NAT是網絡地址翻譯就是把公網IP翻譯成私有地址, 又叫端口映射或端口轉發. 采用路由方式是指ADSL擁有一個動態或固定的公網IP,ADSL直接接在HUB或交換機上,所有的電腦共享上網。這時ADSL的外部地址只有一個,比如61.177.*.*。 而內部的IP是人為設置的,比如ADSL設為192.168.0.1,下面的電腦就依次設為192.168.0.*(*表示1,2,3,...)。
如何實現NAT功能呢?一般路由器中有個虛擬服務器(有些英文設置界面的叫services項)的設置。針對郵件服務器要做如下設置:進入“虛擬服務器”(或services項->選擇NAT 或NAT RULE),在端口填入 25, 協議中選擇: TCP, IP地址:192.168.x.x(安裝郵件服務器電腦的局域網IP地址),同樣方法設置110(pop3),6080(webmail)端口
另一種方法就是開放主機。開放主機(DMZ Host)是針對IP地址,取消防火牆的功能,將該局域網的IP地址直接映射到外部IP之上,采用開放主機(DMZ)的方式,不必管端口是多少。這種方式只支持一台內部電腦。
如何實現NAT功能呢?一般路由器中有個虛擬服務器(有些英文設置界面的叫services項)的設置。針對郵件服務器要做如下設置:進入“虛擬服務器”(或services項->選擇NAT 或NAT RULE),在端口填入 25, 協議中選擇: TCP, IP地址:192.168.x.x(安裝郵件服務器電腦的局域網IP地址),同樣方法設置110(pop3),6080(webmail)端口
另一種方法就是開放主機。開放主機(DMZ Host)是針對IP地址,取消防火牆的功能,將該局域網的IP地址直接映射到外部IP之上,采用開放主機(DMZ)的方式,不必管端口是多少。這種方式只支持一台內部電腦。
NAT———網絡地址翻譯
注:我們驢友一般來說都是家庭用戶,所以我們大多數是用到“端口NAT(PAT)”
******************************************
作者:陳維義
隨着Internet的飛速發展,網上豐富的資源產生着巨大的吸引力。接入Internet、訪問Internet成為當今信息業最為迫切的需求。
但這受到IP地址的許多限制。首先,許多局域網在未聯入Internet之前,就已經運行許多年了,局域網上有了許多現成的資源和應用程序,但它的IP地址分配不符合Internet的國際標准,因而需要重新分配局域網的IP地址,這無疑是勞神費時的工作;其二,隨着Internet的膨脹式發展,其可用的IP地址越來越少,要想在ISP處申請一個新的IP地址已不是很容易的事了。這不僅僅是費用的問題,而是IP地址的現行標准IPv4決定的。當然,隨着IPv6的出台,這個問題應當能夠得到解決。但從IPv4到IPv6的升級不是一兩天就能完成的。
NAT(網絡地址翻譯)能解決不少令人頭疼的問題。它解決問題的辦法是:在內部網絡中使用內部地址,通過NAT把內部地址翻譯成合法的IP地址,在Internet上使用。其具體的做法是把IP包內的地址域用合法的IP地址來替換。
NAT功能通常被集成到路由器、防火牆、ISDN路由器或者單獨的NAT設備中。NAT設備維護一個狀態表,用來把非法的IP地址映射到合法的IP地址上去。每個包在NAT設備中都被翻譯成正確的IP地址發往下一級,這意味着給處理器帶來了一定的負擔。但這對於一般的網絡來說是微不足道的,除非是有許多主機的大型網絡。
需要注意的是,NAT並不是一種有安全保證的方案,它不能提供類似防火牆、包過濾、隧道等技術的安全性,僅僅在包的最外層改變IP地址。這使得黑客可以很容易地竊取網絡信息,危及網絡安全。
NAT有三種類型:靜態NAT(staticNAT)、NAT池(pooledNAT)和 端口NAT(PAT)。其中靜態NAT設置起來最為簡單,內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。而NAT池則是在外部網絡中定義了一系列的合法地址,采用動態分配的方法映射到內部網絡。PAT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。根據不同的需要,各種NAT方案都是有利有弊。
