NAT技术的相关应用

NAT技术的相关应用（共8篇）

NAT技术的相关应用 篇1

1 NAT技术简介

NAT (Network Address Translation) 网络地址转换。其使用环境通常是两个不同网段的网络, 它们之间需要实现访问, 那么就可以通过NAT进行地址转换实现访问。例如现在普遍使用最多的情况就是内网中有多台主机, 但只能通过一个合法外网IP地址访问外网资源, 使用NAT技术就可以解决。当然如果外网要访问内网中的资源, 也可以通过相应的NAT技术来实现。

NAT的作用主要就是:一就是安全方面, 通过NAT转换后不让外网用户了解掌握到内部网络的结构、地址等情况, 起到防范作用。二就是公网IP地址资源方面, 当内网主机较多时, 如果一台主机一个公网IP就显得浪费, 通过NAT技术可实现多台内网主机共用一个外网IP地址就可以访问INTERNET, 以缓解当前公网IP地址短缺的情况。

2 实现NAT的方法

在路由中实现NAT常见有:静态NAT、动态地址NAT和复用动态 (端口多路复用) 地址转换三种技术方法, 具体要分析网络与使用环境而选择。

2.1 静态NAT

静态NAT是一对一的IP地址转换方式。就是将内网中某一台主机的IP地址转换成外网中某一个固定的IP地址。使用这种方法当多台内网主机要访问外网时, 就要一对一做转换, 需要内网IP地址与外网IP数量相同才能实现。

如图1所示, 静态NAT就是将内网中具体IP地址为192.168.0.1转换成外网中IP地址202.16.100.11, 它们之间是一对一的转换关系。例如, 内网中IP地址为192.168.0.1主机中建立了Web服务器、E-mail服务器、FTP服务器等, 如果这些服务也想对外网用户进行开放, 则就可以通过静态NAT实现, 当外网用户访问202.16.100.11地址时等同于直接访问内网中的主机。

以下就以神州数码DCR-2626按图1中参数列出关键配置, 实现NAT的静态转换。

如果内网是一台WEB服务器, 要实现外网也可以访问内网中的网站, 就需要将上述的一行配置内容换成下列一行就可。

这样配置生效后, 外网用户访问HTTP://202.16.100.11就可以使用内网192.168.0.1主机WEB服务器的资源了。如果内网中还存在多个WEB网站, 但只有一个合法的外网IP地址, 则可以通过改变端口号来处理, 如下配置:

通过上行配置, 可以实现内部网络中其他WEB服务NAT转换。外网用户HTTP://202.16.100.11:8080就可以使用内网192.168.0.2主机WEB服务器的资源了。

2.2 动态NAT

动态NAT是多对多的转换方式, 与静态NAT不同就是具有多个外网IP地址可提供给内网转换。它先将一些可供转换的外网IP组织起来, 也就是建立地址池, 然后当某台内网主机需要访问外网时就从地址池中选择一个还没有被占用的外网IP进行转换, 当内网主机访问完成后就归还该外网IP, 接下来如果有其他内网主机要使用时就可以再次使用此外网IP。这种方法允许合法IP地址数少于主机数。

如图2所示, 当IP地址为192.168.0.22的内网主机要访问外网时, 先从地址池中选择还没有被使用的外网IP地址202.16.100.11, 再通过NAT实现转换。从上述原理中, 其实动态NAT也可以理解成是内网IP地址与合法外网IP地址进行一对一的转换, 但是动态NAT是从地址池中动态地选择一个未使用的地址对内网IP地址进行转换。该方法也可以节省一定的合法IP地址, 所以该方法常常被使用。

以下就以神州数码DCR-2626为例, 以图2的连接实现动态NAT, 列出关键配置。

2.3 复用动态NAT (PNAT)

复用动态NAT又称端口多路复用技术, 也称为PNAT, 可以理解成是一种多对一的转换方式。PNAT技术是通过改变外出数据包的源端口并进行端口转换, 它可将多个内网IP地址映射为一个外网IP地址, 使用不同的端口来区分所对应的各个不同的内网IP地址。这种方法可以实现全部内网主机通过共享一个外网IP地址就可以实现外网资源访问, 大大节省外网IP地址资源, 但此方法有可能引起信道一定拥塞。

如图3所示, 内网192.168.0.0/24网段中, 任何主机如果要访问外网资源, PNAT可以实现都将这些内网IP都转换成202.16.100.11外网IP访问外网资源。

以下就以神州数码DCR-2626为例, 按图3的拓扑, 列出关键配置, 实现PNAT。

3 验证NAT转换

配置好相对应的NAT后, 可以通过下列方法对NAT进行验证:

3.1 查看协议状态

显示出转换后的IP信息, 也就是显示当前的NAT转换统计的情况。不过要注意, 在查看之前请先让内网用户与外网进行通信, 以保证有数据通过而进行转换, 才能正确验证出相关NAT转换有没有正常工作。

3.2 查看当前存在的转换

如果能显示出内网IP与外网IP的转换, 就证明NAT转换成功。

3.3 调试NAT

debug ip nat

通过信息可以看到转换的包信息, 如果可以显示出内网与外网数据包的转换情况, 则证实NAT工作正常。

摘要：分析NAT技术中静态NAT、动态地址NAT和复用动态地址转换三种技术基本知识。利用实际例子分析三种NAT的使用, 并给出具体操作方法。给出验证NAT是否成功的方法。

关键词：NAT,静态NAT,动态NAT,复用动态NAT,验证NAT

参考文献

[1]朱红星.计算机网络管理员 (技师) [M].广州:广东科技出版社, 2011.

[2]蒲卫, 吴豪.网络组建与管理[M].北京:清华大学出版社, 2011.

