NAT技術及其應用分析

李秀峰

摘 ? 要：網絡的快速發展給人們的生活帶來了諸多便利，但是由于接入設備的數量大幅上升，給本來就捉襟見肘的IP地址存量帶來沖擊。現存IPv4版本的地址數量已經接近告罄，雖然新一代的IPv6已在試驗運行，但其普及還需要較長的一段時間。為了解決版本更替期間IPv4地址數量不足的問題，引入了NAT技術。文章介紹了3種類型NAT技術，闡述了其工作原理和應用，最后分析了不同NAT技術的優缺點及產生的一些問題。

關鍵詞：網絡地址轉換技術;網絡地址;網絡安全

1 ? ?網絡地址轉換技術簡要介紹

現如今，世界已經步入了信息技術高速發展的時代，例如5G網絡的商用，使得更多的電子設備（如Pad、手機及其他移動終端等）可以接入網絡。這一爆發式的網絡發展導致IP地址越發緊缺，互聯網通信協議第4版（Internet Protocol Version 4，IPv4）的地址面臨被全部分發完畢的風險[1]。為了解決這一難題，引入了網絡地址轉換技術（Network Address Translation，NAT），可以在很大程度上緩解地址數量不足的問題，其工作方式是：將某個子網中的一個或多個IP地址從一個網絡轉變為另一個不同的網絡，為的是變換網絡身份的同時，變相增加可用地址數量。這樣做的好處在于：

（1）將一些公網IP留出來供私有網絡重復使用，因為并不是每個用戶都是時刻在線的狀態，所以多個用戶可以采用輪換的方式用同一個地址在不同的時間段對外訪問。

（2）允許一個單位或部門的所有主機以同一個IP地址的身份同時對外訪問，各主機之間沒有沖突，不受時間限制。

可以看出，這樣的工作機制使得內網地址以另一種公開身份被外界認知，從而外部網絡無法直接訪問內部網絡。在解決IP地址數量不足的同時，提高了網絡的安全性，降低了真實內部主機被攻擊的風險。

1.1 ?基本原理

NAT可以將一個機構或部門以一個或多個公有IP地址的身份在互聯網上活動[2]。與外部互聯時，將局域網內設備節點的地址轉換成一個可以在互聯網上被承認的公網IP;反之亦然。同時，可以結合防火墻技術，把一些重要的內網地址隱藏起來，如：數據庫服務器地址、文件服務器地址，使內網和外網隔離，從而保障內網安全。另外，它可以通過配置，合理安排整個園區網絡的IP地址設置，使得私有地址充分發揮自己的作用，各部門之間分割清晰，對外又統一分配IP。下面介紹NAT技術使用到的4種IP類型：

（1）內部局部地址，可以由管理員手動配置，也可以由DHCP服務器分配給客戶機，主要由私網地址構成。

（2）內部全局地址，由園區網絡中心或網絡運營商分配的公網IP地址，是對應到外部網絡的一個或多個合法IP地址，主要用于在互聯網上識別發送端身份。

（3）外部局部地址，目的端內網主機地址，與第一類地址相似，大部分由局域網內的私網地址構成，可以由目的端內網DHCP設備分配或手工配置。

（4）外部全局地址：目的端主機的公網IP地址，由ISP進行分配。

例如，在某個集團公司中，有A，B兩個分公司，分別向網絡運營商申請了公網IP，假設A的地址為11.11.11.11，B的地址為22.22.22.22，兩公司均在網絡拓撲中使用NAT技術，A的內部網絡為192.168.0.0/24，B的內部網絡為10.0.0.0/24。那么在雙方通信過程中，相對于A來說，A的內部局部地址（網絡）是192.168.0.0/24，內部全局地址便是11.11.11.11，而外部局部地址（網絡）是10.0.0.0/24，而外部全局地址就是22.22.22.22。

