实施NAT前必须的理论

第九章实施网络管理与应用功能任务9.3配置思科设备的网络地址翻译（NAT）功能

现在全世界的IPv4地址已经被宣布彻底耗尽，所以为全世界的计算机都分配一个被公共网络认可的IP地址，这将是不可能的事情！所以RFC1918定义了一个属于私有地址的空间供给企业或者家庭内部网络使用，目的在于缓解IPv4地址资源紧张的问题。被RFC1918定义的私有IP地址如下所示，它们对于Internet而言，是无效的IP地址，此时就提出了一些关于网络访问的问题，比如：既然RFC1918所定义的IP地址是私有专用IP地址，公共网络不会认可这些IP地址，那么，使用私有专用IP地址的计算机如何访问Internet？企业内部使用了私有专用地址来架设服务器，如果这些服务器需要被公共网络（Internet）上的主机访问怎么办？RFC1918所定义的私有网络专用IP地址的范围A类私有IP地址：～55B类私有IP地址：～55C类私有IP地址：～55任务9.3理解NAT的定义NAT是NetworkAddressTranslation（网络地址转换）的缩写，它的主要功能是将IP报头中的一个私有网络IP地址转换为另一个被公共网络认可的IP地址。NAT能够成功地解决私有网络访问公共网络的功能，通常在这种情况下是将多个企业内部的私有网络专用地址转换为企业出口网关的一个公共IP地址来访问Internet，这种解决方案通过使用少量的公有IP地址代表较多的私有网络专用IP地址的方式，来缓解可用的IP地址空间的枯竭。同时可以提高企业内部的安全性，因为内部私有专用地址对外是透明的。NAT的形式大概被分为三种典型的应用，即静态NAT、动态NAT、PAT。任务9.3.1理解并取证：网络地址翻译（NAT）——静态NAT的工作原理

静态NAT，通常私有IP地址与公共IP地址成一对一的关系，如果结合端口使用，也可以形成一个IP地址对应多个IP地址的形式，通常应用在企业内部有某台服务器需要提供给Internet的用户访问的情况下，具体如图9.62所示，私有IP地址与公共IP地址成一对一的关系。事实上，在这种环境中，并没有达到节约IP地址的目的，只是对外隐藏了真实的私有专用IP地址，满足了Internet用户访问内部服务器的可能，从某种程度上提高了安全性。还有一种方案是使用一对多关系的静态映射，这种解决方案可以达到节约IP地址的目的，但是必须结合TCP套接字一起使用，TCP套接字是一种IP地址加端口号来识别会话的方法，具体如图9.63所示。下面分别来描述这两种静态NAT的工作原理。任务9.3.1理解一对一关系的静态NAT如图9.62所示，企业需要将私有网络中的Web服务器（00）和FTP服务器（00）提供给公共网络部分的00访问，由于两台服务器使用的是私有专用IP地址，它们对于公共网络无效，所以现在需要使用静态NAT将服务器的私有专用IP地址映射成公共IP地址，以方便公共网络上的主机访问。将00与00形成一对一的映射关系；00与00也做相同的映射；公共主机00访问00时，就是在访问00的Web服务器；访问00时，就是在访问00的FTP服务器。在这种情况下每个私有地址对应一个公共IP地址，所以不需要对端口做任可映射，可简化客户端的访问方式；缺点就是没有达到节约IP地址的目的。关于一对一关系的静态NAT的具体配置，请参看9.3.7节“演示：使用静态NAT配置内部网络服务器提供对外服务能力”。图9.62“一对一”的静态NAT任务9.3.1理解一对多关系的静态NAT一对多关系的静态NAT就是将多个私有网络专用地址映射成一个公共IP地址，来实现公共网络上的主机访问私有网络中的服务器。实现这种映射关系最大的问题就是多个私有专用IP地址映射成一个公共IP地址，当外部主机访问这个公共IP地址时，如何识别是发送到哪台私有专用IP地址服务器的会话？这必须依赖于TCP套接字来确定，TCP套接字是一种IP地址加上端口号来识别会话的方法。比如：在如图9.63所示的环境中，将私有网络上的Web服务器（00）的80号端口通过静态NAT映射到公共地址00的8000号端口，将FTP服务器（00）的21号端口通过静态NAT映射到公共地址00的2001号端口，虽然两个私有IP地址都映射到同一个公共IP地址，但是两个服务分别使用同一个IP的不同端口号，这样，当公共网络上的主机00访问00的8000号端口时，就是访问私有网络上的Web服务器；当访问00的2001号端口时，就是访问私有网络上的FTP服务器，这样做可以达到节约IP地址的目的，但是会增加客户端的访问难度，至少客户端在访问时需要声明端口号。关于一对多关系的静态NAT如何使用TCP套接字来完成访问，可以参看9.3.7节“演示：使用静态NAT配置内部网络服务器提供对外服务能力”。图9.63“一对多结合端口”的静态NAT任务9.3.2理解并取证：网络地址翻译（NAT）——动态NAT的工作原理

