科技資訊SCINC & ItoANO oov NFOMATION信息技術(shù)論NAT技術(shù)分類與技術(shù)實現(xiàn)胡曉燕(南通大學江蘇南通 226019)摘要:本文詳細介紹了 NAT技術(shù)的分奏,并通過圈表說明NAT技術(shù)實現(xiàn)的具體過程。通過- -個具體的實例,介紹了在Cisco路由器上是如關(guān)鍵詞:NAT技術(shù)內(nèi)聯(lián)網(wǎng)中圖分類號:TP393.03文獻標識碼:A文章編號:1672-3791(2008)2()-0022-021 Interne. Intranet與NAT技術(shù)靜態(tài)地址轉(zhuǎn)換是最簡單的一種轉(zhuǎn)換方式,它在本 地和全局地址之間建立一個動隨著Internet網(wǎng)絡(luò)規(guī)模的不斷擴大,應(yīng)式,它在NAT表中為本地地址和全局地址態(tài)的映射,這時必須建立-一個全局地址池，用系統(tǒng)越來越豐富.網(wǎng)絡(luò)用戶越來越普及，之間建立一個固定的一對一的映射。這種由路由器從全局地址池中選擇-一個未使 用Internet的各種技術(shù)正在迅猛發(fā)展,越來越方式主要 用于內(nèi)聯(lián)網(wǎng)中建立的各種服務(wù)的地址對本 地地址進行轉(zhuǎn)換。每個轉(zhuǎn)換條多的企業(yè)已經(jīng)意識到Internet是一種全球器 ，以確保外部主機對服務(wù)器的正確訪問。目在連接建立時動態(tài)建立,而在連接終止商用信息交換的有效手段。Internet的發(fā)展如果使用動地址轉(zhuǎn)換，那么內(nèi)部服務(wù)器對時被回收.這樣,網(wǎng)絡(luò)的靈話性增強,所需不但為企業(yè)網(wǎng)絡(luò)提供了全球信息交換和信外映射的合 法地址會動態(tài)的改變,導致外要的全局地址減少。必須注意的是:當全局息發(fā)布的能力，而且Internet的技術(shù)以其開部 主機無法正確訪間。地址池全部被占用以后,以后的地址轉(zhuǎn)換放性. .標準性.成熟性和實用性為企業(yè)網(wǎng)絡(luò)2.2. 2動態(tài)地址轉(zhuǎn)換申請將被拒絕，這樣會造成網(wǎng)絡(luò)連通性的的建設(shè).應(yīng)用開發(fā)、管理和維護等帶來了很動態(tài)地址轉(zhuǎn)換是較靈活的一種轉(zhuǎn)換方問題,所以應(yīng)使用超時操作選項來回收全好的借鑒.給傳統(tǒng)的企業(yè)MIS(ManagementInformation Systems)的網(wǎng)絡(luò) 和應(yīng)用模型帶內(nèi)部網(wǎng)外部網(wǎng).CDA7來巨大的沖擊。于是,將Internet的技術(shù)模式210.29.7.SA和成熟技術(shù)應(yīng)用到企業(yè)網(wǎng)絡(luò)環(huán)境中就形成10.1.1210.1.1.1 .210.29.721了所謂的“Intranet"的概念。Intranet是指采用Internet技術(shù)建立的主機B .企業(yè)內(nèi)部專用網(wǎng)絡(luò)。它以TCP/IP協(xié)議作210.29.64.9為基礎(chǔ),以Web為核心應(yīng)用,構(gòu)成統(tǒng)- -和便利的信息交換平臺。Intranet可提供Web出版.交互、目錄.電于郵件.安全性、廣域10.1.1.1互連.文件管理、打印和網(wǎng)絡(luò)管理等多種服務(wù).Intranet是在Intermet長期發(fā)展的基礎(chǔ)上采用其成熟技術(shù)而發(fā)展起來的。由于.Internet的技術(shù)已被廣泛使用,并得到多方內(nèi)郵接口2外部接口的驗證及認可,而且Internet擁有一批雄厚的技術(shù)力最作為其技術(shù)發(fā)展支持，因此在NAT映射表Internet基礎(chǔ)上形成與發(fā)展的Intranet具有內(nèi)部局部地址|內(nèi)部全局地址成熟，穩(wěn)定,并且風險小的特點。由于Intranet使用的是TCP/IP協(xié)議,在Intranet210.29.72.1內(nèi)部的每臺主機都應(yīng)有一個IP地址.