第17章 網絡地址轉換(NAT)完成本章內容以后，您將能夠： ①了解地址轉換(NAT)的作用和工作原理②了解各種NAT 術語③理解NAT 的各種應用：負載均衡和處理地址交叉 ④掌握NAT 的配置和排

第17章 網絡地址轉換(NAT)

完成本章內容以后，您將能夠： ①了解地址轉換(NAT)的作用和工作原理

②了解各種NAT 術語

③理解NAT 的各種應用：負載均衡和處理地址交叉 ④掌握NAT 的配置和排錯

441

第17章 網絡地址轉換(NAT)

隨著接入因特網的計算機數(shù)量的不斷猛增，IP 地址資源也就愈加顯得捉襟見肘。事實上，一般用戶幾乎申請不到整段的公網C 類地址。在ISP 那里，即使是擁有幾百臺計算機的大型局域網用戶，也不過只有幾個或十幾個公網IP 地址。顯然，當他們申請公網IP 地址 時，所分配的地址數(shù)量遠遠不能滿足網絡用戶的需求，為了解決這個問題，就產生了網絡地址轉換NAT(Network Address Translation)技術。

NAT技術允許使用私有IP 地址的企業(yè)局域網可以透明地連接到像因特網這樣的公用網絡上，無需內部主機擁有注冊的并且是越來越缺乏的公網IP 地址，從而節(jié)約公網IP 地址資 源，增加了企業(yè)局域網內部IP 地址劃分的靈活性。

之前學習的交換和路由技術使我們能夠組建企業(yè)網絡，在本章，我們就將學習有關NAT 的概念和配置方法。學習完本章之后，將能夠理解NAT 的工作原理和對NAT 進行配置，使企業(yè)網絡能夠在申請不到足夠的合法公網IP 地址的情況下，也依然能夠連接到因特網上，并對一般的NAT 故障進行檢查與排除。

17.1 NAT 概念和術語

17.1.1 NA T 概述

1．NA T 的應用

網絡地址轉換(Network Address Translation，NAT) 通過將內部網絡的私有IP 地址翻譯成全球唯一的公網IP 地址，使內部網絡可以連接到互聯(lián)網等外部網絡上，廣泛應用于各種類型因特網接入方式和各種類型的網絡中。原因很簡單，NAT 不僅解決了IP 地址不足的問題，而且還能夠隱藏內部網絡的細節(jié)，避免來自網絡外部的攻擊，起到一定的安全作用。

雖然NAT 可以借助于某些代理服務器來實現(xiàn)，但考慮到運算成本和網絡性能，很多時 候都是在路由器上實現(xiàn)的。

借助于NAT ，私有保留地址的內部網絡通過路由器發(fā)送數(shù)據包時，私有地址被轉換成合法的IP 地址，一個局域網只需要少量地址(甚至是1個) ，即可實現(xiàn)使用了私有地址的網絡內所有計算機與因特網的通信需求。

NAT將自動修改IP 包頭中的源IP 地址和目的IP 地址，IP 地址校驗則在NAT 處理過程中自動完成。有一些應用程序將源IP 地址嵌入到IP 數(shù)據包的數(shù)據部分中，所以還需要同時對數(shù)據部分進行修改，以匹配IP 頭中已經修改過的源IP 地址。否則，在包的數(shù)據部分嵌入了IP 地址的應用程序不能正常工作。令人遺憾的是，Cisco 的NAT 雖然可以處理很多應用，但它還是有一些應用無法支持。

2．NA T 的實現(xiàn)方式

NAT 的實現(xiàn)方式有3種：

◇靜態(tài)轉換(Static Translation)

◇動態(tài)轉換(Dynamic Translation)

◇端口多路復用(Port Address Translation，PAT)

442

第17章 網絡地址轉換(NAT)

靜態(tài)轉換就是將內部網絡的私有IP 地址轉換為公有合法的IP 地址時，IP 地址的對應關系是一對一的，是不變的，即某個私有IP 地址只轉換為某個固定的公有IP 地址。借助于靜態(tài)轉換，能實現(xiàn)外部網絡對內部網絡中某些特定設備(如服務器) 的訪問。

