劉雪梅

摘要：由于企業(yè)內(nèi)部網(wǎng)絡(luò)用戶數(shù)量大，而能申請的合法的全球唯一IP地址有限。網(wǎng)絡(luò)地址轉(zhuǎn)換能夠有效的解決企業(yè)IP地址短缺問題，利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)能夠?qū)崿F(xiàn)多個用戶共同使用一個合法的IP地址連接互聯(lián)網(wǎng)。企業(yè)期望隱藏LAN內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)地址轉(zhuǎn)換可以將內(nèi)部LAN與外部 Internet隔離，使外部網(wǎng)絡(luò)用戶無法了解通過網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)置的內(nèi)部IP地址。

關(guān)鍵詞：網(wǎng)絡(luò)地址轉(zhuǎn)換;局域網(wǎng)

一、網(wǎng)絡(luò)地址轉(zhuǎn)換簡介

網(wǎng)絡(luò)地址轉(zhuǎn)換英文全稱是”Network Address Translation”，中文解釋是”網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個IETF標(biāo)準(zhǔn)，允許一個整體機(jī)構(gòu)以一個公用IP地址出現(xiàn)在Internet上。即是一種把非注冊的內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換成注冊的外部網(wǎng)絡(luò)地址。

網(wǎng)絡(luò)地址轉(zhuǎn)換就是在局域網(wǎng)內(nèi)部使用內(nèi)部網(wǎng)絡(luò)地址，而當(dāng)內(nèi)部計算機(jī)要與外部網(wǎng)絡(luò)進(jìn)行通信時，就在網(wǎng)關(guān)（可以理解為出口，就像門一樣）處，將局域網(wǎng)內(nèi)部IP地址轉(zhuǎn)換成公網(wǎng)IP地址，從而內(nèi)部計算機(jī)就能連接到Internet上。

1、網(wǎng)絡(luò)的分類

（1）內(nèi)部網(wǎng)絡(luò)（Internal Network）

“內(nèi)部網(wǎng)絡(luò)”通常指企業(yè)內(nèi)部的網(wǎng)絡(luò)即局域網(wǎng)，是多臺計算機(jī)聯(lián)系在一起組成的，在這個內(nèi)部網(wǎng)絡(luò)中可以進(jìn)行資源共享（文檔），還可以通過內(nèi)部網(wǎng)絡(luò)使多臺計算機(jī)共享同一硬件（打印機(jī)）;如果想讓內(nèi)部網(wǎng)絡(luò)的計算機(jī)了解Internet上更多的資源，必須將內(nèi)部網(wǎng)絡(luò)非注冊IP地址經(jīng)過路由器的NAT轉(zhuǎn)換才能訪問外部網(wǎng)絡(luò)（Internet）。

（2）外部網(wǎng)絡(luò)（External Network）

“外部網(wǎng)絡(luò)”通常指因特網(wǎng)等公有網(wǎng)絡(luò);如果兩個局域網(wǎng)通過路由器相連的話，外部網(wǎng)絡(luò)就是私有網(wǎng)絡(luò)。因此外部網(wǎng)絡(luò)上的用戶使用IP地址同樣既可以是注冊的，也可以是非注冊的。

2、IP地址的分類

在網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)中定義了“本地地址”和“全局地址”兩大類?！氨镜氐刂贰庇挚梢苑譃椤皟?nèi)部本地地址”和“外部本地地址”兩類，但是它們都是針對本地內(nèi)部網(wǎng)絡(luò)而言的，也就是都是位于內(nèi)部網(wǎng)絡(luò)一側(cè);同樣，“全局地址”也分為“內(nèi)部全局地址”和“外部全局地址”（兩類，但它們都是針對外部網(wǎng)絡(luò)而言的，也即都是位于外部網(wǎng)絡(luò)一側(cè)。

內(nèi)部本地地址：指在一個企業(yè)和機(jī)構(gòu)網(wǎng)絡(luò)內(nèi)部分配給一臺主機(jī)的IP地址，這地址通常是私有IP地址。

內(nèi)部全局地址：指設(shè)置在路由器等因特網(wǎng)接口設(shè)備上用來代替一個或多個私有IP地址的公有地址，這個地址在公網(wǎng)上是唯一的。

外部本地地址：指因特網(wǎng)上另一端網(wǎng)絡(luò)內(nèi)部的地址，該地址可能是私有的。

外部全局地址：指因特網(wǎng)上的一個公有地址，該地址可能是因特網(wǎng)上的一臺主機(jī)。

這四類IP地址在NAT上的轉(zhuǎn)換基本過程（僅考慮“源IP地址轉(zhuǎn)換”時）是：從內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)時，是把“內(nèi)部本地地址”轉(zhuǎn)換成“內(nèi)部全局地址”，而由外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)時，是把“外部全局地址”轉(zhuǎn)換成“外部本地址”。它們在內(nèi)、外部網(wǎng)絡(luò)中的位置。

