论NAT技术分类与技术实现.doc

论NAT技术分类与技术实现 本文详细介绍了NAT技术的分奏，并通过图表说明NAT技术实现的具体过程。通过一个具体的实例，介绍了在cisco路由器上是如何实现的。 ??? 1 Interne、Intranet与NAT技术 ??? 随着Internet网络规模的不断扩大，应用系统越来越丰富，网络用户越来越普及，Internet的各种技术正在迅猛发展，越来越多的企业已经意识到Internet是一种全球商用信息交换的有效手段。Internet的发展不但为企业网络提供了全球信息交换和信息发布的能力，而且Internet的技术以其开放性、标准性、成熟性和实用性为企业网络的建设、应用开发、管理和维护等带来了很好的借鉴，给传统的企业MIS(ManagementInfomation Systems)的网络和应用模式带来巨大的冲击。于是，将Internet的技术模式和成熟技术应用到企业网络环境中就形成了所谓的“Intranet”的概念。 ??? Intranet是指采用Intemet技术建立的企业内部专用网络。它以TCP/IP协议作为基础，以Web为核心应用，构成统一和便利的信息交换平台。Intranet可提供Web出版、交互，目录、电于邮件、安全性、广域互连、文件管理、打印和网络管理等多种服务。Intranet是在Intemet长期发展的基础上采用其成熟技术而发展起来的。由于Internet的技术已被广泛使用，并得到多方的验证及认可，而且Internet拥有一批雄厚的技术力量作为其技术发展支持，因此在Internet基础上形成与发展的Intranet具有成熟、稳定，并且风险小的特点。由于Intranet使用的是TCP/IP协议，在Intranet内部的每台主机都应有一个IP地址。鉴于目前IP地址的紧缺，大多数的Intranet网络使用的都是内部私有地址。这给Intranet接入Intemet带来了不便，为解决这一问题，有多种解决方案。代理服务器就可以完成这一功能，然而代理服务器的工作决定了它的网络带宽利用率不高。NAT(NetworkAddress Translation)技术则是一个很好的选择。 ??? 2 NAT技术的分类及其实现原理 ??? 2．1 NAT技术的基本原理 ??? 简单的说，NAT的功能就是在内部网络的私有地址需要与外部通信时，把内部私有地址转换成合法的全局IP地址。NAT可以在两个方向上隐藏地址，为了支持这种方案，NAT在两个方向上都要翻译原地址和目的地址。目前NAT的功能通常披集成到路由器、防火墙等设备中。NAT设备维护一个NAT映射表，用它来实现全局到本地和本地到全局的地址转换。 ??? 2．2 NAT技术的分类 ??? 2．2．1静态地址转换 ??? 静态地址转换是最简单的一种转换方式，它在NAT表中为本地地址和全局地址之间建立一个固定的一对一的映射。这种方式主要用于内联网中建立的各种服务器，以确保外部主机对服务器的正确访问。如果使用动地址转换，那么内部服务器对外映射的合法地址会动态的改变，导致外部主机无法正确访问。 ??? 2．2．2动态地址转换 ??? 动态地址转换是较灵活的一种转换方式，它在本地和全局地址之间建立一个动态的映射，达时必须建立一个全局地址池，由路由器从全局地址池中选择一个未使用的地址对本地地址进行转换。每个转换条目在连接建立时动态建立，而在连接终止时被回收。这样，网络的灵活性增强，所需要的全局地址减少。必须注意的是：当全局地址池全部被占用以后，以后的地址转换申请将被拒绝，这样会造成网络连通性的问题，所以应使用超时操作选项来回收全局地址池中的地址。对于只向外访问而不允许外部网络访问的内部主机，就采用动态地址转换。 ??? 2．2．3端口复用地址转换 ??? 端u复用地址转换(PAT或NAPT或地址超载)首先是动态地址转换，是根据端口号和地址进行映射转换，允许多个局部地址同时共用一个全局地址，路由器会利用TCP或UDP端口号来唯一标识某台IP主机，是一对多的关系。 ??? 2．3 NAT技术的实现原理 ??? 2．3．1静态地址转换和动态地址转换的实现原理(见图1) 图1 静态地址转换和动态地址转换的实现原理 ??? (1)主机10．1．1．1想打开一个连接到主机B。 ??? (2)路由器接收到从主机10．1．1．1发来的第一个数据包。并枪杳它自己的NAT映射表。如果使用是静态的方式，路由器直接跳到第3步。如果使用的足动态的方式，路由器需要动态的从内部伞局地址池中选择一个内部全局地址，并建以他们之间的映射关系。 ??? (3)路由器通过NAT映射关系表中的条目把内部局部地址10．1．1．1替换成内部全局地址，并且发出这个数据包。 ??? (4)主机B通过内部全局地址210．29．72．1接收并叫应