《工業(yè)網(wǎng)絡(luò)技術(shù)與應(yīng)用（微課版）》 課件 第6章 地址轉(zhuǎn)換技術(shù)NAT

天津中德應(yīng)用技術(shù)大學(xué)李穎工業(yè)控制系統(tǒng)與工業(yè)網(wǎng)絡(luò)第6章網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)第6章網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是一種廣域網(wǎng)（WAN）的技術(shù)，用于將私有地址轉(zhuǎn)換為共有IP地址，被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT不僅能夠有效地隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機(jī)，避免外部網(wǎng)絡(luò)攻擊，還能夠在IP地址分配不理想、不足的時候，有效、合理化地分配IP地址，從而能夠進(jìn)行互聯(lián)網(wǎng)訪問。6.1NAT原理為了發(fā)送和接收流量以及遠(yuǎn)程管理，使用TCP/IP協(xié)議的網(wǎng)絡(luò)要求每個設(shè)備都要有獨一無二的IP地址。隨著個人計算機(jī)的激增和萬維網(wǎng)的出現(xiàn)，接入Internet的設(shè)備越來越多，很快43億個IPv4地址就不夠用了。IETF實施了兩個標(biāo)準(zhǔn)作為短期的解決方案，包括RFC1918標(biāo)準(zhǔn)定義的專用私有IPv4地址和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。RFC1918標(biāo)準(zhǔn)定義了專用的私有IP地址范圍，并允許任何人使用它們；當(dāng)數(shù)據(jù)離開公司網(wǎng)絡(luò)時，可使用NAT將這些地址轉(zhuǎn)換到公共地址，這樣可以節(jié)省并更有效地使用IPv4地址，從而讓各種規(guī)模的網(wǎng)絡(luò)訪問Internet。6.1NAT原理6.1.1專用私有地址RFC1918標(biāo)準(zhǔn)定義了專用私有IP地址的范圍，包括一個A類地址、16個B類地址和256個C類地址，共有1千7百多萬個地址，如表6-1所示。6.1NAT原理任何公司或企業(yè)可以在內(nèi)部網(wǎng)絡(luò)中使用這些私有地址，實現(xiàn)內(nèi)部網(wǎng)絡(luò)設(shè)備的本地通信。由于這些地址不屬于任何一個公司或企業(yè)，任何公司或企業(yè)都可以使用相同的私有地址，私有地址是不能通過Internet路由的。假設(shè)公司A和公司B都在使用網(wǎng)絡(luò)10.0.0.0/8。在公司A中，一個內(nèi)部用戶A想訪問公司B的一臺服務(wù)器C，此時就會出現(xiàn)問題：兩個網(wǎng)絡(luò)都在使用網(wǎng)絡(luò)10.0.0.0/8，并都使用了相同的地址10.0.0.2，這兩個網(wǎng)絡(luò)不能彼此通信，如圖6-1所示。6.1NAT原理有兩種方法可以解決這個問題：（1）將兩個網(wǎng)絡(luò)中的一個（或兩個）重新分配地址；（2）使用地址轉(zhuǎn)換。用第一種方法顯然工作量和影響范圍都比較大，不到萬不得已不能這么做，而且有的現(xiàn)場環(huán)境根本不允許這么做，見后續(xù)標(biāo)準(zhǔn)機(jī)器的案例。第二種方法的地址轉(zhuǎn)換可以解決這個問題。比如，連接公司A的路由器將本地IP地址轉(zhuǎn)換為170.16.0.0/16網(wǎng)絡(luò)中的一個地址。公司B的路由器將它的內(nèi)部本地地址轉(zhuǎn)換為170.17.0.0/16網(wǎng)絡(luò)中的地址。所以，從兩個公司的角度來看，網(wǎng)絡(luò)看上去是170.16.0.0/16和170.17.0.0/16。6.1NAT原理網(wǎng)絡(luò)地址轉(zhuǎn)換（即NAT）是IETF（InternetEngineeringTaskForce，Internet工程任務(wù)組）提出的RFC1631標(biāo)準(zhǔn)，可以將數(shù)據(jù)包中的地址信息從一個地址轉(zhuǎn)換為另一個地址。有了NAT，可以在局域網(wǎng)內(nèi)部為每個設(shè)備配置唯一的專用私有IP地址，當(dāng)局域網(wǎng)內(nèi)部的設(shè)備要與外部網(wǎng)絡(luò)進(jìn)行通訊時，通過安裝在網(wǎng)絡(luò)邊界的NAT設(shè)備，將局域網(wǎng)內(nèi)部的多個私有IP地址轉(zhuǎn)換為一個或多個合法的共有IP地址，使整個內(nèi)部網(wǎng)絡(luò)數(shù)百甚至數(shù)千臺設(shè)備通過一個或多個公用IP地址訪問外部網(wǎng)絡(luò)。