论NAT技术分类与技术实现

科技资讯SCINC & ItoANO oov NFOMATION信息技术论NAT技术分类与技术实现胡晓燕(南通大学江苏南通 226019)摘要:本文详细介绍了 NAT技术的分奏,并通过圈表说明NAT技术实现的具体过程。通过- -个具体的实例,介绍了在Cisco路由器上是如关键词:NAT技术内联网中图分类号:TP393.03文献标识码:A文章编号:1672-3791(2008)2()-0022-021 Interne. Intranet与NAT技术静态地址转换是最简单的一种转换方式,它在本 地和全局地址之间建立一个动随着Internet网络规模的不断扩大,应式,它在NAT表中为本地地址和全局地址态的映射,这时必须建立-一个全局地址池，用系统越来越丰富.网络用户越来越普及，之间建立一个固定的一对一的映射。这种由路由器从全局地址池中选择-一个未使 用Internet的各种技术正在迅猛发展,越来越方式主要 用于内联网中建立的各种服务的地址对本 地地址进行转换。每个转换条多的企业已经意识到Internet是一种全球器 ，以确保外部主机对服务器的正确访问。目在连接建立时动态建立,而在连接终止商用信息交换的有效手段。Internet的发展如果使用动地址转换，那么内部服务器对时被回收.这样,网络的灵话性增强,所需不但为企业网络提供了全球信息交换和信外映射的合 法地址会动态的改变,导致外要的全局地址减少。必须注意的是:当全局息发布的能力，而且Internet的技术以其开部 主机无法正确访间。地址池全部被占用以后,以后的地址转换放性. .标准性.成熟性和实用性为企业网络2.2. 2动态地址转换申请将被拒绝，这样会造成网络连通性的的建设.应用开发、管理和维护等带来了很动态地址转换是较灵活的一种转换方问题,所以应使用超时操作选项来回收全好的借鉴.给传统的企业MIS(ManagementInformation Systems)的网络 和应用模型带内部网外部网.CDA7来巨大的冲击。于是,将Internet的技术模式210.29.7.SA和成熟技术应用到企业网络环境中就形成10.1.1210.1.1.1 .210.29.721了所谓的“Intranet"的概念。Intranet是指采用Internet技术建立的主机B .企业内部专用网络。它以TCP/IP协议作210.29.64.9为基础,以Web为核心应用,构成统- -和便利的信息交换平台。Intranet可提供Web出版.交互、目录.电于邮件.安全性、广域10.1.1.1互连.文件管理、打印和网络管理等多种服务.Intranet是在Intermet长期发展的基础上采用其成熟技术而发展起来的。由于.Internet的技术已被广泛使用,并得到多方内邮接口2外部接口的验证及认可,而且Internet拥有一批雄厚的技术力最作为其技术发展支持，因此在NAT映射表Internet基础上形成与发展的Intranet具有内部局部地址|内部全局地址成熟，稳定,并且风险小的特点。由于Intranet使用的是TCP/IP协议,在Intranet210.29.72.1内部的每台主机都应有一个IP地址.鉴于10.1.1.2210.29.72.2 」目前IP地址的紧缺,大多数的Intranet网络使用的都尼内部私有地址。这给Intranet接SA:源地址(source adrese) DA:H 标地hldesination aerss)入Internet带来了不便，为解决这一-问题,有图1多种解决方案.代理服务器就可以完成这-功能,然而代理服务器的工作决定了它的网络带宽利用半不高。NAT(Network0外部网厂DA210.29.72.Address Translation)技 术则是一个很好的DA210.29.72选择。10.1..上Internet机B2 NAT技术的分类及其实现原理之2.1NAT技术的基本原理简单的说,NAT的功能就是在内部网络的私有地址:需要与外部通信时，把内部1.1.1.1私有地址转换成合法的全局IP地址.NAT主机C .可以在两个方向上隐藏地址,为了支持这21029.68.1种方案,NAT在两个方向上都要翻译原地MT映射表址和目的地址。目前NAT的功能通常被集成到路由器.防火墙等设备中。NAT设备维协议内部局部地址: 端U卡中国煤化工局地址:端口号护一个NAT映射表,用它来实现全局到本TCP 10.1.1.1; 1732CNMHG64.9,23地和本地到全局的地址转换。fH2.2 NAT技术的分类TCP10.1.1.2: 10211210.29.72.1: 1024l 210.29.68.1: 232.2. 1静态地址转换22科技资讯 SCIENCE & TECHNOLOOY INFORMATIONSCtENCL & ItONO ov N SHWATID科技资讯信息技术表1用(overloading)功能足打开的.并且已经存任务命令在一个活动的映射条目.那么路由器将复.I进入接口命令模式interface type number用这个全局的地址并且记录下足够多的信[定义此接| 1为内部接1ip nal inside息好把地址从新映射间去。