隨著Internet的迅速發(fā)展,，連接Internet的主機(jī)數(shù)量飛速增長(zhǎng)，IP地址短缺與Internet發(fā)展的矛盾日益嚴(yán)重,。那么,，如何有效解決目前IP地址短缺的問(wèn)題呢？人們提出了許多解決的方案,，NAT（Network Address Translation 網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)提供了一種完全將內(nèi)部網(wǎng)絡(luò)和Internet網(wǎng)隔離的方法，讓內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)通過(guò)少數(shù)幾個(gè)甚至一個(gè)IP（已申請(qǐng)的一個(gè)公網(wǎng)IP）訪問(wèn)Internet資源,，從而節(jié)省了IP地址,，并得到廣泛的應(yīng)用。

NAT簡(jiǎn)介及發(fā)展的需要

　　NAT的功能就是指在一個(gè)網(wǎng)絡(luò)內(nèi)部根據(jù)需要,，不需要經(jīng)過(guò)申請(qǐng)而可以自定義的合法的IP地址,。在網(wǎng)絡(luò)內(nèi)部，各計(jì)算機(jī)間通過(guò)內(nèi)部的IP地址進(jìn)行通訊,，而當(dāng)內(nèi)部的計(jì)算機(jī)要與外部Internet網(wǎng)絡(luò)進(jìn)行通訊時(shí),，具有NAT功能的設(shè)備負(fù)責(zé)將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP（經(jīng)過(guò)申請(qǐng)的IP）地址進(jìn)行通信。
    

　　由于最初設(shè)計(jì)Internet的時(shí)候只考慮到政府,、軍事、教育等方面的應(yīng)用而沒(méi)有考慮到如今互聯(lián)網(wǎng)會(huì)商業(yè)化和民用化等大型規(guī)模發(fā)展,，因而Internet使用的Ipv4協(xié)議中IP地址的長(zhǎng)度選擇了32位,。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)最新報(bào)告顯示，現(xiàn)在通用的IPv4只能提供43億個(gè)地址,，根據(jù)全球互聯(lián)網(wǎng)的發(fā)展速度,，有限的IPv4地址將在2010年前后消耗殆盡。然而即將出現(xiàn)的IPv6被視作為解決Internet不斷發(fā)展的長(zhǎng)期解決方案,。
　　
　　但是IPv6產(chǎn)業(yè)的發(fā)展和應(yīng)用需要經(jīng)歷確定技術(shù)標(biāo)準(zhǔn),、試驗(yàn),、探討應(yīng)用模式,、大規(guī)模部署,、試用、普及應(yīng)用等六個(gè)階段,，而目前全球IPv6網(wǎng)絡(luò)僅處于試驗(yàn)階段,。為了解決全球互聯(lián)網(wǎng)地址枯竭的這種潛在危機(jī)，NAT在這期間可以作為一個(gè)比較完善的臨時(shí)過(guò)度和補(bǔ)充,，可以說(shuō)是IPv4地址短缺的“福音”,。
　　
　　從理論上來(lái)講，借助NAT技術(shù)可以實(shí)現(xiàn)利用一個(gè)合法的IP地址連接幾百臺(tái),、甚至幾百萬(wàn)臺(tái)內(nèi)部網(wǎng)絡(luò)地址主機(jī),。可以有效的減少IP地址的使用,，節(jié)省大量的IP地址資源,，緩解IPv4地址的不足問(wèn)題，有利IPv6的發(fā)展,。

NAT技術(shù)的應(yīng)用

    NAT包括有靜態(tài)NAT,、動(dòng)態(tài)地址NAT和端口多路復(fù)用地址轉(zhuǎn)換三種技術(shù)類型。靜態(tài)NAT是把內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)地址永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法地址,；動(dòng)態(tài)地址NAT是采用把外部網(wǎng)絡(luò)中的一系列合法地址使用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò),；端口多路復(fù)用地址轉(zhuǎn)換是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要,，選擇相應(yīng)的NAT技術(shù)類型,。

