NAT在企業(yè)中的應(yīng)用與問(wèn)題挑戰(zhàn)

2019-11-04 20:25:58

字體：大中小

供稿：網(wǎng)友

　　在日常經(jīng)濟(jì)領(lǐng)域，當(dāng)一種商品出現(xiàn)短缺時(shí)，市場(chǎng)的最初反應(yīng)通常會(huì)表現(xiàn)為這類商品價(jià)格的上揚(yáng)，并開(kāi)始出現(xiàn)限量供給。然后，人們將會(huì)逐漸著手尋求這類商品可能的替代品及解決這類商品短缺問(wèn)題的最終途徑。
　　
　　在網(wǎng)絡(luò)技術(shù)領(lǐng)域，這種現(xiàn)象也同樣不同程度地存在著。這其中，ip地址問(wèn)題就是一個(gè)非常典型的例子。早在十年前，IETF國(guó)際互聯(lián)網(wǎng)工程任務(wù)組就已開(kāi)始意識(shí)到現(xiàn)行IPv4地址空間將面臨短缺的問(wèn)題。IPv4使用32位地址，為便于尋址和實(shí)現(xiàn)網(wǎng)絡(luò)構(gòu)造層次化，每個(gè)IP地址包括網(wǎng)絡(luò)ID和主機(jī)ID兩個(gè)標(biāo)識(shí)碼。同一物理網(wǎng)絡(luò)內(nèi)的所有主機(jī)都用同一網(wǎng)絡(luò)ID，網(wǎng)絡(luò)上的每一主機(jī)則有一個(gè)主機(jī)ID與其對(duì)應(yīng)。同時(shí)，根據(jù)網(wǎng)絡(luò)ID的不同，這種全球唯一的IP地址又劃分為A、B、C、D和E五種地址類型。
　　
　　在網(wǎng)絡(luò)發(fā)展初期，這樣劃分IP地址類型并無(wú)不妥，但在Internet飛速發(fā)展和規(guī)模日益龐大的今天，根據(jù)A、B、C三種主要地址類型分配地址實(shí)際上造成了Internet地址資源的嚴(yán)重浪費(fèi)。目前，A類地址早已告罄，B類地址也面臨耗盡，現(xiàn)正分配中的C類地址也將很快消耗殆盡。僅以我國(guó)為例，自1997年至今，我國(guó)IP地址總數(shù)一直呈加速增長(zhǎng)態(tài)勢(shì)。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心今年7月末發(fā)布的《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2003年6月30日，我國(guó)內(nèi)地IP地址總數(shù)已達(dá)32084480個(gè)。從全球情況來(lái)看，數(shù)字將更為驚人。有猜測(cè)表明，以目前的Internet發(fā)展速度計(jì)算，所有IPv4地址將會(huì)在2005至2010年間全部分配一空。
　　
　　為解決IPv4存在的這類問(wèn)題，IETF從1995年開(kāi)始著手研發(fā)擁有長(zhǎng)達(dá)128位地址空間、可徹底解決IPv4地址不足問(wèn)題的下一代IPv6協(xié)議。與此同時(shí)，各種旨在緩解IPv4地址不足問(wèn)題的過(guò)渡性解決方案也相繼涌現(xiàn)。其中最有影響的當(dāng)屬根據(jù)1994年發(fā)布的RFC 1631“IP地址翻譯器”開(kāi)發(fā)的NAT網(wǎng)絡(luò)地址翻譯技術(shù)。
　　
　　這一技術(shù)的具體實(shí)現(xiàn)辦法是在內(nèi)部網(wǎng)絡(luò)使用專用地址，通過(guò)NAT將內(nèi)部地址翻譯成合法的IP地址在Internet上使用。NAT設(shè)備的主要功能是負(fù)責(zé)維護(hù)一個(gè)用于將內(nèi)部IP地址映射到合法IP地址上去的狀態(tài)表。同時(shí)，內(nèi)部網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)包在NAT設(shè)備中被翻譯成正確的IP地址，發(fā)往下一級(jí)。與普通路由器僅在將數(shù)據(jù)包轉(zhuǎn)發(fā)至目的地前讀取源地址和目的地址不同，NAT設(shè)備實(shí)際上是對(duì)數(shù)據(jù)包頭進(jìn)行修改，將專用網(wǎng)絡(luò)源地址修改為NAT設(shè)備自己的Internet地址。
　　
　　 NAT在企業(yè)中的應(yīng)用與問(wèn)題挑戰(zhàn)

