NAT 網絡地址轉換

NAT產生背景

今天，無數快樂的互聯網用戶在盡情享受Internet帶來的樂趣。他們瀏覽新聞，搜索資料，下載軟件，廣交新朋，分享信息，甚至於足不出戶獲取一切日用所需。企業利用互聯網發布信息，傳遞資料和訂單，提供技術支持，完成日常辦公。然而，Internet在給億萬用戶帶來便利的同時，自身卻面臨一個致命的問題：構建這個無所不能的Internet的基礎IPv4協議已經不能再提供新的網絡地址了 。

2011年2月3日中國農歷新年， IANA對外宣布：IPv4地址空間最后5個地址塊已經被分配給下屬的5個地區委員會。2011年4月15日，亞太區委員會APNIC對外宣布，除了個別保留地址外，本區域所有的IPv4地址基本耗盡。一時之間，IPv4地址作為一種瀕危資源身價陡增，各大網絡公司出巨資收購剩余的空閑地址。其實，IPv4地址不足問題已不是新問題，早在20年以前，IPv4地址即將耗盡的問題就已經擺在Internet先驅們面前。這不禁讓我們想去了解，是什么技術使這一危機延緩了盡20年。

要找到問題的答案，讓我們先來簡略回顧一下IPv4協議。

IPv4即網際網協議第4版 ——Internet Protocol Version 4的縮寫。IPv4定義一個跨越異種網絡互連的超級網，它為每個網際網的節點分配全球唯一IP地址。如果我們把Internet比作一個郵政系統，那么IP地址的作用就等同於包含城市、街區、門牌編號在內的完整地址。IPv4使用32bits整數表達一個地址，地址最大范圍就是232 約為43億。以IP創始時期可被聯網的設備來看，這樣的一個空間已經很大，很難被短時間用完。然而，事實遠遠超出人們的設想，計算機網絡在此后的幾十年里迅速壯大，網絡終端數量呈爆炸性增長。

更為糟糕的是，為了路由和管理方便，43億的地址空間被按照不同前綴長度划分為A,B,C,D類地址網絡和保留地址。其中，A類網絡地址127段，每段包括主機地址約1678萬個。B類網絡地址16384段，每段包括65536個主機地址。ANA向超大型企業/組織分配A類網絡地址，一次一段。向中型企業或教育機構分配B類網絡地址，一次一段。這樣一種分配策略使得IP地址浪費很嚴重，很多被分配出去的地址沒有真實被利用，地址消耗很快。以至於二十世紀90年代初，網絡專家們意識到，這樣大手大腳下去，IPv4地址很快就要耗光了。於是，人們開始考慮IPv4的替代方案，同時采取一系列的措施來減緩IPv4地址的消耗。正是在這樣一個背景之下，本期的主角閃亮登場，它就是網絡地址轉換——NAT 。

NAT是一項神奇的技術，說它神奇在於它的出現幾乎使IPv4起死回生。在IPv4已經被認為行將結束歷史使命之后近20年時間里，人們幾乎忘了IPv4的地址空間即將耗盡這樣一個事實——在新技術日新月異的時代，20年可算一段漫長的歷史。更不用說，在NAT產生以后，網絡終端的數量呈加速上升趨勢，對IP地址的需求劇烈增加。此足見NAT技術之成功，影響之深遠。

說它神奇，更因為NAT給IP網絡模型帶來了深遠影響，其身影遍布網絡每個角落。根據一份最近的研究報告，70%的P2P用戶位於NAT網關以內。因為P2P主要運行在終端用戶的個人電腦之上，這個數字意味着大多數PC通過NAT網關連接到Internet。如果加上2G和3G方式聯網的智能手機等移動終端，在NAT網關之后的用戶遠遠超過這個比例。

進行地址轉換的原因

合法的IP地址資源即將耗盡。
通過NAT技術將私網地址轉換為公網地址，這樣既可保證網絡互通,又節省了公網地址。
地址轉換技術可以有效地隱藏內部局域網中的主機，具有一定的安全保護作用。

NAT工作原理和特點

NAT名字很准確，網絡地址轉換，就是替換IP報文頭部的地址信息。NAT通常部署在一個組織的網絡出口位置，通過將內部網絡IP地址替換為出口的IP地址提供公網可達性和上層協議的連接能力。那么，什么是內部網絡IP地址 ？

RFC1918規定了三個保留地址段落：
A類：10.0.0.0 ~ 10.255.255.255
B類：172.16.0.0 ~ 172.31.255.255
C類：192.168.0.0 ~ 192.168.255.255

