收集地点转换协议(NAT)及其应用实例

当在专用网内部的一些主机原来已经分派到了当地IP地点(即仅在本专用网内行使的专用地点)，但此刻又想和因特网上的主机通讯(并不必要加密)时，可行使NAT(Network Address Translation，收集地点转换)要领。

这种要领必要在专用网毗连到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有用的外部环球IP地点。这样，全部行使当地地点的主机在和外界通讯时，都要在NAT路由器大将其当地地点转换玉成球IP地点，才气和因特网毗连。

其它，这种通过行使少量的公有IP 地点代表较多的私有IP 地点的方法，将有助于减缓可用的IP地点空间的枯竭。

2. NAT协议的浸染

潜匿内部客户端的身份、潜伏私有收集计划以及使民众IP地点租用本钱最低，这些成果都可以通过行使收集地点转换(NAT)利便地实现。NAT是一种将包头中的内部IP地点转换为民众IP地点，从而在互联网长举办传输的机制。

人们开拓NAT是为了应承专用收集行使任何IP地点集，而且不会与具有沟通IP地点的民众互联网主机产生斗嘴或抵触。究竟上，NAT将内部客户端的IP地点转换为外部情形中的租用地点。

NAT提供了许多利益，包罗：

可以或许只行使一个(或几个)租用的民众IP地点将整个收集毗连到互联网;

终可以或许在与互联网通讯的环境下， 将RCF1918中界说的私有IP地点用于私有收集;

NAT通过互联网潜匿IP地点方案和收集拓扑布局;

NAT还通过限定毗连提供了掩护，从而使只有来自于内部受掩护收集的毗连才被准许从互联网返回收集。因此，大大都入侵进攻会被自动击退。

3. IP地点分类

IP被分为A、B、C、D、E五类，如表所示。个中D类子网被用于多播，E类子网被保存未来行使。IP地点由四段构成，每段一个字节八位。

(1) A类：(1.0.0.0-126.0.0.0)第一个字节为收集号，后三个字节为主机号。该类IP地点的最前面为“0”，以是地点的收集号取值于1~126之间。一样平常用于大型收集。

默认子网掩码：255.0.0.0或 0xFF000000

个中私有地点范畴是：10.0.0.0～10.255.255.255

(2) B类：(128.0.0.0-191.255.0.0)前两个字节为收集号，后两个字节为主机号。该类IP地点的最前面为“10”，以是地点的收集号取值于128~191之间。一样平常用于中等局限收集。

默认子网掩码：255.255.0.0或0xFFFF0000

个中私有地点范畴是：172.16.0.0～172.31.255.255

(3) C类：(192.0.0.0-223.255.255.0)前三个字节为收集号，最后一个字节为主机号。该类IP地点的最前面为“110”，以是地点的收集号取值于192~223之间。一样平常用于小型收集。

子网掩码：255.255.255.0或 0xFFFFFF00

个中私有地点范畴是：192.168.0.0～192.168.255.255

(4) D类：是多播地点。该类IP地点的最前面为“1110”，以是地点的收集号取值于224~239之间。一样平常用于多路广播用户。

(5) E类：是保存地点。该类IP地点的最前面为“1111”，以是地点的收集号取值于240~255之间。

IP地点总个数为2^32=4 294 967 296，约为43亿个。个中种种地点的占好比图1所示。

图1. IP种种地点占比

4. NAT模式

从界说上看，NAT将一个内部的IP地点映射为一个外部的IP地点。可是，端口地点转换PAT将一个内部的IP地点映射为一个外部IP地点和端标语的组合。因此，PAT理论上在单个外部租用IP地点上可以支持65536(2^16)个来自内部客户端的同时产生的通讯。假如行使NAT，那么租用的民众IP地点数必需与祈望同时产生的通讯数沟通;假如行使PAT，那 么可以租用较少的民众IP地点，内部客户端数目与外部租用IP地点数目的恰当比率为100:1。在许多硬件装备和软件产物中都可以找到NAT，这些装备和产物包罗防火墙、路由器、网关和署理。NAT只能用在IP收集中，而且在OSI模子的收集层(第3层)上事变。

全部的路由器和通讯节制装备被设置为在默认环境下不转发来自或达到这些私有IP地点的通讯。换句话说，私有IP地点在默认环境下不举办路由。因此，它们不能直接用于互联网上的通讯。然而，它们可以被轻松地用在私有收集中，响应的私有收集也许没有行使路由器，可能也许只对路由器的设置举办了少许窜改。通过应承从ISP处租用较少的民众IP地点，团结行使私有IP地点与NAT可以或许大大镌汰毗连互联网的本钱。

可以行使的NAT有两种模式：静态NAT和动态NAT：

静态NAT：将特定的内部客户端的IP地点永世地映射到特定的外部民众IP地点时，就会行使静态模式的NAT;

动态NAT：动态模式的NAT应承多个内部客户端行使较少的租用民众IP地点。因此，纵然租用的民众IP地点较少，较大的内部收集也如故可以或许会见互联网。这种模式使呈现民众IP地点滥用的环境起码，而且将互联网会见本钱降至最低。

在动态模式的NAT实现中，NAT体系维护了一个映射数据库，从而使来自互联网处事的全部相应信息正确地路由至最初的内部哀求客户端。NAT经常与署理处事器或署理防火墙相团结，从而提供特另外互联网会见和内容缓存成果。

由于NAT变动了数据包头，而IPSec依靠数据包头来阻止安详违规，以是NAT并不直接与 IPSec相容。不外，某些版本的NAT署理被计划为在NAT上支持IPSec。IPSec是一种基于尺度的机制，这种机制为点对点TCP/IP通讯提供了加密掩护。

5. NAT应用实例

下面我们回收仿真软件Cisco Packet Tracer来演示现实的收集陈设，软件的下载地点及仿真的工程文件下载地点如下：

链接：https://pan.baidu.com/s/1DLJVuXu5kRmpgCCr7Czfpg

提取码：w5og

收集的拓扑布局和IP地点设置如图2.所示，内网地点为192.168.1.*, 外网处事器的地点设置为2.2.2.2

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!