基于端口映射NAT網絡方案分析與實施

張波　萬麗

摘 要：當前信息網絡飛速發展，網絡地址轉換（NAT，Network Address Translation）在計算機網絡中的作用非常重要。NAT技術的應用，能夠有助于減緩可用IP地址空間嚴重不足的問題。本文針對某一局域網連接到Internet的案例，論述了當前應用較多的基于端口映射的PAT技術，分析了當ISP分配的公用IP地址池和路由器的廣域網口IP不在同一網段的情況下，NAT的配置方式。實現了讓內部網用戶通過PAT轉換為公用IP地址，訪問Internet。

關鍵詞：NAT；PAT；網絡；路由器

中圖分類號：TP393 文獻標識碼：A

1 引言（Introduction）

當前，我們進入信息時代，計算機網絡飛速發展，對IP地址的需要也就越來越緊缺。根據調查統計，目前，我國的網民數量達到6.5億，而我國擁有的IP地址數量只有幾千萬個。于是，產生了NAT技術，大量的上網用戶都是通過局域網接入到Internet，局域網內部使用內部IP地址，出去訪問的時候使用公用IP地址。

NAT技術即將局域網私有IP轉換為可以上Internet的公網IP。私有IP地址是指內部網絡或主機的IP地址，公有IP地址是指在Internet上全球唯一的IP地址。私有IP地址塊是任何局域網內部都可以使用的，但其身份不能出去訪問，包括三個部分[1]，如下：

A類：10.0.0.0～10.255.255.255

B類：172.16.0.0～172.31.255.255

C類：192.168.0.0～192.168.255.255

上述三個范圍內的地址在Internet上沒有身份，只能在局域網內部使用，不同的局域網可以使用相同網段的內部IP地址，因為它們相互之間不沖突。

2 NAT的定義（The definition of NAT）

NAT（Network Address Translation，網絡地址轉換）是1994年提出的。當在局域網內部的一些主機本來已經分配到了私有IP地址（即僅在本專用網內使用的專用地址），但現在又想和因特網上的主機通信（并不需要加密）時，可使用NAT方法[2]。

這種方法需要在局域網連接到Internet的出口路由器上，啟用NAT功能。啟用NAT功能的路由器我們稱之為NAT路由器，它至少有一個有效的公用全球IP地址，也可以向所在的ISP申請多個公用IP地址[3]。這樣，當任何一個局域網用戶需要訪問Internet的時候，數據包首先發到局域網出口的NAT路由器。然后，NAT路由器將其內部地址轉換成公用IP地址，才能和Internet通信。所以，NAT即將私有IP和公用IP進行映射的一種方法。

3 NAT的分類和分析（The classification and analysis

of NAT）

NAT技術可以分為三類，分別是靜態轉換Static Nat、動態轉換Dynamic Nat和端口多路復用OverLoad[4]。

靜態NAT是指將局域網的某個特定的私有IP地址映射為某個特定的公有IP地址。IP地址的映射是一對一的，而且是固定匹配的。某個私有IP地址只轉換為某個公有IP地址。靜態NAT技術，通常使用在局域網中的某個服務器需要對外發布服務，例如局域網的WEB服務器等。

動態轉換NAT是指將局域網的私有IP地址轉換為公用IP地址時，IP地址是不確定的，是隨機的。即局域網的任意一個內部主機出去訪問Internet時，隨機被轉換為某一個公網地址池的地址。通常，需要定義內部IP地址的范圍和外部IP地址的地址池，就可以進行動態NAT轉換。動態轉換可以使用多個合法全局地址集。當ISP提供的合法IP地址略少于網絡內部的計算機數量時。可以采用動態轉換的方式。

端口多路復用（Port Address Translation，PAT）是指改變外出數據包的源端口并進行端口轉換，即端口地址轉換。采用端口多路復用NAT，可以最大限度地節約IP地址資源，幾百個內部IP可以共用一個外部地址出去訪問Internet[5]。

端口地址轉換NAT，使用了端口映射轉換，可以隱藏局域網內部的所有主機，讓Internet的用戶看不到內部網絡。這樣，可以有效避免來自internet的攻擊。因此，目前網絡中應用最多的就是端口多路復用方式[6]。該方式不僅能解決了lP地址不足的問題，而且還能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。

