地址轉(zhuǎn)換協(xié)議技術(shù)淺談

陳華　蔡燕

摘要：NAT network address translation 中文名為網(wǎng)絡(luò)地址轉(zhuǎn)換。NAT技術(shù)在技術(shù)上有其優(yōu)點和缺點。我們可以同時擁有多臺計算機同時聯(lián)網(wǎng)，也可以隱藏內(nèi)部地址，NAT從外部數(shù)據(jù)查看其NAT映射記錄，并拒絕沒有相應(yīng)記錄的數(shù)據(jù)包，只是為了提高網(wǎng)絡(luò)安全性。另一方面，用于編輯數(shù)據(jù)包上的操作的NAT設(shè)備，降低了傳輸數(shù)據(jù)速率，且存在一定的網(wǎng)絡(luò)安全缺陷。

關(guān)鍵詞：NAT；端口復(fù)用；NAT缺陷

NAT是一種IETF標(biāo)準(zhǔn)，允許一個組織在因特網(wǎng)上出現(xiàn)在地址中。我們可以同時擁有多臺計算機同時聯(lián)網(wǎng)，也可以隱藏內(nèi)部地址，NAT從外部數(shù)據(jù)查看其NAT映射記錄，并拒絕沒有相應(yīng)記錄的數(shù)據(jù)包，只是為了提高網(wǎng)絡(luò)安全性。它還可以應(yīng)用于防火墻技術(shù)，隱藏單個IP地址，而不是在外部發(fā)現(xiàn)，并保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備，同時，它也有助于網(wǎng)絡(luò)超越地址限制，合理安排在網(wǎng)絡(luò)中使用公共因特網(wǎng)地址和專用IP地址。

NAT的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動態(tài)轉(zhuǎn)換Dynamic Nat和端口多路復(fù)用OverLoad。端口地址轉(zhuǎn)換（PAT）意味著改變傳出數(shù)據(jù)包的源端口和轉(zhuǎn)換端口，即端口地址轉(zhuǎn)換（PAT，Port AddressTranslation）。采用端口多路復(fù)用方式。我們可以同時擁有多臺計算機同時聯(lián)網(wǎng)，也可以隱藏內(nèi)部地址，NAT從外部數(shù)據(jù)查看其NAT映射記錄，并拒絕沒有相應(yīng)記錄的數(shù)據(jù)包。同時，內(nèi)部網(wǎng)絡(luò)的主機都可以隱藏，可以避免了一部分的網(wǎng)絡(luò)攻擊。因此，我們?nèi)粘＞W(wǎng)絡(luò)應(yīng)用中用的廣泛的方式就是端口復(fù)用模式。

我們可以同時擁有多臺計算機同時聯(lián)網(wǎng)，也可以隱藏內(nèi)部地址，NAT從外部數(shù)據(jù)查看其NAT映射記錄，并拒絕沒有相應(yīng)記錄的數(shù)據(jù)包，只是為了提高網(wǎng)絡(luò)安全性，保護(hù)了內(nèi)部計算機。

NAT技術(shù)在技術(shù)上有其優(yōu)點和缺點。我們可以同時擁有多臺計算機同時聯(lián)網(wǎng)，也可以隱藏內(nèi)部地址，NAT從外部數(shù)據(jù)查看其NAT映射記錄，并拒絕沒有相應(yīng)記錄的數(shù)據(jù)包，只是為了提高網(wǎng)絡(luò)安全性。另一方面，用于編輯數(shù)據(jù)包上的操作的NAT設(shè)備，降低了傳輸數(shù)據(jù)速率。由于技術(shù)的復(fù)雜性，調(diào)試變得困難，我們在內(nèi)部發(fā)布了一個服務(wù)器，還得考慮這個端口映射等問題，這也正是，網(wǎng)絡(luò)盛行的今天，各種應(yīng)用不斷，它的協(xié)議應(yīng)用也不同，有些無法通過NAT，這是最麻煩的事情。

首先，我們可以理解，設(shè)計私有Web地址的原因是為了節(jié)省IP地址，并允許IP地址在局域網(wǎng)中進(jìn)行多路復(fù)用。私有網(wǎng)絡(luò)地址不能出現(xiàn)在公用網(wǎng)絡(luò)上，這是因為所有ISP路由器都必須具有過濾私有網(wǎng)絡(luò)地址的功能。然后，為了使私有網(wǎng)絡(luò)地址發(fā)揮更強大的作用，它需要與NAT技術(shù)合作。真正能緩解IPV4地址危機的技術(shù)是PAT端口多路復(fù)用（Portaddress Translation），通常這種技術(shù)還要和DHCP配合取得更好的效果。事實上，網(wǎng)絡(luò)主機的連接數(shù)不能只有一個，因此IP地址可以在上網(wǎng)時提供數(shù)千臺主機。