鑒于10.1.1.2210.29.72.2 」目前IP地址的緊缺,大多數(shù)的Intranet網(wǎng)絡(luò)使用的都尼內(nèi)部私有地址。這給Intranet接SA:源地址(source adrese) DA:H 標地hldesination aerss)入Internet帶來了不便，為解決這一-問題,有圖1多種解決方案.代理服務(wù)器就可以完成這-功能,然而代理服務(wù)器的工作決定了它的網(wǎng)絡(luò)帶寬利用半不高。NAT(Network0外部網(wǎng)廠DA210.29.72.Address Translation)技 術(shù)則是一個很好的DA210.29.72選擇。10.1..上Internet機B2 NAT技術(shù)的分類及其實現(xiàn)原理之2.1NAT技術(shù)的基本原理簡單的說,NAT的功能就是在內(nèi)部網(wǎng)絡(luò)的私有地址:需要與外部通信時，把內(nèi)部1.1.1.1私有地址轉(zhuǎn)換成合法的全局IP地址.NAT主機C .可以在兩個方向上隱藏地址,為了支持這21029.68.1種方案,NAT在兩個方向上都要翻譯原地MT映射表址和目的地址。目前NAT的功能通常被集成到路由器.防火墻等設(shè)備中。NAT設(shè)備維協(xié)議內(nèi)部局部地址: 端U卡中國煤化工局地址:端口號護一個NAT映射表,用它來實現(xiàn)全局到本TCP 10.1.1.1; 1732CNMHG64.9,23地和本地到全局的地址轉(zhuǎn)換。fH2.2 NAT技術(shù)的分類TCP10.1.1.2: 10211210.29.72.1: 1024l 210.29.68.1: 232.2. 1靜態(tài)地址轉(zhuǎn)換22科技資訊 SCIENCE & TECHNOLOOY INFORMATIONSCtENCL & ItONO ov N SHWATID科技資訊信息技術(shù)表1用(overloading)功能足打開的.并且已經(jīng)存任務(wù)命令在一個活動的映射條目.那么路由器將復.I進入接口命令模式interface type number用這個全局的地址并且記錄下足夠多的信[定義此接| 1為內(nèi)部接1ip nal inside息好把地址從新映射間去。進入接1侖令模式(3)路由器通過NAT映射關(guān)系表中的條[定義此接11為外部接口ip nat outside目把內(nèi)郫局部地址10.1.1.1替換成內(nèi)部會| 在內(nèi)部地址和外部地址之間建以.靜態(tài) ip nat inside source static local-ip局地址,并且發(fā)出這個數(shù)據(jù)包。(4)末機B通過內(nèi)部全局地址210.29.的映射global-ip72. 1接收并網(wǎng)應(yīng)從主機10.1.1.1發(fā)出的數(shù)據(jù)包表2(5)當路由器收到一個帶有內(nèi)部全局地[任務(wù)| 命令址的數(shù)據(jù)包時，它使用這個內(nèi)部全局地址。[ 進入接口俞令模式所使用的協(xié)議.端∩號以及外部地址和端L 定義此按11為內(nèi)部接山ip nat inside口號作為關(guān)鍵字查找它的NAT映射關(guān)系[ 進入接11命令模式表。然后作反向的修改把IP地址改為內(nèi)部[ 定義此按1為外部接1。ip nat inside .局部地址10.1.1.1并且把數(shù)據(jù)包發(fā)送給10.1.1.1。定義“個地址:池用于進行地址轉(zhuǎn)換ip nal pool name start- ip end-ip {nelmask(6)主機10.1.1.1接收到數(shù)據(jù)包然后繼netmask | prefix- length prefix length}續(xù)進行會話。路由器對每一個數(shù)據(jù)包都從定義個訪間控制列表，以允許內(nèi)部地址能access-list acess-list-number permit第2步到第5步進行處理。