[3]雷震甲, 吴晓葵, 严体华.网络工程师教程[M].北京:清华大学出版社, 2011.

NAT技术的相关应用 篇2

NAT的实现方案多种多样，本文以思科2611路由器为平台，通过一个实例描述了NAT的应用。

思科路由器上NAT通常有3种应用方式，分别适用于不同的需求：

1.静态地址转换：适用于企业内部服务器向企业网外部提供服务(如WEB，FTP等)，需要建立服务器内部地址到固定合法地址的静态映射。

2.动态地址转换：建立一种内外部地址的动态转换机制，常适用于租用的地址数量较多的情况;企业可以根据访问需求，建立多个地址池，绑定到不同的部门。这样既增强了管理的粒度，又简化了排错的过程。

3.端口地址复用：适用于地址数很少，多个用户需要同时访问互联网的情况。

图1

如图1所示，企业从ISP获得6个有效IP地址(202.103.100.128~202.103.100.135,掩码为255.255.255.248，128和135为网络地址和广播地址，不可用)，通过一台2611路由器接入互联网。内部网络根据职能分成若干子网，并期望服务器子网对外提供WEB服务，财务部门使用独立的地址池接入互联网，其它部门共用剩余的地址池。地址具体分配如下表：

具体配置步骤如下：

1.选择E0作为内部接口，S0作为外部接口

interfacee0

ipaddress192.168.100.1255.255.255.0

ipnatinside/*配置e0为内部接口*/

interfaces0

ipaddress202.103.100.129255.255.255.248

ipnatoutside/*配置s0为外部接口*/

2.为各部门配置地址池(finance-财务部门;other-其它部门)：

ipnatpoolfinance202.103.100.131202.103.100.131netmask255.255.255.248

ipnatpoolother202.103.100.132202.103.100.134netmask255.255.255.248

3.用访问控制列表检查数据包的源地址并映射到不同的地址池

ipnatinsidesourcelist1poolfinanceoverload/*overload-启用端口复用*/

ipnatinsidesourcelist2poolother/*动态地址转换*/

4.定义访问控制列表

access-list1permit192.168.20.00.0.0.255

access-list2permit192.168.30.00.0.0.255

5.建立静态地址转换，并开放WEB端口(TCP80)

ipnatinsidesourcestatictcp192.168.10.280202.103.100.13080

6.设置缺省路由

iproute0.0.0.00.0.0.0s0

经过上述配置后，互联网上的主机可以通过202.103.100.130:80访问到企业内部WEB服务器192.168.10.2;财务部门的接入请求将映射到202.103.100.131;其它部门的接入请求被映射到202.103.100.131~134地址段，

NAT转换在局域网的应用 篇3

关键词：NAT；地址映射；局域网

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)15-30660-01

Application of NAT in LAN

XUAN Xiao-ling

(Tietong Tellcommunications Corporation Hefei Branch, Hefei 230000, China)

Abstract:With the popular of Internet, more and more companies and corporations own their network. How to use the technique of NAT is a problem of many people concerning, it makes them use internet safe. This text will introduce the tetechnique of NAT in general, so that people can understand and use NAT better.

Key words:NAT; address mapping; LAN

1 引言

NAT是network address translate的缩写，即网络地址转换，是将公网地址与私网地址相互转换。IPv4 地址日益不足是经常部署 NAT 的一个主要原因。随着网络技术的发展，安全需求的提升，NAT逐渐演变为隔离内外网络、保障网络安全的基本手段，而且采用这种技术，无须额外投资，单纯利用现有网络设备，即可轻松达到安全目的。因此一般用于企业，学校，网吧，小区等与互联网的通信。NAT的最典型应用是：在一个局域网内，只需要一台路由器（计算机）连接上Internet，就可以利用NAT共享Internet连接，使局域网内其他计算机也可以上网。请注意使用NAT协议，局域网内的计算机可以访问Internet上的计算机，但Internet上的计算机无法访问局域网内的计算机。

2 NAT的类型

NAT有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（Port－Level NAT）。其中静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。

动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。

网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。

3 NAT的部署

如下图所示，Nat功能一般是部署在nat功能的路由器上，也可以是防火墙或代理服务器。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这意味着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。

4 NAT工作的过程

4.1 在客户机上

当应用程序想同服务器通信时，它将打开与源 IP 地址、源端口、目标 IP 地址、目标端口及网络协议相关联的套接字。这样可以识别通信所需的两个端点。当应用程序利用该套接字传输信息时，客户机的专用 IP 地址 (源IP地址) 和端口 (源端口) 将被插入数据包的源字段中。数据包的目标字段将包含服务器的 IP 地址 (远程主机－目标 IP 地址) 和端口。由于该数据包的目的地是该专用网络之外的某个位置，因此客户机将把该数据包转发给默认的网关。这种情况下的默认网关就是 NAT 设备。

4.2 NAT设备上的输出数据包

NAT 设备将截获该输出数据包，然后利用目标 IP 地址 (服务器)、目标端口、NAT 设备的外部 IP 地址、外部端口、网络协议及客户机的内部 IP 地址和端口来创建端口映射。

NAT 设备将维护这些映射组成的表，并将该端口的映射存储在表中。外部 IP 地址和端口就是该数据通信用于取代内部客户机 IP 地址和端口的公共 IP 地址和端口。

NAT 设备随即将来自客户机专用内部 IP 地址和端口的数据包的源字段转换为 NAT 设备的公共 IP 地址和端口，从而对这些数据包进行转换。

然后，数据包将通过外部网络发送出去，并最终到达目标服务器。

4.3 服务器上

当服务器接收到数据包时，它认为自己是在和一台具有可全球路由 IP 地址的计算机进行通信。它会利用自己源字段中的 IP 地址和端口将响应数据包定向到 NAT 设备的外部 IP 地址和端口。