3、網(wǎng)絡(luò)地址轉(zhuǎn)換配置類型

網(wǎng)絡(luò)地址轉(zhuǎn)換包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換和端口多路復(fù)用地址轉(zhuǎn)換三種技術(shù)類型。靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換是把內(nèi)部網(wǎng)絡(luò)中的每個主機(jī)地址永久映射成外部網(wǎng)絡(luò)中的某個合法地址;動態(tài)地址網(wǎng)絡(luò)地址轉(zhuǎn)換是采用把外部網(wǎng)絡(luò)中的一系列合法地址使用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò);端口多路復(fù)用地址轉(zhuǎn)換是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。根據(jù)不同的需要，選擇相應(yīng)的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)類型。

（1） 靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換

靜態(tài)轉(zhuǎn)換是指內(nèi)部網(wǎng)絡(luò)的私有IP地址（如本地局域網(wǎng)IP地址）轉(zhuǎn)換為公有IP地址（如因特網(wǎng)IP地址），轉(zhuǎn)換前后的IP地址對是一對一的，是一成不變的，即某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。

網(wǎng)絡(luò)地址轉(zhuǎn)換將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩部分，局域網(wǎng)主機(jī)利用網(wǎng)絡(luò)地址轉(zhuǎn)換訪問網(wǎng)絡(luò)時，是將局域網(wǎng)內(nèi)部的本地地址轉(zhuǎn)換為全局地址后發(fā)送數(shù)據(jù)包;借助于地址轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些設(shè)備的訪問，也能實(shí)現(xiàn)局域網(wǎng)內(nèi)的計算機(jī)進(jìn)行訪問因特網(wǎng)。

路由器內(nèi)、外兩個網(wǎng)絡(luò)，左側(cè)內(nèi)部網(wǎng)絡(luò)中的10.0.0.3和10.0.0.4這兩臺服務(wù)器使用的私有網(wǎng)絡(luò)IP地址，通過路由器的網(wǎng)絡(luò)地址轉(zhuǎn)換功能最終對應(yīng)轉(zhuǎn)換成58.218.157.34和58.218.157.35這兩個公網(wǎng)IP地址，讓對方看到的也是這兩個公網(wǎng)IP地址。這樣外網(wǎng)用戶只需要訪問這兩個公網(wǎng)IP地址就可以訪問到這兩臺服務(wù)器了。

（2）動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換

動態(tài)轉(zhuǎn)換是將內(nèi)網(wǎng)的私有IP地址轉(zhuǎn)換為外網(wǎng)的公有IP地址，公網(wǎng)IP地址是不確定的，是隨機(jī)的;只要指定那些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用那些地址作為外部地址時，就可以進(jìn)行動態(tài)轉(zhuǎn)換;外部公有地址必須是公有地址池內(nèi)的地址，在轉(zhuǎn)換時是以先到先得的原則分配地址池內(nèi)的地址。當(dāng)具有私有IP地址的主機(jī)請求訪問因特網(wǎng)時，動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換從地址池中選擇一個未被其它外部主機(jī)占用的IP地址，地址轉(zhuǎn)換完成后，私有地址的用戶就可以訪問外部網(wǎng)絡(luò)資源。

（3）重載或復(fù)用網(wǎng)絡(luò)地址轉(zhuǎn)換

重載網(wǎng)絡(luò)地址轉(zhuǎn)換是動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換的一種形式。它是通過與IP地址的不同端口組合，把多個非注冊IP地址映射到一個注冊IP地址，也就是Cisco設(shè)備中通常所說的“PAT”（Port Address Translation，端口地址轉(zhuǎn)換），在華為和H3C設(shè)備中稱之為NAPT（Network Address Port Translation，網(wǎng)絡(luò)地址端口轉(zhuǎn)換）。PAT是NAT最常用的一種實(shí)現(xiàn)方式，使許多內(nèi)網(wǎng)用戶都可以僅通過一個公網(wǎng)IP地址訪問Internet（俗稱上網(wǎng)）。

二、總結(jié)

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)可以極大的節(jié)省了合法的IP地址，能夠處理地址重復(fù)情況，避免了地址的重新編號，增加了編址的靈活性，能夠隱藏了內(nèi)部網(wǎng)絡(luò)地址，增強(qiáng)了安全性，可以使多個使用TCP負(fù)載特性的服務(wù)器之間實(shí)現(xiàn)基本的數(shù)據(jù)包負(fù)載均衡[7]。但是網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)也有它的缺點(diǎn)，如由于網(wǎng)絡(luò)地址轉(zhuǎn)換要在邊界路由器上進(jìn)行地址的轉(zhuǎn)換，增大了傳輸?shù)难舆t;由于改動了IP地址，失去了跟蹤端到端IP流量的能力。當(dāng)出現(xiàn)惡意流量時，會使故障排除和流量跟蹤變的更加棘手;不支持一些特定的應(yīng)用程序。