第五章配置NAT.doc

第五章 配置NAT NAT(Network Address Translation) NAT（网络地址翻译） NAT：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址，在Internet上使用。其具体的做法是把IP包内的地址域用合法的IP地址来替换。 NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址发往下一级，这意味着给处理器带来了一定的负担。但这对于一般的网络来说是微不足道的，除非是有许多主机的大型网络。 NAT类型 NAT有三种类型：静态NAT（StaticNAT）、NAT池（PooledNAT）和端口NAT（PAT）。 (1)、静态NAT（StaticNAT） 静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。 (2)、NAT池（PooledNAT） 用NAT池，可以从未注册的地址空间中提供被外部访问的服务，也可以从内部网络访问外部网络，而不需要重新配置内部网络中的每台机器的IP地址。 采用NAT池意味着可以在内部网中定义很多的内部用户，通过动态分配的办法，共享很少的几个外部IP地址。而静态NAT则只能形成一一对应的固定映射方式。该引起注意的是，NAT池中动态分配的外部IP地址全部被占用后，后续的NAT翻译申请将会失败。但是，许多有NAT功能的路由器具备超时配置功能。这样就可以在NAT路由器上配置每隔一个时间段就删除当前停止活动的NAT进程，为后续的NAT申请预留出外部IP地址。这个时间阈用户可以自行调节，以满足各自的需求。 NAT池提供很大灵活性的同时，也影响到网络原有的一些管理功能。例如，SNMP管理站利用IP地址来跟踪设备的运行情况。但使用NAT之后，意味着那些被翻译的地址对应的内部地址是变化的，今天可能对应一台工作站，明天就可能对应一台服务器。这给SNMP管理带来了麻烦。一个可行的解决方案就是把划分给NAT池的那部分地址在SNMP管理平台上标记出来，对于这些不响应管理信号的地址不予报警，如同它们被关掉了一样。 (3)、端口NAT（PAT） PAT就是把内部的TCP／IP映射到外部一个注册IP地址的多个端口上。PAT可以支持同时连接64500个TCP／IP、UDP／IP，但实际可以支持的工作站个数会少一些。因为许多Internet应用如HTTP，实际上由许多小的连接组成。PAT在远程访问产品中得到了大量的应用，特别是在远程拨号用户使用的设备中。 在Internet中使用PAT时，所有不同的TCP和UDP信息流看起来仿佛都来源于同一个IP地址。这个优点在小型办公室（SOHO）内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过PAT接入Internet。实际上，许多SOHO远程访问设备支持基于PPP的动态IP地址。这样，ISP甚至不需要支持PAT，就可以做到多个内部IP地址共用一个外部IP地址上Internet。虽然这样会导致信道的一定拥塞，但考虑到节省的ISP上网费用和易管理的特点，用PAT还是很值得的。 NAT应用 (1)、一个公有地址对应一个私有地址。 (2)、几个私有地址对应几个公有地址。 (3)、一个公有地址对应一大群私有地址。 实现NAT的途径 (1)、在路由器创建NAT（如图1所示） 图1 NAT路由器拓扑图 NAT路由器具备二个端口：一个内部端口(Inside)，一个外部端口(Outside) 上图为建立在NAT路由器上的内部试验子网，属于B类保留地址，不能直接访问Internet，但通过NAT路由器翻译来自内部网络的IP包，把它的IP地址映射成地址池（PooledAddresses）中的合法IP地址后，内部网可以访问Internet上的任何服务器，Internet上的任何主机也能通过TCP或UDP访问到内部网。 (2)、在Windows或LINUX服务器上创建NAT (3)、通过已经单独集成NAT功能的设备，实现IP地址的转换； 与NAT有关的其它概念 (1)、内部本地地址（Inside local address） 指一个网络内部分配给网上主机的IP地址，此地址通常不是Internet上的合法地址，即不是NIC或ISP所提供的IP地址，它不能够直接在Internet上通信。 (2)、内部全局地址（Inside global address） 用来替代一个或多个内部本地IP地址的、对外的、Internet上合法的IP地址。此地址是由需要向NIC或ISP所提供取得的IP地址，能够直接在Internet上通信。 (3)、外部本地地址（