潘唐賢　彭旭

【摘要】分析了內(nèi)外網(wǎng)間同名IP地址轉(zhuǎn)換相關(guān)問題的由來，圍繞都靜態(tài)NAT、動(dòng)態(tài)NAT、端口NAT三種內(nèi)外網(wǎng)間IP地址轉(zhuǎn)換（映射）技術(shù)的特點(diǎn)進(jìn)行梳理，并設(shè)計(jì)了一種內(nèi)外網(wǎng)間同名IP地址轉(zhuǎn)換技術(shù)的具體方案，以供參考。

【關(guān)鍵詞】內(nèi)網(wǎng);外網(wǎng);IP地址轉(zhuǎn)換;訪問

中圖分類號：TN92? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ? DOI：10.12246/j.issn.1673-0348.2021.21.003

IP的英文全稱為Internet Protocil，即“網(wǎng)絡(luò)之間互連的協(xié)議”，是為計(jì)算機(jī)通過網(wǎng)絡(luò)互相連接，繼而便于通信而設(shè)計(jì)的意向協(xié)議。所謂IP地址，即為每一臺計(jì)算機(jī)在與互聯(lián)網(wǎng)相連接時(shí)的編號。除此之外，IP地址的另一項(xiàng)功能在于，使互聯(lián)網(wǎng)上每一個(gè)網(wǎng)絡(luò)和每一臺主機(jī)都具備一個(gè)“邏輯地址”，用以屏蔽物理地址方面的差異。但互聯(lián)網(wǎng)分為內(nèi)網(wǎng)和外網(wǎng)，接入不同網(wǎng)絡(luò)時(shí)，有可能出現(xiàn)IP地址重名的情況，需通過特定的技術(shù)加以轉(zhuǎn)換。

1. 內(nèi)外網(wǎng)間同名IP地址轉(zhuǎn)換相關(guān)問題的由來簡析

近年來，我國綜合國力飛速發(fā)展，能夠取得如此巨大的成就，離不開經(jīng)濟(jì)全球化的趨勢。認(rèn)識到這一要素之后，我國很多有識之士希望進(jìn)一步“開眼看世界”，即通過網(wǎng)絡(luò)平臺登錄外國網(wǎng)站，了解外國人眼中的中國。但在這一過程中，很多人發(fā)現(xiàn)，我國在國內(nèi)、國外網(wǎng)絡(luò)之間建起了一面“墻”，即標(biāo)記為國內(nèi)IP地址的計(jì)算機(jī)、移動(dòng)互聯(lián)網(wǎng)設(shè)備無法訪問所有外國網(wǎng)站。“建墻”的目的在于，如果沒有“墻”的存在，則外國網(wǎng)絡(luò)世界中的所有內(nèi)容將會不受限制地流進(jìn)國內(nèi)，其中不乏網(wǎng)絡(luò)黑客，以及試圖在文化網(wǎng)面全面入侵中國的別有居心者。此外，外國網(wǎng)絡(luò)世界的陰暗程度遠(yuǎn)非中國人民所能夠想象，稍有不慎便可能上當(dāng)，導(dǎo)致經(jīng)濟(jì)、人身方面的損失。由此可見，“墻”橫亙在不同網(wǎng)絡(luò)之間，主要起隔絕信息互通的目的。以國家為單位進(jìn)行分析，則國內(nèi)互聯(lián)網(wǎng)即為“內(nèi)網(wǎng)”、國外互聯(lián)網(wǎng)即為“外網(wǎng)”，由于有“墻”的存在，故很少涉及同名IP地址轉(zhuǎn)換的問題。而該問題多出現(xiàn)在更小的網(wǎng)絡(luò)范圍內(nèi)。以我國很多企業(yè)為例?，F(xiàn)代社會已經(jīng)全面進(jìn)入信息時(shí)代，數(shù)據(jù)信息十分重要，一旦泄露，必定會令相關(guān)企業(yè)產(chǎn)生經(jīng)濟(jì)損失。如3D模型設(shè)計(jì)公司，如果設(shè)計(jì)好的模型經(jīng)由網(wǎng)絡(luò)傳遞給其他公司，導(dǎo)致機(jī)密泄漏，則企業(yè)將會蒙受巨大損失。因此，該類企業(yè)為每一名員工配備電腦設(shè)備時(shí)，為其提供的網(wǎng)絡(luò)資源搜索服務(wù)往往限制在企業(yè)內(nèi)部，即共享內(nèi)網(wǎng)資源，不允許員工私自連接外網(wǎng)。此處的內(nèi)網(wǎng)、外網(wǎng)之間的“阻隔”實(shí)現(xiàn)方式，即為人們熟知的PIX防火墻。防火墻的一個(gè)特性在于，能夠?qū)?nèi)網(wǎng)、外網(wǎng)分別限制在各自的主機(jī)中，二者相互之間無法自由訪問對方。但企業(yè)的“內(nèi)外網(wǎng)”與國家層面的“內(nèi)外網(wǎng)”存在一定的差異，即企業(yè)內(nèi)網(wǎng)中的某個(gè)IP地址，如果能夠成功映射為一個(gè)外網(wǎng)認(rèn)可的IP地址之后，則經(jīng)由該臺計(jì)算機(jī)，內(nèi)外網(wǎng)之間可互相訪問。但此處存在一個(gè)問題，即內(nèi)網(wǎng)的IP地址映射到外網(wǎng)之后，兩個(gè)地址的實(shí)際表達(dá)方式可能是相同的，也可能是不同的。而防火墻如何進(jìn)行區(qū)分，且IP地址在表達(dá)方式上的相同與否，與其本質(zhì)之間存在何種關(guān)聯(lián)？為解決該問題，必須圍繞內(nèi)外網(wǎng)間同名IP地址轉(zhuǎn)換技術(shù)展開探討。

