摘要：在校园网中使用NAT/PAT管理IP地址能够简化网络管理，节省注册的IP地址，提高IP地址的使用率，隐蔽敏感服务的IP地址。在校园网中对不同用户应用不同的NAT/PAT管理IP地址十分重要。

关键字：NAT；PAT；校园网；IP地址管理

0 引言

随着校园网的迅速发展，规模日益扩大，应用部门增多，网上丰富的资源产生着巨大的吸引力使接入用户快速增加。网络管理日益复杂：注册的合法IP地址日益短缺、多个用户只能同时共用IP地址、有些部门不想让外部网络用户知道自己内部网络的结构等。为了解决这些问题，出现了许多解决方案。在目前校园网络环境中常用的比较有效的方法是地址转换(NAT)和端口转换（PAT）。

1 NAT/PAT

NAT（地址转换）就是把在内部网络中使用IP地址转换成外部网络中使用的IP地址，把不可路由的IP地址转化成可路由的IP地址，节省NIC注册的IP地址，对外部网络隐蔽内部网络的结构。PAT（端口转换）是一种特殊的NAT，也称NAT复用，就是将许多内部网络IP地址映射到一个或少数几个外部网络的IP地址，使内部网络用户公用一个外部IP地址，节省NIC注册的IP地址。

NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表，用来把内部网络的IP地址映射到外部网络的IP地址。每个包在NAT设备中都被转换后发往下一级。NAT本身并不提供类似防火墙、包过滤、隧道等技术的安全性，只是在包的最外层改变IP地址，使外部网络用户不知道内部网络的地址结构防止一般外部网络用户对内部网络的非法访问。

NAT应用有三种方式：静态NAT（static NAT）、动态NAT（pooled NAT）和PAT（端口复用NAT）。静态NAT是采用固定分配的方法映射内部网络的和外部网络的IP地址。动态NAT则是采用动态分配的方法映射内部网络的和外部网络的IP地址。PAT则是把多个内部网络IP地址映射到外部网络的同一个IP地址的不同端口上。

2 NAT/PAT的应用

静态NAT

静态NAT (Static Network Address Translation)是NAT中最简单的应用方式，内部网络IP地址和外部网络IP地址只能是一一对应的固定映射方式，且需要指定和哪个地址进行转换。如果内部网络中有E-mail服务器、FTP服务器、WEB服务器等为外部网络用户提供服务，则这些服务器的IP地址必须采用静态地址转换，以便外部网络用户可以使用这些服务。

动态NAT池

动态NAT池（Pooled NAT）是采用动态分配的方法映射内部网络的和外部网络的IP地址。可以使外部网络访问内部网络提供的服务，也可以从内部网络访问外部网络，而不需要重新配置内部网络中的IP地址。例如，分配给学校办公系统的内部子网192.168.0.0，其网络地址属于B类保留地址。作为校园网的一个子网，其IP地址仅分配给办公系统用户设备。为了使校园网其它用户能访问到这个内部网，用路由器把办公内部网和校园网连接起来，使之能相互访问。但由于192.168.0.0属于内部地址，不能直接访问外部网络。所以在路由器中设置一个动态NAT池，用来转换翻译来自内部网络的IP包的地址，把包的IP地址映射成地址池中的外部网络IP地址。因此内部网可以访问外部网络的服务器，外部网络中的任何主机也能访问内部网络提供的服务。

采用动态NAT可以在内部网中定义很多的内部用户，通过动态分配的办法，共享很少的几个外部IP地址。而静态NAT则只能形成一一对应的固定映射方式。当NAT池中动态分配的外部IP地址全部被占用后，后续的NAT翻译申请将会失败。一般有NAT功能的路由器有超时配置功能。例如在Cisco7600中可以配置成开始15分钟后删除当前的NAT进程，为后续的NAT申请预留出外部网络IP地址。由于一般的外部连接时间不会很长，所以连接的时间阈值可以设置较短。对不同的内部网络用户可以使用不同的时间阈值，以满足各自的需求。

动态NAT池(Pooled Network Address Translation)为校园网络管理提供了很大的灵活性，但也影响到部分网络管理功能。例如，原来用IP地址来跟踪设备的运行情况。但使用NAT之后，由于被翻译的地址对应的内部网络地址是动态变化的，因此无法准确了解指定内部网络设备的运行情况，给校园网设备远程管理带来一定麻烦。

PAT

PAT(Port Address Translation)也称为NAPT，是一种动态地址转换，它可以允许多个内部本地地址共用一个内部合法地址，用不同的协议端口号映射不同的内部网络地址。PAT理论上可以支持64500个TCP／IP、UDP／IP连接，但实际可以支持的工作站数约4000。因为许多Internet应用如HTTP，实际上由许多小的连接组成。

PAT大量应用在远程访问中，特别是在远程拨号用户使用的设备中。使用PAT时，所有不同的TCP和UDP信息流仿佛都来源于同一个IP地址。虽然这样会导致信道的拥塞，但由于节省了上网费用、注册IP地址、易管理的特点，对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况，这种转换极为有用。

3 NAT/PAT配置示例

以集美大学CISCO 7600配置的PAT为例说明NAT/PAT的应用。学校机房教学网有一个内部网络192.168.20.0由于内部用户有访问外部网络的要求，因此分配给它一个外部网络的公用地址210.34.143.2用于内网络用户访问外部网络。

设置外部网络的一个地址用于PAT

ip nat pool mypool 210.34.143.2 210.34.143.2 prefix 30

设置办公网内部网络的要转换的地址

access-list 1 permit 192.168.20.0  0.0.0.255

设置内外地址转换

ip nat inside source list 1 pool mypool overload

设置内部网络的接口

interface ethernet0

ip nat inside

设置外部网络的接口

interface ethernet1

ip nat outside

通过以上配置，机房内的所有设备都能访问外部网，满足了机房学生上网的要求。

4 总结

在校园网中使用NAT/PAT有许多优越性，例如使原有内部网络不必重新编址、减少注册IP地址的使用，简化了网络管理；但NAT也影响了一些网络管理功能和安全设施。NAT改变包的IP地址，对于防火墙由于它利用IP地址、TCP端口、目标地址以及其它IP包内的信息来决定是否干预网络的连接，使用NAT后会改变防火墙的规则。因此在具体应用中，NAT应集成在防火墙系统之中，提供访问控制和地址翻译的功能。不要把NAT设在防火墙之外，因为黑客可能会骗过NAT进入网络。

若在网络中使用了VPN（虚拟专用网），并用IPSec进行加密安全保证，那么错误地设置NAT会破坏VPN的功能。由于NAT改变IP包的地址，IPSec会认为包是伪造的，拒绝使用。因此要把NAT放在受保护的VPN内部，而不是在中间。

参考文献：

[1]叶吉祥，利用CISCO路由器的NAT解决IP地址短缺问题.计算机应用，2002,(4):43-45

[2]户现锋，NAT技术及其在防火墙中的应用.微型机与应用,2000，（6）：32-33

文章录入：csh    责任编辑：csh