进入接1侖令模式(3)路由器通过NAT映射关系表中的条[定义此接11为外部接口ip nat outside目把内郫局部地址10.1.1.1替换成内部会| 在内部地址和外部地址之间建以.静态 ip nat inside source static local-ip局地址,并且发出这个数据包。(4)末机B通过内部全局地址210.29.的映射global-ip72. 1接收并网应从主机10.1.1.1发出的数据包表2(5)当路由器收到一个带有内部全局地[任务| 命令址的数据包时，它使用这个内部全局地址。[ 进入接口俞令模式所使用的协议.端∩号以及外部地址和端L 定义此按11为内部接山ip nat inside口号作为关键字查找它的NAT映射关系[ 进入接11命令模式表。然后作反向的修改把IP地址改为内部[ 定义此按1为外部接1。ip nat inside .局部地址10.1.1.1并且把数据包发送给10.1.1.1。定义“个地址:池用于进行地址转换ip nal pool name start- ip end-ip {nelmask(6)主机10.1.1.1接收到数据包然后继netmask | prefix- length prefix length}续进行会话。路由器对每一个数据包都从定义个访间控制列表，以允许内部地址能access-list acess-list-number permit第2步到第5步进行处理。够访问外部source Lsource-wi Idrard]建汇个动态地址的转换的映射关系iPnatinsidesource list3 NAT技术在Cisco路由器上实现的命令access-list-number pool3.1静态地址转换的实现命令name在Cisco路由器上实现静态地址的转换需要在全局配置模式卜执行以下任务(表1)。表3上南的步骤足进行静态地址转换必须进行了最少配置,还可以进行多个接口的进入按1 1命令模式3.2动态地址转换的实现命令定义此接11为内部接11在Cisco路由器上实现动态地址的转换需进入接11命令模式 .interface Lype number要在全局配置模式下执行以下低务(表2)。定义此接口为外部接口ip nat inside .3.3端口复用地址转换的实现命令定义个地址池用于进行地址转换ip nat pool name start-ip end-ip {netmask在Cisco路由器上实现端n地址的转换喬netmask I prefix- length prefix-length)要在全局配置模式下执行以下任务(表3)。定义个访问控制列衣，以允许内部地址能access list acess-list -number permisource Lsource-wi ldcard]参考文献建尔个端1 1地址的转换的映射火系ipsource[{1] George C .Sackett著.前导工作室译.Cisco路由器手册[M].机械工作出版社，access-I ist - number pool name over load2000.[2] 谢维平主编，干磊,沈洲编著. Cisco局地址池中的地址。对于只向外访向而不CCNA认证号试辅导[M].人民邮电出版允许外部网络访问的内部主机,就采用动目 把内部局部地址10.1.1.1栈换成内部全社,2002.态地址转换。局地址，并且发出这个数据包。2.2.3端口复用地址转换(4)主机B通过内部全局地址210.29.72.端U复用地址转换(PAT或NAPT或地1接收 并问应从主机L10.1.1.1发出的数据包。址超载)首先是动态地址转换,是根据端口号和地址进行映射转换,允许多个局部地址的数据包时,它使用这个内部全局地址址同时共用一个余局地址,路由器会利用作 为关键字查找它的NAT映射关系表。然TCP或UDP端几号来唯一标识某台IP主机， 后作 反向的修改把IP地址改为内部局部地是一对多的关系。址10.1.1. 1并且把数据包发送给10.1.1.1。2.3 NAT技术的实现原理(6)主机10. 1.1.1接收到数据包然后继2.3.1静态地址转换和动态地址转换续进行会话。 路由器对每一个數据包都从的实现原理(见图1)(1)主机10.1.1.1想打开一个连接到主2.3.2端口复用地址转换的实现原理LB.(2)路由器接收到从主机10.1.1.1发来(见图2)(1)主机10.1.1. 1想打开一个连接到主的第一个数据包。并检在它自己的NAT映机B.射表。如果使用是静态的方式,路由器直接(2)路由器接收到从主机1中国煤化工跳到第3步。如果使用的足动态的方式，路的第一个数据包，并检食它自由器需要动态的从内部全局地址池中选择射表。如果路由器NAT映射条:0HCNMHG一个内部全局地址.井建汇他们之间的映要从内部全局地址池中选择一个内部全丽射关系。地址,并建汇他们之间的映射关系。如果复科技资讯SCIENCE & TECHNOLOOY IN-OHMAIION23