■使用NAT池
使用NAT池,可以從未注冊的地址空間中提供被外部訪問的服務,也可以從內部網絡訪問外部網絡,而不需要重新配置內部網絡中的每台機器的IP地址。例如,建立在NT+IIS服務器上的內部試驗子網192.168.0.0,其網絡地址屬於B類保留地址。作為企業網的一個子網,其IP地址不分配給企業網上的設備而僅僅局限在試驗子網的設備上。為了使企業網能訪問到這個內部網,在網絡上增加一條靜態路徑,使信息能回傳給Cisco4700路由器。其中的路由器可以把內部網和企業網連接起來,使之能相互訪問。在內部網中不要使用RIP協議,因為使用RIP后,內部網絡相對外部來說變得不可見了。
這樣,本地信息可以相互訪問了,但由於192.168.0.0屬於保留地址,故不能直接訪問Internet。所以在路由器中設置一個NAT池,用來翻譯來自內部網絡的IP包,把它的IP地址映射成地址池(pooledaddresses)中的合法IP地址。那么,內部網可以訪問Internet上的任何服務器,Internet上的任何主機也能通過TCP或UDP訪問到內部網。
采用NAT池意味着可以在內部網中定義很多的內部用戶,通過動態分配的辦法,共享很少的幾個外部IP地址。而靜態NAT則只能形成一一對應的固定映射方式。該引起注意的是,NAT池中動態分配的外部IP地址全部被占用后,后續的NAT翻譯申請將會失敗。慶幸的是,許多有NAT功能的路由器有超時配置功能。例如在上述的Cisco4700中配置成開始15分鍾后刪除當前的NAT進程,為后續的NAT申請預留出外部IP地址。通過試驗表明,一般的外部連接不會很長,所以短的時間閾值也可以接受。當然用戶可以自行調節時間閾值,以滿足各自的需求。
NAT池提供很大靈活性的同時,也影響到網絡原有的一些管理功能。例如,SNMP管理站利用IP地址來跟蹤設備的運行情況。但使用NAT之后,意味着那些被翻譯的地址對應的內部地址是變化的,今天可能對應一台工作站,明天就可能對應一台服務器。這給SNMP管理帶來了麻煩。一個可行的解決方案就是把划分給NAT池的那部分地址在SNMP管理平台上標記出來,對於這些不響應管理信號的地址不予報警,如同它們被關掉了一樣。
■使用PAT
PAT在遠程訪問產品中得到了大量的應用,特別是在遠程撥號用戶使用的設備中。PAT可以把內部的TCP/IP映射到外部一個注冊IP地址的多個端口上。PAT可以支持同時連接64500個TCP/IP、UDP/IP,但實際可以支持的工作站個數會少一些。因為許多Internet應用如HTTP,實際上由許多小的連接組成。
在Internet中使用PAT時,所有不同的TCP和UDP信息流看起來仿佛都來源於同一個IP地址。這個優點在小型辦公室(SOHO)內非常實用,通過從ISP處申請的一個IP地址,將多個連接通過PAT接入Internet。實際上,許多SOHO遠程訪問設備支持基於PPP的動態IP地址。這樣,ISP甚至不需要支持PAT,就可以做到多個內部IP地址共用一個外部IP地址上Internet。雖然這樣會導致信道的一定擁塞,但考慮到節省的ISP上網費用和易管理的特點,用PAT還是很值得的。
■基於NAT的負載平衡
以上所談論的均是關於使用NAT和PAT來把內部IP地址轉換成外部合法的IP地址使用。下面介紹NAT的另一個運用:作為用於負載平衡的DNS系列服務器(DNSround-robin)的一個替代品。DNS系列服務器解決了多個IP地址共用一個域名的問題。它會在響應DNS申請時跳躍式地尋找可用的IP地址。達到的效果就是一個域名可以對應多個IP地址。這種功能可以應用在一個HTTP服務器群中,利用它可以平衡多個服務器的負載。但是這里還有一個問題,IP客戶端會在本地緩沖DNS/IP地址解析,從而使它的后續的申請都會到達同一個IP地址,減弱了DNS系列服務器的作用。
使用基於NAT的負載平衡方案,則可以避免這個問題。路由器或其它NAT設備把需要負載平衡的多個IP地址翻譯成一個公用的IP地址,每個TCP連接被NAT送到一個IP地址,而后續的TCP連接則被NAT送到下一個IP地址。真正實現了負載平衡。當然,基於NAT的負載平衡只能在NAT上實現,而不能在PAT上實現。
■安全問題
當NAT改變包的IP地址后,需要認真考慮這樣做對安全設施帶來的影響。
