基于端口映射NAT网络方案分析与实施

张波　万丽

摘 要：当前信息网络飞速发展，网络地址转换（NAT，Network Address Translation）在计算机网络中的作用非常重要。NAT技术的应用，能够有助于减缓可用IP地址空间严重不足的问题。本文针对某一局域网连接到Internet的案例，论述了当前应用较多的基于端口映射的PAT技术，分析了当ISP分配的公用IP地址池和路由器的广域网口IP不在同一网段的情况下，NAT的配置方式。实现了让内部网用户通过PAT转换为公用IP地址，访问Internet。

关键词：NAT；PAT；网络；路由器

中图分类号：TP393 文献标识码：A

1 引言（Introduction）

当前，我们进入信息时代，计算机网络飞速发展，对IP地址的需要也就越来越紧缺。根据调查统计，目前，我国的网民数量达到6.5亿，而我国拥有的IP地址数量只有几千万个。于是，产生了NAT技术，大量的上网用户都是通过局域网接入到Internet，局域网内部使用内部IP地址，出去访问的时候使用公用IP地址。

NAT技术即将局域网私有IP转换为可以上Internet的公网IP。私有IP地址是指内部网络或主机的IP地址，公有IP地址是指在Internet上全球唯一的IP地址。私有IP地址块是任何局域网内部都可以使用的，但其身份不能出去访问，包括三个部分[1]，如下：

A类：10.0.0.0～10.255.255.255

B类：172.16.0.0～172.31.255.255

C类：192.168.0.0～192.168.255.255

上述三个范围内的地址在Internet上没有身份，只能在局域网内部使用，不同的局域网可以使用相同网段的内部IP地址，因为它们相互之间不冲突。

2 NAT的定义（The definition of NAT）

NAT（Network Address Translation，网络地址转换）是1994年提出的。当在局域网内部的一些主机本来已经分配到了私有IP地址（即仅在本专用网内使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法[2]。

这种方法需要在局域网连接到Internet的出口路由器上，启用NAT功能。启用NAT功能的路由器我们称之为NAT路由器，它至少有一个有效的公用全球IP地址，也可以向所在的ISP申请多个公用IP地址[3]。这样，当任何一个局域网用户需要访问Internet的时候，数据包首先发到局域网出口的NAT路由器。然后，NAT路由器将其内部地址转换成公用IP地址，才能和Internet通信。所以，NAT即将私有IP和公用IP进行映射的一种方法。

3 NAT的分类和分析（The classification and analysis

of NAT）

NAT技术可以分为三类，分别是静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad[4]。

静态NAT是指将局域网的某个特定的私有IP地址映射为某个特定的公有IP地址。IP地址的映射是一对一的，而且是固定匹配的。某个私有IP地址只转换为某个公有IP地址。静态NAT技术，通常使用在局域网中的某个服务器需要对外发布服务，例如局域网的WEB服务器等。

动态转换NAT是指将局域网的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的。即局域网的任意一个内部主机出去访问Internet时，随机被转换为某一个公网地址池的地址。通常，需要定义内部IP地址的范围和外部IP地址的地址池，就可以进行动态NAT转换。动态转换可以使用多个合法全局地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

端口多路复用（Port Address Translation，PAT）是指改变外出数据包的源端口并进行端口转换，即端口地址转换。采用端口多路复用NAT，可以最大限度地节约IP地址资源，几百个内部IP可以共用一个外部地址出去访问Internet[5]。

端口地址转换NAT，使用了端口映射转换，可以隐藏局域网内部的所有主机，让Internet的用户看不到内部网络。这样，可以有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式[6]。该方式不仅能解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

4 NAT方案规划和实现（Planning and

Implementation of NAT Program）

4.1 方案建设原则

本项目以多NAT技术为核心，解决局域网内部各个主机访问外网的问题；应用NAT保护内网的安全性，解决隐藏内部主机暴露在Internet的问题；以路由器环回口代表一个网段，解决路由器的出口IP地址和申请到的ISP地址不在同一个网段的问题，有效提升NAT转换地址的能力。