這三個范圍分別處於A,B,C類的地址段，不向特定的用戶分配，被IANA作為私有地址保留。這些地址可以在任何組織或企業內部使用，和其他Internet地址的區別就是，僅能在內部使用，不能作為全球路由地址。這就是說，出了組織的管理范圍這些地址就不再有意義，無論是作為源地址，還是目的地址。對於一個封閉的組織，如果其網絡不連接到Internet，就可以使用這些地址而不用向IANA提出申請，而在內部的路由管理和報文傳遞方式與其他網絡沒有差異。

對於有Internet訪問需求而內部又使用私有地址的網絡，就要在組織的出口位置部署NAT網關，在報文離開私網進入Internet時，將源IP替換為公網地址，通常是出口設備的接口地址 。一個對外的訪問請求在到達目標以后，表現為由本組織出口設備發起，因此被請求的服務端可將響應由Internet發回出口網關。出口網關再將目的地址替換為私網的源主機地址，發回內部 。這樣一次由私網主機向公網服務端的請求和響應就在通信兩端均無感知的情況下完成了。依據這種模型，數量龐大的內網主機就不再需要公有IP地址了。

NAT的轉換示意圖如下所示

網絡被分為私網和公網兩個部分，NAT網關設置在私網到公網的路由出口位置，雙向流量必須都要經過NAT網關。
網絡訪問只能先由私網側發起，公網無法主動訪問私網主機；
NAT網關在兩個訪問方向上完成兩次地址的轉換或翻譯，出方向做源信息替換，入方向做目的信息替換；
NAT網關的存在對通信雙方是保持透明的；
NAT網關為了實現雙向翻譯的功能，需要維護一張關聯表，把會話的信息保存下來。

NAT類型

靜態NAT

內部本地地址一對一轉換成公網IP地址 ，相當內部本地的每一台PC都綁定了一個公網IP地址 ，即使這個地址沒有被使用，其他的電腦也不能拿來轉換使用，這樣容易造成IP地址的資源浪費。
一般是用於在內網中對外提供服務的服務器，例如WEB，FTP等，需要建立服務器內部地址到固定合法地址的靜態映射。

配置靜態NAT

1. 配置 tinside local address和 inside global address的靜態轉換表
Router(config)#ip nat inside source static local-ip global-ip

2. 標記端口連接內網
Router(config-if)#ip nat inside

3. 標記端口連接外網
Router(config-if)#ip nat outside

動態NAT

顧名思義，動態地址轉換 就是在內部本地地址轉換的時候，在地址池中選擇一個空閑的沒有正在被使用的地址來進行轉換，一般選擇的是在地址池定義中排在前面的地址，當數據傳輸或者訪問完成時就會放回地址池中，以供內部本地的其他主機使用，但是，如果這個地址正在被使用的時候，是不能被另外的主機拿來進行地址轉換的。

在地址轉換設備上手動定義兩個地址集，一個允許轉換的內部地址集 ，一個外部地址集 ，轉換設備動態的實現地址映射
動態地址轉換只能提供一對一 的轉換
適用於內部用戶訪問外部資源 時，以及適用於租用的地址數量較多的情況

配置動態NAT

1. 定義一個P地址池
Router(config)# ip nat pool地址池名 公網起始地址 公網結束地址 netmask 子網掩碼

2. 定義一個標准的訪問控制列表,只有和這個列表匹配的地址才會進行NAT轉換
Router(config)# access-list表號 permit地址 反子網掩碼

3. 定義動態NAT,把和列表匹配的內部本地地址,用地址池中的地址建立NAT映射
Router(config)# ip nat inside source list ACL表號 pool 地址池名字

4. 標記網絡的內部和外部接
Router(config)# ip nat (inside | outside)

端口地址轉換PAT

這是最常用的NAT類型 。它利用源端口將多個私網ip地址映射到一個公網ip地址(多對一) 。那么，它的獨特之處何在呢?它也被稱為端口地址特換(PAT)。通過使用PAT(NAT重載)，只需使用一個公網ip地址，就可將數千名用戶連接到因特網。其核心之處就在於利用端口號實現公網和私網的轉換。面對私網內部數量龐大的主機，如果NAT只進行IP地址的簡單替換，就會產生一個問題：當有多個內部主機去訪問同一個服務器時，從返回的信息不足以區分響應應該轉發到哪個內部主機。此時，需要NAT設備根據傳輸層信息或其他上層協議去區分不同的會話，並且可能要對上層協議的標識進行轉換，比如TCP或UDP端口號。這樣NAT網關就可以將不同的內部連接訪問映射到同一公網IP的不同傳輸層端口，通過這種方式實現公網IP的復用和解復用。這種方式也被稱為端口轉換PAT、NAPT或IP偽裝，但更多時候直接被稱為NAT，因為它是最典型的一種應用模式。