◆赵 菁
几种源NAT技术比较分析
◆赵 菁
(北京信息职业技术学院 北京 100018)
基于源IP地址的NAT是指对发起连接的IP报文头中的源地址进行转换。它可以实现内部用户访问外部网络的目的,本文介绍了三种常见的源NAT方式,并比较分析了它们的特点、适用场景。
NAT技术原理;源NAT;分类;应用场景
NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网。NAT转换设备处于内部网络和外部网络的连接处,内部的PC与外部服务器的交互报文全部通过该NAT转换设备。常见的NAT转换设备有路由器、防火墙等。根据应用场景的不同,NAT可以分为以下三类,即源NAT(Source NAT)、出接口地址方式(Esay IP)和静态映射(NAT Server)。本文主要讨论源NAT方式。
基于源IP地址的NAT是指对发起连接的IP报文头中的源地址进行转换。它可以实现内部用户访问外部网络的目的。通过将内部主机的私有地址转换为公有地址,使一个局域网中的多台主机使用少数的合法地址访问外部资源,有效的隐藏了内部局域网的主机IP地址,起到了安全保护的作用。
华为防火墙支持的源NAT功能包括:地址池方式和出接口地址方式(Easy IP)。其中地址池方式又分为不带端口转换(NAT NO-PAT)和带端口转换(NAPT)。
(1)不带端口转换的地址池方式(NAT NO-PAT)
不带端口转换的地址池方式通过配置NAT地址池来实现,NAT地址池中可以包含多个公网地址。转换时只转换地址,不转换端口,实现私网地址到公网地址一对一的转换。如果地址池中的地址已经全部分配出去,则剩余内网主机访问外网时不会进行NAT转换,直到地址池中有空闲地址时才会进行NAT转换。
(2)带端口转换的地址池方式(NAPT)
带端口转换的地址池方式通过配置NAT地址池来实现,NAT地址池中可以包含一个或多个公网地址。转换时同时转换地址和端口,即可实现多个私网地址共用一个或多个公网地址的需求。
(3)源NAT出接口地址方式(Easy IP)
出接口地址方式也称为Easy IP,即直接使用接口的公网地址作为转换后的地址,不需要配置NAT地址池。转换时同时转换地址和端口,即可实现多个私网地址共用外网接口的公网地址的需求。
在NAT No-PAT的转换方式中,一个公网IP地址不能同时被多个私网用户使用,其实并没有起到节省公网IP地址的效果。因此,这种方式适合于需要上网的私网用户数量少,公网IP地址数量与同时上网的最大私网用户数量基本相同场景。
在NAPT方式下,由于地址转换的同时还进行端口的转换,可以实现多个私网用户共同使用一个公网IP地址上网,防火墙根据端口区分不同用户,所以可以支持同时上网的用户数量更多。这是一种利用第四层信息来扩展第三层地址的技术,一个IP地址有65535个端口可以使用。理论上来说,一个地址可以为其他65535个地址提供NAT转换,防火墙还能将来自不同内部地址的数据报文映射到同一公有地址的不同端口号上,因而仍然能够共享同一地址,对比一对一或多对多地址转换。这样极大的提升了地址空间,增加了IP地址的利用率。 因此这种方式适合于公网IP地址数量少,需要上网的私网用户数量大的场景,它是最常用的一种地址转换方式。
在Easy IP方式下,利用出接口的公网IP做源NAT转换,适用于公网IP非常少或接口动态获取IP的场景。easy-ip的NAT转换方式和NAPT一样,都是同时转换IP和端口。一个公网IP地址可以同时被多个私网用户使用,可以看成是NAPT方式的一种变体。
几种源NAT技术的特点对比参见表1。
表1 几种源NAT技术比较
源NAT技术对IP报文的源地址进行转换,将私网IP地址转换成公网IP地址,使大量的私网用户可以利用少量公网IP地址访问Internet,节约了宝贵的公网地址资源。在实际应用中,应根据不同的场景选择不同的源NAT技术。
[1]郭子明.网络地址转换NAT技术分析与实现[J].福建电脑,2016.
[2]张知青.浅谈网络地址转换(NAT)的三种方式 [J].信息技术,2011.