論NAT技術(shù)分類(lèi)與技術(shù)實(shí)現

科技資訊SCINC & ItoANO oov NFOMATION信息技術(shù)論NAT技術(shù)分類(lèi)與技術(shù)實(shí)現胡曉燕(南通大學(xué)江蘇南通 226019)摘要:本文詳細介紹了 NAT技術(shù)的分奏,并通過(guò)圈表說(shuō)明NAT技術(shù)實(shí)現的具體過(guò)程。通過(guò)- -個(gè)具體的實(shí)例,介紹了在Cisco路由器上是如關(guān)鍵詞:NAT技術(shù)內聯(lián)網(wǎng)中圖分類(lèi)號:TP393.03文獻標識碼:A文章編號:1672-3791(2008)2()-0022-021 Interne. Intranet與NAT技術(shù)靜態(tài)地址轉換是最簡(jiǎn)單的一種轉換方式,它在本 地和全局地址之間建立一個(gè)動(dòng)隨著(zhù)Internet網(wǎng)絡(luò )規模的不斷擴大,應式,它在NAT表中為本地地址和全局地址態(tài)的映射,這時(shí)必須建立-一個(gè)全局地址池，用系統越來(lái)越豐富.網(wǎng)絡(luò )用戶(hù)越來(lái)越普及，之間建立一個(gè)固定的一對一的映射。這種由路由器從全局地址池中選擇-一個(gè)未使 用Internet的各種技術(shù)正在迅猛發(fā)展,越來(lái)越方式主要 用于內聯(lián)網(wǎng)中建立的各種服務(wù)的地址對本 地地址進(jìn)行轉換。每個(gè)轉換條多的企業(yè)已經(jīng)意識到Internet是一種全球器 ，以確保外部主機對服務(wù)器的正確訪(fǎng)問(wèn)。目在連接建立時(shí)動(dòng)態(tài)建立,而在連接終止商用信息交換的有效手段。Internet的發(fā)展如果使用動(dòng)地址轉換，那么內部服務(wù)器對時(shí)被回收.這樣,網(wǎng)絡(luò )的靈話(huà)性增強,所需不但為企業(yè)網(wǎng)絡(luò )提供了全球信息交換和信外映射的合 法地址會(huì )動(dòng)態(tài)的改變,導致外要的全局地址減少。必須注意的是:當全局息發(fā)布的能力，而且Internet的技術(shù)以其開(kāi)部 主機無(wú)法正確訪(fǎng)間。地址池全部被占用以后,以后的地址轉換放性. .標準性.成熟性和實(shí)用性為企業(yè)網(wǎng)絡(luò )2.2. 2動(dòng)態(tài)地址轉換申請將被拒絕，這樣會(huì )造成網(wǎng)絡(luò )連通性的的建設.應用開(kāi)發(fā)、管理和維護等帶來(lái)了很動(dòng)態(tài)地址轉換是較靈活的一種轉換方問(wèn)題,所以應使用超時(shí)操作選項來(lái)回收全好的借鑒.給傳統的企業(yè)MIS(ManagementInformation Systems)的網(wǎng)絡(luò ) 和應用模型帶內部網(wǎng)外部網(wǎng).CDA7來(lái)巨大的沖擊。于是,將Internet的技術(shù)模式210.29.7.SA和成熟技術(shù)應用到企業(yè)網(wǎng)絡(luò )環(huán)境中就形成10.1.1210.1.1.1 .210.29.721了所謂的“Intranet"的概念。Intranet是指采用Internet技術(shù)建立的主機B .企業(yè)內部專(zhuān)用網(wǎng)絡(luò )。它以TCP/IP協(xié)議作210.29.64.9為基礎,以Web為核心應用,構成統- -和便利的信息交換平臺。Intranet可提供Web出版.交互、目錄.電于郵件.安全性、廣域10.1.1.1互連.文件管理、打印和網(wǎng)絡(luò )管理等多種服務(wù).Intranet是在Intermet長(cháng)期發(fā)展的基礎上采用其成熟技術(shù)而發(fā)展起來(lái)的。由于.Internet的技術(shù)已被廣泛使用,并得到多方內郵接口2外部接口的驗證及認可,而且Internet擁有一批雄厚的技術(shù)力最作為其技術(shù)發(fā)展支持，因此在NAT映射表Internet基礎上形成與發(fā)展的Intranet具有內部局部地址|內部全局地址成熟，穩定,并且風(fēng)險小的特點(diǎn)。