入Internet成為當(dāng)今信息業(yè)最為迫切的需求。不過在接入的過程中也不是一帆風(fēng)順。[1]因?yàn)樵S多局域網(wǎng)在未聯(lián)入Internet之前就已經(jīng)運(yùn)行多年，有著自己的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和應(yīng)用程序，這一類局域網(wǎng)在接入互聯(lián)網(wǎng)過程中存在一個普遍的問題就是內(nèi)部的IP地址如何轉(zhuǎn)換為互聯(lián)網(wǎng)可識別的公網(wǎng)IP地址。通常這些LAN的內(nèi)部IP不符合Internet國際標(biāo)準(zhǔn)，因?yàn)檫@個原因而重新分配局域網(wǎng)的IP地址，這無疑是勞神費(fèi)時的海量工作。其二，隨著Internet的膨脹式發(fā)展，其可用的IP地址越來越少，我們都知道IPv4地址的理論最大值是40多億個，且發(fā)達(dá)國家和發(fā)展中國家地址分配極不均衡，導(dǎo)致互聯(lián)網(wǎng)欠發(fā)達(dá)地區(qū)的IP地址資源非常匱乏，想要在ISP處申請一個新的IPv4地址已經(jīng)不是件很容易的事情了。

1 NAT技術(shù)產(chǎn)生的背景

基于以上這些情況，互聯(lián)網(wǎng)中路由的NAT（Network Address Translation）網(wǎng)絡(luò)地址翻譯技術(shù)應(yīng)運(yùn)而生，為我們很好的解決了以上問題。

該技術(shù)原理在于把網(wǎng)絡(luò)中使用內(nèi)部IP地址翻譯成Internet可以識別的合法IP地址。內(nèi)部的IP地址我們是可以自行定義的，如現(xiàn)在國內(nèi)比較普遍的C類地址定義為192.168.0.0至192.168.255.255，一個號段就定義了255臺機(jī)器且這地址可以重復(fù)使用，極大解決了IP地址匱乏的問題。但是這樣內(nèi)部地址在現(xiàn)實(shí)中的互聯(lián)網(wǎng)協(xié)議是無法識別的，也就是說它不能在真正的互聯(lián)網(wǎng)當(dāng)中傳遞?，F(xiàn)在我們通過NAT技術(shù)將所有內(nèi)部IP地址都指向一個互聯(lián)網(wǎng)可以識別的真正公網(wǎng)IP，使得全部內(nèi)網(wǎng)IP和這個公網(wǎng)地址多對一對應(yīng)，就解決了全體機(jī)器上網(wǎng)的問題。

高校中建有很多大型實(shí)驗(yàn)室或者機(jī)房，如物聯(lián)網(wǎng)實(shí)驗(yàn)室，大學(xué)生創(chuàng)新實(shí)驗(yàn)室，計(jì)算機(jī)基礎(chǔ)教學(xué)教研室等各類實(shí)驗(yàn)室，這些機(jī)房規(guī)模一般在50臺左右，如果每個客戶端臺配置一個公網(wǎng)IP地址顯然不現(xiàn)實(shí)，我們也沒有那么多的地址供其使用。通過NAT轉(zhuǎn)換，可以把IP包內(nèi)的地址池（內(nèi)部本地）用合法的IP地址段（內(nèi)部全局）來替代。

2 NAT技術(shù)基礎(chǔ)

NAT管理的IP地址分為四類分別是Inside Local，Inside Global，Outside Local，Outside Global，對于網(wǎng)絡(luò)地址轉(zhuǎn)換的核心可以理解為這四類地址的相互變化。[2]下面我們詳細(xì)介紹一下這四類地址：

一類是Inside Local（內(nèi)部本地地址）也就是私有IP地址，不能直接用于互聯(lián)網(wǎng)。私有IP地址有三個特定的段，分別是A類10.0.0.0-10.255.255.255，B類 172.16.0.0-172.31.255.255，C 類 192.168.0.0-192.168.255.255。在一個局域網(wǎng)中電腦配置的IP地址均為內(nèi)部本地地址，如圖1中的10.1.1.1和172.1.1.9。這一類地址只能在LAN中進(jìn)行通訊使用，不能在互聯(lián)網(wǎng)中識別傳遞。

圖1 靜態(tài)NAT永久指定地址

第二類是Inside Global（內(nèi)部全局地址）用來替代私有IP地址從而對外使用，是指在Internet上是合法使用的IP地址。那么NAT技術(shù)第一步就是將內(nèi)部本地地址轉(zhuǎn)換為內(nèi)部全局地址，一般這個地址都是在NIC注冊的公網(wǎng)地址，數(shù)量日趨減少。如圖1中的21.1.1.3和21.1.1.5地址。