2. 內(nèi)外網(wǎng)間IP地址轉(zhuǎn)換技術(shù)（映射）簡介

早在十?dāng)?shù)年前，Cisco公司便已經(jīng)圍繞內(nèi)外網(wǎng)防火墻的建設(shè)進(jìn)行深入研究，采用定制的操作系統(tǒng)，為有需求的個(gè)人及企業(yè)用戶提供多種訪問限制的技術(shù)。具體而言，可分為靜態(tài)NAT、動(dòng)態(tài)NAT、端口NAT三種。

靜態(tài)NAT。此種內(nèi)外網(wǎng)絡(luò)訪問權(quán)限控制方式在實(shí)現(xiàn)原理和運(yùn)用方式上的難度最低，理論支持的復(fù)雜程度也最低，即一個(gè)內(nèi)網(wǎng)的IP地址對應(yīng)一個(gè)外網(wǎng)的IP地址，此種映射是永久成立的。比如某企業(yè)目前有100臺辦公電腦，編號分別為001～100（為舉例說明方便，編號并非真實(shí)的IP地址數(shù)字構(gòu)成模式）。則編號為001的電腦的外網(wǎng)IP映射地址為XX1，只要該企業(yè)當(dāng)前租用的互聯(lián)網(wǎng)服務(wù)沒有發(fā)生改變，則編號為001的電腦無論何時(shí)訪問外網(wǎng)，外網(wǎng)映射地址只會是XX1，不會轉(zhuǎn)變?yōu)槠渌刂贰?/p>

動(dòng)態(tài)NAT。可由網(wǎng)絡(luò)運(yùn)營服務(wù)商在外網(wǎng)中定義一系列IP地址。以此為基礎(chǔ)，內(nèi)網(wǎng)的IP地址若要訪問外網(wǎng)時(shí)，依然可以映射到外網(wǎng)，但映射為哪一個(gè)具體的外網(wǎng)地址，具備隨機(jī)性。此種映射模式的優(yōu)點(diǎn)在于，可大幅度釋放外網(wǎng)地址，使其具備更大的應(yīng)用型。以上文提到的靜態(tài)NAT模式為例，當(dāng)內(nèi)網(wǎng)編號為001的電腦沒有連接外網(wǎng)時(shí)，則外網(wǎng)編號為XX1的地址便處于“無人連接”的閑置狀態(tài)。而改成動(dòng)態(tài)NAT模式后，即時(shí)內(nèi)網(wǎng)001不連接，則XX1也不會閑置，而是為其他連接且隨機(jī)映射至此的內(nèi)網(wǎng)IP地址提供連接服務(wù)。