動態(tài)轉換是指將內部網絡的私有地址轉換為公有地址時，IP 地址對應關系是不確定的、隨機的，所有被授權訪問因特網的私有地址可隨機轉換為任何指定的合法地址。也就是說，只要指定哪些內部地址可以進行NAT 轉換，以及哪些可用的合法IP 地址可以作為外部地址時，就可以進行動態(tài)轉換了。動態(tài)轉換也可以使用多個合法地址集。當ISP 提供的合法地址少于網絡內部的計算機數(shù)量時，可以采用動態(tài)轉換的方式。

端口多路復用是改變外出數(shù)據包的源IP 地址和源端口并進行端口轉換，即端口地址轉換采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP 地址實現(xiàn)因特網的訪問，從而可以最大限度地節(jié)約IP 地址資源。同時，又可以隱藏網絡內部的所有主機，以有效地避免來自因特網的攻擊。因此，目前網絡中使用最多的就是端口多路復用方式。

17.1.2 NA T 的術語

前面曾經說明，目前IP 地址缺乏是公用網絡所面臨的一個關鍵問題，為能最大限度地利用用戶的合法IP 地址，產生了NAT 技術。

NAT 功能可以讓使用私有(保留) 地址的網絡與公用網絡(如因特網) 進行連接。使用私有地址的“內部”網絡通過NAT 路由器發(fā)送數(shù)據包時，私有地址被轉換成合法的IP 地址，因此，這些數(shù)據包可以發(fā)送到諸如因特網這樣的公用網絡上。以前只有防火墻擁有這些功能，現(xiàn)在，路由器基本都擁有該功能。

圖17.1展示了一個用NAT 處理地址交叉的實例，從這個例子可以很好地說明NAT 的工作過程和所使用的各種地址術語。在這個實例中，原來兩個獨立的網絡要合并，如圖17.2所示，A 公司和B 公司進行合并，組成了AB 公司。遺憾的是，當初建設A 公司和B 公司的網絡時，網絡設計者都使用了10.1.1.0這個地址空間。因此，會存在很多A 公司的網絡設備與B 公司網絡設備配置有相同IP 地址的情況，即發(fā)生了地址的交叉。

圖17.1 NA T 示例

443

第17章 網絡地址轉換(NAT)

圖17.2 公司合并導致IP 地址沖突

對于這些情況，最好的解決辦法就是重新規(guī)劃這個合并的網絡。不過，這個重新分配地址的過程相當麻煩。NAT 可以作為連接兩個網絡的過渡方案，對地址交叉的情況進行轉換處理，直到IP 地址完成重新分配計劃。

------------------------------------------------------------------------------- 提示：在上面這種應用中，NAT 被當作過渡方案。在一個網絡中允許地址沖突是不得已的選擇。這將給維護和配置帶來很多麻煩。

-------------------------------------------------------------------------------

主機A 所在的內部子網和外部子網使用相同的IP 地址段，因此內部子網和外部子網通信時必須進行地址的轉換。主機A 的內部局部地址10.1.1.1必須轉換成內部全局地址192.2.2.1才能訪問外部子網，而外部子網的主機B 的外部全局地址10.1.1.1也只有轉換成外部局部地址193.3.3.1，才能夠被主機A 所識別，兩者之間的通信才能建立起來。

對于在內部主機A 和外部主機B 之間傳輸?shù)拿總€數(shù)據包，邊界路由器都會進行檢查：

◇對于到內部區(qū)域的數(shù)據包，會用內部局部地址替換目的地址，外部局部地址替換源地址。

◇對于到外部區(qū)域的數(shù)據包，會用內部全局地址替換源地址，外部全局地址替換目的地址。

也就是說，邊界路由器為了避免地址的重疊，在這里做了兩個方向的地址轉換。

結合這個實例，來介紹NA T 的一些相關術語：

◇內部局部IP 地址(inside local IP address)：在內部網絡中分配給主機的私有IP 地址。該地址是從RFC 1918(私有因特網空間地址分配) 所定義的私有地址空間中分配的，或者隨機挑選的。

◇內部全局IP 地址(inside global IP address)：一個合法的IP 地址(由NIC 或者網絡服務提供商所分配) 。它對外代表一個或多個內部局部IP 地址。該地址通常是從全球統(tǒng)一可尋址的地址空間中分配的，一般由因特網服務提供商(ISP)提供。

◇外部全局IP 地址(outside global IP address) ：由其所有者給外部網絡上的主機分配的IP 地址。該地址通常也是從全球統(tǒng)一可尋址的地址空間中分配的。

444

第17章 網絡地址轉換(NAT)