第三類Outside Local（外部本地地址）。這個概念主要是從NAT傳遞方向和角度的不同來講。如圖1中A局域網(wǎng)和B局域網(wǎng)要進(jìn)行通信。那么B局域網(wǎng)中的內(nèi)部本地地址172.1.1.9相對于A局域網(wǎng)來說就是外部本地地址。這類地址一般也都是私有IP地址，不可以在現(xiàn)實(shí)互聯(lián)網(wǎng)使用，功能與Inside Local相同，只是角度不同名稱有別。

第四類Outside Global（外部全局地址）。同樣，這類地址是指對端B-net中的路由公網(wǎng)端口的那個IP地址21.1.1.5，可以在公網(wǎng)使用的地址，同內(nèi)部全局地址，只是角度和名稱不同而已。

3 NAT在路由中的配置

3.1 靜態(tài)NAT技術(shù)路由配置

應(yīng)用NAT的三種方法分別是：靜態(tài)NAT（Static NAT）、NAT池（NAT Pool）和端口NAT（PAT）。其中靜態(tài)NAT設(shè)置是內(nèi)部網(wǎng)絡(luò)中某個主機(jī)被永久映射成外部網(wǎng)絡(luò)中的某個合法地址。[3]服務(wù)器一般都是固定的IP用于外界訪問，因此靜態(tài)NAT映射地址常用于這一類情況。以圖1中的E0端口與S0端口的轉(zhuǎn)換為例，說明靜態(tài)NAT在R1路由中的配置如下，R1全局模式下：內(nèi)部本地IP10.1.1.1永久指定到內(nèi)部全局地址21.1.1.3上。

圖1中10.1.1.2為文件服務(wù)器。E0口10.1.1.1，S0口21.1.1.3，配置后當(dāng)互聯(lián)網(wǎng)中終端訪問21.1.1.3這個外網(wǎng)地址時NAT會自動將其轉(zhuǎn)到文件服務(wù)器上去訪問。當(dāng)然，靜態(tài)NAT設(shè)置方式需要在路由上給每一臺機(jī)器配置NAT條目，使得工作量增大，路由運(yùn)行時也會更多的消耗內(nèi)存資源。

3.2 動態(tài)NAT技術(shù)路由配置

動態(tài)NAT方式DAT（Dynamic Address Translation）。[4]動態(tài)NAT顧名思義區(qū)別靜態(tài)分配地址的方式，它是將內(nèi)部局部地址隨機(jī)的分配給一個內(nèi)部全局地址從而轉(zhuǎn)發(fā)出去。不需要管理員一一對應(yīng)的去綁定Inside Global和Inside Local地址。

該類方式設(shè)置時按照三步走：首先要定義一個NAT地址池，該地址池要設(shè)置公網(wǎng)IP地址（內(nèi)部全局地址）的起始范圍。接下來把需要對應(yīng)公網(wǎng)地址的所有內(nèi)網(wǎng)IP地址（內(nèi)部局部地址）挑選出來寫入訪問控制列表中。第三步將地址池中的公網(wǎng)IP和挑選出來的內(nèi)網(wǎng)IP進(jìn)行綁定。具體設(shè)置如下：

IP NAT pool net-wb 21.1.1.1-21.1.1.20 netmask 255.0.0.0在地址池wb中一共定義了20個公網(wǎng)IP。

IP NAT Inside Source List 33 pool net-wb將名稱為wb地址池中的內(nèi)部全局地址與訪問控制列表33進(jìn)行綁定。

Access-list 33 permit 10.1.1.1-255.255.255.0把所有內(nèi)部局部地址（10.1.1.1網(wǎng)段）收集起來寫入訪問控制列表中。至此，內(nèi)部全局地址和內(nèi)部局部地址進(jìn)行了綁定。

3.3 端口NAT技術(shù)路由配置

端口NAT Or PAT。該方式也是動態(tài)NAT的一種形式，不過該方式是用一個公網(wǎng)地址對應(yīng)內(nèi)部的若干私有IP，因此不需要定義地址池，而這種一對多的關(guān)系是通過區(qū)分端口來實(shí)現(xiàn)的。將一個內(nèi)部全局地址用于同時代表多個內(nèi)部局部地址的用法，主要用IP地址和端口號的組合來唯一區(qū)別各個內(nèi)部主機(jī)，例如我們以前的ADSL上網(wǎng)模式就是采用的這一功能。因?yàn)楣?jié)約公網(wǎng)IP地址費(fèi)用，因此目前這種功能在高校機(jī)房中普遍應(yīng)用。[5]