　　由1994年NAT技術(shù)問(wèn)世以來(lái)，NAT技術(shù)很快在企業(yè)LAN領(lǐng)域得到廣泛應(yīng)用,。目前,，NAT技術(shù)主要用于連接和安全方面。目前企業(yè)內(nèi)部網(wǎng)絡(luò)用戶數(shù)量大,，而能申請(qǐng)的合法的全球唯一IP地址有限,。NAT能夠有效的解決企業(yè)IP地址短缺問(wèn)題，利用NAT技術(shù)能夠?qū)崿F(xiàn)多個(gè)用戶共同使用一個(gè)合法的IP地址連接互聯(lián)網(wǎng),。而另一種需要出于安全方面來(lái)考慮,，在一定程度上防范網(wǎng)絡(luò)攻擊的發(fā)生。企業(yè)期望隱藏LAN內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),，NAT可以將內(nèi)部LAN與外部Internet隔離,，使外部網(wǎng)絡(luò)用戶無(wú)法了解通過(guò)NAT設(shè)置的內(nèi)部IP地址。
　　
　　NAT技術(shù)在企業(yè)中都采取兩種技術(shù)類型結(jié)合應(yīng)用,，比較好的還是和端口復(fù)用地址轉(zhuǎn)換,。結(jié)合起來(lái)的技術(shù)如：端口復(fù)用地址轉(zhuǎn)換,、TCP/UDP端口NAT映射、靜態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換,、動(dòng)態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換,。

    如果ISP提供的合法IP地址數(shù)量較多，當(dāng)然可以采用靜態(tài)地址轉(zhuǎn)換+端口復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換技術(shù)得以完美實(shí)現(xiàn),。然而,，如果只獲得1個(gè)合法IP地址，雖然可以采用端口復(fù)用地址轉(zhuǎn)換技術(shù),，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的Internet接入,。但是，由于服務(wù)器也采用動(dòng)態(tài)端口,，Internet中的計(jì)算機(jī)將無(wú)法訪問(wèn)到網(wǎng)絡(luò)內(nèi)部的服務(wù)器,。有沒(méi)有好的解決問(wèn)題的方案呢？當(dāng)然,，這就是TCP/UDP端口NAT映射,。既然只有一個(gè)可用的合法IP地址，當(dāng)然采用端口復(fù)用方式來(lái)實(shí)現(xiàn)NAT,。不過(guò),，由于同時(shí)有要求網(wǎng)絡(luò)內(nèi)部的服務(wù)器要被Internet訪問(wèn)到，因此必須采用PAT創(chuàng)建TCP/UDP端口的NAT映射,。
　　
　　我們知道,，不同應(yīng)用程序使用TCP/UDP端口是不同的，例如,，WEB服務(wù)器使用80,、    FTP服務(wù)使用21、SMTP服務(wù)使用25,、POP3服務(wù)使用110等,。由于每種應(yīng)用服務(wù)器都有自己默認(rèn)的端口，所以這種NAT方式下,，網(wǎng)絡(luò)內(nèi)部每種應(yīng)用服務(wù)器成為Internet中的主機(jī),，例如，只能有一臺(tái)WEB服務(wù)器,、一臺(tái)E-mail服務(wù),、一臺(tái)FTP服務(wù)器。盡管可以采用改變默認(rèn)端口的方式創(chuàng)建多臺(tái)應(yīng)用服務(wù)器,，但這種服務(wù)器在訪問(wèn)時(shí)比較困難,，要求用戶必須先了解某種服務(wù)采用的新TCP端口。因此，可以將不同的TCP端口綁定至不同的內(nèi)部IP地址,，從而只使用一個(gè)IP地址,，即可在允許內(nèi)部所有服務(wù)器被Internet訪問(wèn)的同時(shí)，實(shí)現(xiàn)內(nèi)部所有主機(jī)對(duì)Internet的訪問(wèn),。
　　
　　根據(jù)企業(yè)的網(wǎng)絡(luò)環(huán)境利用TCP/UDP端口映射的應(yīng)用,，如企業(yè)網(wǎng)絡(luò)采用1000Mbps光纖接入Internet。路由器選用擁有2個(gè)10/100/1000Mbps自適應(yīng)端口的Cisco2821,。內(nèi)部網(wǎng)絡(luò)使用的IP地址段為192.168.1.1～192.168.1.254（根據(jù)內(nèi)部網(wǎng)絡(luò)規(guī)模而定）,，局域網(wǎng)端口Ethernet 0 的IP地址為192.168.1.1,，子網(wǎng)掩碼為255.255.255.0,。網(wǎng)絡(luò)分配的合法IP地址范圍為202.99.16.128～202.99.160.135，子網(wǎng)掩碼為255.255.255.248,，連接ISP的端口Ethernet 1的IP地址為211.82.220.129,，子網(wǎng)掩碼為255.255.255.252，可用于轉(zhuǎn)換IP地址為211.82.220.130,?？梢耘渲孟嗤愋偷亩鄠€(gè)服務(wù)器，如多個(gè)WEB服務(wù)器,，多個(gè)E-mail服務(wù)器等,。