對於防火牆,它利用IP地址、TCP端口、目標地址以及其它在IP包內的信息來決定是否干預網絡的連接。當使用了NAT之后,可能就不得不改變防火牆的規則,因為NAT改變了源地址和目的地址。
在許多配置中,NAT被集成在防火牆系統之中,提供訪問控制和地址翻譯的功能。不要把NAT設在防火牆之外,因為黑客可以輕易地騙過NAT,讓NAT認為它是一個授權用戶,從而進入網絡。
若企業網中使用了VPN(虛擬專用網),並用IPSec進行加密安全保證,那么錯誤地設置NAT將會破壞VPN的功能。把NAT放在受保護的VPN內部,而不是在中間。因為NAT改變IP包內的地址域,而IPSec規定一些信息是不能被改變的。若IP地址被改變了,IPSec就會認為這個包是偽造的,拒絕使用。
雖然NAT帶來了許多優越性,例如使現有網絡不必重新編址、減少了ISP接入費用,還可以起平衡負載的作用,但NAT潛在地影響到一些網絡管理功能和安全設施,這就需要謹慎地使用它。
******************************************
作者:陳維義
隨着Internet的飛速發展,網上豐富的資源產生着巨大的吸引力。接入Internet、訪問Internet成為當今信息業最為迫切的需求。
但這受到IP地址的許多限制。首先,許多局域網在未聯入Internet之前,就已經運行許多年了,局域網上有了許多現成的資源和應用程序,但它的IP地址分配不符合Internet的國際標准,因而需要重新分配局域網的IP地址,這無疑是勞神費時的工作;其二,隨着Internet的膨脹式發展,其可用的IP地址越來越少,要想在ISP處申請一個新的IP地址已不是很容易的事了。這不僅僅是費用的問題,而是IP地址的現行標准IPv4決定的。當然,隨着IPv6的出台,這個問題應當能夠得到解決。但從IPv4到IPv6的升級不是一兩天就能完成的。
NAT(網絡地址翻譯)能解決不少令人頭疼的問題。它解決問題的辦法是:在內部網絡中使用內部地址,通過NAT把內部地址翻譯成合法的IP地址,在Internet上使用。其具體的做法是把IP包內的地址域用合法的IP地址來替換。
NAT功能通常被集成到路由器、防火牆、ISDN路由器或者單獨的NAT設備中。NAT設備維護一個狀態表,用來把非法的IP地址映射到合法的IP地址上去。每個包在NAT設備中都被翻譯成正確的IP地址發往下一級,這意味着給處理器帶來了一定的負擔。但這對於一般的網絡來說是微不足道的,除非是有許多主機的大型網絡。
需要注意的是,NAT並不是一種有安全保證的方案,它不能提供類似防火牆、包過濾、隧道等技術的安全性,僅僅在包的最外層改變IP地址。這使得黑客可以很容易地竊取網絡信息,危及網絡安全。
NAT有三種類型:靜態NAT(staticNAT)、NAT池(pooledNAT)和 端口NAT(PAT)。其中靜態NAT設置起來最為簡單,內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。而NAT池則是在外部網絡中定義了一系列的合法地址,采用動態分配的方法映射到內部網絡。PAT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。根據不同的需要,各種NAT方案都是有利有弊。
■使用NAT池
使用NAT池,可以從未注冊的地址空間中提供被外部訪問的服務,也可以從內部網絡訪問外部網絡,而不需要重新配置內部網絡中的每台機器的IP地址。例如,建立在NT+IIS服務器上的內部試驗子網192.168.0.0,其網絡地址屬於B類保留地址。作為企業網的一個子網,其IP地址不分配給企業網上的設備而僅僅局限在試驗子網的設備上。為了使企業網能訪問到這個內部網,在網絡上增加一條靜態路徑,使信息能回傳給Cisco4700路由器。其中的路由器可以把內部網和企業網連接起來,使之能相互訪問。在內部網中不要使用RIP協議,因為使用RIP后,內部網絡相對外部來說變得不可見了。
這樣,本地信息可以相互訪問了,但由於192.168.0.0屬於保留地址,故不能直接訪問Internet。所以在路由器中設置一個NAT池,用來翻譯來自內部網絡的IP包,把它的IP地址映射成地址池(pooledaddresses)中的合法IP地址。那么,內部網可以訪問Internet上的任何服務器,Internet上的任何主機也能通過TCP或UDP訪問到內部網。