例如：某實(shí)驗(yàn)室中有三臺計(jì)算機(jī)，不同的計(jì)算機(jī)要訪問不同的外網(wǎng)主機(jī)如圖2。數(shù)據(jù)包從局域網(wǎng)的10.1.1.1主機(jī)發(fā)出訪問177.16.5.33公網(wǎng)服務(wù)器，同時數(shù)據(jù)包從局域網(wǎng)的另外一個主機(jī)10.1.1.2主機(jī)發(fā)出訪問177.16.5.34公網(wǎng)服務(wù)器，那它們是如何通過NAT轉(zhuǎn)換而且被區(qū)分呢？

圖2 端口NAT通過端口號區(qū)分訪問

下面我們就來具體看一下數(shù)據(jù)包流程。數(shù)據(jù)包從10.1.1.1發(fā)出后，源目的地址為10.1.1.1，目的地址為177.16.5.34，通過路由器時路由通過NAT Table被轉(zhuǎn)換了地址，此時數(shù)據(jù)包的目的地址不能改變，改變后就無法送達(dá)目的地了，但源地址發(fā)生了改變由內(nèi)部全局IP21.1.1.1取代。因?yàn)閮?nèi)部全局IP只有一個，它使用端口號來區(qū)分來自不同主機(jī)的數(shù)據(jù)包。來自10.1.1.1的數(shù)據(jù)包加了端口號1429，來自10.1.1.2的數(shù)據(jù)包加了1723的端口。這樣，數(shù)據(jù)到達(dá)目的地后根據(jù)端口號就可以得知來自哪臺主機(jī)。同樣，數(shù)據(jù)包返回時也是通過端口號來區(qū)分返程數(shù)據(jù)包是達(dá)到哪一個主機(jī)的，至此內(nèi)部局部IP和內(nèi)部全局IP轉(zhuǎn)換完成。如表1：

表1 內(nèi)部局部IP對應(yīng)內(nèi)部全局IP不同端口

4 結(jié)束語

綜上所述，我們總結(jié)NAT技術(shù)有三點(diǎn)優(yōu)勢：節(jié)約即將耗盡的IPv4地址，最大限度保證更多機(jī)器上網(wǎng)，在IPv6技術(shù)沒有完全普及之前NAT依然是非常重要的應(yīng)用技術(shù)；不同的局域網(wǎng)可使用相同的內(nèi)部IP地址，解決了地址重復(fù)使用的問題；外網(wǎng)無法知道內(nèi)部機(jī)器IP細(xì)節(jié)地址，也就無法直接訪問每臺內(nèi)部機(jī)器，起到了一定的安全措施作用。

缺點(diǎn)也存在：因?yàn)椴皇侵苯邮褂霉W(wǎng)IP，轉(zhuǎn)換需要通過路由完成，轉(zhuǎn)換過程在一定程度會影響訪問速度，消耗內(nèi)存，造成延遲。

[1]王中震.IPv4至IPv6過渡技術(shù)方案的設(shè)計(jì)與實(shí)施[D].北京：北京郵電大學(xué),2012.

[2]劉風(fēng)華,丁賀龍,張永平.關(guān)于NAT技術(shù)的研究與應(yīng)用[J].計(jì)算機(jī)工程與設(shè)計(jì),2006(10)：1814-1817.

[3]黃鸝聲.NAT網(wǎng)關(guān)的研究與實(shí)現(xiàn)[J].成都：電子科技大學(xué),2003.

[4]孔欣,李清平,謝鵬.NAT技術(shù)在無線局域網(wǎng)中的應(yīng)用[J].微型電腦應(yīng)用,2010(7)：53-55.

[5]李瑾坤,孫淑霞.NAT技術(shù)探討及應(yīng)用實(shí)例[J].成都理工學(xué)院學(xué)報(bào),2002(3)：324-328.

Application of Nat Network Address Translation Technology in University Network Management

YANG Wen-bin
(Department of Computer,Taiyuan Normal University,Jinzhong Shanxi,030619)

With the rapid development of Internet,the rich resources on the Internet are becoming more and more attractive,and access to Internet has become the most urgent demand of information industry.But in the process of access is not smooth.Usually these LAN internal IP does not meet the Internet international standards,can not be passed on the real internet.More important is the expansion along with the development of Internet,available IPv4 addresses less developed and developing countries.The distribution is extremely uneven,resulting in less developed areas of Internet IP address resource is very scarce.The emergence of

NAT technology can be very good to address the internal local address and the internal global address to solve the lack of access to the plight of the IPV4 address.

NAT；IPV4 address deficiency；internal and local global conversion

TP393.06

A

1674-0874(2017)02-0006-03

〔責(zé)任編輯 高海〕

2017-02-08

楊文彬（1976-），男，江蘇丹陽人，碩士，副教授，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)和ASP程序設(shè)計(jì)。