唐国光

摘要：由于互联网上分配的IP地址日益短缺，申请得到多个IP地址都是很困难的事情，申请一个专线上网只能得1到2个的IP地址，但是按照传统的上网技术来看，1到2个IP地址最多同时只能2个用户访问互联网，如果本地用户较多，如10～100人的企业或上百个用户的网吧，这么多的用户如何解决同时上网。网络地址转换（NAT）技术就是针对这样的情况产生的。

关键词：NAT；PAT ；互联网接入

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）34-0271-02

1 NAT技术的相关介绍

1.1 NAT技术的概述

NAT（Network Address Translation）网络地址转换，可以将使用私有地址的企业网、家庭网，通过地址转换功能，与互联网通信。在内网络中，计算机之间通过私有IP地址进行通讯。而当内网计算机要与互联网进行通讯时，利用具有NAT功能的设备（比如：路由器、软路由RouterOS以及网络操作系统），将其内部私有IP地址转换为全局IP地址（即电信运营商分配的IP地址）进行通信。

1.2NAT的工作过程

1.3 NAT技术的优势和不足

1.3.1 NAT的优势

（1） 内网使用私有地址，不使用公网地址，有效解决IP地址短缺的问题。

（2） 提高了内网的安全性，使用NAT的网络，在大多数情况下，通信是由内部网络发起，外网无法主动向内网发起远程攻击。

（3） 可以使用PAT功能，有效隐藏内部服务器开放端口。

1.3.2 NAT的不足

（1） NAT会使网络延迟增大。每个数据包都要进行地址转换，要改变IP或TCP包头信息，增大了网络传输时间。

（2） 失去了终端到服务器的端到端连接。由于外部用户看到的地址是内部全局地址，看不到内部局部地址，由NAT进行转换后实现跳板式通信。

1.4 NAT的设置方法

1.4.1 静态地址转换

静态地址转换将内部本地地址与内部合法地址进行一对一的转换。

内网中如有需要向外提供的服务器，静态地址转换可以为外部用户提供地址映射服务。

1.4.2 PAT

PAT转换也是一种动态地址转换，它允许多个内部本地地址通过端口号共用一個内部全局地址。用最少的公网IP地址，为更对的内网地址提供转换服务，极大的减少了公网地址的占用。

在全局设置模式下，设置在内部的本地地址与内部全球IP地址间建立复用动态地址转换。

2 NAT 技术应用

2.1 网络环境

互联网服务提供商分配5个公网IP地址给该公司，IP地址分别是：58.241.218.178-58.241.218.182子网掩码长度28。网络管理员可以通过NAT（网络地址转换）技术，通过这几个公网IP地址提供整个企业网的互联网接入服务、为了确保财务处的网络安全，不允许财务处所在的网络（172.16.12.0）接入公网。

2.2 拓扑图

S7交换机用于连接总经理办公室、副经理办公室1、副经理办公室2和财务处的终端接入，S8交换机用于连接客服中心和信息中心的终端接入。S7和S8交换机汇总到S2交换机。

S5交换机用于连接仓库管理中心的终端设备，S6交换机用于连接主营业厅的终端设备。S5和S6交换机汇总到S3交换机，其中S6和S3核心交换间使用双链路连接，可以保证数据可靠性。

S2和S3核心交换机连接到S1交换机中心交换机。S4交换机用连接内部服务器区计算机，并且连接到S1交换机。

S1交换机连接到R1出口路由器，R1出口路由器开启NAT功能，提供互联网接入服务。

2.3 NAT路由器配置

步骤1：配置连接外网端口（FA0/0）。

步骤2：确定fa0/1接口为连接内网端口。

步骤3：配置访问控制列表，实现只禁止财务处联入互联网。

步骤4：启用PAT功能，并引用access-list 1访问控制列表。

步骤5：在NAT路由器（R1）中配置默认路由。

步骤6：在R1路由器中向OSPF网络注入默认路由。

3 结束语

NAT的地址转换使一个局域网仅使用较少公网IP地址，就能获得互联网接入的能力，有效地缓解了地址不足的问题，同时提供了一定的安全性。在内部网络通过NAT访问外部网络时，将产生一个映射记录。外部网络回应包传回NAT路由器时，根据映射关系转换为内网地址，完成通信。增加网络可靠性。

参考文献：

[1] 蔡立军，李立明，李峰.计算机网络安全技术[M].中国水利水电出版社，2004.endprint