端口NAT。將多個(gè)內(nèi)網(wǎng)IP地址共同映射為同一個(gè)外網(wǎng)IP地址。在此基礎(chǔ)上，從內(nèi)網(wǎng)到外網(wǎng)進(jìn)行IP地址轉(zhuǎn)換時(shí)，外網(wǎng)的IP地址數(shù)據(jù)包中將會加入一個(gè)由NAT設(shè)備選定的TCP或UDP端口號，最終形成的結(jié)果是，數(shù)據(jù)包的外網(wǎng)均來源于同一個(gè)IP地址。具體的案例為：傳統(tǒng)的寬帶互聯(lián)網(wǎng)網(wǎng)絡(luò)通信服務(wù)商網(wǎng)通，多采用靜態(tài)NAT模式，每臺電腦每次啟動(dòng)后，均有使用者手動(dòng)連接入網(wǎng)，之后方可進(jìn)行網(wǎng)絡(luò)訪問。但隨著寬帶用戶數(shù)量的激增，任何用戶都不可能24小時(shí)不間斷在線，故導(dǎo)致了大量的外網(wǎng)靜態(tài)IP地址處于閑置狀態(tài)，造成了極大的浪費(fèi)（伴有極大的維護(hù)成本）。因此，靜態(tài)NAT逐漸遭到淘汰。而長城、移動(dòng)等網(wǎng)絡(luò)紛紛采取了端口NAT模式并延續(xù)至今，盡管有時(shí)會出現(xiàn)大量用戶集中搶占有限外網(wǎng)連接帶寬的情況，但隨著網(wǎng)絡(luò)通信信道的不斷擴(kuò)大，斷線、互相“搶資源”的情況已經(jīng)很少發(fā)生，使得運(yùn)營公司節(jié)省大量的成本。

3. 內(nèi)外網(wǎng)間同名IP地址轉(zhuǎn)換技術(shù)的具體應(yīng)設(shè)計(jì)

除了運(yùn)維方面的問題之外，靜態(tài)NAT模式的局限性還體現(xiàn)在IP地址重名問題。比如很多內(nèi)網(wǎng)用戶的服務(wù)器往往有兩個(gè)IP地址，或域名相同，但在內(nèi)網(wǎng)、外網(wǎng)卻會析出不同的IP地址。為解決內(nèi)外網(wǎng)間同名IP地址轉(zhuǎn)換問題，本文介紹一種NAT技術(shù)配置，即內(nèi)外網(wǎng)同名IP地址轉(zhuǎn)換問題。

假設(shè)在一個(gè)企業(yè)的網(wǎng)絡(luò)中，L1是公司出口網(wǎng)關(guān)路由器，公司內(nèi)的計(jì)算機(jī)設(shè)備及服務(wù)器分別通過交換機(jī)S1和S2與L1相連。此外，L2是連接外網(wǎng)的網(wǎng)關(guān)路由器，直接與L1相連。除了上述情況之外，連接該企業(yè)內(nèi)網(wǎng)的所有計(jì)算機(jī)設(shè)備均擁有各自的私有IP地址。按照上文所述，該企業(yè)所有辦公計(jì)算機(jī)若要訪問外網(wǎng)，需要連接L1。網(wǎng)絡(luò)管理員在檢查每個(gè)訪問用戶的權(quán)限，確認(rèn)具備訪問外網(wǎng)資格后，需對該內(nèi)網(wǎng)IP地址進(jìn)行NAT配置。暫定的內(nèi)網(wǎng)計(jì)算機(jī)訪問外網(wǎng)的NAT方式為靜態(tài)NAT模式。

