NAT技術及其應用分析

李秀峰

摘 ? 要：網(wǎng)絡的快速發(fā)展給人們的生活帶來了諸多便利，但是由于接入設備的數(shù)量大幅上升，給本來就捉襟見肘的IP地址存量帶來沖擊?，F(xiàn)存IPv4版本的地址數(shù)量已經(jīng)接近告罄，雖然新一代的IPv6已在試驗運行，但其普及還需要較長的一段時間。為了解決版本更替期間IPv4地址數(shù)量不足的問題，引入了NAT技術。文章介紹了3種類型NAT技術，闡述了其工作原理和應用，最后分析了不同NAT技術的優(yōu)缺點及產(chǎn)生的一些問題。

關鍵詞：網(wǎng)絡地址轉換技術;網(wǎng)絡地址;網(wǎng)絡安全

1 ? ?網(wǎng)絡地址轉換技術簡要介紹

現(xiàn)如今，世界已經(jīng)步入了信息技術高速發(fā)展的時代，例如5G網(wǎng)絡的商用，使得更多的電子設備（如Pad、手機及其他移動終端等）可以接入網(wǎng)絡。這一爆發(fā)式的網(wǎng)絡發(fā)展導致IP地址越發(fā)緊缺，互聯(lián)網(wǎng)通信協(xié)議第4版（Internet Protocol Version 4，IPv4）的地址面臨被全部分發(fā)完畢的風險[1]。為了解決這一難題，引入了網(wǎng)絡地址轉換技術（Network Address Translation，NAT），可以在很大程度上緩解地址數(shù)量不足的問題，其工作方式是：將某個子網(wǎng)中的一個或多個IP地址從一個網(wǎng)絡轉變?yōu)榱硪粋€不同的網(wǎng)絡，為的是變換網(wǎng)絡身份的同時，變相增加可用地址數(shù)量。這樣做的好處在于：

（1）將一些公網(wǎng)IP留出來供私有網(wǎng)絡重復使用，因為并不是每個用戶都是時刻在線的狀態(tài)，所以多個用戶可以采用輪換的方式用同一個地址在不同的時間段對外訪問。

（2）允許一個單位或部門的所有主機以同一個IP地址的身份同時對外訪問，各主機之間沒有沖突，不受時間限制。

可以看出，這樣的工作機制使得內(nèi)網(wǎng)地址以另一種公開身份被外界認知，從而外部網(wǎng)絡無法直接訪問內(nèi)部網(wǎng)絡。在解決IP地址數(shù)量不足的同時，提高了網(wǎng)絡的安全性，降低了真實內(nèi)部主機被攻擊的風險。

1.1 ?基本原理

NAT可以將一個機構或部門以一個或多個公有IP地址的身份在互聯(lián)網(wǎng)上活動[2]。與外部互聯(lián)時，將局域網(wǎng)內(nèi)設備節(jié)點的地址轉換成一個可以在互聯(lián)網(wǎng)上被承認的公網(wǎng)IP;反之亦然。同時，可以結合防火墻技術，把一些重要的內(nèi)網(wǎng)地址隱藏起來，如：數(shù)據(jù)庫服務器地址、文件服務器地址，使內(nèi)網(wǎng)和外網(wǎng)隔離，從而保障內(nèi)網(wǎng)安全。另外，它可以通過配置，合理安排整個園區(qū)網(wǎng)絡的IP地址設置，使得私有地址充分發(fā)揮自己的作用，各部門之間分割清晰，對外又統(tǒng)一分配IP。下面介紹NAT技術使用到的4種IP類型：

（1）內(nèi)部局部地址，可以由管理員手動配置，也可以由DHCP服務器分配給客戶機，主要由私網(wǎng)地址構成。

（2）內(nèi)部全局地址，由園區(qū)網(wǎng)絡中心或網(wǎng)絡運營商分配的公網(wǎng)IP地址，是對應到外部網(wǎng)絡的一個或多個合法IP地址，主要用于在互聯(lián)網(wǎng)上識別發(fā)送端身份。

（3）外部局部地址，目的端內(nèi)網(wǎng)主機地址，與第一類地址相似，大部分由局域網(wǎng)內(nèi)的私網(wǎng)地址構成，可以由目的端內(nèi)網(wǎng)DHCP設備分配或手工配置。

（4）外部全局地址：目的端主機的公網(wǎng)IP地址，由ISP進行分配。

例如，在某個集團公司中，有A，B兩個分公司，分別向網(wǎng)絡運營商申請了公網(wǎng)IP，假設A的地址為11.11.11.11，B的地址為22.22.22.22，兩公司均在網(wǎng)絡拓撲中使用NAT技術，A的內(nèi)部網(wǎng)絡為192.168.0.0/24，B的內(nèi)部網(wǎng)絡為10.0.0.0/24。那么在雙方通信過程中，相對于A來說，A的內(nèi)部局部地址（網(wǎng)絡）是192.168.0.0/24，內(nèi)部全局地址便是11.11.11.11，而外部局部地址（網(wǎng)絡）是10.0.0.0/24，而外部全局地址就是22.22.22.22。

