摘要：在校園網(wǎng)中使用NAT/PAT管理IP地址能夠簡(jiǎn)化網(wǎng)絡(luò)管理，節(jié)省注冊(cè)的IP地址，提高IP地址的使用率，隱蔽敏感服務(wù)的IP地址。在校園網(wǎng)中對(duì)不同用戶應(yīng)用不同的NAT/PAT管理IP地址十分重要。

關(guān)鍵字：NAT；PAT；校園網(wǎng)；IP地址管理

0 引言

隨著校園網(wǎng)的迅速發(fā)展，規(guī)模日益擴(kuò)大，應(yīng)用部門增多，網(wǎng)上豐富的資源產(chǎn)生著巨大的吸引力使接入用戶快速增加。網(wǎng)絡(luò)管理日益復(fù)雜：注冊(cè)的合法IP地址日益短缺、多個(gè)用戶只能同時(shí)共用IP地址、有些部門不想讓外部網(wǎng)絡(luò)用戶知道自己內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)等。為了解決這些問(wèn)題，出現(xiàn)了許多解決方案。在目前校園網(wǎng)絡(luò)環(huán)境中常用的比較有效的方法是地址轉(zhuǎn)換(NAT)和端口轉(zhuǎn)換（PAT）。

1 NAT/PAT

NAT（地址轉(zhuǎn)換）就是把在內(nèi)部網(wǎng)絡(luò)中使用IP地址轉(zhuǎn)換成外部網(wǎng)絡(luò)中使用的IP地址，把不可路由的IP地址轉(zhuǎn)化成可路由的IP地址，節(jié)省NIC注冊(cè)的IP地址，對(duì)外部網(wǎng)絡(luò)隱蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。PAT（端口轉(zhuǎn)換）是一種特殊的NAT，也稱NAT復(fù)用，就是將許多內(nèi)部網(wǎng)絡(luò)IP地址映射到一個(gè)或少數(shù)幾個(gè)外部網(wǎng)絡(luò)的IP地址，使內(nèi)部網(wǎng)絡(luò)用戶公用一個(gè)外部IP地址，節(jié)省NIC注冊(cè)的IP地址。

NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。NAT設(shè)備維護(hù)一個(gè)狀態(tài)表，用來(lái)把內(nèi)部網(wǎng)絡(luò)的IP地址映射到外部網(wǎng)絡(luò)的IP地址。每個(gè)包在NAT設(shè)備中都被轉(zhuǎn)換后發(fā)往下一級(jí)。NAT本身并不提供類似防火墻、包過(guò)濾、隧道等技術(shù)的安全性，只是在包的最外層改變IP地址，使外部網(wǎng)絡(luò)用戶不知道內(nèi)部網(wǎng)絡(luò)的地址結(jié)構(gòu)防止一般外部網(wǎng)絡(luò)用戶對(duì)內(nèi)部網(wǎng)絡(luò)的非法訪問(wèn)。

NAT應(yīng)用有三種方式：靜態(tài)NAT（static NAT）、動(dòng)態(tài)NAT（pooled NAT）和PAT（端口復(fù)用NAT）。靜態(tài)NAT是采用固定分配的方法映射內(nèi)部網(wǎng)絡(luò)的和外部網(wǎng)絡(luò)的IP地址。動(dòng)態(tài)NAT則是采用動(dòng)態(tài)分配的方法映射內(nèi)部網(wǎng)絡(luò)的和外部網(wǎng)絡(luò)的IP地址。PAT則是把多個(gè)內(nèi)部網(wǎng)絡(luò)IP地址映射到外部網(wǎng)絡(luò)的同一個(gè)IP地址的不同端口上。

2 NAT/PAT的應(yīng)用

靜態(tài)NAT

靜態(tài)NAT (Static Network Address Translation)是NAT中最簡(jiǎn)單的應(yīng)用方式，內(nèi)部網(wǎng)絡(luò)IP地址和外部網(wǎng)絡(luò)IP地址只能是一一對(duì)應(yīng)的固定映射方式，且需要指定和哪個(gè)地址進(jìn)行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡(luò)中有E-mail服務(wù)器、FTP服務(wù)器、WEB服務(wù)器等為外部網(wǎng)絡(luò)用戶提供服務(wù)，則這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部網(wǎng)絡(luò)用戶可以使用這些服務(wù)。

