网络地址转换技术在局域网中的应用
2021-01-17刘雪梅
刘雪梅
摘要:由于企业内部网络用户数量大,而能申请的合法的全球唯一IP地址有限。网络地址转换能够有效的解决企业IP地址短缺问题,利用网络地址转换技术能够实现多个用户共同使用一个合法的IP地址连接互联网。企业期望隐藏LAN内部网络结构,网络地址转换可以将内部LAN与外部 Internet隔离,使外部网络用户无法了解通过网络地址转换设置的内部IP地址。
关键词:网络地址转换;局域网
一、网络地址转换简介
网络地址转换英文全称是”Network Address Translation”,中文解释是”网络地址转换”,它是一个IETF标准,允許一个整体机构以一个公用IP地址出现在Internet上。即是一种把非注册的内部网络地址转换成注册的外部网络地址。
网络地址转换就是在局域网内部使用内部网络地址,而当内部计算机要与外部网络进行通信时,就在网关(可以理解为出口,就像门一样)处,将局域网内部IP地址转换成公网IP地址,从而内部计算机就能连接到Internet上。
1、网络的分类
(1)内部网络(Internal Network)
“内部网络”通常指企业内部的网络即局域网,是多台计算机联系在一起组成的,在这个内部网络中可以进行资源共享(文档),还可以通过内部网络使多台计算机共享同一硬件(打印机);如果想让内部网络的计算机了解Internet上更多的资源,必须将内部网络非注册IP地址经过路由器的NAT转换才能访问外部网络(Internet)。
(2)外部网络(External Network)
“外部网络”通常指因特网等公有网络;如果两个局域网通过路由器相连的话,外部网络就是私有网络。因此外部网络上的用户使用IP地址同样既可以是注册的,也可以是非注册的。
2、IP地址的分类
在网络地址转换技术中定义了“本地地址”和“全局地址”两大类。“本地地址”又可以分为“内部本地地址”和“外部本地地址”两类,但是它们都是针对本地内部网络而言的,也就是都是位于内部网络一侧;同样,“全局地址”也分为“内部全局地址”和“外部全局地址”(两类,但它们都是针对外部网络而言的,也即都是位于外部网络一侧。
内部本地地址:指在一个企业和机构网络内部分配给一台主机的IP地址,这地址通常是私有IP地址。
内部全局地址:指设置在路由器等因特网接口设备上用来代替一个或多个私有IP地址的公有地址,这个地址在公网上是唯一的。
外部本地地址:指因特网上另一端网络内部的地址,该地址可能是私有的。
外部全局地址:指因特网上的一个公有地址,该地址可能是因特网上的一台主机。
这四类IP地址在NAT上的转换基本过程(仅考虑“源IP地址转换”时)是:从内部网络访问外部网络时,是把“内部本地地址”转换成“内部全局地址”,而由外部网络访问内部网络时,是把“外部全局地址”转换成“外部本地址”。它们在内、外部网络中的位置。
3、网络地址转换配置类型
网络地址转换包括静态网络地址转换、动态网络地址转换和端口多路复用地址转换三种技术类型。静态网络地址转换是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址;动态地址网络地址转换是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络;端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,选择相应的网络地址转换技术类型。
(1) 静态网络地址转换
静态转换是指内部网络的私有IP地址(如本地局域网IP地址)转换为公有IP地址(如因特网IP地址),转换前后的IP地址对是一对一的,是一成不变的,即某个私有IP地址只转换为某个公有IP地址。
网络地址转换将网络划分为内部网络和外部网络两部分,局域网主机利用网络地址转换访问网络时,是将局域网内部的本地地址转换为全局地址后发送数据包;借助于地址转换,可以实现外部网络对内部网络中某些设备的访问,也能实现局域网内的计算机进行访问因特网。
路由器内、外两个网络,左侧内部网络中的10.0.0.3和10.0.0.4这两台服务器使用的私有网络IP地址,通过路由器的网络地址转换功能最终对应转换成58.218.157.34和58.218.157.35这两个公网IP地址,让对方看到的也是这两个公网IP地址。这样外网用户只需要访问这两个公网IP地址就可以访问到这两台服务器了。
(2)动态网络地址转换
动态转换是将内网的私有IP地址转换为外网的公有IP地址,公网IP地址是不确定的,是随机的;只要指定那些内部地址可以进行转换,以及用那些地址作为外部地址时,就可以进行动态转换;外部公有地址必须是公有地址池内的地址,在转换时是以先到先得的原则分配地址池内的地址。当具有私有IP地址的主机请求访问因特网时,动态网络地址转换从地址池中选择一个未被其它外部主机占用的IP地址,地址转换完成后,私有地址的用户就可以访问外部网络资源。
(3)重载或复用网络地址转换
重载网络地址转换是动态网络地址转换的一种形式。它是通过与IP地址的不同端口组合,把多个非注册IP地址映射到一个注册IP地址,也就是Cisco设备中通常所说的“PAT”(Port Address Translation,端口地址转换),在华为和H3C设备中称之为NAPT(Network Address Port Translation,网络地址端口转换)。PAT是NAT最常用的一种实现方式,使许多内网用户都可以仅通过一个公网IP地址访问Internet(俗称上网)。
二、总结
网络地址转换技术可以极大的节省了合法的IP地址,能够处理地址重复情况,避免了地址的重新编号,增加了编址的灵活性,能够隐藏了内部网络地址,增强了安全性,可以使多个使用TCP负载特性的服务器之间实现基本的数据包负载均衡[7]。但是网络地址转换技术也有它的缺点,如由于网络地址转换要在边界路由器上进行地址的转换,增大了传输的延迟;由于改动了IP地址,失去了跟踪端到端IP流量的能力。当出现恶意流量时,会使故障排除和流量跟踪变的更加棘手;不支持一些特定的应用程序。