1.2 ?工作流程

NAT技術很大程度上緩解了當前IP地址緊缺的狀況，同時，它將內(nèi)網(wǎng)和外網(wǎng)進行隔離，無形之中形成一道“防火墻”。具體的工作流程為：當私網(wǎng)內(nèi)的主機需要訪問公網(wǎng)時，產(chǎn)生的數(shù)據(jù)包源IP地址會被替換為一個公網(wǎng)地址及相應的端口，同時，產(chǎn)生一個Session;同理，當數(shù)據(jù)返回時，會將返回數(shù)據(jù)包中的目標地址改為對應Session中的私網(wǎng)IP[3]。

例如，內(nèi)網(wǎng)中的主機PCA（假設為：192.168.1.1）需要與外網(wǎng)通信。PCA從7000端口發(fā)送請求消息至NAT設備。若經(jīng)過辨別發(fā)現(xiàn)此IP地址在ACL列表中屬于permit范圍內(nèi)，便會在地址池里剩余的IP中選擇一個可用的公網(wǎng)IP（如198.172.1.1），并從空閑的端口中挑出一個可用端口（如8000端口），建立192.168.1.1：7000和198.172.1.1：8000之間的映射，形成一個Session。當網(wǎng)關返回消息到NAT設備的8000端口時，會將數(shù)據(jù)包中的目的地址修改為192.168.1.1：5000，最終完成數(shù)據(jù)通信。若NAT Session沒有形成前，外網(wǎng)主機向地址198.172.1.1：8000發(fā)送消息，由于Session中還沒有形成對應的映射關系，此數(shù)據(jù)包在沒有默認路由的情況下，會被路由器丟棄。

2 ? ?NAT技術的類型

目前，NAT技術分為3種類型：靜態(tài)地址轉換、動態(tài)地址轉換和端口復用。（1）靜態(tài)NAT技術，是一種類似綁定的轉換方式，即將內(nèi)網(wǎng)需要連接互聯(lián)網(wǎng)的每臺主機分別映射為合法的公網(wǎng)IP，形成一種人為指定的一對一關系。（2）動態(tài)NAT技術，采用地址池的方式，池中定義了一段連續(xù)的公網(wǎng)地址，需要轉換時從中按順序選擇一個未使用的公網(wǎng)IP，形成Session，這是一種多對多的映射關系，由于隨機性較高，這種方法可以起到防御網(wǎng)絡攻擊的作用。（3）端口復用技術，其實是動態(tài)NAT中的一種，不同的是，它將所有需要轉換的地址映射到同一個公網(wǎng)IP的不同端口上，使得每個申請地址轉換的主機對外身份看起來都是一樣的，只是在端口號上有所不同。在實際應用中可以根據(jù)不同的需要及申請得到的外網(wǎng)IP地址數(shù)量，選擇合適的NAT技術類型。

2.1 ?靜態(tài)地址轉換

靜態(tài)地址轉換是將內(nèi)部局部地址與內(nèi)部全局地址形成一對一的映射，在沒有釋放之前，這種關系將一直存在。例如內(nèi)部網(wǎng)絡中需要為外網(wǎng)提供公共服務的服務器可以采用靜態(tài)地址轉換技術，避免被黑客獲取到真實IP而使這些設備受到網(wǎng)絡攻擊[4]。

靜態(tài)地址轉換配置步驟（采用Cisco類型設備）：

（1）建立內(nèi)部局部地址與內(nèi)部全局地址之間的轉換。在路由設備的全局配置模式下輸入：ip nat inside source static 內(nèi)部局部地址、內(nèi)部全局地址。

（2）應用在網(wǎng)絡的內(nèi)部端口，一般為某個網(wǎng)絡的內(nèi)部網(wǎng)關。在端口設置模式下輸入：ip nat inside。

（3）應用在網(wǎng)絡的外部端口，在端口設置模式下輸入：ip nat outside。

以上就是靜態(tài)NAT的設置，可根據(jù)實際需要在多個內(nèi)部端口和多個外部端口進行應用。

2.2 ?動態(tài)NAT

動態(tài)NAT和靜態(tài)NAT最大的不同之處在于使用了地址池，池中存放了多個可訪問外網(wǎng)或被外網(wǎng)訪問的內(nèi)部全局地址，在需要網(wǎng)絡連接時自動完成映射。這種動態(tài)分配的方法使得多個內(nèi)部局部地址共享少數(shù)幾個公網(wǎng)IP，在建立連接后它們之間依然是一對一的關系，只是這種對應關系不是永久的，隨著每次連接的請求和釋放會發(fā)生變化。需要明確的一點是：當?shù)刂烦刂械娜縄P地址都被占用后，后續(xù)的轉換請求將會失敗。解決這一問題的方法是：可以使用超時釋放功能。如Cisco路由器在當前進程15 min后無流量通過的情況下，自動刪除當前的NAT進程，當前使用的內(nèi)部全局地址重新收回放入地址池中。