　　
　　NAT配置示意圖
　　
　　這樣，借助NAT，理論上一個(gè)全球唯一IP地址后面可以連接幾百臺(tái)、幾千臺(tái)乃至幾百萬(wàn)臺(tái)內(nèi)部網(wǎng)絡(luò)專用地址主機(jī)，從而可以有效減少注冊(cè)IP地址的使用，節(jié)省大量寶貴的IP地址資源，在很大程度上緩解現(xiàn)行IPv4地址不足的問(wèn)題。
　　
　　NAT在企業(yè)LAN中的應(yīng)用
　　由于NAT網(wǎng)絡(luò)地址翻譯不僅可以利用全球唯一IP地址將局域網(wǎng)內(nèi)的所有主機(jī)接入Internet，有效節(jié)省寶貴的IP地址資源，而且還能夠?qū)崿F(xiàn)LAN內(nèi)部地址隱藏，在一定程度上防范網(wǎng)絡(luò)攻擊的發(fā)生。因此，這一技術(shù)問(wèn)世以來(lái)，很快在企業(yè)LAN領(lǐng)域得到了廣泛應(yīng)用。
　　
　　目前，NAT在企業(yè)LAN領(lǐng)域的應(yīng)用主要有兩種情況，一種是企業(yè)申請(qǐng)的合法全球唯一IP地址有限，而內(nèi)部網(wǎng)絡(luò)用戶數(shù)量眾多。在這種情況下，通過(guò) NAT就可以實(shí)現(xiàn)多個(gè)用戶同時(shí)共用一個(gè)合法全球唯一IP接入Internet，從而可有效解決企業(yè)合法IP地址短缺的問(wèn)題。另一種情況是企業(yè)出于安全方面的考慮，期望隱藏企業(yè)LAN內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，則可以通過(guò)NAT將內(nèi)部LAN與外部Internet 隔離，使外部用戶無(wú)法了解通過(guò)NAT設(shè)置的內(nèi)部IP地址。
　　
　　NAT的另一個(gè)用途是可以作為實(shí)現(xiàn)負(fù)載平衡的DNS系列服務(wù)器的替代品。DNS系列服務(wù)器解決了多個(gè)IP地址共用一個(gè)域名的問(wèn)題，能夠在響應(yīng)DNS申請(qǐng)時(shí)跳躍式地尋找可用IP地址，從而使一個(gè)域名可以對(duì)應(yīng)多個(gè)IP地址。在一個(gè)HTTP服務(wù)器群中，可以實(shí)現(xiàn)利用多個(gè)服務(wù)器的負(fù)載平衡。但由于IP客戶端會(huì)在本地緩沖DNS/IP地址解析，從而使其后續(xù)申請(qǐng)都會(huì)到達(dá)同一IP地址，一定程度上減弱了DNS系列服務(wù)器的作用。而基于NAT的負(fù)載平衡方案，則可以有效避免這個(gè)問(wèn)題，NAT設(shè)備把需要負(fù)載平衡的多個(gè)IP地址翻譯成一個(gè)公用的IP地址，每個(gè)TCP連接被NAT送到一個(gè)IP地址，而后續(xù)的TCP連接則被NAT送到下一個(gè)IP地址，從而實(shí)現(xiàn)了真正的負(fù)載平衡。
　　
　　此外，NAT還可以用于簡(jiǎn)化Internat合并，能夠在用戶更改ISP時(shí)無(wú)須對(duì)內(nèi)部網(wǎng)絡(luò)重新編址，以及可有效減少用戶的網(wǎng)絡(luò)接入費(fèi)用等。
　　
　　常用NAT軟件
　　目前，NAT功能多被集成至路由器、防火墻或獨(dú)立NAT設(shè)備中，同時(shí)微軟部分版本的Windows操作系統(tǒng)也集成了NAT功能。NAT可以通過(guò)專門的應(yīng)用軟件加以實(shí)現(xiàn)，常用的軟件主要有NAT1000、Sygate、NAT32和WinRoute PRo等。
　　
　　Sygate是Sygate科技公司較為聞名的NAT共享上網(wǎng)軟件，支持所有網(wǎng)絡(luò)應(yīng)用協(xié)議和多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，該產(chǎn)品配置簡(jiǎn)單，使用方便。目前最新版本是Sygate 4.5 Build 851，有家庭網(wǎng)絡(luò)版和辦公網(wǎng)絡(luò)版兩種版本。
　　
　　NAT32是一款主要旨在實(shí)現(xiàn)Internet接入共享的共享軟件產(chǎn)品，全面支持Windows NT RAS服務(wù)器的TCP/IP與NAT模式，并且還為不支持NAT的應(yīng)用提供了一個(gè)可進(jìn)行特定映射配置的應(yīng)用窗口，有標(biāo)準(zhǔn)版、家庭版和專業(yè)版等多種版本供用戶選擇。