而這個轉(zhuǎn)換由NAT設(shè)備自動完成，局域網(wǎng)內(nèi)部的用戶不會意識到NAT的存在，同時局域網(wǎng)內(nèi)部的節(jié)點對于外部網(wǎng)絡(luò)來說也是不可見的。NAT一般用來將專用的私有IP地址轉(zhuǎn)換為公有IP地址，反之亦可。6.1NAT原理需要使用NAT的情況（1）申請的公有IP地址數(shù)量不足以分配給所有的設(shè)備；（2）正在更換服務(wù)提供商，新服務(wù)提供商不再支持舊的公有地址空間；（3）需要連接兩個使用相同地址空間網(wǎng)絡(luò)；（4）正在使用給別人分配的公有IP地址；（5）想要實現(xiàn)負(fù)載平衡，用一個虛擬IP地址來代表多個設(shè)備；（6）想要對進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行更好的控制，隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，保護(hù)內(nèi)部網(wǎng)絡(luò)。6.1NAT原理NAT有以下優(yōu)點：（1）只需使用少量的公有IP地址，就可以讓整個企業(yè)所有需要上網(wǎng)的設(shè)備連上互聯(lián)網(wǎng)，而企業(yè)內(nèi)部網(wǎng)絡(luò)可以使用專用的私有IP地址，即1個A類地址、16個B類地址和256個C類地址，而且不同網(wǎng)絡(luò)可以同時使用這些私有地址；（2）只需改變NAT設(shè)備上的地址轉(zhuǎn)換規(guī)則，無須改變內(nèi)部網(wǎng)絡(luò)各個設(shè)備的地址，即可改變與外部網(wǎng)絡(luò)的連接，使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接更加靈活；（3）NAT自動將數(shù)據(jù)包中的內(nèi)部網(wǎng)絡(luò)的地址轉(zhuǎn)換成NAT設(shè)備對外的地址，可以對外部隱藏網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，提高了網(wǎng)絡(luò)安全性。6.1NAT原理NAT的缺點通過NAT，外部網(wǎng)絡(luò)上的設(shè)備看起來是直接與啟用NAT的設(shè)備進(jìn)行通信，而不是與內(nèi)部網(wǎng)絡(luò)的實際設(shè)備通信，這一事實會造成以下幾個問題：（1）地址轉(zhuǎn)換會更改數(shù)據(jù)包的地址信息，并重新計算校驗和，這樣增加了延遲，影響網(wǎng)絡(luò)性能，對實時協(xié)議的影響比較大；（2）網(wǎng)絡(luò)上需要轉(zhuǎn)換的設(shè)備越多，NAT設(shè)備的負(fù)擔(dān)越大，可能會產(chǎn)生擴(kuò)展性問題；（3）一些復(fù)雜的網(wǎng)絡(luò)環(huán)境，可能經(jīng)過多次NAT轉(zhuǎn)換，數(shù)據(jù)包地址改變多次，導(dǎo)致追溯數(shù)據(jù)包更加困難，故障排除也更具挑戰(zhàn)性；6.1NAT原理（4）NAT可以提供更堅固的安全，但同時也隱藏了被轉(zhuǎn)換設(shè)備的身份，導(dǎo)致跟蹤攻擊源更困難。（5）一些互聯(lián)網(wǎng)協(xié)議和應(yīng)用程序需要從源到目的地的端到端尋址，不能與NAT配合使用，如數(shù)字簽名。（6）使用NAT會干擾IPsec等隧道協(xié)議執(zhí)行完整性檢查，使隧道協(xié)議更加復(fù)雜。以上是NAT的缺點，在使用時必須很小心。6.2利用西門子三層交換機(jī)實現(xiàn)NATNAT功能通常被集成到路由器、防火墻或者單獨的NAT設(shè)備中，還可以通過軟件來實現(xiàn)。西門子SCALANCEXM408三層交換機(jī)就集成了NAT的功能。在NAT中，IP子網(wǎng)分為“Inside”內(nèi)部和“Outside”外部。這樣劃分是從配置了NAT功能的接口角度來看的，通過NAT接口連接所有網(wǎng)絡(luò)均被視為該接口的“Outside”外部，同一設(shè)備的其它IP接口連接的所有網(wǎng)絡(luò)均被視為NAT接口的“Inside”內(nèi)部。當(dāng)數(shù)據(jù)包經(jīng)過NAT接口，在“Inside”與“Outside”之間交換時，所傳送數(shù)據(jù)包的源或目標(biāo)IP地址會發(fā)生改變。當(dāng)數(shù)據(jù)包從“Inside”到“Outside”，數(shù)據(jù)包中源IP地址會發(fā)生改變；當(dāng)數(shù)據(jù)包從“Outside”到“Inside”，數(shù)據(jù)包中目的IP地址會發(fā)生改變。被轉(zhuǎn)換的內(nèi)部IP地址總是會被標(biāo)識為“Local”本地或“Global”全局。因此，在NAT配置中有三種地址：內(nèi)部本地地址、內(nèi)部全局地址和外部地址