動(dòng)態(tài)NAT池

動(dòng)態(tài)NAT池（Pooled NAT）是采用動(dòng)態(tài)分配的方法映射內(nèi)部網(wǎng)絡(luò)的和外部網(wǎng)絡(luò)的IP地址。可以使外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)提供的服務(wù)，也可以從內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)，而不需要重新配置內(nèi)部網(wǎng)絡(luò)中的IP地址。例如，分配給學(xué)校辦公系統(tǒng)的內(nèi)部子網(wǎng)192.168.0.0，其網(wǎng)絡(luò)地址屬于B類保留地址。作為校園網(wǎng)的一個(gè)子網(wǎng)，其IP地址僅分配給辦公系統(tǒng)用戶設(shè)備。為了使校園網(wǎng)其它用戶能訪問(wèn)到這個(gè)內(nèi)部網(wǎng)，用路由器把辦公內(nèi)部網(wǎng)和校園網(wǎng)連接起來(lái)，使之能相互訪問(wèn)。但由于192.168.0.0屬于內(nèi)部地址，不能直接訪問(wèn)外部網(wǎng)絡(luò)。所以在路由器中設(shè)置一個(gè)動(dòng)態(tài)NAT池，用來(lái)轉(zhuǎn)換翻譯來(lái)自內(nèi)部網(wǎng)絡(luò)的IP包的地址，把包的IP地址映射成地址池中的外部網(wǎng)絡(luò)IP地址。因此內(nèi)部網(wǎng)可以訪問(wèn)外部網(wǎng)絡(luò)的服務(wù)器，外部網(wǎng)絡(luò)中的任何主機(jī)也能訪問(wèn)內(nèi)部網(wǎng)絡(luò)提供的服務(wù)。

采用動(dòng)態(tài)NAT可以在內(nèi)部網(wǎng)中定義很多的內(nèi)部用戶，通過(guò)動(dòng)態(tài)分配的辦法，共享很少的幾個(gè)外部IP地址。而靜態(tài)NAT則只能形成一一對(duì)應(yīng)的固定映射方式。當(dāng)NAT池中動(dòng)態(tài)分配的外部IP地址全部被占用后，后續(xù)的NAT翻譯申請(qǐng)將會(huì)失敗。一般有NAT功能的路由器有超時(shí)配置功能。例如在Cisco7600中可以配置成開始15分鐘后刪除當(dāng)前的NAT進(jìn)程，為后續(xù)的NAT申請(qǐng)預(yù)留出外部網(wǎng)絡(luò)IP地址。由于一般的外部連接時(shí)間不會(huì)很長(zhǎng)，所以連接的時(shí)間閾值可以設(shè)置較短。對(duì)不同的內(nèi)部網(wǎng)絡(luò)用戶可以使用不同的時(shí)間閾值，以滿足各自的需求。

動(dòng)態(tài)NAT池(Pooled Network Address Translation)為校園網(wǎng)絡(luò)管理提供了很大的靈活性，但也影響到部分網(wǎng)絡(luò)管理功能。例如，原來(lái)用IP地址來(lái)跟蹤設(shè)備的運(yùn)行情況。但使用NAT之后，由于被翻譯的地址對(duì)應(yīng)的內(nèi)部網(wǎng)絡(luò)地址是動(dòng)態(tài)變化的，因此無(wú)法準(zhǔn)確了解指定內(nèi)部網(wǎng)絡(luò)設(shè)備的運(yùn)行情況，給校園網(wǎng)設(shè)備遠(yuǎn)程管理帶來(lái)一定麻煩。

PAT

PAT(Port Address Translation)也稱為NAPT，是一種動(dòng)態(tài)地址轉(zhuǎn)換，它可以允許多個(gè)內(nèi)部本地地址共用一個(gè)內(nèi)部合法地址，用不同的協(xié)議端口號(hào)映射不同的內(nèi)部網(wǎng)絡(luò)地址。PAT理論上可以支持64500個(gè)TCP／IP、UDP／IP連接，但實(shí)際可以支持的工作站數(shù)約4000。因?yàn)樵S多Internet應(yīng)用如HTTP，實(shí)際上由許多小的連接組成。