    具體配置文件如下：
　　Interface fastethernet 0/0
　　  Ip address 192.168.100.1 255.255.255.0
　　!—－定義本地端口IP地址
　　  Ip nat inside
　　!—－定義為本地端口
　　Interface fastethernet 0/1
　　  Ip address 202.99.160.129 255.255.255.252
　　!—－定義廣域網(wǎng)端口IP地址
　　  Ip nat outside
　　!—－定義為廣域網(wǎng)端口
　　Access-list 1 permit 192.168.100.0 0.0.0.255
　　!—－定義本地訪問(wèn)列表
　　Ip nat pool multiip 202.99.160.130 202.99.160.134 netmask 255.255.255.248
　　!—－定義multiip地址池的IP范圍
　　Ip nat inside source list 1 mullitip overload
　　Ip nat inside source static tcp 192.168.1.11 80 202.99.16.130 80
　　Ip nat inside source static tcp 192.168.1.12 80 202.99.16.131 80
　　Ip nat inside source static tcp 192.168.1.13 80 202.99.16.132 80
　　!—－將80端口映射為192.168.1.11～13的80端口（WEB1-3）
　　Ip nat inside source static tcp 192.168.1.14 21 202.99.16.130 21
　　Ip nat inside source static tcp 192.168.1.15 21 202.99.16.131 21
　　!—－將21端口映射為192.168.1.14～15的21端口（FTP1-2）
　　Ip nat inside source static tcp 192.168.1.16 25 202.99.16.133 25
　　Ip nat inside source static tcp 192.168.1.16 110 202.99.16.133 110
　　Ip nat inside source static tcp 192.168.1.17 25 202.99.16.134 25
　　Ip nat inside source static tcp 192.168.1.17 110 202.99.16.134 110
　　!—－將25和110端口映射為192.168.1.16～17的25和110端口（mail1-2）
　　
　　在企業(yè)中因根據(jù)具體的網(wǎng)絡(luò)環(huán)境與條件選擇相應(yīng)的組合方式。在許多FTP網(wǎng)站考慮到服務(wù)器性能和Internet連接帶寬的占用問(wèn)題,，都限制同一IP地址的多個(gè)進(jìn)程訪問(wèn),。該選擇動(dòng)態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換。在很多時(shí)候,，服務(wù)器即為企業(yè)內(nèi)部客戶提供網(wǎng)絡(luò)服務(wù),，同時(shí)又要為Internet中的用戶提供訪問(wèn)服務(wù)，選擇靜態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換是一種比較好的方案,。當(dāng)ISP只提供一個(gè)合法IP地址,，網(wǎng)絡(luò)又沒(méi)有特殊需要，使用端口復(fù)用地址轉(zhuǎn)換技術(shù),，既能節(jié)省了IP地址的同時(shí),，又可有效的保護(hù)網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)。

    除了在連接和隱藏方面的應(yīng)用,，NAT設(shè)備能實(shí)現(xiàn)負(fù)載平衡,。DNS系列服務(wù)器群中多個(gè)IP地址公用一個(gè)域名，由于IP客戶端會(huì)緩沖DNS/IP地址解析,，從而使其后續(xù)申請(qǐng)延遲達(dá)到同一個(gè)IP地址,，在一定程度上減弱了DNS系列服務(wù)器的作用。而基于NAT的負(fù)載平衡方案，可以有效的避免這類問(wèn)題,。NAT設(shè)備是把需要負(fù)載的平衡的多個(gè)IP地址翻譯成一個(gè)公用的IP地址,，每個(gè)TCP連接被NAT送到一個(gè)IP地址，使后續(xù)的TCP連接被NAT送到下一個(gè)IP地址來(lái)實(shí)現(xiàn)真正的負(fù)載平衡,。除此之外,，NAT技術(shù)能夠在用戶更改ISP時(shí)避免了對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行重新編址，同時(shí)減少用戶網(wǎng)絡(luò)接入的費(fèi)用等問(wèn)題,。
NAT技術(shù)潛在的管理和安全的威脅