1.2 ?工作流程

NAT技術很大程度上緩解了當前IP地址緊缺的狀況，同時，它將內網和外網進行隔離，無形之中形成一道“防火墻”。具體的工作流程為：當私網內的主機需要訪問公網時，產生的數據包源IP地址會被替換為一個公網地址及相應的端口，同時，產生一個Session;同理，當數據返回時，會將返回數據包中的目標地址改為對應Session中的私網IP[3]。

例如，內網中的主機PCA（假設為：192.168.1.1）需要與外網通信。PCA從7000端口發送請求消息至NAT設備。若經過辨別發現此IP地址在ACL列表中屬于permit范圍內，便會在地址池里剩余的IP中選擇一個可用的公網IP（如198.172.1.1），并從空閑的端口中挑出一個可用端口（如8000端口），建立192.168.1.1：7000和198.172.1.1：8000之間的映射，形成一個Session。當網關返回消息到NAT設備的8000端口時，會將數據包中的目的地址修改為192.168.1.1：5000，最終完成數據通信。若NAT Session沒有形成前，外網主機向地址198.172.1.1：8000發送消息，由于Session中還沒有形成對應的映射關系，此數據包在沒有默認路由的情況下，會被路由器丟棄。

2 ? ?NAT技術的類型

目前，NAT技術分為3種類型：靜態地址轉換、動態地址轉換和端口復用。（1）靜態NAT技術，是一種類似綁定的轉換方式，即將內網需要連接互聯網的每臺主機分別映射為合法的公網IP，形成一種人為指定的一對一關系。（2）動態NAT技術，采用地址池的方式，池中定義了一段連續的公網地址，需要轉換時從中按順序選擇一個未使用的公網IP，形成Session，這是一種多對多的映射關系，由于隨機性較高，這種方法可以起到防御網絡攻擊的作用。（3）端口復用技術，其實是動態NAT中的一種，不同的是，它將所有需要轉換的地址映射到同一個公網IP的不同端口上，使得每個申請地址轉換的主機對外身份看起來都是一樣的，只是在端口號上有所不同。在實際應用中可以根據不同的需要及申請得到的外網IP地址數量，選擇合適的NAT技術類型。

2.1 ?靜態地址轉換

靜態地址轉換是將內部局部地址與內部全局地址形成一對一的映射，在沒有釋放之前，這種關系將一直存在。例如內部網絡中需要為外網提供公共服務的服務器可以采用靜態地址轉換技術，避免被黑客獲取到真實IP而使這些設備受到網絡攻擊[4]。

靜態地址轉換配置步驟（采用Cisco類型設備）：

（1）建立內部局部地址與內部全局地址之間的轉換。在路由設備的全局配置模式下輸入：ip nat inside source static 內部局部地址、內部全局地址。

（2）應用在網絡的內部端口，一般為某個網絡的內部網關。在端口設置模式下輸入：ip nat inside。

（3）應用在網絡的外部端口，在端口設置模式下輸入：ip nat outside。

以上就是靜態NAT的設置，可根據實際需要在多個內部端口和多個外部端口進行應用。

2.2 ?動態NAT

動態NAT和靜態NAT最大的不同之處在于使用了地址池，池中存放了多個可訪問外網或被外網訪問的內部全局地址，在需要網絡連接時自動完成映射。這種動態分配的方法使得多個內部局部地址共享少數幾個公網IP，在建立連接后它們之間依然是一對一的關系，只是這種對應關系不是永久的，隨著每次連接的請求和釋放會發生變化。需要明確的一點是：當地址池中的全部IP地址都被占用后，后續的轉換請求將會失敗。解決這一問題的方法是：可以使用超時釋放功能。如Cisco路由器在當前進程15 min后無流量通過的情況下，自動刪除當前的NAT進程，當前使用的內部全局地址重新收回放入地址池中。

