【正文】 NAT 技術(shù)在局域網(wǎng)中的應(yīng)用 6 外部全局地址 （ Outside Global Address） ：外部網(wǎng)絡(luò)的主機(jī)地址，全局唯一。 其中內(nèi)部 /外部的含義是內(nèi)部 /外部網(wǎng)絡(luò)。 是 PC 1 的內(nèi)部全局地址。 （ 2）到達(dá) gateway， gateway 會轉(zhuǎn)發(fā)數(shù)據(jù)包給外部網(wǎng)絡(luò)，并把數(shù)據(jù)包修改為以 為目的，以 為源。 這四個術(shù)語 之間的區(qū)別和用途可 用圖 21 來說明。有些應(yīng)用程序?qū)⒃?IP 地址嵌入到 IP 報文的數(shù)據(jù)部分中，所以還需要同時對報文的數(shù)據(jù)部分進(jìn)行修改，以匹配 IP 頭中已經(jīng)修改過的源 IP 地址。在其他 ISP 那里，即使是擁有幾百臺計算機(jī)的大型局域網(wǎng)用戶，當(dāng)他們申請IP 地址時，所分配的地址也不過只有幾個或十幾個 IP 地址。原因很簡單， NAT 不僅完美地解決了 IP 地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機(jī)。 NAT 包括三種類型，分別是靜態(tài) NAT、動態(tài) NAT和端口復(fù)用 NAT（即 PAT）。 IPv6 的提出，讓人們看到的希望，最稱為是最終解決方案 。如可以使用可變長子網(wǎng)掩碼（ VLSM）技 術(shù)，更好地利用 IP 地址中的每一個二進(jìn)位，劃分出包含更少主機(jī)位的子網(wǎng)絡(luò)，高效分配 IP 地址（較少浪費(fèi)），比有類 IP 地址提供了更多的靈活性。 針對這個問題，人們在 IP 地址的分配和保留 IP 地址方面做了許多工作和努力，來緩解日益惡化的地址缺乏 問題。隨著互聯(lián)網(wǎng)的普及，一個明顯的事實(shí)是：連接到網(wǎng)絡(luò)中的人員和設(shè)備數(shù)量每時每刻都在增加。請注意使用 NAT協(xié)議，局域網(wǎng)內(nèi)的計算機(jī)可以訪問 Inter 上的計算機(jī)，但 Inter 上的計算機(jī)無法訪問局域網(wǎng)內(nèi)的計算機(jī)。由于網(wǎng)絡(luò)地址的漸漸緊缺，和計算機(jī)網(wǎng)絡(luò)的飛速發(fā)展， IPv4 地址漸漸的不夠使用是我們通常使用 NAT 的一個主要原因。包括 NAT 技術(shù)在局域網(wǎng)中的網(wǎng)絡(luò)配置、管理以及軟硬件配置中各個環(huán)節(jié)的具體應(yīng)用方案。伴隨著互聯(lián)網(wǎng)的飛速發(fā)展，現(xiàn)在越來越多的公司和企業(yè)擁有了自己的網(wǎng)絡(luò)，但是如何利用好 NAT 技術(shù)，讓自己的局域網(wǎng)可以更加安全、高效的使用互聯(lián)網(wǎng)是許多公司及企業(yè)關(guān)注的問題。 題目 NAT 技術(shù)在局域網(wǎng)中的應(yīng)用 作者姓名 金 飛 指導(dǎo)教師 張 偉 二級學(xué)院 電氣信息工程學(xué)院 專 業(yè) 通信工程 學(xué) 號 7B092134 2020 年 5 月 15 日 西安培華學(xué)院本科畢業(yè)論文（設(shè)計） NAT 技術(shù)在局域網(wǎng)中的應(yīng)用 I NAT 技術(shù)在局域網(wǎng)中的應(yīng)用 摘 要 本文通過大學(xué)四年所學(xué)的計算機(jī)及網(wǎng)絡(luò)知識，完成 一個基于 NAT 技術(shù)構(gòu)建的局域網(wǎng)。 NAT 技術(shù)是將專用的 IP 地址映射為公用 IP 地址的標(biāo)準(zhǔn)方法，它是通過局域網(wǎng)中主機(jī)之間的相互通信和對外部網(wǎng)絡(luò)頁面的訪問加上查看路由表信息，對應(yīng)用 NAT 技術(shù)的結(jié)果進(jìn)行了測試。解決了專業(yè)的網(wǎng)絡(luò)用戶在利用 NAT 技術(shù)管理局域網(wǎng)的過程常見的一些問題以及技術(shù)難題。