通信工程師考試培訓(xùn)互聯(lián)網(wǎng)技術(shù)IP地址[3]

　　4.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）

解決IP地址缺乏的另一個嘗試是網(wǎng)絡(luò)地址轉(zhuǎn)換，（NetworkAddressTranslation,NAT），它是一個IETF標準，允許一個機構(gòu)以一個地址出現(xiàn)在Internet上。NAT將每個局域網(wǎng)節(jié)點的地址轉(zhuǎn)換成一個IP地址，反之亦然。它也可以應(yīng)用到防火墻技術(shù)里，把個別IP地址隱藏起來不被外界發(fā)現(xiàn)，使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備。同時，它還幫助網(wǎng)絡(luò)可以超越地址的限制，合理地安排網(wǎng)絡(luò)中的公有Internet地址和私有IP地址的使用。

NAT技術(shù)能幫助解決IP地址緊缺的問題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。方法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體做法是把IP包內(nèi)的地址域用合法的IP地址來替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設(shè)備中。NAT設(shè)備維護一個狀態(tài)表，用來把非法的IP地址映射到合法的IP地址上去，每個包在NAT設(shè)備中都被翻譯成正確的IP地址，發(fā)往下一級，這意味著給處理器帶來了一定的負擔(dān)，但對于一般的網(wǎng)絡(luò)來說，這種負擔(dān)是微不足道的。

NAT有3種類型：靜態(tài)NAT（StaticNAT）、動態(tài)NAT（PooledNAT）和網(wǎng)絡(luò)地址端口轉(zhuǎn)換（Port-LevelNAT,NAPT）。其中，靜態(tài)NAT是設(shè)置最為簡單和最容易實現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個主機都被一直映射成外部網(wǎng)絡(luò)中的某個合法的地址。而動態(tài)NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上？根據(jù)不同的需要，3種NAT方案各有利弊。

動態(tài)NAT只是轉(zhuǎn)換IP地址，它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址，主要應(yīng)用于撥號，對于頻繁的遠程連接也可以采用動態(tài)NAT當(dāng)遠程用戶聯(lián)接上之后，動態(tài)NAT就會分配給它一個IP地址，用戶斷開時，這個IP地址就會被釋放而留待以后使用。

網(wǎng)絡(luò)地址端口轉(zhuǎn)換（NetworkAddressPortTranslation,NAPT）是常用的一種轉(zhuǎn)換方式。

NAPT普遍應(yīng)用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)隱藏在一個合法的1P地址后面。NAPT與動態(tài)NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設(shè)備選定的TCP端口號。

在Internet中使用NAPT時，所有不同的TCP和UDP信息流看起來好像來源于同一個IP地址。優(yōu)點是在小型辦公室內(nèi)非常實用，通過從ISP處申請的一個IP地址，將多個連接通過NAPT接入Internet.實際上，許多SOHO遠程訪問設(shè)備支持基于PPP的動態(tài)IP地址。這樣，ISP甚至不需要支持NAPT,就可以做到多個內(nèi)部IP地址共用一個外部IP地址上Internet,雖然這樣會導(dǎo)致信道的一定擁塞，但考慮到節(jié)省ISP上網(wǎng)費用和易管理的特點，使用NAPT還是很值得的。

NAT技術(shù)可以讓區(qū)域網(wǎng)路中的所有機器經(jīng)由一臺通往Internet的Server連接到Internet,而且只箱要注冊該Server的一個IP就夠了。在沒有NAT技術(shù)時，必須在Server上安裝sockd,并且所有的Clients都必須要支援sockd,才能夠經(jīng)過server的sockd連線出去。這種方式最大的問題是，通常只有Telnet/Ftp/www-browser支援sockd,其他的程式都不能使用：而且使用sockd的速度稍慢。因此使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)，這樣Client不需要做任何的變動，只需要把gateway設(shè)到該Server上就可以了，而且所有的程式（如kali/kahn等）都可以使用。最簡單的NAT設(shè)備有兩條網(wǎng)絡(luò)連接：一條連接到Internet,一條連接到專用網(wǎng)絡(luò)。專用網(wǎng)絡(luò)中使用私有IP地址（有時也被稱做Network10地址，地址使用留做專用的從10.0.0.0開始的地址〉的主機，通過直接向NAT設(shè)備發(fā)送數(shù)據(jù)包連接到Intemet上。與普通路由器不同，NAT設(shè)備實際上對數(shù)據(jù)包頭進行修改，將專用網(wǎng)絡(luò)的源地址變?yōu)镹AT設(shè)備自己的Internet地址，而普通路由器僅在將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地前讀取源地址和目的地址。

