NAT技术及其应用分析

李秀峰

摘   要：网络的快速发展给人们的生活带来了诸多便利，但是由于接入设备的数量大幅上升，给本来就捉襟见肘的IP地址存量带来冲击。现存IPv4版本的地址数量已经接近告罄，虽然新一代的IPv6已在试验运行，但其普及还需要较长的一段时间。为了解决版本更替期间IPv4地址数量不足的问题，引入了NAT技术。文章介绍了3种类型NAT技术，阐述了其工作原理和应用，最后分析了不同NAT技术的优缺点及产生的一些问题。

关键词：网络地址转换技术;网络地址;网络安全

1    网络地址转换技术简要介绍

现如今，世界已经步入了信息技术高速发展的时代，例如5G网络的商用，使得更多的电子设备（如Pad、手机及其他移动终端等）可以接入网络。这一爆发式的网络发展导致IP地址越发紧缺，互联网通信协议第4版（Internet Protocol Version 4，IPv4）的地址面临被全部分发完毕的风险[1]。为了解决这一难题，引入了网络地址转换技术（Network Address Translation，NAT），可以在很大程度上缓解地址数量不足的问题，其工作方式是：将某个子网中的一个或多个IP地址从一个网络转变为另一个不同的网络，为的是变换网络身份的同时，变相增加可用地址数量。这样做的好处在于：

（1）将一些公网IP留出来供私有网络重复使用，因为并不是每个用户都是时刻在线的状态，所以多个用户可以采用轮换的方式用同一个地址在不同的时间段对外访问。

（2）允许一个单位或部门的所有主机以同一个IP地址的身份同时对外访问，各主机之间没有冲突，不受时间限制。

可以看出，这样的工作机制使得内网地址以另一种公开身份被外界认知，从而外部网络无法直接访问内部网络。在解决IP地址数量不足的同时，提高了网络的安全性，降低了真实内部主机被攻击的风险。

1.1  基本原理

NAT可以将一个机构或部门以一个或多个公有IP地址的身份在互联网上活动[2]。与外部互联时，将局域网内设备节点的地址转换成一个可以在互联网上被承认的公网IP;反之亦然。同时，可以结合防火墙技术，把一些重要的内网地址隐藏起来，如：数据库服务器地址、文件服务器地址，使内网和外网隔离，从而保障内网安全。另外，它可以通过配置，合理安排整个园区网络的IP地址设置，使得私有地址充分发挥自己的作用，各部门之间分割清晰，对外又统一分配IP。下面介绍NAT技术使用到的4种IP类型：

（1）内部局部地址，可以由管理员手动配置，也可以由DHCP服务器分配给客户机，主要由私网地址构成。

（2）内部全局地址，由园区网络中心或网络运营商分配的公网IP地址，是对应到外部网络的一个或多个合法IP地址，主要用于在互联网上识别发送端身份。

（3）外部局部地址，目的端内网主机地址，与第一类地址相似，大部分由局域网内的私网地址构成，可以由目的端内网DHCP设备分配或手工配置。

（4）外部全局地址：目的端主机的公网IP地址，由ISP进行分配。

例如，在某个集团公司中，有A，B两个分公司，分别向网络运营商申请了公网IP，假设A的地址为11.11.11.11，B的地址为22.22.22.22，两公司均在网络拓扑中使用NAT技术，A的内部网络为192.168.0.0/24，B的内部网络为10.0.0.0/24。那么在双方通信过程中，相对于A来说，A的内部局部地址（网络）是192.168.0.0/24，内部全局地址便是11.11.11.11，而外部局部地址（网络）是10.0.0.0/24，而外部全局地址就是22.22.22.22。

1.2  工作流程

NAT技术很大程度上缓解了当前IP地址紧缺的状况，同时，它将内网和外网进行隔离，无形之中形成一道“防火墙”。具体的工作流程为：当私网内的主机需要访问公网时，产生的数据包源IP地址会被替换为一个公网地址及相应的端口，同时，产生一个Session;同理，当数据返回时，会将返回数据包中的目标地址改为对应Session中的私网IP[3]。

例如，内网中的主机PCA（假设为：192.168.1.1）需要与外网通信。PCA从7000端口发送请求消息至NAT设备。若经过辨别发现此IP地址在ACL列表中属于permit范围内，便会在地址池里剩余的IP中选择一个可用的公网IP（如198.172.1.1），并从空闲的端口中挑出一个可用端口（如8000端口），建立192.168.1.1：7000和198.172.1.1：8000之间的映射，形成一个Session。当网关返回消息到NAT设备的8000端口时，会将数据包中的目的地址修改为192.168.1.1：5000，最终完成数据通信。若NAT Session没有形成前，外网主机向地址198.172.1.1：8000发送消息，由于Session中还没有形成对应的映射关系，此数据包在没有默认路由的情况下，会被路由器丢弃。

2    NAT技术的类型

目前，NAT技术分为3种类型：静态地址转换、动态地址转换和端口复用。（1）静态NAT技术，是一种类似绑定的转换方式，即将内网需要连接互联网的每台主机分别映射为合法的公网IP，形成一种人为指定的一对一关系。（2）动态NAT技术，采用地址池的方式，池中定义了一段连续的公网地址，需要转换时从中按顺序选择一个未使用的公网IP，形成Session，这是一种多对多的映射关系，由于随机性较高，这种方法可以起到防御网络攻击的作用。（3）端口复用技术，其实是动态NAT中的一种，不同的是，它将所有需要转换的地址映射到同一个公网IP的不同端口上，使得每个申请地址转换的主机对外身份看起来都是一样的，只是在端口号上有所不同。在实际应用中可以根据不同的需要及申請得到的外网IP地址数量，选择合适的NAT技术类型。

