《網絡互聯(lián)技術與實踐》第九章

第九章網絡地址轉換（NAT）技術本章學習目標掌握網絡地址轉換概念了解網絡地址轉換產生的背景熟悉網絡地址轉換分類掌握各種類型網絡地址轉換的配置過程9.1網絡地址轉換概述9.1.1概念

網絡地址轉換（NAT，NetworkAddressTranslation）讓那些使用私有地址的內部網絡連接到Internet或其他IP網絡的方式。NAT路由在將內部網絡的數(shù)據(jù)包發(fā)送到公用網絡時，在IP包的報頭把私有地址轉換成合法的公網IP地址。9.1.2IP地址耗盡情況介紹

目前廣泛使用的IP地址為IPv4，它是由32位二進制數(shù)組成，從理論上講，IPv4可分配的IP地址數(shù)達到232即4294967296個，從當時的網絡規(guī)模來看，這么龐大的地址數(shù)量，在短時間內不可能分配完。自從20世紀90年代早期以來，因特網呈現(xiàn)爆炸式的增長，人們對IP地址的需求也極具增長。加上IP地址分配自身的特點，即分配網絡號而不是分配具體的IP地址。這樣導致的結果是：如果不采取措施，IP地址數(shù)量將很快耗盡。

為了解決IPv4地址耗盡帶來的問題，提出了一個長期的解決方案，該解決方案是采用新的尋址格式，即IPv6，IPv6是由128位二進制組成，IPv6地址數(shù)量理論上講是目前使用的IPv4地址數(shù)量的296倍。將全球的IP地址由IPv4升級為IPv6不是一朝一夕就能完成的，需要長期的過渡過程。

為了緩解IPv4地址缺乏問題，目前采用一些措施，如可變長子網掩碼（VLSM）、無類域間路由選擇（CIDR）以及網絡地址轉換技術（NAT）等。9.1.3私有地址

隨著Internet規(guī)模的不斷擴大，對IP地址的需求也極速增長，導致IP地址短缺問題愈來愈嚴重。由因特網工程任務組（IETF）創(chuàng)建的RFC1918是一份用來解決IP地址短缺問題的文檔。該文檔明確，為了滿足不同規(guī)模網絡的需求，在A，B，C類地址中分別拿出一部分地址作為私有地址。私有地址的特點是：⑴不需要申請，不同的單位內部可以重復使用。大大方便了單位內部電腦聯(lián)網問題。

⑵私有地址不可以在Internet網上路由，不可以直接訪問Internet。為了解決配置私有地址聯(lián)網的內部電腦訪問Internet，需要使用網絡地址轉換（NAT）技術，將內部不能訪問Internet的私有地址轉換成可以訪問Internet的公網地址，公網地址可以在Internet上路由，可以訪問Internet網絡。類地址范圍A10.0.0.0-10.255.255.255B172.16.0.0-172.31.255.255C192.168.0.0-192.168.255.255

從表中可以看出，私有地址范圍共有1個A類，16個B類和256個C類。其中A類地址適合超大規(guī)模公司內部使用，B類網絡適合大規(guī)模公司內部使用，C類網絡適合小規(guī)模單位內部使用。當然這只是習慣而已，并不是硬行規(guī)定。也就是說內部私有地址的配置過程中，即使是小規(guī)模的網絡也可以使用A類地址。由于不同的單位可以重復使用這些地址，所以不存在地址浪費問題。

大家在平時接觸到的校園網，企業(yè)網以及網吧等局域網中，看到的地址往往是上表列出的地址范圍，也就是私有地址。大家在不同的單位看到相同的私有地址配置也不足為怪了9.2地址轉換9.2.1概述

由于私有地址不可以在Internet上路由，擁有私有地址電腦向ISP發(fā)送訪問Internet網絡請求時，ISP將會過濾它們。為了解決擁有私有地址電腦訪問Internet網絡的問題，采用網絡地址轉換技術。

標準RFC1631就是為了解決該問題而提出的，它定義一個稱為網絡地址轉換的過程，允許將分組中的IP地址轉換成一個不同的地址。由于公網IP地址才可以在Internet上路由，才可以訪問Internet網絡，因此電腦訪問Internet網絡需要使用公網地址。網絡地址轉換能夠實現(xiàn)將內部的私有地址轉換成公網地址在Internet上路由，從而達到訪問Internet的目的。9.2.2網絡地址轉換類型