4.4 NAT 设备上的输入数据包

NAT 从服务器那接收到这些数据包，然后将数据包与其端口映射表进行比较。如果 NAT 发现某个端口映射的远程主机 IP 地址、远程端口、外部端口及网络协议与输入数据包的源 IP 地址、源端口、目标端口和网络协议匹配，NAT 就会进行反向转换。NAT 将把数据包目标字段中的外部 IP 地址和外部端口替换为客户机的专用 IP 地址和内部端口。

然后，NAT 将内部网络上的数据包发送给客户机。然而，如果 NAT 找不到对应的端口映射，它就会丢弃输入数据包并中断连接。

5 NAT的安全问题

当NAT改变包的IP地址后，需要认真考虑这样做对安全设施带来的影响。对于防火墙，它利用IP地址、TCP端口、目标地址以及其它在IP包内的信息来决定是否干预网络的连接。当使用了NAT之后，可能就不得不改变防火墙的规则，因为NAT改变了源地址和目的地址。

在许多配置中，NAT被集成在防火墙系统之中，提供访问控制和地址翻译的功能。不要把NAT设在防火墙之外，因为客可以轻易地骗过NAT，让NAT认为它是一个授权用户，从而进入网络。

若企业网中使用了VPN（虚拟专用网），并用IPSec进行加密安全保证，那么错误地设置NAT将会破坏VPN的功能。把NAT放在受保护的VPN内部，而不是在中间。因为NAT改变IP包内的地址域，而IPSec规定一些信息是不能被改变的。若IP地址被改变了，IPSec就会认为这个包是伪造的，拒绝使用。虽然NAT带来了许多优越性，例如使现有网络不必重新编址、减少了ISP接入费用，还可以起平衡负载的作用，但NAT潜在地影响到一些网络管理功能和安全设施，这就需要谨慎地使用它。但我们相信随着网络技术的发展，NAT技术将发展得更完善并将得到更广泛的应用。

6 NAT的配置实例

NAT功能通常是集成在路由器或防火墙等设备上的，配置相对简单。现以华为NE系列路由器为例作简单介绍：

sysname NE20

#

super password level 3 cipher;F^RRG*G@2YLaN9G%UD&AA!!

#

nat address-group 1 61.145.8.8 61.145.8.8 mask 255.255.255.255

/* 定义地址池即转换后的地址,由ISP服务商提供*/

#

diffserv domain

#

acl number 3001 rule 0 permit ip source 10.0.1.0 0.0.255.255

rule 1 permit ip source 10.0.2.0 0.0.255.255

/* 定义内部网络地址列表，它指出内部网络能访问外部网的地址段/

#

interface Aux0

async mode flow

link-protocol ppp

#

interface Ethernet0/0/0

shutdown

ip address 192.168.0.2 255.255.255.0

#

interface Ethernet1/0/0

undo shutdown

ip address 61.180.156.30 255.255.255.252

nat outband 3001 address-group 1***在此内网地址与外网地址相互映射***

/*定义上行口*/

#

interface Ethernet1/0/1

undo shutdown

ip address 10.0.0.1 255.255.0.0

/*定义下行口*/

#

interface NULL0

#

authorization-scheme default

#

ip route-static 0.0.0.0 0.0.0.0 61.180.156.29

/*定义一条缺省路由*/

user-interface con 0

user-interface aux 0

user-interface vty 0 4

set authentication password cipher ;F^RRG*G@2YLaN9G%UD&AA!!

#

return

至此，NAT转换配置完毕。

NAT技术的研究与应用 篇4

随着Internet的迅猛发展,连接到Internet的主机数量呈几何趋势增长。由于最初设计Internet的时候并没有考虑到会发展到如此的规模,所以作为网络中主机唯一身份的IP(Internet Protocol)地址短缺已成为目前Internet发展面临的最大问题之一,为了解决IP地址短缺的问题,人们提出了很多的解决方案,在众多的解决方案中,网络地址转换NAT技术提供了一种完全将私有网和公共网隔离的方法,从而得到了广泛的应用。

NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force,Internet工程任务组)标准,允许一个整体机构以一个公用IP地址出现在Internet上。它是一种把内部私有网络地址进行转换从而超越地址限制,合理地安排融合网络中的公有IP地址和私有IP地址的混合使用[1]。

2 NAT基本原理与类型

2.1 NAT技术的基本原理

NAT技术能帮助解决令人头痛的IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。它解决问题的办法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址在Internet上使用,其具体的做法是把IP包内的地址域用合法的IP地址来替换[2]。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址,发往下一级,这意味着给处理器带来了一定的负担。但对于一般的网络来说,这种负担是微不足道的[3]。

2.2 NAT技术的基本类型

NAT有三种类型:静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT(Port-Level NAT)。其中静态NAT设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,三种NAT方案各利弊。

动态地址NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后,动态地址NAT就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。[5]

网络地址端口转换NAPT(Network Address Port Translation)是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。[6]NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。

在Internet中使用NAPT时,所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过NAPT接入Internet。实际上,许多SOHO远程访问设备支持基于PPP的动态IP地址。这样,ISP甚至不需要支持NAPT,就可以做到多个内部IP地址共用一个外部IP地址上Internet,虽然这样会导致信道的一定拥塞,但考虑到节省的ISP上网费用和易管理的特点,用NAPT还算是比较合理的一个选择。[7]

3 典型NAT配置实例

例如某高校有两个实验楼,每一个实验楼都是一个独立的局域网,为了区分它们,分别称为A楼和B楼,A楼所采用的网络地址为192.168.*.*,B楼所用的IP地址为172.16.*.*～172.31.*.*,ISP为学校提供的IP地址为202.118.212.*/24,现有两台路由器R1和R2,它们的E0口分别连接A楼和B楼的局域网,由于工作的需要,A楼和B楼需要互相访问,并且都能够访问外网。于是,做如下的仿真实验,将它们的S0端口配置为外网IP相互连接。具体如图1所示.