4 NAT方案規劃和實現（Planning and

Implementation of NAT Program）

4.1 方案建設原則

本項目以多NAT技術為核心，解決局域網內部各個主機訪問外網的問題；應用NAT保護內網的安全性，解決隱藏內部主機暴露在Internet的問題；以路由器環回口代表一個網段，解決路由器的出口IP地址和申請到的ISP地址不在同一個網段的問題，有效提升NAT轉換地址的能力。

4.2 方案的總體規劃

本系統分為內部網和外網，R1為內部網的出口路由器，R2為ISP的路由器，他們之間廣域網線路所在的網段為201.1.1.0/24。R1和R2之間運行OSPF協議，工作在area0區域，要求內部網的主機對外網是隱藏的。內部網的IP網段是192.168.1.0，外網服務器的IP是210.1.1.2，內部網出口路由器R1向ISP申請的公網IP地址是198.26.112.1—198.26.112.10/24，NAT使用類型為端口多路復用。最后，讓內部網的主機可以通過NAT訪問外網的服務器Server0，外網的用戶不能訪問內部網主機。

整個系統的拓撲圖如圖1所示。

圖1 系統拓撲圖

Fig.1 System topology

4.3 方案的實現

（1）先配置各個接口IP地址。

如圖2所示，配置R1的IP地址，這里注意R1除了配置局域網口和廣域網口的IP，還需要配置一個環回口loopback0，將其IP設置為申請的ISP公用地址網段198.26.112.1/24。R2的接口IP配置和R1類似，配置局域網口和廣域網口IP。

圖2 配置接口的IP

Fig.2 Configuration interface IP

（2）配置OSPF協議。

在R1上啟用OSPF協議，注意在使用network命令通告網段的時候，不需要通告192.168.1.0，因為將內部網段對外隱藏。具體配置如圖3所示。

圖3 OSPF協議配置

Fig.3 OSPF protocol configuration

（3）PAT的配置。

PAT的配置可以讓內部網的多臺主機共用一個外部全局IP訪問Internet。先設置公用IP地址池，再設置內部IP地址訪問列表，再設置他們的映射關系，最后設置NAT的出口類型。具體配置如圖4所示。

圖4 PAT配置

Fig.4 The PAT configuration

（4）系統測試結果。

最后，設置內部網PC機的IP地址為192.168.1.1默認網關為192.168.1.254。打開PC機的DOS窗口，使用ping命令測試內部網到外網的連通性，發出四個數據包，收到四個數據包，數據通信正常，如圖5所示。表明內部網主機出去訪問Internet時，轉換了公用地址池的IP地址。如圖6所示，運行PAT功能的路由器的地址映射表。

圖5 ping測試結果

Fig.5 The ping test results

圖6 地址映射表

Fig.6 Address mapping table

5 結論（Conclusion）

系統主要集成了基于端口映射的NAT技術、環回口代表地址池技術、路由協議隱藏內部網段技術。NAT技術分類較多，本文重點論述了應用較多的PAT技術，并且討論了當ISP分配的公用IP地址池和路由器的廣域網口IP不在同一網段的情況下，應該如何處理。最后，系統成功讓內部網用戶通過PAT轉換為公用IP地址池的地址，訪問Internet。

參考文獻（References）

[1] 袁希群.使用NAT技術實現網絡地址轉換[J].電腦知識與技術：學術交流，2012，（2）：790-793.

[2] 陳顯亭，賈曉飛.網絡出口轉換技術研究[J].電子科技，2010，（12）：73-75.

[3] 任浩，王勁林，魯逸峰.UPnP和STUN相結合的NAT穿越技術研究[J].計算機工程與應用，2009，（2）：98-100.

[4] 羅瑞紅，申海軍.利用CISCO PT軟件模擬計算機網絡中DHCP、NAT的應用[J].軟件導刊，2012，（12）：150-152.

[5] 梁偉.訪問互聯網NAT配置項目綜合實訓[J].電子世界，2013，（10）：150-153.

[6] 于坤，陳曉兵.面向P2P網絡應用的NAT穿透機制研究[J].軟件，2013，（09）：115-117.

作者簡介：

張 波（1977-），男，學士，一級教師.研究領域：計算機網絡通訊和計算機學科教學.

萬 麗（1977-），女，學士，一級教師.研究領域：計算機網絡管理和計算機學科教學.