由于Intranet使用的是TCP/IP協(xié)議,在Intranet210.29.72.1內部的每臺主機都應有一個(gè)IP地址.鑒于10.1.1.2210.29.72.2 」目前IP地址的緊缺,大多數的Intranet網(wǎng)絡(luò )使用的都尼內部私有地址。這給Intranet接SA:源地址(source adrese) DA:H 標地hldesination aerss)入Internet帶來(lái)了不便，為解決這一-問(wèn)題,有圖1多種解決方案.代理服務(wù)器就可以完成這-功能,然而代理服務(wù)器的工作決定了它的網(wǎng)絡(luò )帶寬利用半不高。NAT(Network0外部網(wǎng)廠(chǎng)DA210.29.72.Address Translation)技 術(shù)則是一個(gè)很好的DA210.29.72選擇。10.1..上Internet機B2 NAT技術(shù)的分類(lèi)及其實(shí)現原理之2.1NAT技術(shù)的基本原理簡(jiǎn)單的說(shuō),NAT的功能就是在內部網(wǎng)絡(luò )的私有地址:需要與外部通信時(shí)，把內部1.1.1.1私有地址轉換成合法的全局IP地址.NAT主機C .可以在兩個(gè)方向上隱藏地址,為了支持這21029.68.1種方案,NAT在兩個(gè)方向上都要翻譯原地MT映射表址和目的地址。目前NAT的功能通常被集成到路由器.防火墻等設備中。NAT設備維協(xié)議內部局部地址: 端U卡中國煤化工局地址:端口號護一個(gè)NAT映射表,用它來(lái)實(shí)現全局到本TCP 10.1.1.1; 1732CNMHG64.9,23地和本地到全局的地址轉換。fH2.2 NAT技術(shù)的分類(lèi)TCP10.1.1.2: 10211210.29.72.1: 1024l 210.29.68.1: 232.2. 1靜態(tài)地址轉換22科技資訊 SCIENCE & TECHNOLOOY INFORMATIONSCtENCL & ItONO ov N SHWATID科技資訊信息技術(shù)表1用(overloading)功能足打開(kāi)的.并且已經(jīng)存任務(wù)命令在一個(gè)活動(dòng)的映射條目.那么路由器將復.I進(jìn)入接口命令模式interface type number用這個(gè)全局的地址并且記錄下足夠多的信[定義此接| 1為內部接1ip nal inside息好把地址從新映射間去。進(jìn)入接1侖令模式(3)路由器通過(guò)NAT映射關(guān)系表中的條[定義此接11為外部接口ip nat outside目把內郫局部地址10.1.1.1替換成內部會(huì )| 在內部地址和外部地址之間建以.靜態(tài) ip nat inside source static local-ip局地址,并且發(fā)出這個(gè)數據包。(4)末機B通過(guò)內部全局地址210.29.的映射global-ip72. 1接收并網(wǎng)應從主機10.1.1.1發(fā)出的數據包表2(5)當路由器收到一個(gè)帶有內部全局地[任務(wù)| 命令址的數據包時(shí)，它使用這個(gè)內部全局地址。[ 進(jìn)入接口俞令模式所使用的協(xié)議.端∩號以及外部地址和端L 定義此按11為內部接山ip nat inside口號作為關(guān)鍵字查找它的NAT映射關(guān)系[ 進(jìn)入接11命令模式表。然后作反向的修改把IP地址改為內部[ 定義此按1為外部接1。ip nat inside .局部地址10.1.1.1并且把數據包發(fā)送給10.1.1.1。定義“個(gè)地址:池用于進(jìn)行地址轉換ip nal pool name start- ip end-ip {nelmask(6)主機10.1.1.1接收到數據包然后繼netmask | prefix- length prefix length}續進(jìn)行會(huì )話(huà)。路由器對每一個(gè)數據包都從定義個(gè)訪(fǎng)間控制列表，以允許內部地址能access-list acess-list-number permit第2步到第5步進(jìn)行處理。