网络设备和主机的网络地址如表1所示:

3.1 静态NAT地址转换

静态内部源地址转换是将一个未注册的,内部的地址(内网地址)转换为全局的唯一的外部地址(公网地址)如图1所示,路由器将把内部源地址192.168.1.2转换为全局唯一的地址202.118.212.12"具体配置如下所示:

3.2 动态NAT地址转换

动态转换是在一组内部本地地址与一个全局地址池之间建立一种映射关系,这种转换在有很多没有注册的主机想访问离线服务时非常有用,动态内部地址转换用一个预定义的地址池动态地将没注册的地址转换为注册过的地址,这种关系是一对一的,当有一外部连接请求时,从池中取出一个地址用,而一旦连接断开,取出的全局地址将重新放入池中,以供其他的连接使用动态转换效率是非常高的,因为一个注册过的地址可以让多个不同的端站点使用多次,相反前面定义的静态转换,只能让一个特定的端站点使用[8],具体配置如下所示:

4 结束语

通过仿真实验可以得到以下经验:配置动态IP地址池不能使用已经使用在接口上的IP,最好选择其它同一网段的IP,配置NAT的原则是让内网可以访问外网,保护内网,所以与内网连接的端口为inside,与外网连接的端口为outside,培植访问控制类表的时候,permit的是内网的IP地址,而非外网的地址,配置静态NAT的时候,是一一映射的关系,即一个公网IP对应一个内网主机,使用此方式需要保证有足够的公网IP地址,配置PAT方式,在应用NAT语句结尾打上OVERLOAD,路由器会立刻开启过载功能,使用端口转发的方式进行内外网址互相转换。

摘要：NAT技术在很大的程度上缓解了网络地址不足的现状,提供了一种将私有网络地址接入公共网络的一种的工程方案,本文在论述NAT的基本原理和实现方法的同时,给出NAT普遍应用的一个实例。

关键词：地址转换,动态池,映射

参考文献

[1]张永平.VPN网络中IPSec穿越NAT的研究[J].计算机应用与软件.2008,(1):22-25.

[2]ARIHUTTUMEN.UDP encapsulate of IPsec packets[Z].Internet draft,draft-ietf-ipsec-udp-encaps txt.2001

[3]祝芝梅.支持NAT的VPN网关的研究与实现[D]华中科技大学,2004

[4]何永龙,林浒,雷为民.一种SIP NAT应用网关的设计与实现[J]小型微型计算机系统,2002,(8):142-148.

[5]王华伟.图书馆计算机网络的NAT解决方案[J].现代图书情报技术,2001,(5):135-138

[6]吴绍兴,刘德春,尹应鹏.路由器下NAT技术的实现[J].计算机与现代化,2004,(2):65-68

[7]任智.移动Ad Hoc网络路由算法及协议研究[D]电子科技大学,2005.

NAT技术的相关应用 篇5

在IPV4体系中, 校园只申请少量的几个合法IP地址, 而私有IP地址对外又不能被路由转发, 需要采用NAT技术来实现私有地址到公有地址的转换, 下以Windows2003为平台, 通过设置NAT协议和DHCP服务器来讨论NAT技术的应用。

NAT技术

NAT英文全称是Network Address Translation。NAT (网络地址转换) , 用于将一个地址域映射到另一个地址域的标准方法。NAT允许一个Intranet中的主机透明地连接到公共域中的主机, 无需内部主机拥有注册的Internet地址。透明是指所有内部网计算机对Internet来说是不可见的, 而内部网计算机用户通常不会意识到NAT的存在。

NAT的具体实现

1、某校区一共有电脑60台, 该校从该地区电信ISP获取一公用IP 202.168.10.19, 60台电脑采用星型结构组建内部局域网, 地址范围为:192.168.1.1.-192.168.1.60.

2、NAT和DHCP服务器的配置要求

硬件要求:服务器计算机装有两张网卡;软件要求:安装WINDOWS2003系统, 安装好DHCP服务器。

3、NAT和DHCP服务器的配置步骤

(1) 打开管理工具中的路由和远程访问。

(2) 配置并启用路由访问, 选择网络地址转换 (NAT) 选项, 允许内部客户端使用一个公共IP地址连接到Internet。

(3) 在使用选择的Internet连接中必须选择连接外网 (Internet) 网卡 (202.168.10.19) , 再点击完成。

(4) 打开DHCP服务器, 先建立作用域 (192.168.1.1-192.168.10.60) , 再在作用域里配置服务器选项, 路由器选项IP (202.168.10.19) 、DNS服务器选项IP (永州电信的DNS服务器IP 218.76.248.6) , 完成后激活。

4、测试

在内部网络任意选择一台电脑作为客户端, 在客户端的本地连接属性中选择自动获取IP, 自动获取DNS服务器地址即可。使用ping命令测试与Internet的连接, PING百度官网www.baidu.com。通过设计, 在Windows 2003中, 使60台计算机仅使用1个合法的IP地址而实现了内网之间和从内网到外网的方便通信, 同时实现了外部网络不能主动访问内网的的主机, 在一定程度上实现了内网的安全。

结束语

通过Windows 2003中的NAT技术有效地缓解了公有IP地址的不足, 并在一定程度上实现了内网的安全。但这种技术也在一定程度上存在一定的问题, 如内网用户不能和外网用户进行视频会议等网络应用, 正是因为在windows 2003中不能实现一个IP地址对多个端口的同时转换, 而在路由器及ADSL等设备中的NAT技术却可以实现。另外在仅通过这种NAT技术所提供的安全性是有限的, NAT不会阻止任何外部返回的恶意破坏信息, 如果单位对网络安全性要求较高, 还要采用防火墙、代理服务器、ACL等技术与NAT技术相结合来使用。