夠訪問外部source Lsource-wi Idrard]建匯個動態(tài)地址的轉(zhuǎn)換的映射關(guān)系iPnatinsidesource list3 NAT技術(shù)在Cisco路由器上實現(xiàn)的命令access-list-number pool3.1靜態(tài)地址轉(zhuǎn)換的實現(xiàn)命令name在Cisco路由器上實現(xiàn)靜態(tài)地址的轉(zhuǎn)換需要在全局配置模式卜執(zhí)行以下任務(wù)(表1)。表3上南的步驟足進行靜態(tài)地址轉(zhuǎn)換必須進行了最少配置,還可以進行多個接口的進入按1 1命令模式3.2動態(tài)地址轉(zhuǎn)換的實現(xiàn)命令定義此接11為內(nèi)部接11在Cisco路由器上實現(xiàn)動態(tài)地址的轉(zhuǎn)換需進入接11命令模式 .interface Lype number要在全局配置模式下執(zhí)行以下低務(wù)(表2)。定義此接口為外部接口ip nat inside .3.3端口復用地址轉(zhuǎn)換的實現(xiàn)命令定義個地址池用于進行地址轉(zhuǎn)換ip nat pool name start-ip end-ip {netmask在Cisco路由器上實現(xiàn)端n地址的轉(zhuǎn)換喬netmask I prefix- length prefix-length)要在全局配置模式下執(zhí)行以下任務(wù)(表3)。定義個訪問控制列衣，以允許內(nèi)部地址能access list acess-list -number permisource Lsource-wi ldcard]參考文獻建爾個端1 1地址的轉(zhuǎn)換的映射火系ipsource[{1] George C .Sackett著.前導工作室譯.Cisco路由器手冊[M].機械工作出版社，access-I ist - number pool name over load2000.[2] 謝維平主編，干磊,沈洲編著. Cisco局地址池中的地址。對于只向外訪向而不CCNA認證號試輔導[M].人民郵電出版允許外部網(wǎng)絡(luò)訪問的內(nèi)部主機,就采用動目 把內(nèi)部局部地址10.1.1.1棧換成內(nèi)部全社,2002.態(tài)地址轉(zhuǎn)換。局地址，并且發(fā)出這個數(shù)據(jù)包。2.2.3端口復用地址轉(zhuǎn)換(4)主機B通過內(nèi)部全局地址210.29.72.端U復用地址轉(zhuǎn)換(PAT或NAPT或地1接收 并問應(yīng)從主機L10.1.1.1發(fā)出的數(shù)據(jù)包。址超載)首先是動態(tài)地址轉(zhuǎn)換,是根據(jù)端口號和地址進行映射轉(zhuǎn)換,允許多個局部地址的數(shù)據(jù)包時,它使用這個內(nèi)部全局地址址同時共用一個余局地址,路由器會利用作 為關(guān)鍵字查找它的NAT映射關(guān)系表。然TCP或UDP端幾號來唯一標識某臺IP主機， 后作 反向的修改把IP地址改為內(nèi)部局部地是一對多的關(guān)系。址10.1.1. 1并且把數(shù)據(jù)包發(fā)送給10.1.1.1。2.3 NAT技術(shù)的實現(xiàn)原理(6)主機10. 1.1.1接收到數(shù)據(jù)包然后繼2.3.1靜態(tài)地址轉(zhuǎn)換和動態(tài)地址轉(zhuǎn)換續(xù)進行會話。 路由器對每一個數(shù)據(jù)包都從的實現(xiàn)原理(見圖1)(1)主機10.1.1.1想打開一個連接到主2.3.2端口復用地址轉(zhuǎn)換的實現(xiàn)原理LB.(2)路由器接收到從主機10.1.1.1發(fā)來(見圖2)(1)主機10.1.1. 1想打開一個連接到主的第一個數(shù)據(jù)包。并檢在它自己的NAT映機B.射表。如果使用是靜態(tài)的方式,路由器直接(2)路由器接收到從主機1中國煤化工跳到第3步。如果使用的足動態(tài)的方式，路的第一個數(shù)據(jù)包，并檢食它自由器需要動態(tài)的從內(nèi)部全局地址池中選擇射表。如果路由器NAT映射條:0HCNMHG一個內(nèi)部全局地址.井建匯他們之間的映要從內(nèi)部全局地址池中選擇一個內(nèi)部全麗射關(guān)系。地址,并建匯他們之間的映射關(guān)系。如果復科技資訊SCIENCE & TECHNOLOOY IN-OHMAIION23