正如我們前面看到的，NAT在使用NAT時發(fā)揮了強大的作用，因特網(wǎng)上的主機表面似乎是直接跟使用NAT技術(shù)轉(zhuǎn)換后的設(shè)備進(jìn)行聯(lián)系，而不是與轉(zhuǎn)換前的真實設(shè)備進(jìn)行通信。數(shù)據(jù)包發(fā)送到經(jīng)過NAT設(shè)備轉(zhuǎn)換后的IP地址進(jìn)行通信，NAT設(shè)備將目的地包頭地址從其自己的對外地址轉(zhuǎn)換到轉(zhuǎn)換前的真正目標(biāo)主機的IP地址。因此，在上述分析的基礎(chǔ)上，我們將三種技術(shù)相結(jié)合，即專用網(wǎng)絡(luò)地址、DHCP、NAT（PAT），極大地緩解了IP地址的不足，我們所領(lǐng)導(dǎo)的IPv4仍在苦苦支撐著，所以IPv6現(xiàn)在并不是那么“必須”，因此，可以連接到數(shù)十萬甚至數(shù)百萬臺灣臺灣的私有地址主機，一個全球唯一的IP地址背后的理論。然而，NAT實際上破壞了許多設(shè)計原則，并且存在缺陷。

1 NAT打破了Internet端到端的連接模型

也就是說，任何主機都可以在任何時候向任何主機發(fā)送數(shù)據(jù)包。設(shè)想一個NAT技術(shù)的主機，當(dāng)NAT盒（實現(xiàn)NAT的設(shè)備可以使路由器、防火墻等）崩潰時，無法與因特網(wǎng)進(jìn)行正確的通信。另一種理解是，主要采用NAT側(cè)（一方）將數(shù)據(jù)發(fā)送給另一方（B方），另一方可以與使用NAT的一方通信。因為只有一個傳入的數(shù)據(jù)包告訴B方通知B方在一方和NAT（即轉(zhuǎn)換地址）之間的映射，B方根本不能將消息發(fā)送給該方。最后的問題是，如果外部的主機想使用內(nèi)網(wǎng)的服務(wù)器，必須進(jìn)行特殊的配置或者采用NAT穿越（NATtraversal）技術(shù)。

2 NAT將Internet從無連接網(wǎng)絡(luò)轉(zhuǎn)變?yōu)槊嫦蜻B接的網(wǎng)絡(luò)

更改此表單后，NAT框必須是每個連接維護(hù)后必需的信息（映射），面向網(wǎng)絡(luò)特性的面向連接的網(wǎng)絡(luò)，而不是無連接的網(wǎng)絡(luò)特性，維護(hù)連接狀態(tài) 。面向連接的網(wǎng)絡(luò)非常脆弱（尤其是保存連接上下文信息的NAT盒）。假設(shè)通信層的兩個方面在傳輸層使用TCP：如果沒有NAT，路由器崩潰只會導(dǎo)致未經(jīng)驗證的數(shù)據(jù)包的重傳。但如果NAT盒子崩潰，那么所有的TCP連接都被摧毀。

3 NAT違反了IP的一個基本的理念與結(jié)構(gòu)模型

IP的結(jié)構(gòu)模型聲明IP地址唯一標(biāo)識了世界上的一臺機器。但有了NAT之后，成千上萬的機器可能會使用同一個IP地址。不過，這有時候也是一種優(yōu)勢，比如用在服務(wù)器的負(fù)載均衡上。

盡管NAT技術(shù)可以給我們帶來各種好處，但是NAT技術(shù)在技術(shù)上有其優(yōu)點和缺點。我們可以同時擁有多臺計算機同時聯(lián)網(wǎng)，也可以隱藏內(nèi)部地址，NAT從外部數(shù)據(jù)查看其NAT映射記錄，并拒絕沒有相應(yīng)記錄的數(shù)據(jù)包，只是為了提高網(wǎng)絡(luò)安全性。另一方面，用于編輯數(shù)據(jù)包上的操作的NAT設(shè)備，降低了傳輸數(shù)據(jù)速率，且存在一定的網(wǎng)絡(luò)安全缺陷。所以就看我們是在什么情況下如何看待NAT技術(shù)了。

參考文獻(xiàn)：

[1]劉向東，李志潔.網(wǎng)絡(luò)地址轉(zhuǎn)換原理實驗的研究[J].實驗室研究與探索，2012，31（1）：5862.

[2]唐海濤.ip靜態(tài)路由實驗的研究.實驗室研究與探索，2010.

作者簡介：陳華，男，江西贛州人，講師，研究方向：計算機；蔡燕，女，江西贛州人，講師，研究方向：計算機通信，地理信息。