◇外部局部IP 地址(outside local IP address)：外部主機表現(xiàn)在內部網絡的IP 地址。這一地址是從內部可尋址的地址空間中分配的，很可能是從諸如RFCl918中所定義的保留地址空間中分配的。

◇簡單轉換條目(simple translation entry) ：將一個IP 地址映射到另一個IP 地址的轉換條目。

◇擴展轉換條目(extended translation entry) ：映射IP 地址和端口到另一對IP 地址和端口的條目。

可以考慮這樣一個例子，我們出門的時候穿皮鞋，回到家里就要換上拖鞋，而且家里還要專門為來訪的客人準備一雙拖鞋，客人來了也需要脫下皮鞋換上拖鞋。

其實，NAT 地址轉換就好像這個過程，這些地址就是我們穿的鞋子。內部局部地址就是我們回家之后在家里穿的拖鞋，只能在家里穿不能穿出門，而內部全局地址則是我們出門要穿的皮鞋，出門換上進家脫下來；外部地址就是來家里拜訪的客人所穿的鞋子，外部全局地址是客人穿來的皮鞋，到了我們家里要換上我們專門為他準備的拖鞋——外部局部地址，而客人離開的時候，就得換回他自己的皮鞋才能出門。其中，我們自己的皮鞋和客人的皮鞋不能混穿，我們自己的拖鞋和客人的拖鞋不能混穿。這就是4種類型的地址之間的關系。

17.1.3 NA T 的優(yōu)勢和缺點

NA T 的典型優(yōu)勢如下：

◇NAT 允許企業(yè)內部網使用私有地址，并通過設置合法地址集，使內部網可以與因特網進行通信，從而達到節(jié)省合法注冊地址的目的。

◇NAT 可以減少規(guī)劃地址集時地址重疊情況的發(fā)生。如果地址方案最初是在私有網絡中建立的，因為它不與外部網絡通信，所以有可能使用了保留地址以外的地址，而后來，該網絡又想要連接到公用網絡。在這種情況下，如果不做地址轉換，就會產生地址沖突。

◇NAT 增強了內部網絡與公用網絡連接時的靈活性。它可以通過使用多地址集、備份地址集和負載分擔/均衡地址集，來確?？煽康墓镁W絡連接。對于網絡設計者來說，內部網絡的設計也會變得比較容易，因為做地址規(guī)劃時可以有更多的靈活性。

◇NAT 支持地址重疊。將私有網絡地址轉換為公用網絡地址，一般需要對原地址重新設置地址，所需的工作量與需要設置新地址的主機數(shù)有關。如果使用NAT 技術，就可以不對原私有網絡內部的地址進行改動，同時，還可以對外部網絡支持新的公用地址方案。

當然，NAT 也不是沒有缺點。用于地址轉換的處理過程會帶來功能和性能上的一些損失，特別在IP 包頭外包含著發(fā)送IP 地址信息的任何協(xié)議或者應用的情況下。

NA T 典型缺點如下：

◇NAT 會使延遲增大。因為要轉換每個數(shù)據包報頭中的IP 地址，自然就會增加包轉發(fā)時延。又因為現(xiàn)在應用NAT 技術時，路由器只能用處理器交換方式進行包轉發(fā)，所以，運

445

第17章 網絡地址轉換(NAT)

行性能也是要考慮的一個方面。CPU 必須查看每一個數(shù)據包，以決定是否要進行地址轉換，然后改變IP 包頭，甚至TCP 頭，這一過程不太可能輕易地利用高速緩存。

◇NAT 增加了配置和排錯的復雜性。使用和實施NAT 時，無法實現(xiàn)對IP 包端對端的路徑跟蹤。在經過了使用NAT 地址轉換的多跳之后，對數(shù)據包的路徑跟蹤將變得十分困難。然而，這樣卻可以提供更安全的網絡鏈路，因為黑客想要跟蹤或獲得數(shù)據包的初始來源或目的地址也將變得非常困難，甚至無法獲得。

◇NAT 也可能會使某些需要使用內嵌IP 地址的應用不能正常工作，因為它隱藏了端到端的IP 地址。某些直接使用IP 地址而不通過合法域名進行尋址的應用，可能也無法與外部網絡資源進行通信，這個問題有時可以通過實施靜態(tài)NAT 映射來避免。

