摘要：分析NAT技術(shù)中靜態(tài)NAT、動態(tài)地址NAT和復(fù)用動態(tài)地址轉(zhuǎn)換三種技術(shù)基本知識。利用實際例子分析三種NAT的使用，并給出具體操作方法。給出驗證NAT是否成功的方法。

關(guān)鍵詞：NAT；靜態(tài)NAT；動態(tài)NAT；復(fù)用動態(tài)NAT；驗證NAT

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）02-0247-03

1 NAT技術(shù)簡介

NAT（Network Address Translation）網(wǎng)絡(luò)地址轉(zhuǎn)換。其使用環(huán)境通常是兩個不同網(wǎng)段的網(wǎng)絡(luò)，它們之間需要實現(xiàn)訪問，那么就可以通過NAT進(jìn)行地址轉(zhuǎn)換實現(xiàn)訪問。例如現(xiàn)在普遍使用最多的情況就是內(nèi)網(wǎng)中有多臺主機(jī)，但只能通過一個合法外網(wǎng)IP地址訪問外網(wǎng)資源，使用NAT技術(shù)就可以解決。當(dāng)然如果外網(wǎng)要訪問內(nèi)網(wǎng)中的資源，也可以通過相應(yīng)的NAT技術(shù)來實現(xiàn)。

NAT的作用主要就是：一就是安全方面，通過NAT轉(zhuǎn)換后不讓外網(wǎng)用戶了解掌握到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)、地址等情況，起到防范作用。二就是公網(wǎng)IP地址資源方面，當(dāng)內(nèi)網(wǎng)主機(jī)較多時，如果一臺主機(jī)一個公網(wǎng)IP就顯得浪費(fèi)，通過NAT技術(shù)可實現(xiàn)多臺內(nèi)網(wǎng)主機(jī)共用一個外網(wǎng)IP地址就可以訪問INTERNET，以緩解當(dāng)前公網(wǎng)IP地址短缺的情況。

2 實現(xiàn)NAT的方法

在路由中實現(xiàn)NAT常見有：靜態(tài)NAT、動態(tài)地址NAT和復(fù)用動態(tài)（端口多路復(fù)用）地址轉(zhuǎn)換三種技術(shù)方法，具體要分析網(wǎng)絡(luò)與使用環(huán)境而選擇。

2.1 靜態(tài)NAT

靜態(tài)NAT是一對一的IP地址轉(zhuǎn)換方式。就是將內(nèi)網(wǎng)中某一臺主機(jī)的IP地址轉(zhuǎn)換成外網(wǎng)中某一個固定的IP地址。使用這種方法當(dāng)多臺內(nèi)網(wǎng)主機(jī)要訪問外網(wǎng)時，就要一對一做轉(zhuǎn)換，需要內(nèi)網(wǎng)IP地址與外網(wǎng)IP數(shù)量相同才能實現(xiàn)。

圖1

如圖1所示，靜態(tài)NAT就是將內(nèi)網(wǎng)中具體IP地址為192.168.0.1轉(zhuǎn)換成外網(wǎng)中IP地址202.16.100.11，它們之間是一對一的轉(zhuǎn)換關(guān)系。例如，內(nèi)網(wǎng)中IP地址為192.168.0.1主機(jī)中建立了Web服務(wù)器、E-mail服務(wù)器、FTP服務(wù)器等，如果這些服務(wù)也想對外網(wǎng)用戶進(jìn)行開放，則就可以通過靜態(tài)NAT實現(xiàn)，當(dāng)外網(wǎng)用戶訪問202.16.100.11地址時等同于直接訪問內(nèi)網(wǎng)中的主機(jī)。