假設(shè)該企業(yè)編號為001的計(jì)算機(jī)為客戶經(jīng)理，其需要的外網(wǎng)訪問權(quán)限為：內(nèi)外均能無障礙訪問。為實(shí)現(xiàn)該目的，需為其配置一個(gè)IP地址：202.168.10.5，用于靜態(tài)NAT外網(wǎng)映射用。網(wǎng)絡(luò)后臺顯示情況為：

[R1]ip route-static 0.0.0.0 0.0.0.0 202.169.10.2配置默認(rèn)路由

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]nat static global 202.169.10.5 inside 172.16.1.1

基于display nat static命令查看NAT的配置情況。

除客戶經(jīng)理之外，該企業(yè)市場部員工在辦公期間，均應(yīng)自由訪問外網(wǎng)。為這些員工提供的靜態(tài)內(nèi)網(wǎng)IP地址為172.17.1.0～172.17.1.24，共計(jì)25個(gè)。網(wǎng)絡(luò)管理員使用的公有地址池為202.169.10.50/60，用于NAT轉(zhuǎn)換。

在L1路由器上使用nat address-group配置NAT地址池的后臺數(shù)據(jù)顯示為：

[R1]nat address-group 1 202.169.10.50 202.169.10.60

完成基本ACL 2001創(chuàng)建之后，管理員允許172.17.1.0/24網(wǎng)段地址轉(zhuǎn)換，在G0/0/0接口下使用nat outbound命令，關(guān)聯(lián)acl 2001與地址池，轉(zhuǎn)換的后臺顯示數(shù)據(jù)為：

[R1]acl 2001

[R1]rule 5 permit source 172.17.1.0 0.0.0.255

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]nat outbound 2001address-group 1nat-pat

為盡可能地節(jié)省公網(wǎng)地址，可采用的方法為：將路由器接口IP地址直接作為公網(wǎng)地址，并將多個(gè)內(nèi)部地址映射到同一個(gè)公網(wǎng)地址的不同端口號上，可實(shí)現(xiàn)多個(gè)內(nèi)網(wǎng)地址到1個(gè)外網(wǎng)地址的轉(zhuǎn)換。配置后的后臺顯示為：

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]nat outbound 2001

在其他電腦上，使用UDP發(fā)包工具，將數(shù)據(jù)包到公網(wǎng)地址202.169.21.1，并完成目標(biāo)IP地址和UDP源的配置后，可輸入字符串?dāng)?shù)據(jù)，并完成發(fā)送。按照上述方式，內(nèi)網(wǎng)、外網(wǎng)之間的IP地址的名字是一一對應(yīng)且相同的，企業(yè)外網(wǎng)訪問用戶能夠獲得更多而而訪問功能，無須擔(dān)心映射混亂的情況。

4.結(jié)語

綜上所述，本文介紹的內(nèi)網(wǎng)、外網(wǎng)同名IP地址轉(zhuǎn)換（映射）技術(shù)實(shí)際上基于企業(yè)級網(wǎng)絡(luò)服務(wù)器提供的FTP服務(wù)，供外網(wǎng)用戶訪問，需配合NAT Server，使公網(wǎng)地址對外公布服務(wù)器地址并開啟NAT ALG功能后，方可進(jìn)行正常的同名IP地址動(dòng)/靜態(tài)NAT轉(zhuǎn)換?？傮w而言，此種方式可避免訪問外網(wǎng)時(shí)受到限制，具備一定的應(yīng)用價(jià)值。

參考文獻(xiàn)：

[1]劉展.NAT技術(shù)在網(wǎng)絡(luò)邊緣計(jì)算中的應(yīng)用分析[J].決策探索（中），2020（02）：81.

[2]席東.NAT地址轉(zhuǎn)換淺析[J].現(xiàn)代計(jì)算機(jī)，2019（26）：69-72+92.

[3]苗新，卜廣全，宋璇坤，等.采用約束映射機(jī)制的IPv4電力終端接入IPv6網(wǎng)絡(luò)的方法[J].電力系統(tǒng)自動(dòng)化，2018，42（23）：168-173.