17.2 NAT 的應用

17.2.1 NA T 支持的數(shù)據流

對于通過NAT 發(fā)送數(shù)據包的終端系統(tǒng)來說，NAT 應該是半透明的。但很多應用(商業(yè)應用，或者作為TCP/IP協(xié)議集一部分的應用) 都使用IP 地址，數(shù)據字段的信息可能與IP 地址有關，或者數(shù)據字段中內嵌IP 地址。如果NAT 轉換了IP 包數(shù)據部分中的地址，但不知道對數(shù)據將要造成的影響，該應用就有可能被破壞。

表17-1列出了Cisco NAT 設備所支持的應用。對應列出了在應用數(shù)據中攜帶IP 地址信息的應用，NAT 知道這些應用，并且會對這些應用的數(shù)據給予適當修改。

表17-1 NAT支持的數(shù)據流

17.2.2 轉換內部LAN 的地址

使用NAT 轉換內部局部地址，就是在內部局部地址和內部全局地址之間建立一個映射關系。在下面的例子中，內部局域網網段的地址10.1.1.0/24經過NAT ，轉換成192.168.2.0/24的內部全局地址。

446

第17章 網絡地址轉換(NAT)

在圖17.3中，NAT 用于將內部私有地址轉換為外部合法地址，從中可以看到NAT 的 操作運行過程。

圖17.3 內部地址轉換過程

下面的步驟編號與圖17.3中標出的NAT 操作步驟編號是一致的：

(1)網絡內部主機10.1.1.1上的用戶建立到外部主機B 的一條連接。

(2)邊界路由器從主機10.1.1.1接收到第一個數(shù)據包時，將檢查NAT 轉換表。

(3)如果已為該地址配置了靜態(tài)地址轉換，或者，該地址的動態(tài)地址轉換已經建立，那么，路由器將繼續(xù)進行步驟4。否則，路由器會決定對該地址10.1.1.1進行轉換；路由器將為其從動態(tài)地址集中分配一個合法地址，并建立從內部局部地址10.1.1.1到內部全局地址(例如192.168.2.2) 的映射。這種類型的轉換條目稱為一個簡單條目。

(4)邊界路由器用所選的內部全局地址192.168.2.2來替換內部局部IP 地址10.1.1.1， 并轉發(fā)該數(shù)據包。

(5)主機B 收到該數(shù)據包，并且用目的地址192.168.2.2對內部主機10.1.1.1進行應答。

(6)當邊界路由器接收到目的地址為內部全局地址的數(shù)據包時，路由器將用該內部全局地址通過NAT 轉換表查找出內部局部地址。然后，路由器將數(shù)據包中的目的地址替換成10.1.1.1的內部局部地址，并將數(shù)據包轉發(fā)到內部主機10.1.1.1。主機10.1.1.1接收該數(shù)據包，并繼續(xù)該會話。對于每個數(shù)據包，路由器都將執(zhí)行步驟2到步驟5的操作。

17.2.3 復用內部LAN 的地址(PAT)

復用內部的全局地址，就是通過準許對TCP 連接或UDP 會話的端口進行轉換，從而節(jié)省內部全局地址集中的合法地址。前面已經介紹，當多個不同的內部局部地址映射到同一個內部全局地址時，使用各個內部主機的TCP 或UDP 端口號來區(qū)分它們。

447

第17章 網絡地址轉換(NAT)

在圖17.4中，將一個內部全局地址用于同時代表多個內部局部地址，這里示意了NAT 的操作運行過程。圖中，將內部局部地址1O.1.1.0/24復用到192.168.2.2這個地址上。在這種情況下，NAT 將采用擴展的轉換條目表。在該表中，IP 地址和端口號的組合可以唯一地 區(qū)分各個內部主機。用端口來區(qū)分內部主機，實際上就是端口地址轉換(PAT)，PAT 是NAT 的一個子集。

圖17.4 地址復用

下面所列的步驟與圖17.3中的NAT 操作步驟編號是一致的：

(1)網絡內部主機10.1.1.1上的用戶建立到外部主機B 的一條連接。

(2)邊界路由器從內部主機10.1.1.1接收到第一個數(shù)據包時，會檢查其NAT 轉換表。

(3)如果還沒有為該內部地址建立地址轉換映射，路由器會決定對該地址進行轉換；路由器為該內部局部地址10.1.1.1建立到內部全局合法地址(如192.168.2.2) 的映射。