摘要：随着互联网的普及, IPV4体系的公用IP资源越来越少, 在IPV6体系没有普及使用前, 网络地址转换协议NAT在一定程度解决了这一问题。NAT不仅完美地解决了lP地址不足的问题, 而且还能够有效地避免来自网络外部的攻击, 隐藏并保护网络内部的计算机。

关键词：NAT技术,IP地址,IPV4体系,局域网,DHCP服务器

参考文献

[1]尚晓航:《网络系统管理——Windows2003篇》, 人民邮电出版社, 2006.6。

[2]李振银:《网络管理与维护》, 中国铁道出版社, 2004.5。

[3]戴有炜:《Windows Server2003网络专业指南》, 清华大学出版社, 2004.6。

[4]隆杰:《Windows Server2003网络管理实训教程》, 清华大学出版社, 2006.4。

[5]王波:《网络地址转换 (NAT) 技术在网络实验室中的应用》, 福建电脑, 2005 (1) 48-49。

NAT技术的相关应用 篇6

流控制传输协议 (SCTP) 是一种可靠的传输协议, 它在两个端点之间提供稳定、有序的数据传递服务 (类似于TCP) , 并且可以保护数据消息边界 (类似UDP) 。然而与TCP和UDP不同的是, SCTP是通过多宿主 (Multi-homing) 和多流 (Multi-streaming) 功能提供这些收益的, 这两种功能均可提高可用性。尽管SCTP协议最初是为发送电话信号而设计的, 但其带来了一个意外的突破:它通过借鉴UDP的优点解决了TCP的某些局限。它提供的特性使套接字初始化的可用性、可靠性和安全性都得以提高。

NAT技术作为一种关键的网络技术, 不管是在广域网中还是局域网中都起到了不可忽视的作用, 其有效解决了IP地址短缺和IP地址冲突的问题。然而NAT技术在推广之初只是为适应TCP协议和UDP的通信而设计的, 在使用SCTP的过程当中, 我们发现了一些普遍存在的问题, 就是SCTP报文在当前的IP网络中的转发与NAT设备无法兼容的问题, 这样就限制了SCTP协议的应用场所。

针对NAT对SCTP产生限制所体现出来的具体问题, 根据实际情况提出了新的解决方案。

1 SCTP 报文无法通过 NAT 设备

1.1 问题现象

与TCP相同的是, SCTP中对新连接的初始化时通过报文握手来完成的, 但TCP使用的是三次握手而SCTP使用的是四次握手, 当服务器端和客户端在没有NAT设备的IP网络中使用SCTP进行同一个层级的网络进行数据传输时, 通信能顺利达成。通信的过程如图1所示:

当客户端和服务器端分布在不同级别的两个网络中, 并且它们的通信需要通过NAT设备时, 通信无法达成。利用抓包软件对数据包进行跟踪分析, 发现服务器端无法收到客户端的发送的INIT请求报文, 通信终端过程如图2所示。

据图2所示, 分析得知报文在通过NAT设备时丢失。NAT设备为了完成完整的内网和外网地址转换功能, 必须对传输层协议的端口号进行转换。而现有IPV4网络中大多数NAT设备对传输层协议的支持权限于传输控制协议 (TCP) 和用户数据报协议 (UDP) , 不支持流控制协议 (SCTP) 。这导致现有商用的NAT设备收到SCTP报文后无法对其进行内网与外网地址间的映射, 而直接丢弃, 造成了SCTP无法在含有NAT设备的现有IP网络中使用。

1.2 解决方法

由于NAT支持既有的用户数据报协议 (UDP) , 可以在客户端把需要发送的SCTP报文伪装成UDP报文进行发送, 当UDP报文抵达服务器端时, 再把其还原成原来的SCTP报文就可以了。其具体实施过程如下:

在使用SCTP协议的终端的网络协议栈中部署UDP封装/解封装层。该层位于SCTP协议层和网际协议IP层之间, 主要工作时在SCTP报文前包裹一层UDP隧道, 伪装成UDP包, 利用NAT对UDP报文原生的支持来克服NAT对SCTP协议的不兼容性。经过UDP隧道头包装后的SCTP报文结构如图3所示:

图3所示经过UDP隧道头包装过的SCTP报文在通过NAT设备的时候是被认为和普通的UDP报文是相同的, 这样SCTP报文就能顺利的在NAT设备中进行通信了。整个通信过程关键就是对SCTP报文进行了UDP隧道头的处理。处理流程如图4所示:

该流程包括以下步骤:

(1) 发送端的UDP封装层收到传输层发来的SCTP报文后, 在SCTP报文头前插入UDP隧道头, 它的目的IP地址和源IP地址取自于SCTP报文中的目的IP地址和源IP地址;

(2) 封装后的SCTP报文被看作为标准的UDP报文在NAT发送端的传输层进行处理;

(3) 接收端收到NAT发送过来的UDP报文后, 根据UDP隧道头的标识符号进行判断此报文是包裹着UDP隧道头的SCTP报文还是标准的UDP报文;

(4) 若是UDP隧道报文, 则将报文送入UDP解封装层, 该层提取UDP隧道头中的目的IP地址和源IP地址的信息, 分别填充到标准SCTP头中的对应域中, UDP隧道头将会被删掉, 还原成标准的SCTP报文;

(5) 若是标准的UDP报文, 则送入标准的UDP协议栈进行处理。提出的内存不影响标准TCP/IP协议栈的工作流程。

1.3 验证测试

通过sniffer抓包软件对网络中的流量进行抓包分析, 经过UDP隧道头封装后的SCTP (INIT) 报文从内网地址触发, 经NAT设备转换后到达外网, 并且可以在内网中收到外网的回复 (INIT_ACK) , 通信达成, 测试成功。

