科技資訊SCINC & ItoANO oov NFOMATION信息技術(shù)論NAT技術(shù)分類(lèi)與技術(shù)實(shí)現(xiàn)胡曉燕(南通大學(xué)江蘇南通 226019)摘要:本文詳細(xì)介紹了 NAT技術(shù)的分奏,并通過(guò)圈表說(shuō)明NAT技術(shù)實(shí)現(xiàn)的具體過(guò)程。通過(guò)- -個(gè)具體的實(shí)例,介紹了在Cisco路由器上是如關(guān)鍵詞:NAT技術(shù)內(nèi)聯(lián)網(wǎng)中圖分類(lèi)號(hào):TP393.03文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1672-3791(2008)2()-0022-021 Interne. Intranet與NAT技術(shù)靜態(tài)地址轉(zhuǎn)換是最簡(jiǎn)單的一種轉(zhuǎn)換方式,它在本 地和全局地址之間建立一個(gè)動(dòng)隨著Internet網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,應(yīng)式,它在NAT表中為本地地址和全局地址態(tài)的映射,這時(shí)必須建立-一個(gè)全局地址池，用系統(tǒng)越來(lái)越豐富.網(wǎng)絡(luò)用戶(hù)越來(lái)越普及，之間建立一個(gè)固定的一對(duì)一的映射。這種由路由器從全局地址池中選擇-一個(gè)未使 用Internet的各種技術(shù)正在迅猛發(fā)展,越來(lái)越方式主要 用于內(nèi)聯(lián)網(wǎng)中建立的各種服務(wù)的地址對(duì)本 地地址進(jìn)行轉(zhuǎn)換。每個(gè)轉(zhuǎn)換條多的企業(yè)已經(jīng)意識(shí)到Internet是一種全球器 ，以確保外部主機(jī)對(duì)服務(wù)器的正確訪(fǎng)問(wèn)。目在連接建立時(shí)動(dòng)態(tài)建立,而在連接終止商用信息交換的有效手段。Internet的發(fā)展如果使用動(dòng)地址轉(zhuǎn)換，那么內(nèi)部服務(wù)器對(duì)時(shí)被回收.這樣,網(wǎng)絡(luò)的靈話(huà)性增強(qiáng),所需不但為企業(yè)網(wǎng)絡(luò)提供了全球信息交換和信外映射的合 法地址會(huì)動(dòng)態(tài)的改變,導(dǎo)致外要的全局地址減少。必須注意的是:當(dāng)全局息發(fā)布的能力，而且Internet的技術(shù)以其開(kāi)部 主機(jī)無(wú)法正確訪(fǎng)間。地址池全部被占用以后,以后的地址轉(zhuǎn)換放性. .標(biāo)準(zhǔn)性.成熟性和實(shí)用性為企業(yè)網(wǎng)絡(luò)2.2. 2動(dòng)態(tài)地址轉(zhuǎn)換申請(qǐng)將被拒絕，這樣會(huì)造成網(wǎng)絡(luò)連通性的的建設(shè).應(yīng)用開(kāi)發(fā)、管理和維護(hù)等帶來(lái)了很動(dòng)態(tài)地址轉(zhuǎn)換是較靈活的一種轉(zhuǎn)換方問(wèn)題,所以應(yīng)使用超時(shí)操作選項(xiàng)來(lái)回收全好的借鑒.給傳統(tǒng)的企業(yè)MIS(ManagementInformation Systems)的網(wǎng)絡(luò) 和應(yīng)用模型帶內(nèi)部網(wǎng)外部網(wǎng).CDA7來(lái)巨大的沖擊。于是,將Internet的技術(shù)模式210.29.7.SA和成熟技術(shù)應(yīng)用到企業(yè)網(wǎng)絡(luò)環(huán)境中就形成10.1.1210.1.1.1 .210.29.721了所謂的“Intranet"的概念。Intranet是指采用Internet技術(shù)建立的主機(jī)B .企業(yè)內(nèi)部專(zhuān)用網(wǎng)絡(luò)。它以TCP/IP協(xié)議作210.29.64.9為基礎(chǔ),以Web為核心應(yīng)用,構(gòu)成統(tǒng)- -和便利的信息交換平臺(tái)。Intranet可提供Web出版.交互、目錄.電于郵件.安全性、廣域10.1.1.1互連.文件管理、打印和網(wǎng)絡(luò)管理等多種服務(wù).Intranet是在Intermet長(zhǎng)期發(fā)展的基礎(chǔ)上采用其成熟技術(shù)而發(fā)展起來(lái)的。由于.Internet的技術(shù)已被廣泛使用,并得到多方內(nèi)郵接口2外部接口的驗(yàn)證及認(rèn)可,而且Internet擁有一批雄厚的技術(shù)力最作為其技術(shù)發(fā)展支持，因此在NAT映射表Internet基礎(chǔ)上形成與發(fā)展的Intranet具有內(nèi)部局部地址|內(nèi)部全局地址成熟，穩(wěn)定,并且風(fēng)險(xiǎn)小的特點(diǎn)。