由于我們對安全需求的提高， NAT 慢慢變化為隔離內(nèi)外網(wǎng)絡(luò)、保障網(wǎng)絡(luò)安全的基本手段 ，而且采用這種技術(shù)，無須額外投資，單純利用現(xiàn)有網(wǎng)絡(luò)設(shè)備，即可輕松達(dá)到安全目的。使用 NAT 可以讓多人同時通過 NAT 來上網(wǎng)，而且只需要使用一個公網(wǎng) IP，支持內(nèi)部多個局域網(wǎng)同 時通過 NAT 上網(wǎng)，支持 DHCP 的功能，用來自動分配 IP 地址給局域網(wǎng)內(nèi)的計算機(jī)，支持 DNS 代理的功能，用來替局域網(wǎng)內(nèi)的計算機(jī)查詢 IP 地址，支持 TCP/UDP 端口映射的功能，讓外界的用戶可以訪問內(nèi)部的網(wǎng)站、郵件服務(wù)等，支持多個公網(wǎng) IP 與地址映射的功能，以便讓外界的特殊應(yīng)用軟件可以通過 NAT 來與網(wǎng)絡(luò)內(nèi)部的應(yīng)用程序通信。理論上說， IPv4 的可用地址只有大約 232 個，實(shí)際上只有大約 2 億 5 千萬個地址能夠給設(shè)備使用。 現(xiàn)存解決方案 最常見動態(tài)解決的方法是，當(dāng)合法用戶需要接入 Inter 中時， ISP 為他分配一個可用的 IP 地址，使他可以訪問網(wǎng)絡(luò)，當(dāng)用戶斷開連接后，之前分配的 IP 地址，再由 ISP收回，留待其他用戶接入時，再把之前的 IP 地址分配給其他用戶。無類域間路由（ CIDR）伴隨著 VLSM 而使用，將從 VLSM 產(chǎn)生的無類的 IP 地址集中起來，匯聚為一個代表較大范圍的單一路由表項(xiàng)，減少了路由器中路由表的條目，從而減輕路由器的負(fù)擔(dān)。 IPv6 提供了豐富的地址空間，實(shí)際上是 IPv4 地址長度的 4 倍， IPv6 的優(yōu)點(diǎn)還西安培華學(xué)院本科畢業(yè)論文（設(shè)計） NAT 技術(shù)在局域網(wǎng)中的應(yīng)用 3 有其安全性、擴(kuò)展性和高可用性。它主要思想是把本地的私有 IP 地址映射到公網(wǎng)的合法 IP 地址，以緩解可用 IP 地址空間的消耗。 雖然 NAT 可以借助于某些代理服務(wù)器來實(shí)現(xiàn)， 但考慮到運(yùn)算成本和網(wǎng)絡(luò)性能，很多時候都是在路由器上來實(shí)現(xiàn)的。顯然，這樣少的 IP 地址根本無法滿足網(wǎng)絡(luò)用戶的需求，于是也就產(chǎn)生了 NAT 技術(shù)。否則，在報文數(shù)據(jù)都分別嵌入 IP 地址的應(yīng)用程序就不能正常工作。 西安培華學(xué)院本科畢業(yè)論文（設(shè)計） NAT 技術(shù)在局域網(wǎng)中的應(yīng)用 5 G a t e w a y內(nèi) 部 網(wǎng) 絡(luò)I n t e r n e tP C c l i e n t 1 P C c l i e n t 2外 部 網(wǎng) 絡(luò)1 0 . 0 . 0 . 11 0 . 0 . 0 . 2X . X . X . XY . Y . Y . Y 圖 21 網(wǎng)絡(luò)連接結(jié)構(gòu)圖 如圖 21 所示， PC 1 是區(qū)域網(wǎng)（內(nèi)部網(wǎng)絡(luò)）中一臺主機(jī)，通過網(wǎng)關(guān)訪問外部網(wǎng)絡(luò)，它在內(nèi)部網(wǎng)絡(luò)中的 IP 地址是 ，是內(nèi)部所有保留地址，不合法，若以此 IP 地址為源訪問外部網(wǎng)絡(luò)，將不會被認(rèn)識。 （ 3） PC 2 接收到此數(shù)據(jù)包，會以 為目的，以 為源，發(fā)送返回數(shù)據(jù)包。 是 PC 2 的外部全局地址。本地 /全局的含義是本機(jī)實(shí)際 /虛擬（轉(zhuǎn)換）的地址。 這些IP 地址是全局可路由的合法公網(wǎng) IP 地址。 這些 IP 地址不一定是公網(wǎng)地 址。 