內(nèi)部本地地址：也稱為內(nèi)部私有地址，分配給內(nèi)部網(wǎng)絡(luò)中某個設(shè)備的實際IP地址，外部網(wǎng)絡(luò)無法訪問該地址。 內(nèi)部全局地址：可供外部網(wǎng)絡(luò)訪問內(nèi)部設(shè)備的IP地址 外部地址：分配給外部網(wǎng)絡(luò)中某個設(shè)備的實際IP地址。6.2利用西門子三層交換機(jī)實現(xiàn)NAT6.2利用西門子三層交換機(jī)實現(xiàn)NAT如圖6-2所示，兩個IP子網(wǎng)通過工業(yè)以太網(wǎng)交換機(jī)連接，實現(xiàn)PC1和PC2通信。VLAN20接口10.10.0.1/24上配置NAT功能。其中VLAN20所在網(wǎng)絡(luò)為外部網(wǎng)絡(luò)，VLAN10所在網(wǎng)絡(luò)為內(nèi)部網(wǎng)絡(luò)。PC1的內(nèi)部本地地址為192.168.1.100，PC1的內(nèi)部全局地址為10.10.0.2，PC2的地址10.10.1.100是外部地址。6.2利用西門子三層交換機(jī)實現(xiàn)NAT西門子SCALANCEXM408三層交換機(jī)主要有三種NAT工作模式：靜態(tài)地址轉(zhuǎn)換（Static）、動態(tài)地址轉(zhuǎn)換（Pool）和網(wǎng)絡(luò)端口地址轉(zhuǎn)換（NAPT）。6.2.1靜態(tài)地址轉(zhuǎn)換（NATStatic）靜態(tài)地址轉(zhuǎn)換是一種將內(nèi)部網(wǎng)絡(luò)的私有IP地址（內(nèi)部本地地址）與外部網(wǎng)絡(luò)的IP地址（內(nèi)部全局地址）之間建立固定映射關(guān)系的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。我們通過一個例子來展示靜態(tài)地址轉(zhuǎn)換的工作原理，在內(nèi)部網(wǎng)絡(luò)中有3臺PLC控制器，連接到SCALANCEXM408交換機(jī)上，并通過交換機(jī)訪問外部網(wǎng)絡(luò)。因此，在交換機(jī)上配置了2個虛擬專用網(wǎng)VLAN10和VLAN20，VLAN10是內(nèi)部私有網(wǎng)絡(luò)，VLAN20連接外部公共網(wǎng)絡(luò)。為了隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，在VLAN20端口配置靜態(tài)地址轉(zhuǎn)換，NAT靜態(tài)映射表格如圖6-3所示。6.2利用西門子三層交換機(jī)實現(xiàn)NAT6.2利用西門子三層交換機(jī)實現(xiàn)NAT當(dāng)工作站訪問PLC1時，工作站發(fā)出的數(shù)據(jù)包目的IP地址應(yīng)為PLC1的內(nèi)部全局地址，數(shù)據(jù)包經(jīng)過交換機(jī)后，目的IP地址被轉(zhuǎn)換成內(nèi)部本地地址。當(dāng)響應(yīng)數(shù)據(jù)包返回時，源地址為PLC1的內(nèi)部本地地址，經(jīng)過交換機(jī)后，源地址為PLC1的內(nèi)部全局地址，如圖6-4所示。6.2利用西門子三層交換機(jī)實現(xiàn)NAT6.2.2動態(tài)地址轉(zhuǎn)換（Pool）動態(tài)地址轉(zhuǎn)換是一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，它允許多個內(nèi)部網(wǎng)絡(luò)設(shè)備共享一組全局IP地址，從而在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立映射關(guān)系。下面通過一個例子來看一下動態(tài)地址轉(zhuǎn)換是如何工作的。如圖6-5所示，內(nèi)部3臺PLC有使用外部服務(wù)器的需求，但是全局地址只有1個，需要將內(nèi)部網(wǎng)絡(luò)192.168.10.0/24使用動態(tài)地址轉(zhuǎn)換將本地IP地址轉(zhuǎn)換為全局IP地址10.10.10.100來連接Internet。6.2利用西門子三層交換機(jī)實現(xiàn)NAT6.2利用西門子三層交換機(jī)實現(xiàn)NAT在SCALANCEXM408交換機(jī)上，動態(tài)地址轉(zhuǎn)換的配置界面如圖6-6所示。其中Interface表示配置NAT功能的接口，InsideGlobalAddress內(nèi)部全局地址表示動態(tài)分配全局IP地址池的起始地址，InsideGlobalAddressMask是內(nèi)部全局地址掩碼決定了地址池中全局地址的數(shù)量。6.2利用西門子三層交換機(jī)實現(xiàn)NAT6.2.3網(wǎng)絡(luò)地址端口轉(zhuǎn)換（NAPT）端口轉(zhuǎn)發(fā)可以讓用戶通過Internet訪問內(nèi)部網(wǎng)絡(luò)上使用私有IP地址的專門設(shè)備，而且可以使用不同的端口