论NAT技术分类与技术实现

1、论NAT技术分类与技术实现本文详细介绍了NAT技术的分奏，并通过图表说明NAT技术实现的具体过程。通过一个具体的实例，介绍了在cisco路由器上是如何实现的。     1 Interne、Intranet与NAT技术    随着Internet网络规模的不断扩大，应用系统越来越丰富，网络用户越来越普及，Internet的各种技术正在迅猛发展，越来越多的企业已经意识到Internet是一种全球商用信息交换的有效手段。Internet的发展不但为企业网络提供了全球信息交换和信息发布的能力，而且Internet的技术以其开放性、标准性、成熟

2、性和实用性为企业网络的建设、应用开发、管理和维护等带来了很好的借鉴，给传统的企业MIS(ManagementInfomation Systems)的网络和应用模式带来巨大的冲击。于是，将Internet的技术模式和成熟技术应用到企业网络环境中就形成了所谓的“Intranet”的概念。    Intranet是指采用Intemet技术建立的企业内部专用网络。它以TCP/IP协议作为基础，以Web为核心应用，构成统一和便利的信息交换平台。Intranet可提供Web出版、交互，目录、电于邮件、安全性、广域互连、文件管理、打印和网络管理等多种服务。Intranet是在I

3、ntemet长期发展的基础上采用其成熟技术而发展起来的。由于Internet的技术已被广泛使用，并得到多方的验证及认可，而且Internet拥有一批雄厚的技术力量作为其技术发展支持，因此在Internet基础上形成与发展的Intranet具有成熟、稳定，并且风险小的特点。由于Intranet使用的是TCP/IP协议，在Intranet内部的每台主机都应有一个IP地址。鉴于目前IP地址的紧缺，大多数的Intranet网络使用的都是内部私有地址。这给Intranet接入Intemet带来了不便，为解决这一问题，有多种解决方案。代理服务器就可以完成这一功能，然而代理服务器的工作决定了它的网络带宽利用

4、率不高。NAT(NetworkAddress Translation)技术则是一个很好的选择。    2 NAT技术的分类及其实现原理    21 NAT技术的基本原理    简单的说，NAT的功能就是在内部网络的私有地址需要与外部通信时，把内部私有地址转换成合法的全局IP地址。NAT可以在两个方向上隐藏地址，为了支持这种方案，NAT在两个方向上都要翻译原地址和目的地址。目前NAT的功能通常披集成到路由器、防火墙等设备中。NAT设备维护一个NAT映射表，用它来实现全局到本地和本地到全局的地址转换。

5、0;   22 NAT技术的分类    221静态地址转换    静态地址转换是最简单的一种转换方式，它在NAT表中为本地地址和全局地址之间建立一个固定的一对一的映射。这种方式主要用于内联网中建立的各种服务器，以确保外部主机对服务器的正确访问。如果使用动地址转换，那么内部服务器对外映射的合法地址会动态的改变，导致外部主机无法正确访问。    222动态地址转换    动态地址转换是较灵活的一种转换方式，它在本地和全局地址之间建立一个动态的映射，达时必须建立

6、一个全局地址池，由路由器从全局地址池中选择一个未使用的地址对本地地址进行转换。每个转换条目在连接建立时动态建立，而在连接终止时被回收。这样，网络的灵活性增强，所需要的全局地址减少。必须注意的是：当全局地址池全部被占用以后，以后的地址转换申请将被拒绝，这样会造成网络连通性的问题，所以应使用超时操作选项来回收全局地址池中的地址。对于只向外访问而不允许外部网络访问的内部主机，就采用动态地址转换。    223端口复用地址转换    端u复用地址转换(PAT或NAPT或地址超载)首先是动态地址转换，是根据端口号和地址进行映射转换，允许多个局部

7、地址同时共用一个全局地址，路由器会利用TCP或UDP端口号来唯一标识某台IP主机，是一对多的关系。    23 NAT技术的实现原理    231静态地址转换和动态地址转换的实现原理(见图1)图1 静态地址转换和动态地址转换的实现原理    (1)主机10111想打开一个连接到主机B。    (2)路由器接收到从主机10111发来的第一个数据包。并枪杳它自己的NAT映射表。如果使用是静态的方式，路由器直接跳到第3步。如果使用的足动态的方式，路由器需要动态的从内部伞局地址池中选

8、择一个内部全局地址，并建以他们之间的映射关系。    (3)路由器通过NAT映射关系表中的条目把内部局部地址10111替换成内部全局地址，并且发出这个数据包。    (4)主机B通过内部全局地址21029721接收并叫应从主机10111发出的数据包。    (5)当路由器收到一个带有内部全局地址的数据包时。它使用这个内部全局地址作为关键字查找它的NAT映射关系表。然后作反向的修改把IP地址改为内部局部地址10111并且把数据包发送给10111。    (6)主机10111接收

9、到数据包然后继续进行会话。路由器对每一个数据包都从第2步到第5步进行处理。232端口复用地址转换的实现原理(见图2)图2 端口复用地址转换的实现原理    (1)主机10111想打开一个连接到主机B。    (2)路由器接收到从主机10111发来的第一个数据包，并检查它自己的NAT映射表。如果路由器NAT映射条目为牵，则需要从内部全局地址池中选择一个内部全局地址，并建也他们之间的映射关系。如果复用(overloading)功能是打开的，并且已经存在一个活动的映射条目，那么路由器将复用这个全局的地址并且记录下足够多的信息好把地址从新映射

10、回去。    (3)路由器通过NAT映射关系表中的条目把内部局部地址10111替换成内部全局地址，并且发出这个数据包。    (4)主机B通过内部全局地址21029721接收并同应从主机10111发出的数据包。    (5)当路由器收到一个带有内部全局地址的数据包时，它使用这个内部全局地址、所使用的协议、端几号以及外部地址和端口号作为关键字查找它的NAT映射关系表。然后作反向的修改把IP地址改为内部局部地址10111并且把数据包发送给10111。    (6)主机10111接收到数据包然后继续进行会话。路由器对每一个数据包都从第2步到第5步进行处理。    3 NAT技术在cisco路由器上实现的命令    31静态地址转换的实现命令    在Cisco路由器上实现静态地址的转换需要在全局配置模式下执行以下任务(表1)。上面的步骤足进行静态地址转换必须进行了最少配置，还可以进行多个接口的配置。