2.1  静态地址转换

静态地址转换是将内部局部地址与内部全局地址形成一对一的映射，在没有释放之前，这种关系将一直存在。例如内部网络中需要为外网提供公共服务的服务器可以采用静态地址转换技术，避免被黑客获取到真实IP而使这些设备受到网络攻击[4]。

静态地址转换配置步骤（采用Cisco类型设备）：

（1）建立内部局部地址与内部全局地址之间的转换。在路由设备的全局配置模式下输入：ip nat inside source static 内部局部地址、内部全局地址。

（2）应用在网络的内部端口，一般为某个网络的内部网关。在端口设置模式下输入：ip nat inside。

（3）应用在网络的外部端口，在端口设置模式下输入：ip nat outside。

以上就是静态NAT的设置，可根据实际需要在多个内部端口和多个外部端口进行应用。

2.2  动态NAT

动态NAT和静态NAT最大的不同之处在于使用了地址池，池中存放了多个可访问外网或被外网访问的内部全局地址，在需要网络连接时自动完成映射。这种动态分配的方法使得多个内部局部地址共享少数几个公网IP，在建立连接后它们之间依然是一对一的关系，只是这种对应关系不是永久的，随着每次连接的请求和释放会发生变化。需要明确的一点是：当地址池中的全部IP地址都被占用后，后续的转换请求将会失败。解决这一问题的方法是：可以使用超时释放功能。如Cisco路由器在当前进程15 min后无流量通过的情况下，自动删除当前的NAT进程，当前使用的内部全局地址重新收回放入地址池中。

当然，地址池的使用也有一定的不足之处：会妨碍到管理系统跟踪设备的运行情况。倘若被监管IP在NAT地址池之中，随着网络进程的申请和释放，这些地址对应的内部局部地址是不断变化的，这就引起了网络管理的不确定性。目前的解决方法是：在网络管理平台上把这些地址标记出来，然后对这些地址不进行任何处理。

动态地址转换基本配置步骤：

（1）在全局配置模式下，配置地址池格式为：ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码，其中，地址池的名称可以自行设定。

（2）在全局配置模式下，设置一个标准访问控制列表，列出所有可以被转换的内部局部地址。格式为：Access-list 标号permit源地址 通配符掩码。

（3）在全局配置模式下，将前两步的设置内容进行绑定，也就是把地址池和ACL列表中的地址進行对接。格式为：ip nat inside source list访问列表标号pool地址池名称。

（4）指定需要被应用的内部端口：在端口配置模式下，输入ip nat inside。

（5）指定需要被应用的外部端口：在端口配置模式下，输入ip nat outside。

2.3  PAT端口复用

端口复用技术也是一种动态NAT技术[5]，不同于前面的是，它将地址池中的所有地址对应到一个公网地址的不同端口上。当多个主机同时使用一个IP地址时，互联网通过传输层的端口号等信息来标识某台计算机，这样一来，从ISP处申请一个可用的公网IP就可以通过PAT将多个内网主机接入互联网，使得传输层的信息流看起来仿佛都来源于同一个源地址。这样做有利也有弊，PAT会引起一定程度的信道拥塞，但可以大大减少上网开支。另外，根据空闲端口的数量限制，PAT可形成64 500个Session连接。

其配置步骤与上文中提到的动态NAT十分相似，只在第1步和第3步有一些区别：第1步中的地址池内，只有一个内部全局地址;第3步中，在全局配置模式下，配置语句改为：ip nat inside source list访问列表标号pool地址池名称 overload，其中，关键字overload就是端口复用的意思。

3    结语

NAT基于ISO/OSI 7层模型中的网络层和传输层实现，分为3种类型。由于私网地址的使用不受限制，使其网络配置更加灵活、方便。不仅很大程度上缓解了IP地址紧缺的问题，提高了网络安全性。同时，用户不需要因为更换ISP而对内部网络重新进行编址，减少网络了变化引起的代价。NAT技术也存在一些不足：由于路由器需要对每次的地址翻译进行响应，所以要对每个数据包进行检查，增大了路由器的工作负荷;此外，由于隐藏了主机的真正标识，增大了对此类主机访问互联网跟踪管理和审计工作的难度。

[参考文献]

[1]陈杰.IPv6过渡的NAT技术[D].南京：南京邮电大学，2013.

[2]贺抒，梁昔明.NAT技术分析及其在防火墙中的应用[J].信息安全，2004（8）：167-168.

[3]刘昊东.基于P2P网络中UDP穿透NAT技术的研究[J].计算机与数字工程，2009（12）：112-113.

[4]张永平.VPN网络中IPSec穿越NAT的研究[J].计算机与应用与软件，2008（1）：250-251.

[5]姚正.NAT技术原理探究及在校园网上的应用实例[J].网络通讯及安全，2008（3）：457-458.

Abstract：The rapid development of the network has brought a lot of convenience to peoples life， however， due to the sharp increase in the number of access devices， the already stretched stock of IP addresses has an impact. The number of addresses in the existing IPv4 version is close to running out， and although the new generation of IPv6 is already running on a trial basis， it will take a long time for this version to become popular. In order to solve the problem of insufficient number of IPv4 addresses during version replacement， NAT technology is introduced. This paper introduces three types of NAT technology， expounds their working principle and application， and finally analyzes the advantages and disadvantages of different NAT technologies and some problems arising from them.

Key words：network address translation; network address; network security