采用NAT池意味着可以在內部網中定義很多的內部用戶,通過動態分配的辦法,共享很少的幾個外部IP地址。而靜態NAT則只能形成一一對應的固定映射方式。該引起注意的是,NAT池中動態分配的外部IP地址全部被占用后,后續的NAT翻譯申請將會失敗。慶幸的是,許多有NAT功能的路由器有超時配置功能。例如在上述的Cisco4700中配置成開始15分鍾后刪除當前的NAT進程,為后續的NAT申請預留出外部IP地址。通過試驗表明,一般的外部連接不會很長,所以短的時間閾值也可以接受。當然用戶可以自行調節時間閾值,以滿足各自的需求。
NAT池提供很大靈活性的同時,也影響到網絡原有的一些管理功能。例如,SNMP管理站利用IP地址來跟蹤設備的運行情況。但使用NAT之后,意味着那些被翻譯的地址對應的內部地址是變化的,今天可能對應一台工作站,明天就可能對應一台服務器。這給SNMP管理帶來了麻煩。一個可行的解決方案就是把划分給NAT池的那部分地址在SNMP管理平台上標記出來,對於這些不響應管理信號的地址不予報警,如同它們被關掉了一樣。
■使用PAT
PAT在遠程訪問產品中得到了大量的應用,特別是在遠程撥號用戶使用的設備中。PAT可以把內部的TCP/IP映射到外部一個注冊IP地址的多個端口上。PAT可以支持同時連接64500個TCP/IP、UDP/IP,但實際可以支持的工作站個數會少一些。因為許多Internet應用如HTTP,實際上由許多小的連接組成。
在Internet中使用PAT時,所有不同的TCP和UDP信息流看起來仿佛都來源於同一個IP地址。這個優點在小型辦公室(SOHO)內非常實用,通過從ISP處申請的一個IP地址,將多個連接通過PAT接入Internet。實際上,許多SOHO遠程訪問設備支持基於PPP的動態IP地址。這樣,ISP甚至不需要支持PAT,就可以做到多個內部IP地址共用一個外部IP地址上Internet。雖然這樣會導致信道的一定擁塞,但考慮到節省的ISP上網費用和易管理的特點,用PAT還是很值得的。
■基於NAT的負載平衡
以上所談論的均是關於使用NAT和PAT來把內部IP地址轉換成外部合法的IP地址使用。下面介紹NAT的另一個運用:作為用於負載平衡的DNS系列服務器(DNSround-robin)的一個替代品。DNS系列服務器解決了多個IP地址共用一個域名的問題。它會在響應DNS申請時跳躍式地尋找可用的IP地址。達到的效果就是一個域名可以對應多個IP地址。這種功能可以應用在一個HTTP服務器群中,利用它可以平衡多個服務器的負載。但是這里還有一個問題,IP客戶端會在本地緩沖DNS/IP地址解析,從而使它的后續的申請都會到達同一個IP地址,減弱了DNS系列服務器的作用。
使用基於NAT的負載平衡方案,則可以避免這個問題。路由器或其它NAT設備把需要負載平衡的多個IP地址翻譯成一個公用的IP地址,每個TCP連接被NAT送到一個IP地址,而后續的TCP連接則被NAT送到下一個IP地址。真正實現了負載平衡。當然,基於NAT的負載平衡只能在NAT上實現,而不能在PAT上實現。
■安全問題
當NAT改變包的IP地址后,需要認真考慮這樣做對安全設施帶來的影響。
對於防火牆,它利用IP地址、TCP端口、目標地址以及其它在IP包內的信息來決定是否干預網絡的連接。當使用了NAT之后,可能就不得不改變防火牆的規則,因為NAT改變了源地址和目的地址。
在許多配置中,NAT被集成在防火牆系統之中,提供訪問控制和地址翻譯的功能。不要把NAT設在防火牆之外,因為黑客可以輕易地騙過NAT,讓NAT認為它是一個授權用戶,從而進入網絡。
若企業網中使用了VPN(虛擬專用網),並用IPSec進行加密安全保證,那么錯誤地設置NAT將會破壞VPN的功能。把NAT放在受保護的VPN內部,而不是在中間。因為NAT改變IP包內的地址域,而IPSec規定一些信息是不能被改變的。若IP地址被改變了,IPSec就會認為這個包是偽造的,拒絕使用。
雖然NAT帶來了許多優越性,例如使現有網絡不必重新編址、減少了ISP接入費用,還可以起平衡負載的作用,但NAT潛在地影響到一些網絡管理功能和安全設施,這就需要謹慎地使用它。