原文:國開大學-網絡基礎
一、NAT的概念
網絡地址轉換(NAT,Network Address Translation)技術作爲有效解決地址緊缺問題的方案之一,通過將私有IP地址轉換爲公有IP地址,實現私有網絡訪問公共網絡的功能。這種通過使用少量的公有IP 地址,代表較多的私有IP 地址的方式,將有助於減緩可用的IP地址空間枯竭的問題。
NAT技術具有以下特點:
1.NAT允許對內部網絡實行私有編址,從而維護合法註冊的公有全局編址方案,並節省IP地址。
2.NAT增強了公有網絡連接的靈活性。
3.NAT爲內部網絡編址方案提供了一致性。
4.私有網絡在實施NAT時,不會通告其地址或內部拓撲,有效地保證了內部網絡的安全性。
NAT功能既可以部署在路由器、防火牆和核心三層交換機等網絡硬件設備上,還可以部署在各種軟件代理服務器上,如Proxy等。相對而言,NAT部署在網絡硬件設備上時,具有處理速度快、安全性高等特點,適用於大中型企業;而部署在軟件代理服務器上時,成本較低、轉換速度較慢,適用於小型企業。
二、NAT分類及工作原理
NAT有[靜態NAT]、[動態NAT]和[端口地址轉換NPAT]三種類型:
1.靜態NAT
靜態NAT的轉換工作過程如圖3-26所示,局域網中PC1和PC2的IP地址分別爲10.1.59.11和10.1.59.12,均屬於私有地址。互聯網服務器的IP地址爲64.5.8.1,屬於公網地址。爲了能夠使局域網中的計算機訪問互聯網,需要在局域網的出口路由器上部署NAT,NAT將私有地址10.1.59.11和10.1.59.12分別與公有地址124.65.130.2和124.65.130.3進行映射並記錄在NAT轉換表中。當PC1訪問服務器時,IP數據報在內網中的源地址爲PC1地址10.1.59.11,目的地址爲服務器地址64.5.8.1,當數據報通過出口路由器進入公網時,執行NAT對IP首部進行重新封裝,源地址轉化爲NAT指定公網地址124.65.130.2,目的地址不變。
當服務器向PC1返回數據時,IP數據報在公網的源地址爲服務器地址64.5.8.1,目的地址爲NAT指定的PC1映射公網地址124.65.130.2。當數據報通過出口路由進入內網時,查看NAT地址轉換表,執行NAT對IP首部進行重新分裝,源地址不變,目的地址轉化爲NAT指定的PC1映射的私有地址10.1.59.11。
2.動態NAT
動態NAT技術在網絡設備中維護一個地址池,可以存放多個公網IP地址,如圖3-27所示。地址池存放的網絡地址範圍爲124.65.130.2~124.65.130.15,若內網中的PC1訪問公網服務器,則PC1向服務器發送兩個數據報,當第一個數據報通過出口路由器時,NAT從地址池中選擇一個公網地址124.65.130.2與PC1的源地址10.1.59.11進行映射,並將映射關係記錄到NAT地址轉換表中;同理,當第二個數據報通過出口路由器時,NAT從地址池中隨機選擇一個公網地址124.65.130.3與PC1的源地址10.1.59.11進行映射。
3.端口地址轉換NPAT
端口地址轉換NPAT依據不同的應用程序協議可映射爲不同端口號,可將多個內部地址映射爲一個公網地址,即“內部地址:內部端口”與“外部地址:外部端口”之間的映射。如圖3-28所示,若局域網中的兩臺主機PC1和PC2的IP地址分別爲10.1.59.11和10.1.59.12,服務器位於公網中,IP地址爲64.5.8.1,則出口路由器接口地址124.65.130.10作爲唯一一個可以進行NAT轉換的地址,可將內網的所有私有地址映射到同一個地址。
當PC1需要訪問服務器的Web服務時,PC1隨機選擇一個端口號1024和自己的源地址10.1.59.11組成一個套接字,來標識數據報,目的地址爲服務器地址64.5.8.1,目的端口號爲Web公認的熟知端口號80。當數據報到達出口路由器時,進行NPAT轉換,源和目的端口號不變,只將出口路由器接口地址124.65.130.10替換源地址。當PC2需要訪問服務器的FTP服務時,PC2隨機選擇一個端口號1120與自己的源地址組成一個套接字,目的地址爲服務器地址64.5.8.1,端口號爲FTP公認的熟知端口號21。從圖3-32中可以看出,PC1和PC2都映射到同一個公網地址124.65.130.10,但是它們採用不同的端口號進行了區分。