以下就以神州數(shù)碼DCR-2626按圖1中參數(shù)列出關(guān)鍵配置，實現(xiàn)NAT的靜態(tài)轉(zhuǎn)換。

interface fastethernet 0/0

ip address 202.16.100.11 255.255.248.0

//配置F0/0端口的IP地址

ip nat outside

//將該接口指定為外部端口

exit

interface fastethernet 0/3

ip address 192.168.0.1 255.255.255.0

//配置F0/3端口的IP地址

ip nat outside

//將該接口指定為內(nèi)部端口

exit

ip nat inside source static 192.168.0.1 202.16.100.11

//實現(xiàn)靜態(tài)NAT將內(nèi)網(wǎng)192.168.0.1與外網(wǎng)202.16.100.11轉(zhuǎn)換

如果內(nèi)網(wǎng)是一臺WEB服務(wù)器，要實現(xiàn)外網(wǎng)也可以訪問內(nèi)網(wǎng)中的網(wǎng)站，就需要將上述的一行配置內(nèi)容換成下列一行就可。

ipnatinsidesourcestatictcp192.168.0.180202.16.100.1180

這樣配置生效后，外網(wǎng)用戶訪問HTTP：//202.16.100.11就可以使用內(nèi)網(wǎng)192.168.0.1主機(jī)WEB服務(wù)器的資源了。如果內(nèi)網(wǎng)中還存在多個WEB網(wǎng)站，但只有一個合法的外網(wǎng)IP地址，則可以通過改變端口號來處理，如下配置：

ipnatinsidesourcestatictcp192.168.0.180202.16.100.118080

通過上行配置，可以實現(xiàn)內(nèi)部網(wǎng)絡(luò)中其他WEB服務(wù)NAT轉(zhuǎn)換。外網(wǎng)用戶HTTP：//202.16.100.11：8080就可以使用內(nèi)網(wǎng)192.168.0.2主機(jī)WEB服務(wù)器的資源了。

2.2 動態(tài)NAT

動態(tài)NAT是多對多的轉(zhuǎn)換方式，與靜態(tài)NAT不同就是具有多個外網(wǎng)IP地址可提供給內(nèi)網(wǎng)轉(zhuǎn)換。它先將一些可供轉(zhuǎn)換的外網(wǎng)IP組織起來，也就是建立地址池，然后當(dāng)某臺內(nèi)網(wǎng)主機(jī)需要訪問外網(wǎng)時就從地址池中選擇一個還沒有被占用的外網(wǎng)IP進(jìn)行轉(zhuǎn)換，當(dāng)內(nèi)網(wǎng)主機(jī)訪問完成后就歸還該外網(wǎng)IP，接下來如果有其他內(nèi)網(wǎng)主機(jī)要使用時就可以再次使用此外網(wǎng)IP。這種方法允許合法IP地址數(shù)少于主機(jī)數(shù)。

圖2

如圖2所示，當(dāng)IP地址為192.168.0.22的內(nèi)網(wǎng)主機(jī)要訪問外網(wǎng)時，先從地址池中選擇還沒有被使用的外網(wǎng)IP地址202.16.100.11，再通過NAT實現(xiàn)轉(zhuǎn)換。從上述原理中，其實動態(tài)NAT也可以理解成是內(nèi)網(wǎng)IP地址與合法外網(wǎng)IP地址進(jìn)行一對一的轉(zhuǎn)換，但是動態(tài)NAT是從地址池中動態(tài)地選擇一個未使用的地址對內(nèi)網(wǎng)IP地址進(jìn)行轉(zhuǎn)換。該方法也可以節(jié)省一定的合法IP地址，所以該方法常常被使用。