　　
　　Kerio科技公司的WinRoute Pro是一款主要面向中小商業(yè)用戶的安全產(chǎn)品，在集成了防火墻、端口映射及URL過(guò)濾等多種安全防護(hù)性能的同時(shí)，還提供了NAT支持，可在公司網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)Internet接入共享。
　　
　　NAT的問(wèn)題與挑戰(zhàn)
　　雖然NAT網(wǎng)絡(luò)地址翻譯可以有效節(jié)省IP地址資源，并能夠隱藏企業(yè)LAN內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、在一定程度上增強(qiáng)防范網(wǎng)絡(luò)攻擊的能力及實(shí)現(xiàn)負(fù)載平衡等，但與此同時(shí)，這一技術(shù)的應(yīng)用也給用戶網(wǎng)絡(luò)帶來(lái)了一定的負(fù)面影響，如可能影響到用戶網(wǎng)絡(luò)的治理與安全策略等。
　　
　　NAT給用戶網(wǎng)絡(luò)帶來(lái)的最明顯改變是失去了對(duì)真正端對(duì)端的全面支持，使部分依靠于真正端對(duì)端網(wǎng)絡(luò)的Internet協(xié)議與應(yīng)用無(wú)法正常運(yùn)行，因?yàn)檫@類協(xié)議與應(yīng)用要求網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)包完全不加修改地從源地址發(fā)送到目的地址。如IP安全架構(gòu)就無(wú)法跨越NAT設(shè)備，這是因?yàn)榘糏P 源地址的原始包頭采用數(shù)字簽名，在NAT設(shè)備改變?cè)吹刂分螅瑪?shù)字簽名也將隨之失效。
　　
　　其次，NAT還可能會(huì)帶來(lái)網(wǎng)絡(luò)治理上的挑戰(zhàn)。盡管NAT 對(duì)于缺少足夠全球唯一合法IP地址的企業(yè)用戶而言是一種相對(duì)理想的解決方案。但由于NAT系統(tǒng)不能多層嵌套，因而將加大網(wǎng)絡(luò)治理難度，甚至造成路由噩夢(mèng)。尤其是在需要對(duì)兩個(gè)或更多專用網(wǎng)絡(luò)進(jìn)行整合時(shí)，NAT帶來(lái)的問(wèn)題將更為顯著。并且用戶網(wǎng)絡(luò)在使用NAT時(shí)，由于每個(gè)數(shù)據(jù)包都需要在NAT設(shè)備中翻譯成正確的IP地址后發(fā)往下一級(jí)，這意味著給處理器帶來(lái)了額外的負(fù)擔(dān)。雖然對(duì)于一般網(wǎng)絡(luò)而言，這種負(fù)擔(dān)微不足道，但對(duì)規(guī)模較大的網(wǎng)絡(luò)而言，這種負(fù)擔(dān)卻不容忽視。
　　
　　另外，由于NAT可以實(shí)現(xiàn)企業(yè)LAN內(nèi)部結(jié)構(gòu)隱藏，能夠在一定程度上防范外部網(wǎng)絡(luò)攻擊，因而常被當(dāng)做是一種安全解決方案。但一旦攻擊者獲得對(duì)NAT設(shè)備的控制，整個(gè)網(wǎng)絡(luò)將會(huì)變得非常脆弱。因此，盡管NAT在網(wǎng)絡(luò)保護(hù)方面有其可取之處，但卻不能作為替換防火墻的方案使用，只能作為一種用于家庭與小型辦公網(wǎng)絡(luò)的輔助性安全措施。而且由于NAT改變了源地址和目的地址，因此使用NAT后，防火墻的安全策略也需要隨之調(diào)整，從而可能會(huì)相應(yīng)地帶來(lái)部分安全漏洞。其次，部署了VPN的企業(yè)LAN在采用IPSec進(jìn)行安全加密時(shí)，如若NAT設(shè)置不當(dāng)，還會(huì)破壞VPN功能。
　　
　　總之，雖然NAT網(wǎng)絡(luò)地址翻譯能夠在一定程度上緩解現(xiàn)行IPv4地址短缺問(wèn)題，但就長(zhǎng)期來(lái)看，它仍是一種權(quán)宜之計(jì)，即使不考慮架構(gòu)和部署問(wèn)題，IPv4地址空間本身仍是有限的，假如所有的網(wǎng)絡(luò)都隱藏在NAT設(shè)備之后，IPv4地址空間不久仍將會(huì)耗盡。向IPv6邁進(jìn)才是最根本的解決之道，也是大勢(shì)所趨。

上一篇：跨省ISDN互撥配置實(shí)例

下一篇：射頻識(shí)別技術(shù)RFID——令人期待的技術(shù)