　　在NAT應(yīng)用中,，從外網(wǎng)表面上看來(lái)是直接與NAT設(shè)備通信。當(dāng)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包被發(fā)送到NAT設(shè)備的IP地址上,，NAT設(shè)備將目的數(shù)據(jù)包頭地址由自己的一個(gè)合法IP地址變成真正的目的主機(jī)的內(nèi)部網(wǎng)絡(luò)地址,。理論上實(shí)現(xiàn)起來(lái)沒(méi)有問(wèn)題，但是實(shí)際中存在一些缺陷,。然而NAT對(duì)多個(gè)專用網(wǎng)絡(luò)的合并和組合時(shí),，NAT系統(tǒng)不支持多層嵌套，從網(wǎng)絡(luò)管理方面加大了難度,。

　　許多Internet協(xié)議和應(yīng)用依賴于真正的端到端網(wǎng)絡(luò),，數(shù)據(jù)包要求在沒(méi)有修改情況下從源地址發(fā)往目的地址。像IP安全架構(gòu)不能跨NAT設(shè)備使用,，由于IP源地址發(fā)出的數(shù)據(jù)包采用了數(shù)字簽名,，如果改變?cè)吹刂窋?shù)字簽名就會(huì)失效。在數(shù)據(jù)加密和數(shù)字簽名上存在著安全隱患,。NAT技術(shù)能夠隱藏內(nèi)部網(wǎng)絡(luò),，但是攻擊者獲得對(duì)NAT設(shè)備的控制，并認(rèn)為是內(nèi)部連接的請(qǐng)求而被允許,，它可以任意授權(quán)身份對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn),，這時(shí)候網(wǎng)絡(luò)將變得非常脆弱。

　　NAT設(shè)備的放置位置也是影響內(nèi)部網(wǎng)絡(luò)安全的一個(gè)問(wèn)題,。由于NAT會(huì)改變信源和信宿地址,，如NAT設(shè)備和防火墻的位置，放在防火墻保護(hù)的一側(cè),，防火墻將不得不負(fù)責(zé)NAT設(shè)備的安全規(guī)則,，同時(shí)對(duì)內(nèi)部的信源或信宿地址也不能確定。如果放在防火墻的另一側(cè),，外部網(wǎng)絡(luò)攻擊者有可能偽裝成內(nèi)部的合法授權(quán)用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)或攻擊,。在使用IP安全協(xié)議的虛擬專用網(wǎng)中對(duì)NAT設(shè)備的放置位置也是一個(gè)考驗(yàn)，如果放在虛擬專用網(wǎng)的保護(hù)一側(cè),，NAT需要改動(dòng)IP報(bào)頭的地址,，然而IP安全協(xié)議中的報(bào)頭源地址是不能改變的，改變了將不能確定源報(bào)頭的出處，失去了IP安全協(xié)議中的安全機(jī)制,。NAT技術(shù)的管理與網(wǎng)絡(luò)的安全是密切相關(guān)的,，由于NAT設(shè)備小的疏忽而造成網(wǎng)絡(luò)安全威脅。

    總結(jié)

　　NAT技術(shù)無(wú)可否認(rèn)是在IPv4地址資源的短缺時(shí)候起到了緩解作用,；在減少用戶申請(qǐng)ISP服務(wù)的花費(fèi)和提供比較完善的負(fù)載平衡功能等方面帶來(lái)了不少好處,。但是在IPv4地址在以后幾年將會(huì)枯竭，NAT技術(shù)不能改變IP地址空間不足的本質(zhì),。然而在安全機(jī)制上也潛在著威脅,，在配置和管理上也是一個(gè)挑戰(zhàn)。如果要從根本上解決IP地址資源的問(wèn)題,，IPv6才是最根本之路,。在IPv4轉(zhuǎn)換到IPv6的過(guò)程中，NAT技術(shù)確實(shí)是一個(gè)不錯(cuò)的選擇,，相對(duì)其他的方案優(yōu)勢(shì)也非常明顯,。