动态NAT需要在NAT路由器上定义一个公共网络的地址池，如图9.64所示，有一个被定义的公共IP地址池分别是00～02；当私有网络上的主机～要访问公共网络上的主机00时，NAT会动态地将每个私有网络专用IP地址转换成公共IP地址池中的IP地址，然后去访问公共网络上的主机00。比如：将被翻译成00；将被翻译成01；将被翻译成02；这种动态的NAT翻译，私有IP地址与公共IP地址成一对一的关系，事实上，并没有达到节约IP地址的目的，但是它对于大型网络合并后产生的重叠地址冲突是一种很好的解决方案。注意：动态NAT定义的公共地址池中IP地址的数量，应该和私有网络专用地址的数量相同，如果公共地址池中IP地址的数量少于私有网络专用地址的数量，那么多余的私有网络专用地址将无法访问公共网络，因为公共地址池中的IP地址与私有专用IP地址的数量成一对一关系。如何配置动态NAT，可以参看9.3.6节“演示：动态NAT完成网络地址翻译”。图9.64动态NAT的工作原理示意图任务9.3.3理解并取证：网络地址翻译（NAT）——PAT的工作原理PAT（PortAddressTranslation，端口地址转换）属于NAT的一种，严格地讲，它属于动态NAT的一种类型，它产生的目的是在大量使用私有网络专用地址的企业网络中代理这些主机访问公共网络，比如访问Internet。PAT的最大优势就是将企业网络内部使用的全部私有网络专用地址转换成一个公共IP地址，通常是NAT路由器外部接口的IP地址，然后代理它们去访问Internet，这样可以最大限度地节省访问Internet的地址成本，因为在使用PAT时整个企业访问公共网络只需要一个公共IP地址。但是现在最大的问题是：当发生众多私有网络主机同时访问Internet时，NAT路由器如何识别不同的会话？任务9.3.3现在以两台使用私有网络专用IP地址的主机使用PAT访问Internet的情况为例，理解PAT的工作原理，以及如何识别同一时刻众多主机产生的不同会话。如图9.65所示，当私有网络主机00需要访问00这台公共网络上的主机的Web服务时，首先在00这台主机上会产生一个源IP地址是00、源端口是1051（通常随机生成），目标IP地址是00、目标端口是80的IP报文，当该报文送达NAT路由器后，NAT路由器将把原始报文中的源IP地址转换成自己的NAT外部接口上的IP地址（当然，也可以自己定义另一个可供使用的公共IP地址），同时将原始报文中的源端口1051转换成另一个源端口1053；并且NAT路由器会记录这样的一个转换过程，方便会话返回时，可以在众多的会话中识别出哪一个具体的会话属于某台具体的私有网络主机。因为在私有网络专用主机00发起对公共网络访问的同时，可能还有其他的私有网络专用主机00同时发起对公共网络的会话，而PAT的翻译过程会将00和00的私有主机IP地址都翻译成，那么，当会话从公共网络上返回时，NAT路由器怎么知道哪个会话是00的，哪个会话又是00的？当翻译了端口后，就使用了不同的TCP套接字，如图9.65所示，+1053就是00的会话，该会话会被返回给私有主机A；+1054就是00的会话，该会话会被返回给私有主机B。关于PAT的配置，可以参看9.3.5节“演示：NAT-PAT代理内部网络访问Internet”。 注意：在使用PAT的过程中，目标IP地址和目标端口号在通信的过程中将一直保持不变，永远不被翻译，PAT翻译的始终是源IP地址和源端口号！图9.65动态PAT的工作原理示意图任务9.3.4理解NAT的地址类型

要成功地理解NAT，就必须理解NAT在翻译过程中所使用到的地址类型：内部本地地址、内部全局地址、外部本地地址、外部全局地址。内部本地地址：通常属于内部网络中分配给主机的某个私有专用IP地址，这个地址永远不会被宣告到公共网络上。内部全局地址：一个被公共网络认可的合法IP地址，简单地说，就是内部私有网络上的主机被执行NAT翻译后，能够被公共网络所理解的地址，比如：在执行PAT翻译过程中，NAT路由器的外部接口IP地址。外部本地地址：NAT设备的外部访问内部时使用的地址，简单地——就是外部主机在内部网络中表现出来的IP地址，该地址通常以私有网络专用地址体现。出于某种特殊的应用,外部主机需要访问内部主机，但是网络管理员不想让外部主机进入内部网络时，使用公共网络的IP地址，要求使用管理员订制的内部IP地址。比如：进入内部网络时，管理员希望主机以0存在于内部网络上，此时0就是外部本地地址。外部全局地址：一个公共网络主机的IP地址，该地址被分配给NAT的外部网络，它永远不会被宣告给NAT的内部网络。

注意：估计只根据上述的文字描述来理解NAT的4种地址类型是困难的，或者说有点模糊（这纯属正常），所以现在将NAT的4种地址类型融入在4个案例中来理解它们！

任务9.3.4使用案例来分析上述4种地址类型发生的情况案例一：当内部私有专用网络上的主机00要求被动态NAT或者PAT翻译成公共IP地址去访问公共网络的时，如图9.66所示，NAT路由器上的各种地址类型示意如表9.1所示。图9.66案例一识别NAT地址类型内部本地地址内部全局地址外部本地地址外部全局地址00表9.1案例一环境中的各种NAT地址类型示意表任务9.3.4案例二：当公共网络上的主机需要访问内部网络上的某台服务器，如00时，如图9.67所示，此时，00这台服务器被静态NAT映射成公共IP地址00，当主机访问00时，NAT会把00的地址翻译成00，这样主机就能成功地访问00。在这种情况下，关于NAT地址类型示意如表9.2所示。图9.67案例二识别NAT地址类型内部本地地址内部全局地址外部本地地址外部全局地址0000表9.2案例二环境中的各种NAT地址类型示意表注意：在上述两个案例中，外部本地地址与外部全局地址始终一样，都是处于公共网络上的主机。任务9.3.4案例三：当外部网络访问内部网络时，如图9.68所示，主机需要访问内部网络的服务器00，网络管理员希望它使用原始地址进行访问，希望它进入内部网络后，被NAT翻译成0这个私有网络专用地址来访问00这台主机，