4.2 方案的总体规划

本系统分为内部网和外网，R1为内部网的出口路由器，R2为ISP的路由器，他们之间广域网线路所在的网段为201.1.1.0/24。R1和R2之间运行OSPF协议，工作在area0区域，要求内部网的主机对外网是隐藏的。内部网的IP网段是192.168.1.0，外网服务器的IP是210.1.1.2，内部网出口路由器R1向ISP申请的公网IP地址是198.26.112.1—198.26.112.10/24，NAT使用类型为端口多路复用。最后，让内部网的主机可以通过NAT访问外网的服务器Server0，外网的用户不能访问内部网主机。

整个系统的拓扑图如图1所示。

图1 系统拓扑图

Fig.1 System topology

4.3 方案的实现

（1）先配置各个接口IP地址。

如图2所示，配置R1的IP地址，这里注意R1除了配置局域网口和广域网口的IP，还需要配置一个环回口loopback0，将其IP设置为申请的ISP公用地址网段198.26.112.1/24。R2的接口IP配置和R1类似，配置局域网口和广域网口IP。

图2 配置接口的IP

Fig.2 Configuration interface IP

（2）配置OSPF协议。

在R1上启用OSPF协议，注意在使用network命令通告网段的时候，不需要通告192.168.1.0，因为将内部网段对外隐藏。具体配置如图3所示。

图3 OSPF协议配置

Fig.3 OSPF protocol configuration

（3）PAT的配置。

PAT的配置可以让内部网的多台主机共用一个外部全局IP访问Internet。先设置公用IP地址池，再设置内部IP地址访问列表，再设置他们的映射关系，最后设置NAT的出口类型。具体配置如图4所示。

图4 PAT配置

Fig.4 The PAT configuration

（4）系统测试结果。

最后，设置内部网PC机的IP地址为192.168.1.1默认网关为192.168.1.254。打开PC机的DOS窗口，使用ping命令测试内部网到外网的连通性，发出四个数据包，收到四个数据包，数据通信正常，如图5所示。表明内部网主机出去访问Internet时，转换了公用地址池的IP地址。如图6所示，运行PAT功能的路由器的地址映射表。

图5 ping测试结果

Fig.5 The ping test results

图6 地址映射表

Fig.6 Address mapping table

5 结论（Conclusion）

系统主要集成了基于端口映射的NAT技术、环回口代表地址池技术、路由协议隐藏内部网段技术。NAT技术分类较多，本文重点论述了应用较多的PAT技术，并且讨论了当ISP分配的公用IP地址池和路由器的广域网口IP不在同一网段的情况下，应该如何处理。最后，系统成功让内部网用户通过PAT转换为公用IP地址池的地址，访问Internet。

参考文献（References）

[1] 袁希群.使用NAT技术实现网络地址转换[J].电脑知识与技术：学术交流，2012，（2）：790-793.

[2] 陈显亭，贾晓飞.网络出口转换技术研究[J].电子科技，2010，（12）：73-75.

[3] 任浩，王劲林，鲁逸峰.UPnP和STUN相结合的NAT穿越技术研究[J].计算机工程与应用，2009，（2）：98-100.

[4] 罗瑞红，申海军.利用CISCO PT软件模拟计算机网络中DHCP、NAT的应用[J].软件导刊，2012，（12）：150-152.

[5] 梁伟.访问互联网NAT配置项目综合实训[J].电子世界，2013，（10）：150-153.

[6] 于坤，陈晓兵.面向P2P网络应用的NAT穿透机制研究[J].软件，2013，（09）：115-117.

作者简介：

张 波（1977-），男，学士，一级教师.研究领域：计算机网络通讯和计算机学科教学.

万 丽（1977-），女，学士，一级教师.研究领域：计算机网络管理和计算机学科教学.