摘要：在校園網(wǎng)中使用NAT/PAT管理IP地址能夠簡化網(wǎng)絡(luò)管理，節(jié)省注冊的IP地址，提高IP地址的使用率，隱蔽敏感服務(wù)的IP地址。在校園網(wǎng)中對不同用戶應(yīng)用不同的NAT/PAT管理IP地址十分重要。

關(guān)鍵字：NAT；PAT；校園網(wǎng)；IP地址管理

0 引言

隨著校園網(wǎng)的迅速發(fā)展，規(guī)模日益擴(kuò)大，應(yīng)用部門增多，網(wǎng)上豐富的資源產(chǎn)生著巨大的吸引力使接入用戶快速增加。網(wǎng)絡(luò)管理日益復(fù)雜：注冊的合法IP地址日益短缺、多個用戶只能同時共用IP地址、有些部門不想讓外部網(wǎng)絡(luò)用戶知道自己內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)等。為了解決這些問題，出現(xiàn)了許多解決方案。在目前校園網(wǎng)絡(luò)環(huán)境中常用的比較有效的方法是地址轉(zhuǎn)換(NAT)和端口轉(zhuǎn)換（PAT）。

1 NAT/PAT

NAT（地址轉(zhuǎn)換）就是把在內(nèi)部網(wǎng)絡(luò)中使用IP地址轉(zhuǎn)換成外部網(wǎng)絡(luò)中使用的IP地址，把不可路由的IP地址轉(zhuǎn)化成可路由的IP地址，節(jié)省NIC注冊的IP地址，對外部網(wǎng)絡(luò)隱蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。PAT（端口轉(zhuǎn)換）是一種特殊的NAT，也稱NAT復(fù)用，就是將許多內(nèi)部網(wǎng)絡(luò)IP地址映射到一個或少數(shù)幾個外部網(wǎng)絡(luò)的IP地址，使內(nèi)部網(wǎng)絡(luò)用戶公用一個外部IP地址，節(jié)省NIC注冊的IP地址。

NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設(shè)備中。NAT設(shè)備維護(hù)一個狀態(tài)表，用來把內(nèi)部網(wǎng)絡(luò)的IP地址映射到外部網(wǎng)絡(luò)的IP地址。每個包在NAT設(shè)備中都被轉(zhuǎn)換后發(fā)往下一級。NAT本身并不提供類似防火墻、包過濾、隧道等技術(shù)的安全性，只是在包的最外層改變IP地址，使外部網(wǎng)絡(luò)用戶不知道內(nèi)部網(wǎng)絡(luò)的地址結(jié)構(gòu)防止一般外部網(wǎng)絡(luò)用戶對內(nèi)部網(wǎng)絡(luò)的非法訪問。

NAT應(yīng)用有三種方式：靜態(tài)NAT（static NAT）、動態(tài)NAT（pooled NAT）和PAT（端口復(fù)用NAT）。靜態(tài)NAT是采用固定分配的方法映射內(nèi)部網(wǎng)絡(luò)的和外部網(wǎng)絡(luò)的IP地址。動態(tài)NAT則是采用動態(tài)分配的方法映射內(nèi)部網(wǎng)絡(luò)的和外部網(wǎng)絡(luò)的IP地址。PAT則是把多個內(nèi)部網(wǎng)絡(luò)IP地址映射到外部網(wǎng)絡(luò)的同一個IP地址的不同端口上。

2 NAT/PAT的應(yīng)用

靜態(tài)NAT

靜態(tài)NAT (Static Network Address Translation)是NAT中最簡單的應(yīng)用方式，內(nèi)部網(wǎng)絡(luò)IP地址和外部網(wǎng)絡(luò)IP地址只能是一一對應(yīng)的固定映射方式，且需要指定和哪個地址進(jìn)行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡(luò)中有E-mail服務(wù)器、FTP服務(wù)器、WEB服務(wù)器等為外部網(wǎng)絡(luò)用戶提供服務(wù)，則這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部網(wǎng)絡(luò)用戶可以使用這些服務(wù)。

動態(tài)NAT池

動態(tài)NAT池（Pooled NAT）是采用動態(tài)分配的方法映射內(nèi)部網(wǎng)絡(luò)的和外部網(wǎng)絡(luò)的IP地址?？梢允雇獠烤W(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)提供的服務(wù)，也可以從內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)，而不需要重新配置內(nèi)部網(wǎng)絡(luò)中的IP地址。例如，分配給學(xué)校辦公系統(tǒng)的內(nèi)部子網(wǎng)192.168.0.0，其網(wǎng)絡(luò)地址屬于B類保留地址。作為校園網(wǎng)的一個子網(wǎng)，其IP地址僅分配給辦公系統(tǒng)用戶設(shè)備。為了使校園網(wǎng)其它用戶能訪問到這個內(nèi)部網(wǎng)，用路由器把辦公內(nèi)部網(wǎng)和校園網(wǎng)連接起來，使之能相互訪問。但由于192.168.0.0屬于內(nèi)部地址，不能直接訪問外部網(wǎng)絡(luò)。所以在路由器中設(shè)置一個動態(tài)NAT池，用來轉(zhuǎn)換翻譯來自內(nèi)部網(wǎng)絡(luò)的IP包的地址，把包的IP地址映射成地址池中的外部網(wǎng)絡(luò)IP地址。因此內(nèi)部網(wǎng)可以訪問外部網(wǎng)絡(luò)的服務(wù)器，外部網(wǎng)絡(luò)中的任何主機(jī)也能訪問內(nèi)部網(wǎng)絡(luò)提供的服務(wù)。