由于Intranet使用的是TCP/IP協(xié)議,在Intranet210.29.72.1內(nèi)部的每臺(tái)主機(jī)都應(yīng)有一個(gè)IP地址.鑒于10.1.1.2210.29.72.2 」目前IP地址的緊缺,大多數(shù)的Intranet網(wǎng)絡(luò)使用的都尼內(nèi)部私有地址。這給Intranet接SA:源地址(source adrese) DA:H 標(biāo)地hldesination aerss)入Internet帶來(lái)了不便，為解決這一-問(wèn)題,有圖1多種解決方案.代理服務(wù)器就可以完成這-功能,然而代理服務(wù)器的工作決定了它的網(wǎng)絡(luò)帶寬利用半不高。NAT(Network0外部網(wǎng)廠DA210.29.72.Address Translation)技 術(shù)則是一個(gè)很好的DA210.29.72選擇。10.1..上Internet機(jī)B2 NAT技術(shù)的分類(lèi)及其實(shí)現(xiàn)原理之2.1NAT技術(shù)的基本原理簡(jiǎn)單的說(shuō),NAT的功能就是在內(nèi)部網(wǎng)絡(luò)的私有地址:需要與外部通信時(shí)，把內(nèi)部1.1.1.1私有地址轉(zhuǎn)換成合法的全局IP地址.NAT主機(jī)C .可以在兩個(gè)方向上隱藏地址,為了支持這21029.68.1種方案,NAT在兩個(gè)方向上都要翻譯原地MT映射表址和目的地址。目前NAT的功能通常被集成到路由器.防火墻等設(shè)備中。NAT設(shè)備維協(xié)議內(nèi)部局部地址: 端U卡中國(guó)煤化工局地址:端口號(hào)護(hù)一個(gè)NAT映射表,用它來(lái)實(shí)現(xiàn)全局到本TCP 10.1.1.1; 1732CNMHG64.9,23地和本地到全局的地址轉(zhuǎn)換。fH2.2 NAT技術(shù)的分類(lèi)TCP10.1.1.2: 10211210.29.72.1: 1024l 210.29.68.1: 232.2. 1靜態(tài)地址轉(zhuǎn)換22科技資訊 SCIENCE & TECHNOLOOY INFORMATIONSCtENCL & ItONO ov N SHWATID科技資訊信息技術(shù)表1用(overloading)功能足打開(kāi)的.并且已經(jīng)存任務(wù)命令在一個(gè)活動(dòng)的映射條目.那么路由器將復(fù).I進(jìn)入接口命令模式interface type number用這個(gè)全局的地址并且記錄下足夠多的信[定義此接| 1為內(nèi)部接1ip nal inside息好把地址從新映射間去。進(jìn)入接1侖令模式(3)路由器通過(guò)NAT映射關(guān)系表中的條[定義此接11為外部接口ip nat outside目把內(nèi)郫局部地址10.1.1.1替換成內(nèi)部會(huì)| 在內(nèi)部地址和外部地址之間建以.靜態(tài) ip nat inside source static local-ip局地址,并且發(fā)出這個(gè)數(shù)據(jù)包。(4)末機(jī)B通過(guò)內(nèi)部全局地址210.29.的映射global-ip72. 1接收并網(wǎng)應(yīng)從主機(jī)10.1.1.1發(fā)出的數(shù)據(jù)包表2(5)當(dāng)路由器收到一個(gè)帶有內(nèi)部全局地[任務(wù)| 命令址的數(shù)據(jù)包時(shí)，它使用這個(gè)內(nèi)部全局地址。[ 進(jìn)入接口俞令模式所使用的協(xié)議.端∩號(hào)以及外部地址和端L 定義此按11為內(nèi)部接山ip nat inside口號(hào)作為關(guān)鍵字查找它的NAT映射關(guān)系[ 進(jìn)入接11命令模式表。然后作反向的修改把IP地址改為內(nèi)部[ 定義此按1為外部接1。ip nat inside .局部地址10.1.1.1并且把數(shù)據(jù)包發(fā)送給10.1.1.1。定義“個(gè)地址:池用于進(jìn)行地址轉(zhuǎn)換ip nal pool name start- ip end-ip {nelmask(6)主機(jī)10.1.1.1接收到數(shù)據(jù)包然后繼netmask | prefix- length prefix length}續(xù)進(jìn)行會(huì)話(huà)。路由器對(duì)每一個(gè)數(shù)據(jù)包都從定義個(gè)訪(fǎng)間控制列表，以允許內(nèi)部地址能access-list acess-list-number permit第2步到第5步進(jìn)行處理。夠訪(fǎng)問(wèn)外部source Lsource-wi Idrard]建匯個(gè)動(dòng)態(tài)地址的轉(zhuǎn)換的映射關(guān)系iPnatinsidesource list3 NAT技術(shù)在Cisco路由器上實(shí)現(xiàn)的命令access-list-number pool3.1靜態(tài)地址轉(zhuǎn)換的實(shí)現(xiàn)命令name在Cisco路由器上實(shí)現(xiàn)靜態(tài)地址的轉(zhuǎn)換需要在全局配置模式卜執(zhí)行以下任務(wù)(表1)。