NAT 的工作原理 現(xiàn)在，我們需要明白的是，在局域網(wǎng)內(nèi)部的私有地址是不能直接訪問外網(wǎng)的，我們一定要通過轉(zhuǎn)換城公有地址才可以訪問 Inter ，如圖 22 所示，是兩個公司的 Inter 網(wǎng)絡(luò)互相交流，我們來看看這其中的工作原理。 （ 3） Inter 網(wǎng)絡(luò)受到了內(nèi)部全局 IP 地址的請求，之間進(jìn)行路由選擇，被 RB 接收，RB 通過查看 RA 發(fā)送過來的內(nèi)部全局 IP 地址和端口號等信息，直接發(fā)送給 網(wǎng)絡(luò)的網(wǎng)關(guān)。 （ 7） RA 收到數(shù)據(jù)包，查看自己緩存里的對應(yīng)的主機(jī)和端口，并對 網(wǎng)絡(luò)的 IP1 進(jìn)行轉(zhuǎn)發(fā)。 當(dāng) NAT 接受到此響應(yīng)時，數(shù)據(jù)包包含以下地址信息： 目標(biāo) IP 地址： 源 IP 地址： 目標(biāo)端口： 5000 源端口： 80 當(dāng) NAT 完成地址的映射和解析后，它將此數(shù)據(jù)包發(fā)送給 Inter 客戶端，數(shù)據(jù)包包含以下地址信息： 目標(biāo) IP 地址： 源 IP 地址： 目標(biāo)端口： 1025 源端口： 80 NAT 的優(yōu)缺點(diǎn) NAT 技術(shù)在實(shí)際局域網(wǎng)應(yīng)用中有以下優(yōu)缺點(diǎn)： 優(yōu)點(diǎn)： 。 在一個具有 NAT 功能的路由器下的主機(jī)并沒有建立真正的端對端連接，并且不能參與一些因特網(wǎng)協(xié)議。） NAT 也會使安全協(xié)議變的復(fù)雜。 （ 2） NAT 使得 IP 協(xié)議從面向無連接變成面向連接。而當(dāng)存在 NAT 時，最初設(shè)計的 TCP/IP 協(xié)議過程將發(fā)生變化， Inter 可能變得非常脆弱。 （ 4）有些應(yīng)用是將 IP 地址插入到正文的內(nèi)容中，例如標(biāo)準(zhǔn)的 FTP 協(xié)議與 IP Phone協(xié)議 。 （ 5） NAT 同時存在對高層協(xié)議 和安全性的影響問題。 利用 靜態(tài) 地址 轉(zhuǎn)換，便 可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備的訪問。當(dāng) ISP提供的合法 IP 地址 較 少于網(wǎng)絡(luò)內(nèi)部的計算機(jī)數(shù)量時。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自 inter 的攻擊。要求將內(nèi)部網(wǎng)址 分別轉(zhuǎn)換為合法 IP 地址 。 IP nat inside source static 內(nèi)部本地地址內(nèi)部合法地址。每個包在 NAT 設(shè)備中都被翻譯城正確的 IP 地址，發(fā)往下一級，這說明著給處理器帶來了部分的壓力。 （ 2）配置內(nèi)部接口 IP 地址。 西安培華學(xué)院本科畢業(yè)論文（設(shè)計） NAT 技術(shù)在局域網(wǎng)中的應(yīng)用 14 圖 42 多對多地址轉(zhuǎn)換 動態(tài) NAT 配置 ： （ 1）配置外部接口 IP 地址。 Router(config)ip nat pool poolname startip endip {mask mask|prefixlength prefixlength} [type rotary] Natmask: 表示子網(wǎng)掩碼 prefixlength: 表示網(wǎng)絡(luò)前綴 Type rotary(可選 ): 地址池中的地址為循環(huán)使用 Router(config)ip nat pool test mask （ 5）實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換 Router(config)ip nat inside source list accesslis