張波　萬麗

摘 要：當前信息網(wǎng)絡飛速發(fā)展，網(wǎng)絡地址轉(zhuǎn)換（NAT，Network Address Translation）在計算機網(wǎng)絡中的作用非常重要。NAT技術的應用，能夠有助于減緩可用IP地址空間嚴重不足的問題。本文針對某一局域網(wǎng)連接到Internet的案例，論述了當前應用較多的基于端口映射的PAT技術，分析了當ISP分配的公用IP地址池和路由器的廣域網(wǎng)口IP不在同一網(wǎng)段的情況下，NAT的配置方式。實現(xiàn)了讓內(nèi)部網(wǎng)用戶通過PAT轉(zhuǎn)換為公用IP地址，訪問Internet。

關鍵詞：NAT；PAT；網(wǎng)絡；路由器

中圖分類號：TP393 文獻標識碼：A

1 引言（Introduction）

當前，我們進入信息時代，計算機網(wǎng)絡飛速發(fā)展，對IP地址的需要也就越來越緊缺。根據(jù)調(diào)查統(tǒng)計，目前，我國的網(wǎng)民數(shù)量達到6.5億，而我國擁有的IP地址數(shù)量只有幾千萬個。于是，產(chǎn)生了NAT技術，大量的上網(wǎng)用戶都是通過局域網(wǎng)接入到Internet，局域網(wǎng)內(nèi)部使用內(nèi)部IP地址，出去訪問的時候使用公用IP地址。

NAT技術即將局域網(wǎng)私有IP轉(zhuǎn)換為可以上Internet的公網(wǎng)IP。私有IP地址是指內(nèi)部網(wǎng)絡或主機的IP地址，公有IP地址是指在Internet上全球唯一的IP地址。私有IP地址塊是任何局域網(wǎng)內(nèi)部都可以使用的，但其身份不能出去訪問，包括三個部分[1]，如下：

A類：10.0.0.0～10.255.255.255

B類：172.16.0.0～172.31.255.255

C類：192.168.0.0～192.168.255.255

上述三個范圍內(nèi)的地址在Internet上沒有身份，只能在局域網(wǎng)內(nèi)部使用，不同的局域網(wǎng)可以使用相同網(wǎng)段的內(nèi)部IP地址，因為它們相互之間不沖突。

2 NAT的定義（The definition of NAT）

NAT（Network Address Translation，網(wǎng)絡地址轉(zhuǎn)換）是1994年提出的。當在局域網(wǎng)內(nèi)部的一些主機本來已經(jīng)分配到了私有IP地址（即僅在本專用網(wǎng)內(nèi)使用的專用地址），但現(xiàn)在又想和因特網(wǎng)上的主機通信（并不需要加密）時，可使用NAT方法[2]。

這種方法需要在局域網(wǎng)連接到Internet的出口路由器上，啟用NAT功能。啟用NAT功能的路由器我們稱之為NAT路由器，它至少有一個有效的公用全球IP地址，也可以向所在的ISP申請多個公用IP地址[3]。這樣，當任何一個局域網(wǎng)用戶需要訪問Internet的時候，數(shù)據(jù)包首先發(fā)到局域網(wǎng)出口的NAT路由器。然后，NAT路由器將其內(nèi)部地址轉(zhuǎn)換成公用IP地址，才能和Internet通信。所以，NAT即將私有IP和公用IP進行映射的一種方法。

3 NAT的分類和分析（The classification and analysis

of NAT）

NAT技術可以分為三類，分別是靜態(tài)轉(zhuǎn)換Static Nat、動態(tài)轉(zhuǎn)換Dynamic Nat和端口多路復用OverLoad[4]。

靜態(tài)NAT是指將局域網(wǎng)的某個特定的私有IP地址映射為某個特定的公有IP地址。IP地址的映射是一對一的，而且是固定匹配的。某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。靜態(tài)NAT技術，通常使用在局域網(wǎng)中的某個服務器需要對外發(fā)布服務，例如局域網(wǎng)的WEB服務器等。

動態(tài)轉(zhuǎn)換NAT是指將局域網(wǎng)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址是不確定的，是隨機的。即局域網(wǎng)的任意一個內(nèi)部主機出去訪問Internet時，隨機被轉(zhuǎn)換為某一個公網(wǎng)地址池的地址。通常，需要定義內(nèi)部IP地址的范圍和外部IP地址的地址池，就可以進行動態(tài)NAT轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法全局地址集。當ISP提供的合法IP地址略少于網(wǎng)絡內(nèi)部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。

端口多路復用（Port Address Translation，PAT）是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換。采用端口多路復用NAT，可以最大限度地節(jié)約IP地址資源，幾百個內(nèi)部IP可以共用一個外部地址出去訪問Internet[5]。

端口地址轉(zhuǎn)換NAT，使用了端口映射轉(zhuǎn)換，可以隱藏局域網(wǎng)內(nèi)部的所有主機，讓Internet的用戶看不到內(nèi)部網(wǎng)絡。這樣，可以有效避免來自internet的攻擊。因此，目前網(wǎng)絡中應用最多的就是端口多路復用方式[6]。該方式不僅能解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。