(4)如果啟用了地址復用功能，而且已經有其他地址轉換映射存在，那么，路由器將再次啟用內部全局地址192.168.2.2，為該內部局部地址建立映射。同時會為該映射與其他轉換條目進行區(qū)分而保留足夠的信息。這種類型的轉換條目(包含IP 地址和端口號) 稱為擴展條目。

(5)邊界路由器用所選的內部全局地址192.168.2.2來替換內部局部IP 地址1O ．1．1．1， 并轉發(fā)該數(shù)據包。

(6)主機B 收到該數(shù)據包，并用目的地址192.168.2.2來對內部主機1O.1.1.1進行應答。

(7)當邊界路由器接收到目的地址為內部全局IP 地址的數(shù)據包時，路由器將用內部全局地址及協(xié)議端口號和外部地址及端口號，從NAT 轉換表中查找出對應的內部局部地址和端口號。然后將目的地址轉換成內部局部地址1O.1.1.1，并將數(shù)據包轉發(fā)到該內部主機。主機1O.1.1.1接收數(shù)據包并繼續(xù)該會話。對于每個數(shù)據包，路由器都將執(zhí)行步驟2和5的操作。

448

第17章 網絡地址轉換(NAT)

17.2.4 TCP 負載均衡

TCP 負載均衡是指利用NAT 技術，用對外的IP 地址來代表多個同樣的服務器，就如同它們是一個服務器一樣。在圖17.5中，外部設備需要連接一個地址為10.1.1.127的服務器，TCP 的數(shù)據包發(fā)送給一個服務器組，該服務器組由同一個IP 地址10.1.1.127所代表，NAT 通過循環(huán)方式輪流轉換為3個相同服務器的實際地址。實際上，在內部有3個與之相對應的服務器，NAT 以循環(huán)方式輪流在它們之間分配會話。

在圖17.5中，NAT 用來將一臺虛擬主機映射到幾臺真實的主機上，利用NAT 實現(xiàn)TCP 負載均衡的操作運行過程。

下列步驟詳細說明了如何利用NAT 來實現(xiàn)TCP 負載均衡。

(1)外部主機B(172.20.7.3)上的用戶建立一條到虛擬主機10.1.1.127的連接。

圖17.5 基于NA T 的TCP 負載均衡

(2)邊界路由器接到這個連接請求，為其建立一個新的地址映射：為該內部全局IP 地址10.1.1.127分配下一個真實內部主機地址(如10.1.1.1) 。

(3)邊界路由器用所選的真實內部主機地址替換原目的地址，并轉發(fā)該數(shù)據包。

(4)內部主機10.1.1.1接收到該數(shù)據包，并做出應答。

(5)邊界路由器接收到應答數(shù)據包，用內部局部地址及端口號和外部地址及端口號，從NAT 轉換表查找出對應的內部全局地址(虛擬主機地址) 和端口號，然后將源地址轉換成虛擬主機地址，并轉發(fā)數(shù)據包。

(6)對于下一個連接請求，邊界路由器將為其分配另一個內部局部地址，如10.1.1.2。

449

第17章 網絡地址轉換(NAT)

------------------------------------------------------------------------------- 提示：基于NAT 的負載均衡是不健壯的。NAT 沒有辦法知道一個服務器什么時候會停機。即使某臺服務器已經停機，NAT 也是繼續(xù)將數(shù)據包發(fā)送給那個地址。因此，當服務器出現(xiàn)故障或者離線時，就會導致發(fā)送給這個服務器的數(shù)據包出現(xiàn)黑洞效應。

-------------------------------------------------------------------------------

17.3 NAT 的配置

在配置網絡地址轉換過程之前，首先必須弄清楚內部接口和外部接口，以及在哪個外部接口上啟用NAT 。通常情況下，連接到用戶內部網絡的接口是NAT 內部接口，而連接到外部網絡(如因特網) 的接口是NAT 外部接口。

17.3.1 靜態(tài)NA T 的配置

下面通過示例說明靜態(tài)NAT 的配置。假設內部局域網使用的IP 地址為192.168.100.1～192.168.100.254，路由器局域網端口(默認網關) 的IP 地址是192.168.100.1，子網掩碼為255.255.255.0。

網絡分配的合法IP 地址范圍是61.159.62.128--61.159.62.135，路由器在廣域網的地址是61.159.62.129，子網掩碼是255.255.255.248。

可用于地址轉換的地址是61.159.62.130～61.159.62.134，如圖17.6和圖17.7所示。

圖17.6 NA T 靜態(tài)轉換網絡結構示意

450