在使用NAT時，Internet上的主機從表面上看起來直接與NAT設(shè)備通信，而非與專用網(wǎng)絡(luò)中實際的主機通信。輸入的數(shù)據(jù)包被發(fā)送到NAT設(shè)備的IP地址上，并且NAT設(shè)備將目的包頭地址由自己的Internet地址變?yōu)檎嬲哪康闹鳈C的專用網(wǎng)絡(luò)地址。而結(jié)果是，理論上一個全球IP地址后面可以連接幾百臺、幾千臺乃至幾百萬臺擁有專用地址的主機。但是，這實際上存在著缺陷。例如，許多Intemet協(xié)議和應(yīng)用依賴于真正的端到端網(wǎng)絡(luò)，在這種網(wǎng)絡(luò)上，數(shù)據(jù)包完全不加修改地從源地址發(fā)送到目的地址。例如，IP安全架構(gòu)不能跨NAT設(shè)備使用，因為包含原始IP源地址的原始包頭采用了數(shù)字簽名。如果改變源地址的話，數(shù)字簽名將不再有效。NAT還提出了管理上的挑戰(zhàn)。盡管NAT對于一個缺少足夠的全球Internet地址的組織、分支機構(gòu)或者部門來說是一種不錯的解決方案，但是當(dāng)重組、合并或收購需要對兩個或更多的專用網(wǎng)絡(luò)進行整合時，它就變成了嚴重的問題。甚至在組織結(jié)構(gòu)穩(wěn)定的情況下，NAT系統(tǒng)不能多層嵌套，從而造成路由癱瘓。

當(dāng)改變網(wǎng)絡(luò)的IP地址時，都要仔細考慮這樣做會給網(wǎng)絡(luò)中已有的安全機制帶來什么樣的影響。例如，防火墻根據(jù)IP報頭中包含的TCP端口號、信宿地址、信源地址以及其他一些信息來決定是否讓該數(shù)據(jù)包通過?？梢砸繬AT設(shè)備所處位置來改變防火墻過濾規(guī)則，這是因為NAT改變了信源或信宿地址。如果一個NAT設(shè)備，如一臺內(nèi)部路由器，被買于受防火墻保護的一側(cè)，將不得不改變負責(zé)控制NAT設(shè)備身后網(wǎng)絡(luò)流量的所有安全規(guī)則。在許多網(wǎng)絡(luò)中，NAT機制都是在防火墻上實現(xiàn)的。它的目的是使防火墻能夠提供對網(wǎng)絡(luò)訪問與地址轉(zhuǎn)換的雙重控制功能。除非可以嚴格地限定哪一種網(wǎng)絡(luò)連接可以被進行NAT轉(zhuǎn)換，否則不要將NAT設(shè)備置于防火墻之外只要用戶能夠使NAT誤以為他的連接請求是被允許的，都可以以一個授權(quán)用戶的身份對網(wǎng)絡(luò)進行訪問。如果企業(yè)正在邁向網(wǎng)絡(luò)技術(shù)的前沿，并正在使用IP安全協(xié)議（IPSec）來構(gòu)造一個虛擬專用網(wǎng)（VPN）時，錯誤地放置NAT設(shè)備是不允許的。原則上，NAT設(shè)備應(yīng)該被置于VPN受保護的一側(cè)，因為NAT需要改動IP報頭中的地址域，而在IPSec報頭中該域是無法被改變的，這便可以準確地獲知原始報文發(fā)自于哪一臺工作站。如果IP地址被改變了，那么IPSec的安全機制也就失效了，因為既然信源地址都可以被改動，那么報文內(nèi)容也可以被改動。

返回目錄：通信工程師考試培訓(xùn)互聯(lián)網(wǎng)技術(shù)重點匯總

編輯相關(guān)推薦：

初級通信工程師考試電信網(wǎng)概述匯總

2013年通信工程師考試學(xué)習(xí)在線輔導(dǎo)

通信考試終端與業(yè)務(wù)通信員工職業(yè)規(guī)范

通信專業(yè)實務(wù)互聯(lián)網(wǎng)技術(shù)數(shù)據(jù)通信基礎(chǔ)教程

互聯(lián)網(wǎng)技術(shù)考試局域網(wǎng)和城域網(wǎng)匯總

[1]  [2]  [3]