網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)及其應(yīng)用

前言：隨著Internet技術(shù)的不斷以指數(shù)級(jí)速度增長(zhǎng)，珍貴的網(wǎng)絡(luò)地址分配給專(zhuān)用網(wǎng)絡(luò)終于被視作是一種對(duì)寶貴的虛擬房地產(chǎn)的浪費(fèi)。因此出現(xiàn)了網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)標(biāo)準(zhǔn)，就是將某些IP地址留出來(lái)供專(zhuān)用網(wǎng)絡(luò)重復(fù)使用。本文將詳細(xì)告訴你如何正確應(yīng)用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)。
    一、NAT技術(shù)的定義
    NAT英文全稱(chēng)是Network Address Translation，稱(chēng)是網(wǎng)絡(luò)地址轉(zhuǎn)換，它是一個(gè)IETF標(biāo)準(zhǔn)，允許一個(gè)機(jī)構(gòu)以一個(gè)地址出現(xiàn)在Internet上。NAT將每個(gè)局域網(wǎng)節(jié)點(diǎn)的地址轉(zhuǎn)換成一個(gè)IP地址，反之亦然。它也可以應(yīng)用到防火墻技術(shù)里，把個(gè)別IP地址隱藏起來(lái)不被外界發(fā)現(xiàn)，使外界無(wú)法直接訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)設(shè)備，同時(shí)，它還幫助網(wǎng)絡(luò)可以超越地址的限制，合理地安排網(wǎng)絡(luò)中的公有Internet 地址和私有IP地址的使用。
    二、NAT技術(shù)的基本原理和類(lèi)型
    1、NAT技術(shù)基本原理
    NAT技術(shù)能幫助解決令人頭痛的IP地址緊缺的問(wèn)題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。它解決問(wèn)題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過(guò)NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來(lái)替換。 NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。NAT設(shè)備維護(hù)一個(gè)狀態(tài)表，用來(lái)把非法的IP地址映射到合法的IP地址上去。每個(gè)包在NAT設(shè)備中都被翻譯成正確的IP地址，發(fā)往下一級(jí)，這意味著給處理器帶來(lái)了一定的負(fù)擔(dān)。但對(duì)于一般的網(wǎng)絡(luò)來(lái)說(shuō)，這種負(fù)擔(dān)是微不足道的。
    2、NAT技術(shù)的類(lèi)型
    NAT有三種類(lèi)型：靜態(tài)NAT(Static NAT)、動(dòng)態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port－Level NAT）。其中靜態(tài)NAT設(shè)置起來(lái)最為簡(jiǎn)單和最容易實(shí)現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而動(dòng)態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。
    動(dòng)態(tài)地址NAT只是轉(zhuǎn)換IP地址，它為每一個(gè)內(nèi)部的IP地址分配一個(gè)臨時(shí)的外部IP地址，主要應(yīng)用于撥號(hào)，對(duì)于頻繁的遠(yuǎn)程聯(lián)接也可以采用動(dòng)態(tài)NAT。當(dāng)遠(yuǎn)程用戶(hù)聯(lián)接上之后，動(dòng)態(tài)地址NAT就會(huì)分配給他一個(gè)IP地址，用戶(hù)斷開(kāi)時(shí)，這個(gè)IP地址就會(huì)被釋放而留待以后使用。
     網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面。NAPT與動(dòng)態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上，同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的TCP端口號(hào)。
     在Internet中使用NAPT時(shí)，所有不同的TCP和UDP信息流看起來(lái)好像來(lái)源于同一個(gè)IP地址。這個(gè)優(yōu)點(diǎn)在小型辦公室內(nèi)非常實(shí)用，通過(guò)從ISP處申請(qǐng)的一個(gè)IP地址，將多個(gè)連接通過(guò)NAPT接入Internet。實(shí)際上，許多SOHO遠(yuǎn)程訪(fǎng)問(wèn)設(shè)備支持基于PPP的動(dòng)態(tài)IP地址。這樣，ISP甚至不需要支持NAPT，就可以做到多個(gè)內(nèi)部IP地址共用一個(gè)外部IP地址上Internet，雖然這樣會(huì)導(dǎo)致信道的一定擁塞，但考慮到節(jié)省的ISP上網(wǎng)費(fèi)用和易管理的特點(diǎn)，用NAPT還是很值得的。
    三、在Internet中使用NAT技術(shù)
    NAT技術(shù)可以讓你區(qū)域網(wǎng)路中的所有機(jī)器經(jīng)由一臺(tái)通往Internet的server 線(xiàn)出去，而且只需要注冊(cè)該server的一個(gè)IP就夠了。 在以往沒(méi)有NAT技術(shù)以前，我們必須在server上安裝sockd，并且所有的clients都必須要支援sockd，才能夠經(jīng)過(guò)server的sockd連線(xiàn)出去。這種方式的問(wèn)題是，通常只有telnet/ftp/www-browser支援sockd，其它的程式都不能使用；而且使用sockd的速度稍慢。因此我們使用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)，這樣client不需要做任何的更動(dòng)，只需要把gateway設(shè)到該server上就可以了，而且所有的程式(例如kali/kahn等等) 都可以使用。最簡(jiǎn)單的NAT設(shè)備有兩條網(wǎng)絡(luò)連接：一條連接到Internet，一條連接到專(zhuān)用網(wǎng)絡(luò)。專(zhuān)用網(wǎng)絡(luò)中使用私有IP地址（有時(shí)也被稱(chēng)做Network 10地址，地址使用留做專(zhuān)用的從10.0.0.0開(kāi)始的地址）的主機(jī)，通過(guò)直接向NAT設(shè)備發(fā)送數(shù)據(jù)包連接到Internet上。與普通路由器不同NAT設(shè)備實(shí)際上對(duì)包頭進(jìn)行修改，將專(zhuān)用網(wǎng)絡(luò)的源地址變?yōu)镹AT設(shè)備自己的Internet地址，而普通路由器僅在將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地前讀取源地址和目的地址。