當然，地址池的使用也有一定的不足之處：會妨礙到管理系統跟蹤設備的運行情況。倘若被監管IP在NAT地址池之中，隨著網絡進程的申請和釋放，這些地址對應的內部局部地址是不斷變化的，這就引起了網絡管理的不確定性。目前的解決方法是：在網絡管理平臺上把這些地址標記出來，然后對這些地址不進行任何處理。

動態地址轉換基本配置步驟：

（1）在全局配置模式下，配置地址池格式為：ip nat pool 地址池名稱 起始IP地址 終止IP地址 子網掩碼，其中，地址池的名稱可以自行設定。

（2）在全局配置模式下，設置一個標準訪問控制列表，列出所有可以被轉換的內部局部地址。格式為：Access-list 標號permit源地址 通配符掩碼。

（3）在全局配置模式下，將前兩步的設置內容進行綁定，也就是把地址池和ACL列表中的地址進行對接。格式為：ip nat inside source list訪問列表標號pool地址池名稱。

（4）指定需要被應用的內部端口：在端口配置模式下，輸入ip nat inside。

（5）指定需要被應用的外部端口：在端口配置模式下，輸入ip nat outside。

2.3 ?PAT端口復用

端口復用技術也是一種動態NAT技術[5]，不同于前面的是，它將地址池中的所有地址對應到一個公網地址的不同端口上。當多個主機同時使用一個IP地址時，互聯網通過傳輸層的端口號等信息來標識某臺計算機，這樣一來，從ISP處申請一個可用的公網IP就可以通過PAT將多個內網主機接入互聯網，使得傳輸層的信息流看起來仿佛都來源于同一個源地址。這樣做有利也有弊，PAT會引起一定程度的信道擁塞，但可以大大減少上網開支。另外，根據空閑端口的數量限制，PAT可形成64 500個Session連接。

其配置步驟與上文中提到的動態NAT十分相似，只在第1步和第3步有一些區別：第1步中的地址池內，只有一個內部全局地址;第3步中，在全局配置模式下，配置語句改為：ip nat inside source list訪問列表標號pool地址池名稱 overload，其中，關鍵字overload就是端口復用的意思。

3 ? ?結語

NAT基于ISO/OSI 7層模型中的網絡層和傳輸層實現，分為3種類型。由于私網地址的使用不受限制，使其網絡配置更加靈活、方便。不僅很大程度上緩解了IP地址緊缺的問題，提高了網絡安全性。同時，用戶不需要因為更換ISP而對內部網絡重新進行編址，減少網絡了變化引起的代價。NAT技術也存在一些不足：由于路由器需要對每次的地址翻譯進行響應，所以要對每個數據包進行檢查，增大了路由器的工作負荷;此外，由于隱藏了主機的真正標識，增大了對此類主機訪問互聯網跟蹤管理和審計工作的難度。

[參考文獻]

[1]陳杰.IPv6過渡的NAT技術[D].南京：南京郵電大學，2013.

[2]賀抒，梁昔明.NAT技術分析及其在防火墻中的應用[J].信息安全，2004（8）：167-168.

[3]劉昊東.基于P2P網絡中UDP穿透NAT技術的研究[J].計算機與數字工程，2009（12）：112-113.

[4]張永平.VPN網絡中IPSec穿越NAT的研究[J].計算機與應用與軟件，2008（1）：250-251.

[5]姚正.NAT技術原理探究及在校園網上的應用實例[J].網絡通訊及安全，2008（3）：457-458.

Abstract：The rapid development of the network has brought a lot of convenience to peoples life， however， due to the sharp increase in the number of access devices， the already stretched stock of IP addresses has an impact. The number of addresses in the existing IPv4 version is close to running out， and although the new generation of IPv6 is already running on a trial basis， it will take a long time for this version to become popular. In order to solve the problem of insufficient number of IPv4 addresses during version replacement， NAT technology is introduced. This paper introduces three types of NAT technology， expounds their working principle and application， and finally analyzes the advantages and disadvantages of different NAT technologies and some problems arising from them.

Key words：network address translation; network address; network security