常見的網絡地址轉換類型有NAT和PAT，NAT轉換后，將一個內部本地IP地址對應一個內部全局IP地址。PAT轉換后，將多個內部本地地址轉換到內部全局地址的一對多轉換，通過端口號確定其多個內部主機的唯一性。術語類型術語含義Inside需要轉換成公網地址的內部網絡Outside使用公網地址進行通信的外部網絡InsideLocalAddress內部本地地址，內部網絡使用的地址，一般為私有地址InsideGlobalAddress內部全局地址，用來代表內部本地地址，一般為ISP提供的合法地址OutsideLocalAddress外部本地地址Outsideglobaladdress外部全局地址，數(shù)據(jù)在外部網絡使用的地址，是個合法地址常見的NAT和PAT配置各有兩種類型：靜態(tài)NAT和動態(tài)NAT以及靜態(tài)PAT和動態(tài)PAT靜態(tài)NAT和靜態(tài)PAT適用場合為：①存在內部需要向外網絡提供信息服務的主機②內部主機需要永久的一對一IP地址映射關系動態(tài)NAT和動態(tài)PAT適用場合為：①內網電腦只需要訪問外網服務，不需要對外提供信息服務②內部主機數(shù)大于全局IP地址數(shù)9.3靜態(tài)NAT9.3.1概述

靜態(tài)轉換是指將內部網絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公網IP地址。借助于靜態(tài)轉換，可以實現(xiàn)外部網絡對內部網絡中某些特定設備(如服務器)的訪問。9.3.2靜態(tài)NAT配置過程⑴、定義內網接口和外網接口Router(config)#interfacefastethernet0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1Router(config-if)#ipnatinside⑵、建立靜態(tài)的映射關系Router(config)#ipnatinsidesourcestatic192.168.1.7200.8.7.3其中192.168.1.7為內部本地地址，200.8.7.3為內部全局地址。9.3.3靜態(tài)NAT配置案例如圖9.1所示，模擬校園網訪問Internet網絡的情況，為了測試網絡聯(lián)通性，在Internet上有一臺提供WEB服務的機器。各設備的地址配置情況如表9.3所示：9.4動態(tài)NAT9.4.1動態(tài)NAT概述

動態(tài)NAT是指將內部網絡的私有IP地址轉換為公網IP地址時，IP地址對是隨機的，是不確定的，所有被授權訪問Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉換。9.4.2動態(tài)NAT配置動態(tài)NAT配置過程如下：⑴、定義內網接口和外網接口Router(config-if)#ipnatoutside //宣告連接外網接口Router(config-if)#ipnatinside //宣告連接內網接口⑵、定義內部本地地址范圍Router(config)#access-list10permit192.168.1.00.0.0.255其中192.168.1.0/24為內部地址范圍⑶、定義內部全局地址池Router(config)#ipnatpoolabc200.8.7.3200.8.7.10netmask255.255.255.0其中200.8.7.3—200.8.7.10為內部全局地址范圍⑷、建立映射關系Router(config)#ipnatinsidesourcelist10poolabc9.4.3動態(tài)NAT配置案例

如圖所示，模擬校園網訪問Internet網絡的情況。配置動態(tài)NAT從而實現(xiàn)內部電腦訪問Internet網絡，各設備的地址配置情況如表所示：9.5PAT9.5.1PAT概述PAT（port-address-translation）是端口地址轉換，PAT可以看做是NAT的一部分。9.5.2PAT配置靜態(tài)PAT①定義內網接口和外網接口Router(config)#interfacefastethernet0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1Router(config-if)#ipnatinside②建立靜態(tài)的映射關系Router(config)#ipnatinsidesourcestatictcp192.168.1.71024200.8.7.31024Router(config)#ipnatinsidesourcestaticudp192.168.1.71024200.8.7.31024動態(tài)PAT①定義內網接口和外網接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside②定義內部本地地址范圍Router(config)#access-list10permit192.168.1.00.0.0.255③定義內部全局地址池Router(config)#ipnatpoolabc200.8.7.3200.8.7.3netmask255.255.255.0④建立映射關系Router(config)#ipnatinsidesourcelist10poolabcoverload9.5.3PAT配置案例PAT的使用場合⑴缺乏全局IP地址，甚至只有一個連接ISP的全局IP地址⑵內部網要求上網的主機數(shù)很多⑶提高內網的安全性如圖所示，模擬仿真校園網訪問Internet網絡情況，具體網絡參數(shù)配置如表所示