【51CTO.com 獨(dú)家特稿】目前，ICANN已把IPv4地址分配完畢。按理說(shuō)，一些組織多少應(yīng)該有些緊張，因?yàn)闆](méi)有了IP地址，怎么保證一些網(wǎng)絡(luò)設(shè)備互聯(lián)到Internet？這是因?yàn)槟壳霸S多單位普遍使用了NAT（Network Address Translation，網(wǎng)絡(luò)地址裝換）技術(shù)。下面就通過(guò)一則現(xiàn)實(shí)中運(yùn)行的實(shí)例，和一些截圖讓大家完全明白NAT運(yùn)行的機(jī)制和原理。

一、網(wǎng)絡(luò)結(jié)構(gòu)圖說(shuō)明

網(wǎng)絡(luò)拓?fù)鋱D如圖1所示，分公司的PC（10.10.10.2/24）通過(guò)Internet訪(fǎng)問(wèn)總部的Server（192.168.10.2/24）。其中在分公司的Cisco 3750上應(yīng)用了PAT規(guī)則，也就是"端口NAT"。在公司總部的防火墻B上應(yīng)用了Static NAT，并且防火墻B上的互聯(lián)網(wǎng)端口的IP地址配置為114.23.72.19/24。分公司Cisco 3750上的互聯(lián)網(wǎng)端口的IP地址配置為114.23.72.219/24。在分公司的PC電腦上，和總部的Server上都運(yùn)行了"360流量監(jiān)控"軟件，通過(guò)軟件中的"網(wǎng)絡(luò)連接"面板，能夠清楚的看出NAT運(yùn)行的機(jī)理。

（圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖）

#p#

二、交換機(jī)和防火墻上NAT的配置

1、總部防火墻B上應(yīng)用的是Static NAT規(guī)則，通過(guò)防火墻的Web控制頁(yè)面就可操作完成，即在114.23.72.19/24和192.168.10.2/24之間做一靜態(tài)轉(zhuǎn)換，并且這兩個(gè)IP地址之間的服務(wù)端口也都是一一段應(yīng)。

2、Cisco 3750上的配置文件如下所示：

ip nat pool corporation 114.23.72.219 114.23.72.219 netmask 255.255.255.0
\\定義內(nèi)部全局地址池
ip nat inside source list 10 pool corporation overload    \\建立映射關(guān)系
!
interface GigabitEthernet1/0/1                     \\定義外網(wǎng)接口
no switchport
ip address 114.23.72.219 255.255.255.0
ip nat outside
!
interface GigabitEthernet1/0/10                     \\定義內(nèi)網(wǎng)接口
ip nat inside
!
access-list 10 permit 10.10.10.0 0.0.0.255           \\定義內(nèi)部本地地址范圍

#p#

三、實(shí)時(shí)監(jiān)控查看NAT運(yùn)行過(guò)程

"360流量監(jiān)控"軟件可以詳細(xì)的顯示本機(jī)服務(wù)和遠(yuǎn)程主機(jī)服務(wù)的連接情況。因?yàn)樵诖蟛糠值碾娔X中，Tcp 139端口都是默認(rèn)打開(kāi)的，這樣只需在分公司PC的"命令行"中執(zhí)行"telnet 114.23.72.19 139"命令，就可在分公司PC與總部Server之間建立一個(gè)TCP連接，這是因?yàn)門(mén)elnet應(yīng)用是通過(guò)TCP建立連接的。建立連接后，就可通過(guò)"360流量監(jiān)控"中的"網(wǎng)絡(luò)連接"面板查看它們的連接情況。如圖2所示，是在PC上"360流量監(jiān)控"的截圖。從圖上可以看出，PC上啟動(dòng)了一個(gè)"Telnet.exe"的進(jìn)程，進(jìn)程使用的是TCP協(xié)議，在本地的7420端口，和總部Server服務(wù)器的139端口建立了連接。 

（圖2  分公司PC上360實(shí)時(shí)截圖）

（圖3  總部Server上360實(shí)時(shí)截圖）

圖3所示是在Server上的"360流量監(jiān)控"的截圖。從圖上可以看出，在總部Server上啟動(dòng)了一個(gè)"System"的系統(tǒng)進(jìn)程，并且在本地的139端口和目標(biāo)IP的52617端口之間建了TCP連接。

通過(guò)這兩幅截圖就能明白現(xiàn)實(shí)中NAT運(yùn)行的原理。圖中并沒(méi)有顯示出在10.10.10.2和192.168.10.2之間直接建立了連接，就是因?yàn)樵贑isco 3750和防火墻B上應(yīng)用了NAT規(guī)則。#p#

四、總結(jié)

1、NAT規(guī)則有三種類(lèi)型：靜態(tài)NAT（Static NAT）、動(dòng)態(tài)NAT（Dynamic NAT）和端口NAT（PAT），也稱(chēng)動(dòng)態(tài)復(fù)用NAT。其實(shí)動(dòng)態(tài)NAT就是靜態(tài)NAT的一種特例。本實(shí)例中就應(yīng)用了三種NAT規(guī)則中的兩種，靜態(tài)NAT和PAT。

靜態(tài)NAT：將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，也是一直不變的。實(shí)例中總部的IP地址114.23.72.19和192.168.10.2之間就是這種一對(duì)一的轉(zhuǎn)換。也就是某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)NAT，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定服務(wù)器的訪(fǎng)問(wèn)。

動(dòng)態(tài)NAT：將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定，隨機(jī)的。所有被授權(quán)訪(fǎng)問(wèn)Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定合法的IP地址。也就是說(shuō)，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)NAT轉(zhuǎn)換。動(dòng)態(tài)NAT可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。

PAT：改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪(fǎng)問(wèn)，可以最大限度地節(jié)約IP地址資源。同時(shí)，也可以隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來(lái)自Internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是PAT規(guī)則。

2、NAT也能有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。但NAT最主要的作用，是在一定程度上減緩了IPv4地址耗盡的進(jìn)度，但它也只是減緩，并不能阻止。目前，再有組織申請(qǐng)IP地址，就只能是IPv6地址了。因?yàn)镮Pv6地址數(shù)量龐大，按保守方法估算，ＩＰｖ6實(shí)際可分配的地址，在整個(gè)地球每平方米面積上可分配1000多個(gè)地址，號(hào)稱(chēng)能讓"每顆沙子都擁有一個(gè)ＩＰ地址"。既然IPv6有這么多的地址，能保證每一個(gè)Internet上的終端使用的都是全球唯一IP地址，所以當(dāng)IPv6地址在全球普及的時(shí)候，也是NAT技術(shù)消亡的時(shí)候。

【51CTO.com獨(dú)家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】