2 结束语

本文从修改NAT设备收发端的SCTP协议的部分功能出发, 针对NAT对IPV4网络中SCTP报文阻断的两个问题提出了适当的解决方法。这两个解决方法对原IPV4网络中的NAT设备不需做任何变动就可以实现SCTP报文在NAT设备中的通信, 能够帮助SCTP更快地实现在当前网络中的应用, 从部分功能上解决了SCTP和NAT设备在通信中的兼容性问题。

摘要：流控制传输协议 (SCTP) 作为一种新兴的网络传输技术协议, 由于其具有的多宿主 (Multi-homing) 和多流 (Multi-streaming) 等功能, 使其必将成为下一代网络中的传输层协议中的主导, 在未来互联网和移动网络中发挥重要作用, 然而目前网际协议 (IP) 网络中大多数网络地址转换 (NAT) 设备对SCTP报文转发缺乏兼容支持。分析并解决了SCTP在当前IPV4网络实施中所遇到的NAT阻断问题, 利用在收发端协议栈上进行功能扩展, 提出了一种新的SCTP报文的NAT映射传输方法, 在不修改当前网络NAT设备的前提下完成NAT映射, 并通过测试验证了解决方案的可行性和有效性。

关键词：SCTP,TCP,NAT,多宿性,多流

参考文献

[1]沈伊, 夏靖波, 周汉勋.SCTP协议在雷达情报传输中的应用研究[J], 通信技术, 2008.

[2]李爱国.SCTP在工业以太网通信技术中的应用研究.现代通信技术, 2012.2.

NAT技术的相关应用 篇7

Internet(因特网)从1990年代以来发展非常迅速,取得了极大的成功。但是,IP地址短缺已成为一个相当严重的问题,因为任何人要想进入因特网,都必须拥有一个合法的IP地址实现与广域网的互联,而IPV4的地址供应是有限的,那么IP地址的供应将会被耗尽。随着新的技术产生和发展,IPV4不再面对迫在眉睫的地址耗尽。一个以帮助IPV4避免地址耗尽的技术是网络地址转换(NAT)。

当一个局域网接入到因特网时,往往只能获得一组很少的合法IP地址,局域网内大部分用户只有私有IP地址,那么怎样才能让私有IP地址的用户也能上因特网?网络地址转换(NAT)是用于将一个地址域映射到另一个地址域的标准方法,如局域网到广域网的映射。实际上,NAT允许私有地址主机访问Internet.NAT提供的另一个功能是网络安全。NAT通过隐藏真实的IP地址来提供安全。使用NAT,可以只有一个合法的外部地址,它是公开知道的,像一个屏蔽或隐藏网络的真IP地址。

2 NAT拓扑结构及其工作过程

一台启用NAT的设备典型的是运行在局域网和广域网连接的边界上(局域网到广域网只有一条链路),当局域网内的一个主机想传输数据到外部的一个主机时,它要将分组转发给它的缺省网关(如图1)。

运行在路由器的NAT进程查看内部的IP头。如果合适,NAT会用一个全球唯一的IP地址来替换本地IP地址(如图2)。

NAT路由器RTA决定分组的源地址10.1.1.5应当被交换。本例中,RTA会用一个全球或真实的地址170.7.2.1来替换这个私有地址。RTA还将在一个NAT转换表中保存这个转换的记录。

当一个外部主机送一个应答时,NAT路由器收到它,如图3所示,NAT路由器检查当前的网络地址转换表,并且用最初的内部源地址替换目的地址。

3 配置NAT的具体方法

设m为需要地址转换的源IP地址——内部地址(简称源IP)数,n为所能提供的转换IP地址——内部全局地址(简称NAT IP)数。根据m=n或m>n两种不同情况,可以把NAT技术分为两类:静态NAT和动态NAT技术,在源IP和NAT IP间进行一对一的固定转换称为静态NAT技术;而根据具体情况(运行时情况)为每个源IP动态分NAT IP则称为动态NAT技术。

3.1 静态NAT技术

源IP数目等于NAT IP数目,m=n。静态NAT技术的转换非常简单,但该技术由于没有起到节约IP地址资源的目的,应用面不是很广。

静态地址转换基本配置步骤如下:

(1)在内部本地地址与内部合法地址之间建立静态地址转换。

Router(config)#ip nat inside source static内部本地地址内部合法地址

(2)指定连接网络的内部端口。

Router(config)#ip nat inside

(3)指定连接外部网络的外部端口。

Router(config)#ip nat outside

3.2 动态NAT技术

当m>n时要采用动态NAT技术。另外,当m=n时,考虑到某些情况下需要非固定地址转换(如安全原因),也需要动态NAT技术。

NAT路由器动态地为每个IP地址或每次连接提供NAT IP地址。为保证通信的双向性,NAT路由器必须记录通信双方的主机信息甚至连接信息(这有可能要查看数据包中TCP信息)。

从内部来说,当所有能分配的NAT IP都被用完后,就不允许有其他的连接了。从外部来说,内部计算机是不可见的(前提是外部计算机先发起访问)。

使用动态NAT,NAT转换表中不存在转换直到路由器收到需要转换的流量。一个管理员定义这个流量。动态转换是暂时的并最终会过期。

动态地址转换基本配置步骤如下:

(1)定义内部合法地址池

Router(config)#ip nat pool地址池名称起始IP地址终止IP地址子网掩码

(2)定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换

Router(config)#access-list标号permit源地址通配符,其中标号为1-99之间的整数

(3)将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换

Router(config)#ip nat inside source list访问列表标号pool内部合法地址池名字

(4)指定与内部网络相连的内部端口

Router(config)#ip nat inside

(5)指定与外部网络相连的外部端口

Router(config)#ip nat outside

3.3 NAT过载(端口地址转换)

动态NAT的一个重要优点是能够用很少的全球可路由IP地址来服务大量的主机。转换表项的超时很重要,这使得池里面的地址可用于其他主机。

但是,如果转换表项不能尽快地过期,整个地址池会都在使用,并且额外的主机将不能访问Internet。地址过载就是用很少的地址服务大量的主机。

端口地址转换PAT(Port Address Translation)也称为NAPT,普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面PAT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定TCP端口号。在Internet中使用PAT时,所有不同TCP和UDP信息流看起来源于同一个IP地址。此优点在小型办公室内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过PAT接入Internet。一条映射一个IP地址和端口对到另一个地址和端口对的转换条目被称为一条扩展表项。

配置NAT过载(PAT)步骤如下:

使用关键字Overload来配置NAT过载(PAT)

(1)定义内部地址池

Router(config)#ip nat pool地址池名称起始IP地址终止IP地址

Net mask子网掩码,其中地址池名字可以任意设定。

(2)定义一个标准的access-list规则以允许那些内部本地地址可以进行地址转换

Router(config)#access-list标号permit源地址通配符,其中标号为1-99之间的整数。

(3)设置在内部在内部的本地地址与内部合法IP地址间建立端口地址转换

Router(config)#ip nat inside source list访问列表标号pool内部合法地址池名字overload

(4)指定与内部网络相连的内部端口

Router(config)#ip nat inside

(5)指定与外部网络相连的外部端口

Router(config)#ip nat outside

3.4 TCP负载负担

以上所谈论的是关于NAT和PAT把内部IP地址转换成外部合法的IP地址使用。除此之外,NAT还可以用于负载平衡的DNS系列服务器的一个替代品。DNS系列服务器解决了多个IP地址公用一个域名的问题。它会在响应DNS申请时跳跃式地寻找可用的IP地址。达到的效果就是一个域名可以对应多个IP地址。

这种功能可以应用在一个WWW服务器群中,利用它可以平衡多个服务器的负载。Cisco路由器支持TCP负载分担作为静态映射的一种扩展。

配置TCP负载分担步骤如下:

(1)定义一个包含真实主机地址的地址池:

Router(config)#ip nat pool地址池名称起始IP地址终止IP地址

Net mask子网掩码[type rotary]

(2)定义一个访问列表允许虚拟主机的地址:

Router(config)#access-list标号permit源地址通配符,其中标号为1-99之间的整数。

(3)建立动态内部目的转换,标识步骤2中定义的访问列表:

Router(config)#ip nat inside destination list标号poll name

(4)指定内部接口

Router(config)#interface type number

(5)将接口标记为连接到内部:

Router(config)#ip nat inside

(6)指定外部接口:

Router(config)#interface type number

(7)将接口标记为连接到外部:

Router(config)#ip nat outside

4 应用实例

根据某校园的网络环境利用TCP/UDP端口映射的应用,网络采用1000Mbps光纤接入Internet.路由器选用拥有2个10/100/1000Mbps自适应端口的Cisco2821.内部网络使用的IP地址段为192.168.1.1~192.168.1.254(根据内部网络规模而定),局域网端口Ethernet 0的IP地址为192.168.1.1,子网掩码为255.255.255.0.网络分配的合法IP地址范围为202.99.16.128~202.99.160.135,子网掩码为255.255.255.248,连接ISP的端口Ethernet 1的IP地址为211.82.220.129,子网掩码为255.255.255.252,可用于转换IP地址为211.82.220.130.可以配置相同类型的多个服务器,如多个Web服务器,多个E-mail服务器等。

具体配置文件如下:(其他无关信息省略)

5 结束语

虽然NAT带来了许多优越性,如使现有的网络不需要重新编址、节约地址空间、减少了ISP的接入费用,还可以起到负载分担的作用,但是NAT潜在地影响到一些网络管理功能和安全设施,首先,使用NAT地址转换会使路由器处理数据包延迟增大。路由器的CPU必须对每个数据包进行检查,对需要改变地址信息的数据包进行操作,因此会加大运行负担;同时路由器要使用NAT技术,必须处于处理机交换的工作模式,会降低运行性能。另一方面,NAT隐藏了端到端的IP地址,使得对数据包的跟踪变得比较困难,由于这个原因,使得一些内嵌的IP地址在应用中会产生问题,如ICMP协议,DNS,FTP等。所以在使用NAT技术时一定要精心的规划。

参考文献

[1]谢希仁.计算机网络(第2版)[M].北京:电子工业出版社,2002.

[2]Steve McQuerry.Cisco网络设备互连[M].人民邮电出版社,2006.

NAT技术的相关应用 篇8

网络地址转换(NAT,Network Address Traslation)是用于将一个地址域(如企业内部网Intranet)映射到另一个地址域(如国际互联网Internet)的标准方法。NAT允许一个机构专用Intranet中的主机透明地连接到公共域中的主机,无需内部主机全部拥有注册的Internet地址。

NAT技术的基本原理。NAT是一个IETF标准,它使得一个使用私有地址的内部网可以通过某个或多个在Internet注册的IP地址连接到Internet上,从而一个使用私有地址的网络中的主机以合法地址出现在Internet上。位于Inside网络和Outside网络边界上的NAT路由器在发送数据包之前,负责把内部私有IP地址翻译成外部合法IP地址,反之亦然。

