【51CTO.com 獨家特稿】目前，ICANN已把IPv4地址分配完畢。按理說，一些組織多少應(yīng)該有些緊張，因為沒有了IP地址，怎么保證一些網(wǎng)絡(luò)設(shè)備互聯(lián)到Internet？這是因為目前許多單位普遍使用了NAT（Network Address Translation，網(wǎng)絡(luò)地址裝換）技術(shù)。下面就通過一則現(xiàn)實中運行的實例，和一些截圖讓大家完全明白NAT運行的機(jī)制和原理。

一、網(wǎng)絡(luò)結(jié)構(gòu)圖說明

網(wǎng)絡(luò)拓?fù)鋱D如圖1所示，分公司的PC（10.10.10.2/24）通過Internet訪問總部的Server（192.168.10.2/24）。其中在分公司的Cisco 3750上應(yīng)用了PAT規(guī)則，也就是"端口NAT"。在公司總部的防火墻B上應(yīng)用了Static NAT，并且防火墻B上的互聯(lián)網(wǎng)端口的IP地址配置為114.23.72.19/24。分公司Cisco 3750上的互聯(lián)網(wǎng)端口的IP地址配置為114.23.72.219/24。在分公司的PC電腦上，和總部的Server上都運行了"360流量監(jiān)控"軟件，通過軟件中的"網(wǎng)絡(luò)連接"面板，能夠清楚的看出NAT運行的機(jī)理。

（圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖）

#p#

二、交換機(jī)和防火墻上NAT的配置

1、總部防火墻B上應(yīng)用的是Static NAT規(guī)則，通過防火墻的Web控制頁面就可操作完成，即在114.23.72.19/24和192.168.10.2/24之間做一靜態(tài)轉(zhuǎn)換，并且這兩個IP地址之間的服務(wù)端口也都是一一段應(yīng)。

2、Cisco 3750上的配置文件如下所示：

ip nat pool corporation 114.23.72.219 114.23.72.219 netmask 255.255.255.0
\\定義內(nèi)部全局地址池
ip nat inside source list 10 pool corporation overload    \\建立映射關(guān)系
!
interface GigabitEthernet1/0/1                     \\定義外網(wǎng)接口
no switchport
ip address 114.23.72.219 255.255.255.0
ip nat outside
!
interface GigabitEthernet1/0/10                     \\定義內(nèi)網(wǎng)接口
ip nat inside
!
access-list 10 permit 10.10.10.0 0.0.0.255           \\定義內(nèi)部本地地址范圍

#p#

三、實時監(jiān)控查看NAT運行過程

"360流量監(jiān)控"軟件可以詳細(xì)的顯示本機(jī)服務(wù)和遠(yuǎn)程主機(jī)服務(wù)的連接情況。因為在大部分的電腦中，Tcp 139端口都是默認(rèn)打開的，這樣只需在分公司PC的"命令行"中執(zhí)行"telnet 114.23.72.19 139"命令，就可在分公司PC與總部Server之間建立一個TCP連接，這是因為Telnet應(yīng)用是通過TCP建立連接的。建立連接后，就可通過"360流量監(jiān)控"中的"網(wǎng)絡(luò)連接"面板查看它們的連接情況。如圖2所示，是在PC上"360流量監(jiān)控"的截圖。從圖上可以看出，PC上啟動了一個"Telnet.exe"的進(jìn)程，進(jìn)程使用的是TCP協(xié)議，在本地的7420端口，和總部Server服務(wù)器的139端口建立了連接。 

（圖2  分公司PC上360實時截圖）

（圖3  總部Server上360實時截圖）

圖3所示是在Server上的"360流量監(jiān)控"的截圖。從圖上可以看出，在總部Server上啟動了一個"System"的系統(tǒng)進(jìn)程，并且在本地的139端口和目標(biāo)IP的52617端口之間建了TCP連接。

通過這兩幅截圖就能明白現(xiàn)實中NAT運行的原理。圖中并沒有顯示出在10.10.10.2和192.168.10.2之間直接建立了連接，就是因為在Cisco 3750和防火墻B上應(yīng)用了NAT規(guī)則。#p#

四、總結(jié)

1、NAT規(guī)則有三種類型：靜態(tài)NAT（Static NAT）、動態(tài)NAT（Dynamic NAT）和端口NAT（PAT），也稱動態(tài)復(fù)用NAT。其實動態(tài)NAT就是靜態(tài)NAT的一種特例。本實例中就應(yīng)用了三種NAT規(guī)則中的兩種，靜態(tài)NAT和PAT。

靜態(tài)NAT：將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，也是一直不變的。實例中總部的IP地址114.23.72.19和192.168.10.2之間就是這種一對一的轉(zhuǎn)換。也就是某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)NAT，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定服務(wù)器的訪問。

動態(tài)NAT：將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址是不確定，隨機(jī)的。所有被授權(quán)訪問Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定合法的IP地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進(jìn)行動態(tài)NAT轉(zhuǎn)換。動態(tài)NAT可以使用多個合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機(jī)數(shù)量時。可以采用動態(tài)轉(zhuǎn)換的方式。

PAT：改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，可以最大限度地節(jié)約IP地址資源。同時，也可以隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自Internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是PAT規(guī)則。

2、NAT也能有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機(jī)。但NAT最主要的作用，是在一定程度上減緩了IPv4地址耗盡的進(jìn)度，但它也只是減緩，并不能阻止。目前，再有組織申請IP地址，就只能是IPv6地址了。因為IPv6地址數(shù)量龐大，按保守方法估算，ＩＰｖ6實際可分配的地址，在整個地球每平方米面積上可分配1000多個地址，號稱能讓"每顆沙子都擁有一個ＩＰ地址"。既然IPv6有這么多的地址，能保證每一個Internet上的終端使用的都是全球唯一IP地址，所以當(dāng)IPv6地址在全球普及的時候，也是NAT技術(shù)消亡的時候。

【51CTO.com獨家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】