以下就以神州數(shù)碼DCR-2626為例，以圖2的連接實現(xiàn)動態(tài)NAT，列出關(guān)鍵配置。

interface fastethernet 0/0

ip address 202.16.100.10 255.255.248.0

ip nat outside

exit

interface fastethernet 0/3

ip address 192.168.0.1 255.255.255.0

ip nat outside

exit

//先定義路由器中內(nèi)網(wǎng)、外網(wǎng)端口IP地址及指定內(nèi)部外部端口

ip access-list standard abc

permit 192.168.0.0 255.255.255.0

//建立名字為abc的訪問控制列表，允許轉(zhuǎn)換的源地址范圍為192.168.0網(wǎng)段

ip nat pool kkk 202.16.100.10 202.16.100.50 255.255.248.0

//建立名字為kkk的NAT地址池，地址范圍為202.16.100.10至202.16.100.50，子網(wǎng)掩碼為255.255.248.0

ip nat inside source list abc pool kkk

//啟用動態(tài)NAT轉(zhuǎn)換，允許訪問列表abc中的地址范圍，通過kkk地址池進(jìn)行動態(tài)地址轉(zhuǎn)換。

通常路由上還要配置外網(wǎng)的默認(rèn)網(wǎng)關(guān)，內(nèi)網(wǎng)用戶才能訪問到外網(wǎng)相關(guān)資源，配置如下：

ip router 0.0.0.0 0.0.0.0 202.16.100.1

//假設(shè)外網(wǎng)網(wǎng)關(guān)為202.16.100.1

2.3 復(fù)用動態(tài)NAT（PNAT）

復(fù)用動態(tài)NAT又稱端口多路復(fù)用技術(shù)，也稱為PNAT，可以理解成是一種多對一的轉(zhuǎn)換方式。PNAT技術(shù)是通過改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，它可將多個內(nèi)網(wǎng)IP地址映射為一個外網(wǎng)IP地址，使用不同的端口來區(qū)分所對應(yīng)的各個不同的內(nèi)網(wǎng)IP地址。這種方法可以實現(xiàn)全部內(nèi)網(wǎng)主機(jī)通過共享一個外網(wǎng)IP地址就可以實現(xiàn)外網(wǎng)資源訪問，大大節(jié)省外網(wǎng)IP地址資源，但此方法有可能引起信道一定擁塞。

圖3

如圖3所示，內(nèi)網(wǎng)192.168.0.0/24網(wǎng)段中，任何主機(jī)如果要訪問外網(wǎng)資源，PNAT可以實現(xiàn)都將這些內(nèi)網(wǎng)IP都轉(zhuǎn)換成202.16.100.11外網(wǎng)IP訪問外網(wǎng)資源。

以下就以神州數(shù)碼DCR-2626為例，按圖3的拓?fù)?，列出關(guān)鍵配置，實現(xiàn)PNAT。

//假設(shè)外網(wǎng)網(wǎng)關(guān)為202.16.100.1

3 驗證NAT轉(zhuǎn)換

配置好相對應(yīng)的NAT后，可以通過下列方法對NAT進(jìn)行驗證：

3.1 查看協(xié)議狀態(tài)

Showipnatstatistics

顯示出轉(zhuǎn)換后的IP信息，也就是顯示當(dāng)前的NAT轉(zhuǎn)換統(tǒng)計的情況。不過要注意，在查看之前請先讓內(nèi)網(wǎng)用戶與外網(wǎng)進(jìn)行通信，以保證有數(shù)據(jù)通過而進(jìn)行轉(zhuǎn)換，才能正確驗證出相關(guān)NAT轉(zhuǎn)換有沒有正常工作。

3.2 查看當(dāng)前存在的轉(zhuǎn)換

showipnattranslations

如果能顯示出內(nèi)網(wǎng)IP與外網(wǎng)IP的轉(zhuǎn)換，就證明NAT轉(zhuǎn)換成功。

3.3 調(diào)試NAT

debug ip nat

通過debug信息可以看到NAT轉(zhuǎn)換的包信息，如果可以顯示出內(nèi)網(wǎng)與外網(wǎng)數(shù)據(jù)包的轉(zhuǎn)換情況，則證實NAT工作正常。

參考文獻(xiàn)：

[1] 朱紅星.計算機(jī)網(wǎng)絡(luò)管理員（技師）[M].廣州：廣東科技出版社，2011.

[2] 蒲衛(wèi)，吳豪.網(wǎng)絡(luò)組建與管理[M].北京：清華大學(xué)出版社，2011.

[3] 雷震甲，吳曉葵，嚴(yán)體華.網(wǎng)絡(luò)工程師教程[M].北京：清華大學(xué)出版社，2011.