當然，地址池的使用也有一定的不足之處：會妨礙到管理系統(tǒng)跟蹤設備的運行情況。倘若被監(jiān)管IP在NAT地址池之中，隨著網(wǎng)絡進程的申請和釋放，這些地址對應的內(nèi)部局部地址是不斷變化的，這就引起了網(wǎng)絡管理的不確定性。目前的解決方法是：在網(wǎng)絡管理平臺上把這些地址標記出來，然后對這些地址不進行任何處理。

動態(tài)地址轉換基本配置步驟：

（1）在全局配置模式下，配置地址池格式為：ip nat pool 地址池名稱 起始IP地址 終止IP地址 子網(wǎng)掩碼，其中，地址池的名稱可以自行設定。

（2）在全局配置模式下，設置一個標準訪問控制列表，列出所有可以被轉換的內(nèi)部局部地址。格式為：Access-list 標號permit源地址 通配符掩碼。

（3）在全局配置模式下，將前兩步的設置內(nèi)容進行綁定，也就是把地址池和ACL列表中的地址進行對接。格式為：ip nat inside source list訪問列表標號pool地址池名稱。

（4）指定需要被應用的內(nèi)部端口：在端口配置模式下，輸入ip nat inside。

（5）指定需要被應用的外部端口：在端口配置模式下，輸入ip nat outside。

2.3 ?PAT端口復用

端口復用技術也是一種動態(tài)NAT技術[5]，不同于前面的是，它將地址池中的所有地址對應到一個公網(wǎng)地址的不同端口上。當多個主機同時使用一個IP地址時，互聯(lián)網(wǎng)通過傳輸層的端口號等信息來標識某臺計算機，這樣一來，從ISP處申請一個可用的公網(wǎng)IP就可以通過PAT將多個內(nèi)網(wǎng)主機接入互聯(lián)網(wǎng)，使得傳輸層的信息流看起來仿佛都來源于同一個源地址。這樣做有利也有弊，PAT會引起一定程度的信道擁塞，但可以大大減少上網(wǎng)開支。另外，根據(jù)空閑端口的數(shù)量限制，PAT可形成64 500個Session連接。

其配置步驟與上文中提到的動態(tài)NAT十分相似，只在第1步和第3步有一些區(qū)別：第1步中的地址池內(nèi)，只有一個內(nèi)部全局地址;第3步中，在全局配置模式下，配置語句改為：ip nat inside source list訪問列表標號pool地址池名稱 overload，其中，關鍵字overload就是端口復用的意思。

3 ? ?結語

NAT基于ISO/OSI 7層模型中的網(wǎng)絡層和傳輸層實現(xiàn)，分為3種類型。由于私網(wǎng)地址的使用不受限制，使其網(wǎng)絡配置更加靈活、方便。不僅很大程度上緩解了IP地址緊缺的問題，提高了網(wǎng)絡安全性。同時，用戶不需要因為更換ISP而對內(nèi)部網(wǎng)絡重新進行編址，減少網(wǎng)絡了變化引起的代價。NAT技術也存在一些不足：由于路由器需要對每次的地址翻譯進行響應，所以要對每個數(shù)據(jù)包進行檢查，增大了路由器的工作負荷;此外，由于隱藏了主機的真正標識，增大了對此類主機訪問互聯(lián)網(wǎng)跟蹤管理和審計工作的難度。

[參考文獻]

[1]陳杰.IPv6過渡的NAT技術[D].南京：南京郵電大學，2013.

[2]賀抒，梁昔明.NAT技術分析及其在防火墻中的應用[J].信息安全，2004（8）：167-168.

[3]劉昊東.基于P2P網(wǎng)絡中UDP穿透NAT技術的研究[J].計算機與數(shù)字工程，2009（12）：112-113.

[4]張永平.VPN網(wǎng)絡中IPSec穿越NAT的研究[J].計算機與應用與軟件，2008（1）：250-251.

[5]姚正.NAT技術原理探究及在校園網(wǎng)上的應用實例[J].網(wǎng)絡通訊及安全，2008（3）：457-458.

Abstract：The rapid development of the network has brought a lot of convenience to peoples life， however， due to the sharp increase in the number of access devices， the already stretched stock of IP addresses has an impact. The number of addresses in the existing IPv4 version is close to running out， and although the new generation of IPv6 is already running on a trial basis， it will take a long time for this version to become popular. In order to solve the problem of insufficient number of IPv4 addresses during version replacement， NAT technology is introduced. This paper introduces three types of NAT technology， expounds their working principle and application， and finally analyzes the advantages and disadvantages of different NAT technologies and some problems arising from them.

Key words：network address translation; network address; network security