PAT大量應(yīng)用在遠(yuǎn)程訪問(wèn)中，特別是在遠(yuǎn)程撥號(hào)用戶使用的設(shè)備中。使用PAT時(shí)，所有不同的TCP和UDP信息流仿佛都來(lái)源于同一個(gè)IP地址。雖然這樣會(huì)導(dǎo)致信道的擁塞，但由于節(jié)省了上網(wǎng)費(fèi)用、注冊(cè)IP地址、易管理的特點(diǎn)，對(duì)只申請(qǐng)到少量IP地址但卻經(jīng)常同時(shí)有多個(gè)用戶上外部網(wǎng)絡(luò)的情況，這種轉(zhuǎn)換極為有用。

3 NAT/PAT配置示例

以集美大學(xué)CISCO 7600配置的PAT為例說(shuō)明NAT/PAT的應(yīng)用。學(xué)校機(jī)房教學(xué)網(wǎng)有一個(gè)內(nèi)部網(wǎng)絡(luò)192.168.20.0由于內(nèi)部用戶有訪問(wèn)外部網(wǎng)絡(luò)的要求，因此分配給它一個(gè)外部網(wǎng)絡(luò)的公用地址210.34.143.2用于內(nèi)網(wǎng)絡(luò)用戶訪問(wèn)外部網(wǎng)絡(luò)。

設(shè)置外部網(wǎng)絡(luò)的一個(gè)地址用于PAT

ip nat pool mypool 210.34.143.2 210.34.143.2 prefix 30

設(shè)置辦公網(wǎng)內(nèi)部網(wǎng)絡(luò)的要轉(zhuǎn)換的地址

access-list 1 permit 192.168.20.0  0.0.0.255

設(shè)置內(nèi)外地址轉(zhuǎn)換

ip nat inside source list 1 pool mypool overload

設(shè)置內(nèi)部網(wǎng)絡(luò)的接口

interface ethernet0

ip nat inside

設(shè)置外部網(wǎng)絡(luò)的接口

interface ethernet1

ip nat outside

通過(guò)以上配置，機(jī)房?jī)?nèi)的所有設(shè)備都能訪問(wèn)外部網(wǎng)，滿足了機(jī)房學(xué)生上網(wǎng)的要求。

4 總結(jié)

在校園網(wǎng)中使用NAT/PAT有許多優(yōu)越性，例如使原有內(nèi)部網(wǎng)絡(luò)不必重新編址、減少注冊(cè)IP地址的使用，簡(jiǎn)化了網(wǎng)絡(luò)管理；但NAT也影響了一些網(wǎng)絡(luò)管理功能和安全設(shè)施。NAT改變包的IP地址，對(duì)于防火墻由于它利用IP地址、TCP端口、目標(biāo)地址以及其它IP包內(nèi)的信息來(lái)決定是否干預(yù)網(wǎng)絡(luò)的連接，使用NAT后會(huì)改變防火墻的規(guī)則。因此在具體應(yīng)用中，NAT應(yīng)集成在防火墻系統(tǒng)之中，提供訪問(wèn)控制和地址翻譯的功能。不要把NAT設(shè)在防火墻之外，因?yàn)楹诳涂赡軙?huì)騙過(guò)NAT進(jìn)入網(wǎng)絡(luò)。

若在網(wǎng)絡(luò)中使用了VPN（虛擬專用網(wǎng)），并用IPSec進(jìn)行加密安全保證，那么錯(cuò)誤地設(shè)置NAT會(huì)破壞VPN的功能。由于NAT改變IP包的地址，IPSec會(huì)認(rèn)為包是偽造的，拒絕使用。因此要把NAT放在受保護(hù)的VPN內(nèi)部，而不是在中間。

 

 

參考文獻(xiàn)：

[1]葉吉祥，利用CISCO路由器的NAT解決IP地址短缺問(wèn)題.計(jì)算機(jī)應(yīng)用，2002,(4):43-45

[2]戶現(xiàn)鋒，NAT技術(shù)及其在防火墻中的應(yīng)用.微型機(jī)與應(yīng)用,2000，（6）：32-33

文章錄入：csh    責(zé)任編輯：csh 

最新評(píng)論