【51CTO.com 獨家特稿】目前，ICANN已把IPv4地址分配完畢。按理說，一些組織多少應該有些緊張，因為沒有了IP地址，怎么保證一些網絡設備互聯到Internet？這是因為目前許多單位普遍使用了NAT（Network Address Translation，網絡地址裝換）技術。下面就通過一則現實中運行的實例，和一些截圖讓大家完全明白NAT運行的機制和原理。

一、網絡結構圖說明

網絡拓撲圖如圖1所示，分公司的PC（10.10.10.2/24）通過Internet訪問總部的Server（192.168.10.2/24）。其中在分公司的Cisco 3750上應用了PAT規則，也就是"端口NAT"。在公司總部的防火墻B上應用了Static NAT，并且防火墻B上的互聯網端口的IP地址配置為114.23.72.19/24。分公司Cisco 3750上的互聯網端口的IP地址配置為114.23.72.219/24。在分公司的PC電腦上，和總部的Server上都運行了"360流量監控"軟件，通過軟件中的"網絡連接"面板，能夠清楚的看出NAT運行的機理。

（圖1 網絡結構圖）

#p#

二、交換機和防火墻上NAT的配置

1、總部防火墻B上應用的是Static NAT規則，通過防火墻的Web控制頁面就可操作完成，即在114.23.72.19/24和192.168.10.2/24之間做一靜態轉換，并且這兩個IP地址之間的服務端口也都是一一段應。

2、Cisco 3750上的配置文件如下所示：

ip nat pool corporation 114.23.72.219 114.23.72.219 netmask 255.255.255.0
\\定義內部全局地址池
ip nat inside source list 10 pool corporation overload    \\建立映射關系
!
interface GigabitEthernet1/0/1                     \\定義外網接口
no switchport
ip address 114.23.72.219 255.255.255.0
ip nat outside
!
interface GigabitEthernet1/0/10                     \\定義內網接口
ip nat inside
!
access-list 10 permit 10.10.10.0 0.0.0.255           \\定義內部本地地址范圍

#p#

三、實時監控查看NAT運行過程

"360流量監控"軟件可以詳細的顯示本機服務和遠程主機服務的連接情況。因為在大部分的電腦中，Tcp 139端口都是默認打開的，這樣只需在分公司PC的"命令行"中執行"telnet 114.23.72.19 139"命令，就可在分公司PC與總部Server之間建立一個TCP連接，這是因為Telnet應用是通過TCP建立連接的。建立連接后，就可通過"360流量監控"中的"網絡連接"面板查看它們的連接情況。如圖2所示，是在PC上"360流量監控"的截圖。從圖上可以看出，PC上啟動了一個"Telnet.exe"的進程，進程使用的是TCP協議，在本地的7420端口，和總部Server服務器的139端口建立了連接。 

（圖2  分公司PC上360實時截圖）

（圖3  總部Server上360實時截圖）

圖3所示是在Server上的"360流量監控"的截圖。從圖上可以看出，在總部Server上啟動了一個"System"的系統進程，并且在本地的139端口和目標IP的52617端口之間建了TCP連接。

通過這兩幅截圖就能明白現實中NAT運行的原理。圖中并沒有顯示出在10.10.10.2和192.168.10.2之間直接建立了連接，就是因為在Cisco 3750和防火墻B上應用了NAT規則。#p#

四、總結

1、NAT規則有三種類型：靜態NAT（Static NAT）、動態NAT（Dynamic NAT）和端口NAT（PAT），也稱動態復用NAT。其實動態NAT就是靜態NAT的一種特例。本實例中就應用了三種NAT規則中的兩種，靜態NAT和PAT。

靜態NAT：將內部網絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，也是一直不變的。實例中總部的IP地址114.23.72.19和192.168.10.2之間就是這種一對一的轉換。也就是某個私有IP地址只轉換為某個公有IP地址。借助于靜態NAT，可以實現外部網絡對內部網絡中某些特定服務器的訪問。

動態NAT：將內部網絡的私有IP地址轉換為公用IP地址時，IP地址是不確定，隨機的。所有被授權訪問Internet的私有IP地址可隨機轉換為任何指定合法的IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態NAT轉換。動態NAT可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網絡內部的計算機數量時。可以采用動態轉換的方式。

PAT：改變外出數據包的源端口并進行端口轉換，采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，可以最大限度地節約IP地址資源。同時，也可以隱藏網絡內部的所有主機，有效避免來自Internet的攻擊。因此，目前網絡中應用最多的就是PAT規則。

2、NAT也能有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。但NAT最主要的作用，是在一定程度上減緩了IPv4地址耗盡的進度，但它也只是減緩，并不能阻止。目前，再有組織申請IP地址，就只能是IPv6地址了。因為IPv6地址數量龐大，按保守方法估算，ＩＰｖ6實際可分配的地址，在整個地球每平方米面積上可分配1000多個地址，號稱能讓"每顆沙子都擁有一個ＩＰ地址"。既然IPv6有這么多的地址，能保證每一個Internet上的終端使用的都是全球唯一IP地址，所以當IPv6地址在全球普及的時候，也是NAT技術消亡的時候。

【51CTO.com獨家特稿，非經授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】