采用動態(tài)NAT可以在內(nèi)部網(wǎng)中定義很多的內(nèi)部用戶，通過動態(tài)分配的辦法，共享很少的幾個外部IP地址。而靜態(tài)NAT則只能形成一一對應(yīng)的固定映射方式。當(dāng)NAT池中動態(tài)分配的外部IP地址全部被占用后，后續(xù)的NAT翻譯申請將會失敗。一般有NAT功能的路由器有超時配置功能。例如在Cisco7600中可以配置成開始15分鐘后刪除當(dāng)前的NAT進(jìn)程，為后續(xù)的NAT申請預(yù)留出外部網(wǎng)絡(luò)IP地址。由于一般的外部連接時間不會很長，所以連接的時間閾值可以設(shè)置較短。對不同的內(nèi)部網(wǎng)絡(luò)用戶可以使用不同的時間閾值，以滿足各自的需求。

動態(tài)NAT池(Pooled Network Address Translation)為校園網(wǎng)絡(luò)管理提供了很大的靈活性，但也影響到部分網(wǎng)絡(luò)管理功能。例如，原來用IP地址來跟蹤設(shè)備的運行情況。但使用NAT之后，由于被翻譯的地址對應(yīng)的內(nèi)部網(wǎng)絡(luò)地址是動態(tài)變化的，因此無法準(zhǔn)確了解指定內(nèi)部網(wǎng)絡(luò)設(shè)備的運行情況，給校園網(wǎng)設(shè)備遠(yuǎn)程管理帶來一定麻煩。

PAT

PAT(Port Address Translation)也稱為NAPT，是一種動態(tài)地址轉(zhuǎn)換，它可以允許多個內(nèi)部本地地址共用一個內(nèi)部合法地址，用不同的協(xié)議端口號映射不同的內(nèi)部網(wǎng)絡(luò)地址。PAT理論上可以支持64500個TCP／IP、UDP／IP連接，但實際可以支持的工作站數(shù)約4000。因為許多Internet應(yīng)用如HTTP，實際上由許多小的連接組成。

PAT大量應(yīng)用在遠(yuǎn)程訪問中，特別是在遠(yuǎn)程撥號用戶使用的設(shè)備中。使用PAT時，所有不同的TCP和UDP信息流仿佛都來源于同一個IP地址。雖然這樣會導(dǎo)致信道的擁塞，但由于節(jié)省了上網(wǎng)費用、注冊IP地址、易管理的特點，對只申請到少量IP地址但卻經(jīng)常同時有多個用戶上外部網(wǎng)絡(luò)的情況，這種轉(zhuǎn)換極為有用。

3 NAT/PAT配置示例

以集美大學(xué)CISCO 7600配置的PAT為例說明NAT/PAT的應(yīng)用。學(xué)校機(jī)房教學(xué)網(wǎng)有一個內(nèi)部網(wǎng)絡(luò)192.168.20.0由于內(nèi)部用戶有訪問外部網(wǎng)絡(luò)的要求，因此分配給它一個外部網(wǎng)絡(luò)的公用地址210.34.143.2用于內(nèi)網(wǎng)絡(luò)用戶訪問外部網(wǎng)絡(luò)。

設(shè)置外部網(wǎng)絡(luò)的一個地址用于PAT

ip nat pool mypool 210.34.143.2 210.34.143.2 prefix 30

設(shè)置辦公網(wǎng)內(nèi)部網(wǎng)絡(luò)的要轉(zhuǎn)換的地址

access-list 1 permit 192.168.20.0  0.0.0.255

設(shè)置內(nèi)外地址轉(zhuǎn)換

ip nat inside source list 1 pool mypool overload

設(shè)置內(nèi)部網(wǎng)絡(luò)的接口

interface ethernet0

ip nat inside

設(shè)置外部網(wǎng)絡(luò)的接口

interface ethernet1

ip nat outside

通過以上配置，機(jī)房內(nèi)的所有設(shè)備都能訪問外部網(wǎng)，滿足了機(jī)房學(xué)生上網(wǎng)的要求。

4 總結(jié)

在校園網(wǎng)中使用NAT/PAT有許多優(yōu)越性，例如使原有內(nèi)部網(wǎng)絡(luò)不必重新編址、減少注冊IP地址的使用，簡化了網(wǎng)絡(luò)管理；但NAT也影響了一些網(wǎng)絡(luò)管理功能和安全設(shè)施。NAT改變包的IP地址，對于防火墻由于它利用IP地址、TCP端口、目標(biāo)地址以及其它IP包內(nèi)的信息來決定是否干預(yù)網(wǎng)絡(luò)的連接，使用NAT后會改變防火墻的規(guī)則。因此在具體應(yīng)用中，NAT應(yīng)集成在防火墻系統(tǒng)之中，提供訪問控制和地址翻譯的功能。不要把NAT設(shè)在防火墻之外，因為黑客可能會騙過NAT進(jìn)入網(wǎng)絡(luò)。

若在網(wǎng)絡(luò)中使用了VPN（虛擬專用網(wǎng)），并用IPSec進(jìn)行加密安全保證，那么錯誤地設(shè)置NAT會破壞VPN的功能。由于NAT改變IP包的地址，IPSec會認(rèn)為包是偽造的，拒絕使用。因此要把NAT放在受保護(hù)的VPN內(nèi)部，而不是在中間。

 

 

參考文獻(xiàn)：

[1]葉吉祥，利用CISCO路由器的NAT解決IP地址短缺問題.計算機(jī)應(yīng)用，2002,(4):43-45

[2]戶現(xiàn)鋒，NAT技術(shù)及其在防火墻中的應(yīng)用.微型機(jī)與應(yīng)用,2000，（6）：32-33

文章錄入：csh    責(zé)任編輯：csh 

最新評論