NAT技术的重要性主要体现在两个方面。其一是解决了IP地址不足的问题。随着Internet技术的飞速发展,越来越多的用户加入到互联网,无论是在办公室、学校、公司以及家庭,人们都希望接入互联网进行办公、娱乐等。这些接入到互联网的主机都需要全球唯一的IP地址。但IP地址的资源是有限的。这就带来了IP地址无限需求与IP地址有限供给的矛盾。借助于NAT技术,企业内部网络、实验室或家庭用户可以使用私有(保留)地址(如192.168.0.0-192.168.255.255等),这些私有地址可以用来进行内部网络通信,但这些私有地址不能在Internet主干上被路由。如果这些私有地址要访问Internet,则可以利用NAT技术,将私有地址转换成可以在Internet上通信的合法地址,从而实现访问Internet。

另外NAT技术能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。借助NAT技术,外部网络不能直接访问内部网络主机,必须经过NAT路由器转换才可以到达内部网络主机,将外部网络和内部网络隔离,一定程度上起到防火墙的作用,有效地保护了内部网络。

2 NAT技术实现外网主机访问内网服务器的应用实例

假设现在有某公司拥有一个公网IP:202.100.9.11,公司网站在公司内部网络的一台Web服务器上,其IP地址为:172.16.100.100。现在要实现在Internet上也能够访问公司网站。

假设企业网络的拓扑图如图2所示。

其中两台路由器是锐捷R1762。一台是NAT路由器LAN-ROUTER,一台是连接因特网的INTERNET-ROUTER。Web服务器172.16.100.100与LAN-ROUTER的端口F1/0相连。两台路由器之间都是连S1/2端口,分配其IP分别是202.100.9.11和202.100.9.254。INTERNET-ROUTER通过端口F1/0与因特网相连,其IP为61.177.7.1。

要求在因特网上能访问内部服务器172.16.100.100。

3 配置路由器

步骤1。路由器LAN-ROUTER基本配置。

Router>enable

Router#conf ter

Router(config)#hostname lan-router

lan-router(config)#interface fastethernet 1/0

lan-router(config-if)#ip address 172.16.100.99 255.255.255.0

lan-router(config-if)#no shutdown

lan-router(config-if)#exit

lan-router(config)#interface serial 1/2

lan-router(config-if)#ip address 202.100.9.11 255.255.255.0

lan-router(config-if)#clock rate 64000

lan-router(config-if)#no shutdown

lan-router(config-if)#exit

步骤2。路由器INTERNET-ROUTER基本配置。

Router>enable

Router#conf ter

Router(config)#hostname internet-router

internet-router(config)#interface fastethernet 1/0

internet-router(config-if)#ip address 61.177.7.1 255.255.255.0

internet-router(config-if)#no shutdown

internet-router(config-if)#exit

internet-router(config)#interface serial 1/2

internet-router(config-if)#ip address 202.100.9.254 255.255.255.0

internet-router(config-if)#clock rate 64000

internet-router(config-if)#no shutdown

internet-router(config-if)#exit

步骤3。在路由器LAN-ROUTER上配置缺省路由。

lan-router>enable

lan-router#conf ter

lan-router(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2

步骤4。在路由器LAN-ROUTER上配置反向NAT映射。

lan-router(config)#interface fastethernet 1/0

lan-router(config-if)#ip nat inside

lan-router(config-if)#exit

lan-router(config)#interface serial 1/2

lan-router(config-if)#ip nat outside

lan-router(config-if)#exit

lan-router(config)#ip nat pool mynatpool 172.16.100.100 172.16.100.100 netmask 255.255.255.0!定义内网服务器地址池

lan-router(config)#access-list 10 permit host 202.100.9.11!定义公网IP地址

lan-router(config)#ip nat inside destination list 10 pool mynatpool!将公网IP地址转换成地址池里的Web服务器IP地址。

lan-router(config)#ip nat inside source static tcp 172.16.100.100 80 202.100.9.11!定义公网IP地址的80端口转换成内网Web服务器IP地址的80端口。

4 验证设备配置情况

步骤1。查看路由器lan-router缺省路由配置情况。

internet-router>enable

internet-router#conf ter

internet-router(config)#ping 202.100.9.11

显示:

Type escape sequence to abort.

Sending 5,100-byte ICMP Echoes to 202.100.9.11,timeout is 2 seconds:!!!!

通过在路由器internet-router上能ping通202.100.9.11,表明缺省路由配置正确。

步骤2。查看路由器lan-router反向NAT映射配置情况。

lan-router>enable

lan-router#conf ter

lan-router(config)#show ip nat translations

Pro inside global inside local 0utside local?Outside global

Tcp 202.100.9.11:80 172.16.100.100:80 61.177.7.1:1026 61.177.7.1:1026

表明路由器lan-router反向NAT映射配置正确。

5 测试外网主机访问内网Web服务器的效果

步骤1:在内网服务器172.16.100.100上配置Web服务。

步骤2:在外部网络因特网上的1台主机通过IE访问Web服务器172.16.100.100。

如果能够正确访问,说明配置正确。

6 结束语

通过在路由器上配置反向NAT映射,将外部网络和内部网络隔离,有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。以上的例子就是假设公司网站在公司内部网络的一台Web服务器上,通过在路由器上应用NAT技术,就可以实现在Internet上也能够访问公司网站。当然在实际工作过程中可能外网主机需要对内部网络多台服务器进行访问,此时可将多个内网服务器的IP地址加入到内网服务器地址池中,访问的时候根据端口号的不同来访问对应的内网服务器。在路由器上进行NAT配置,实现外网主机访问内网服务器,在实际工作中经常会使用到,在保护网络安全中也发挥着重要的作用。

参考文献

[1]张蒲生.局域网组网技术与实训[M].清华大学出版社,2006.

[2]蔡学军,梁广明等。网络互连技术[M].高等教育出版社,2004.

[3]雷震甲.网络工程师教程[M].高等教育出版社,2006.