夠訪(fǎng)問(wèn)外部source Lsource-wi Idrard]建匯個(gè)動(dòng)態(tài)地址的轉換的映射關(guān)系iPnatinsidesource list3 NAT技術(shù)在Cisco路由器上實(shí)現的命令access-list-number pool3.1靜態(tài)地址轉換的實(shí)現命令name在Cisco路由器上實(shí)現靜態(tài)地址的轉換需要在全局配置模式卜執行以下任務(wù)(表1)。表3上南的步驟足進(jìn)行靜態(tài)地址轉換必須進(jìn)行了最少配置,還可以進(jìn)行多個(gè)接口的進(jìn)入按1 1命令模式3.2動(dòng)態(tài)地址轉換的實(shí)現命令定義此接11為內部接11在Cisco路由器上實(shí)現動(dòng)態(tài)地址的轉換需進(jìn)入接11命令模式 .interface Lype number要在全局配置模式下執行以下低務(wù)(表2)。定義此接口為外部接口ip nat inside .3.3端口復用地址轉換的實(shí)現命令定義個(gè)地址池用于進(jìn)行地址轉換ip nat pool name start-ip end-ip {netmask在Cisco路由器上實(shí)現端n地址的轉換喬netmask I prefix- length prefix-length)要在全局配置模式下執行以下任務(wù)(表3)。定義個(gè)訪(fǎng)問(wèn)控制列衣，以允許內部地址能access list acess-list -number permisource Lsource-wi ldcard]參考文獻建爾個(gè)端1 1地址的轉換的映射火系ipsource[{1] George C .Sackett著(zhù).前導工作室譯.Cisco路由器手冊[M].機械工作出版社，access-I ist - number pool name over load2000.[2] 謝維平主編，干磊,沈洲編著(zhù). Cisco局地址池中的地址。對于只向外訪(fǎng)向而不CCNA認證號試輔導[M].人民郵電出版允許外部網(wǎng)絡(luò )訪(fǎng)問(wèn)的內部主機,就采用動(dòng)目 把內部局部地址10.1.1.1棧換成內部全社,2002.態(tài)地址轉換。局地址，并且發(fā)出這個(gè)數據包。2.2.3端口復用地址轉換(4)主機B通過(guò)內部全局地址210.29.72.端U復用地址轉換(PAT或NAPT或地1接收 并問(wèn)應從主機L10.1.1.1發(fā)出的數據包。址超載)首先是動(dòng)態(tài)地址轉換,是根據端口號和地址進(jìn)行映射轉換,允許多個(gè)局部地址的數據包時(shí),它使用這個(gè)內部全局地址址同時(shí)共用一個(gè)余局地址,路由器會(huì )利用作 為關(guān)鍵字查找它的NAT映射關(guān)系表。然TCP或UDP端幾號來(lái)唯一標識某臺IP主機， 后作 反向的修改把IP地址改為內部局部地是一對多的關(guān)系。址10.1.1. 1并且把數據包發(fā)送給10.1.1.1。2.3 NAT技術(shù)的實(shí)現原理(6)主機10. 1.1.1接收到數據包然后繼2.3.1靜態(tài)地址轉換和動(dòng)態(tài)地址轉換續進(jìn)行會(huì )話(huà)。 路由器對每一個(gè)數據包都從的實(shí)現原理(見(jiàn)圖1)(1)主機10.1.1.1想打開(kāi)一個(gè)連接到主2.3.2端口復用地址轉換的實(shí)現原理LB.(2)路由器接收到從主機10.1.1.1發(fā)來(lái)(見(jiàn)圖2)(1)主機10.1.1. 1想打開(kāi)一個(gè)連接到主的第一個(gè)數據包。并檢在它自己的NAT映機B.射表。如果使用是靜態(tài)的方式,路由器直接(2)路由器接收到從主機1中國煤化工跳到第3步。如果使用的足動(dòng)態(tài)的方式，路的第一個(gè)數據包，并檢食它自由器需要動(dòng)態(tài)的從內部全局地址池中選擇射表。如果路由器NAT映射條:0HCNMHG一個(gè)內部全局地址.井建匯他們之間的映要從內部全局地址池中選擇一個(gè)內部全麗射關(guān)系。地址,并建匯他們之間的映射關(guān)系。如果復科技資訊SCIENCE & TECHNOLOOY IN-OHMAIION23