4 NAT方案規(guī)劃和實現(xiàn)（Planning and

Implementation of NAT Program）

4.1 方案建設原則

本項目以多NAT技術為核心，解決局域網(wǎng)內(nèi)部各個主機訪問外網(wǎng)的問題；應用NAT保護內(nèi)網(wǎng)的安全性，解決隱藏內(nèi)部主機暴露在Internet的問題；以路由器環(huán)回口代表一個網(wǎng)段，解決路由器的出口IP地址和申請到的ISP地址不在同一個網(wǎng)段的問題，有效提升NAT轉(zhuǎn)換地址的能力。

4.2 方案的總體規(guī)劃

本系統(tǒng)分為內(nèi)部網(wǎng)和外網(wǎng)，R1為內(nèi)部網(wǎng)的出口路由器，R2為ISP的路由器，他們之間廣域網(wǎng)線路所在的網(wǎng)段為201.1.1.0/24。R1和R2之間運行OSPF協(xié)議，工作在area0區(qū)域，要求內(nèi)部網(wǎng)的主機對外網(wǎng)是隱藏的。內(nèi)部網(wǎng)的IP網(wǎng)段是192.168.1.0，外網(wǎng)服務器的IP是210.1.1.2，內(nèi)部網(wǎng)出口路由器R1向ISP申請的公網(wǎng)IP地址是198.26.112.1—198.26.112.10/24，NAT使用類型為端口多路復用。最后，讓內(nèi)部網(wǎng)的主機可以通過NAT訪問外網(wǎng)的服務器Server0，外網(wǎng)的用戶不能訪問內(nèi)部網(wǎng)主機。

整個系統(tǒng)的拓撲圖如圖1所示。

圖1 系統(tǒng)拓撲圖

Fig.1 System topology

4.3 方案的實現(xiàn)

（1）先配置各個接口IP地址。

如圖2所示，配置R1的IP地址，這里注意R1除了配置局域網(wǎng)口和廣域網(wǎng)口的IP，還需要配置一個環(huán)回口loopback0，將其IP設置為申請的ISP公用地址網(wǎng)段198.26.112.1/24。R2的接口IP配置和R1類似，配置局域網(wǎng)口和廣域網(wǎng)口IP。

圖2 配置接口的IP

Fig.2 Configuration interface IP

（2）配置OSPF協(xié)議。

在R1上啟用OSPF協(xié)議，注意在使用network命令通告網(wǎng)段的時候，不需要通告192.168.1.0，因為將內(nèi)部網(wǎng)段對外隱藏。具體配置如圖3所示。

圖3 OSPF協(xié)議配置

Fig.3 OSPF protocol configuration

（3）PAT的配置。

PAT的配置可以讓內(nèi)部網(wǎng)的多臺主機共用一個外部全局IP訪問Internet。先設置公用IP地址池，再設置內(nèi)部IP地址訪問列表，再設置他們的映射關系，最后設置NAT的出口類型。具體配置如圖4所示。

圖4 PAT配置

Fig.4 The PAT configuration

（4）系統(tǒng)測試結果。

最后，設置內(nèi)部網(wǎng)PC機的IP地址為192.168.1.1默認網(wǎng)關為192.168.1.254。打開PC機的DOS窗口，使用ping命令測試內(nèi)部網(wǎng)到外網(wǎng)的連通性，發(fā)出四個數(shù)據(jù)包，收到四個數(shù)據(jù)包，數(shù)據(jù)通信正常，如圖5所示。表明內(nèi)部網(wǎng)主機出去訪問Internet時，轉(zhuǎn)換了公用地址池的IP地址。如圖6所示，運行PAT功能的路由器的地址映射表。

圖5 ping測試結果

Fig.5 The ping test results

圖6 地址映射表

Fig.6 Address mapping table

5 結論（Conclusion）

系統(tǒng)主要集成了基于端口映射的NAT技術、環(huán)回口代表地址池技術、路由協(xié)議隱藏內(nèi)部網(wǎng)段技術。NAT技術分類較多，本文重點論述了應用較多的PAT技術，并且討論了當ISP分配的公用IP地址池和路由器的廣域網(wǎng)口IP不在同一網(wǎng)段的情況下，應該如何處理。最后，系統(tǒng)成功讓內(nèi)部網(wǎng)用戶通過PAT轉(zhuǎn)換為公用IP地址池的地址，訪問Internet。

參考文獻（References）

[1] 袁希群.使用NAT技術實現(xiàn)網(wǎng)絡地址轉(zhuǎn)換[J].電腦知識與技術：學術交流，2012，（2）：790-793.

[2] 陳顯亭，賈曉飛.網(wǎng)絡出口轉(zhuǎn)換技術研究[J].電子科技，2010，（12）：73-75.

[3] 任浩，王勁林，魯逸峰.UPnP和STUN相結合的NAT穿越技術研究[J].計算機工程與應用，2009，（2）：98-100.

[4] 羅瑞紅，申海軍.利用CISCO PT軟件模擬計算機網(wǎng)絡中DHCP、NAT的應用[J].軟件導刊，2012，（12）：150-152.

[5] 梁偉.訪問互聯(lián)網(wǎng)NAT配置項目綜合實訓[J].電子世界，2013，（10）：150-153.

[6] 于坤，陳曉兵.面向P2P網(wǎng)絡應用的NAT穿透機制研究[J].軟件，2013，（09）：115-117.

作者簡介：

張 波（1977-），男，學士，一級教師.研究領域：計算機網(wǎng)絡通訊和計算機學科教學.

萬 麗（1977-），女，學士，一級教師.研究領域：計算機網(wǎng)絡管理和計算機學科教學.