表3上南的步驟足進(jìn)行靜態(tài)地址轉(zhuǎn)換必須進(jìn)行了最少配置,還可以進(jìn)行多個(gè)接口的進(jìn)入按1 1命令模式3.2動(dòng)態(tài)地址轉(zhuǎn)換的實(shí)現(xiàn)命令定義此接11為內(nèi)部接11在Cisco路由器上實(shí)現(xiàn)動(dòng)態(tài)地址的轉(zhuǎn)換需進(jìn)入接11命令模式 .interface Lype number要在全局配置模式下執(zhí)行以下低務(wù)(表2)。定義此接口為外部接口ip nat inside .3.3端口復(fù)用地址轉(zhuǎn)換的實(shí)現(xiàn)命令定義個(gè)地址池用于進(jìn)行地址轉(zhuǎn)換ip nat pool name start-ip end-ip {netmask在Cisco路由器上實(shí)現(xiàn)端n地址的轉(zhuǎn)換喬netmask I prefix- length prefix-length)要在全局配置模式下執(zhí)行以下任務(wù)(表3)。定義個(gè)訪(fǎng)問(wèn)控制列衣，以允許內(nèi)部地址能access list acess-list -number permisource Lsource-wi ldcard]參考文獻(xiàn)建爾個(gè)端1 1地址的轉(zhuǎn)換的映射火系ipsource[{1] George C .Sackett著.前導(dǎo)工作室譯.Cisco路由器手冊(cè)[M].機(jī)械工作出版社，access-I ist - number pool name over load2000.[2] 謝維平主編，干磊,沈洲編著. Cisco局地址池中的地址。對(duì)于只向外訪(fǎng)向而不CCNA認(rèn)證號(hào)試輔導(dǎo)[M].人民郵電出版允許外部網(wǎng)絡(luò)訪(fǎng)問(wèn)的內(nèi)部主機(jī),就采用動(dòng)目 把內(nèi)部局部地址10.1.1.1棧換成內(nèi)部全社,2002.態(tài)地址轉(zhuǎn)換。局地址，并且發(fā)出這個(gè)數(shù)據(jù)包。2.2.3端口復(fù)用地址轉(zhuǎn)換(4)主機(jī)B通過(guò)內(nèi)部全局地址210.29.72.端U復(fù)用地址轉(zhuǎn)換(PAT或NAPT或地1接收 并問(wèn)應(yīng)從主機(jī)L10.1.1.1發(fā)出的數(shù)據(jù)包。址超載)首先是動(dòng)態(tài)地址轉(zhuǎn)換,是根據(jù)端口號(hào)和地址進(jìn)行映射轉(zhuǎn)換,允許多個(gè)局部地址的數(shù)據(jù)包時(shí),它使用這個(gè)內(nèi)部全局地址址同時(shí)共用一個(gè)余局地址,路由器會(huì)利用作 為關(guān)鍵字查找它的NAT映射關(guān)系表。然TCP或UDP端幾號(hào)來(lái)唯一標(biāo)識(shí)某臺(tái)IP主機(jī)， 后作 反向的修改把IP地址改為內(nèi)部局部地是一對(duì)多的關(guān)系。址10.1.1. 1并且把數(shù)據(jù)包發(fā)送給10.1.1.1。2.3 NAT技術(shù)的實(shí)現(xiàn)原理(6)主機(jī)10. 1.1.1接收到數(shù)據(jù)包然后繼2.3.1靜態(tài)地址轉(zhuǎn)換和動(dòng)態(tài)地址轉(zhuǎn)換續(xù)進(jìn)行會(huì)話(huà)。 路由器對(duì)每一個(gè)數(shù)據(jù)包都從的實(shí)現(xiàn)原理(見(jiàn)圖1)(1)主機(jī)10.1.1.1想打開(kāi)一個(gè)連接到主2.3.2端口復(fù)用地址轉(zhuǎn)換的實(shí)現(xiàn)原理LB.(2)路由器接收到從主機(jī)10.1.1.1發(fā)來(lái)(見(jiàn)圖2)(1)主機(jī)10.1.1. 1想打開(kāi)一個(gè)連接到主的第一個(gè)數(shù)據(jù)包。并檢在它自己的NAT映機(jī)B.射表。如果使用是靜態(tài)的方式,路由器直接(2)路由器接收到從主機(jī)1中國(guó)煤化工跳到第3步。如果使用的足動(dòng)態(tài)的方式，路的第一個(gè)數(shù)據(jù)包，并檢食它自由器需要?jiǎng)討B(tài)的從內(nèi)部全局地址池中選擇射表。如果路由器NAT映射條:0HCNMHG一個(gè)內(nèi)部全局地址.井建匯他們之間的映要從內(nèi)部全局地址池中選擇一個(gè)內(nèi)部全麗射關(guān)系。地址,并建匯他們之間的映射關(guān)系。如果復(fù)科技資訊SCIENCE & TECHNOLOOY IN-OHMAIION23