NAT的實現及應用體會

2019-11-04 20:41:26

字體：大中小

來源：轉載

供稿：網友

　　因地制宜共享Internet
　　現在很多中小型企業普遍采用了ISDN、Cable Modem或ADSL接入Internet，再由連接Internet的主機提供代理服務，使內部網計算機共享Internet連接。目前，經常采用的方法有PRoxy和NAT 2種。對于應用水平和資金能力不同的企業，怎樣選擇適合自己的共享Internet連接的方法呢？怎樣能既方便用戶使用又能簡化治理操作呢？本文將通過介紹一個小型企業利用windows 2000 Server的NAT功能實現Internet連接共享的具體應用，將Proxy和NAT這2種方法進行比較，得出一些結論，力求幫助中小型企業用戶找到一種適合自己的共享Internet連接的技術。
　　
　　NAT
　　
　　---- NAT(Network Address Translation，網絡地址翻譯)，顧名思義，它是一種把內部ip地址翻譯成合法IP地址的技術。當網絡內部分配了專用IP地址的適配器不能直接訪問Internet時，NAT可以把局域網內部的IP地址轉譯成外部的合法IP地址(具體如附圖所示)。
　　　 NAT的實現及應用體會（圖一）

　　附圖 NAT示意圖
　　
　　---- NAT可以使多臺計算機共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，您可以只申請一個合法IP地址，就把整個局域網中的計算機接入Internet中。這時，NAT屏蔽了內部網絡，所有內部網計算機對于公共網絡來說是不可見的。
　　
　　---- NAT是如何工作的呢？當內部網計算機向外部網發出數據請求時，安裝NAT的服務器端接收到包含源地址和目的地址的TCP/IP包，它把其中的源地址替換為合法地址后發往遠端服務器，而當遠端響應時，數據由NAT服務器端回傳給內部發出請求的計算機(注重: NAT可以對TCP/IP包中的源地址和目的地址進行替換，本文中主要介紹NAT替換源地址這一應用)。而內部網計算機用戶通常不會意識到NAT的存在，用戶只需在內部網計算機的網絡設置中加入網關地址，即可實現Internet共享。NAT與Proxy代理服務和應用網關最大的不同在于，它支持很多Proxy和應用網關所不支持的協議。
　　
　　---- 目前，一些硬件廠商已在其網絡設備中加入了這一功能，比如Cisco路由器中已經加入這一功能，網絡治理員只需在路由器的IOS中設置NAT功能，就可以實現對內部網絡的屏蔽。而對于資金有限的小型企業來說，現在通過軟件也可以實現這一功能。Windows 98 SE、Windows 2000 都包含了這一功能，另外一些軟件廠商，如WinGate，在其3.0以后的版本中提供了NAT功能。另外，SyGate和WinRoute也提供了這一功能。
　　
　　NAT的實現
　　
　　---- 某一小型企業，原來建有一個局域網，有1臺服務器和8臺客戶機。隨著企業業務的增長，需要使內部網所有的計算機都能訪問Internet資源。企業已經申請了Cable Modem服務，針對其自身情況，此企業采用Windows 2000 Server的NAT功能來實現內部網計算機共享Internet連接。下面為實現NAT功能的具體操作。
　　
　　---- 服務器端安裝Windows 2000 Server (名稱為slhsx，域名為sxserver)。Internet連接為Cable Modem。服務器安裝2塊網卡,其中一塊100Mbps/10Mbps網卡連接局域網，另一塊10Mbps網卡連接Cable Modem。連接Cable Modem的網卡設置成自動獲得IP地址。連接內部網的網卡，設置IP地址為192.168.0.1，子網掩碼為255.255.255.0。網關和DNS不需要設置。
　　
　　---- NAT功能的實現主要是對“Routing and Remote access”(路由和遠程訪問)服務進行設置，方法如下。
　　
　　---- 選擇“控制面板”*“治理工具”*“路由和遠程訪問”，在“路由和遠程訪問”對話框的樹目錄左邊，單擊“slhsx(本地)”目錄，在右鍵菜單中選擇“配置并啟用路由和遠程訪問”選項，系統彈出“路由和遠程訪問服務器安裝向導”，根據向導提示設置“有網絡地址轉換(NAT)路由協議的路由器”，并創建Internet連接。然后根據系統給出的“請求撥號接口向導”進行有關設置，設置完成后的“路由和遠程訪問”界面如圖1所示。其中對“slhsx(本地)”*“IP路由選擇”目錄下的“網絡地址轉換(NAT)”進行設置如下。“遠程接口”即連接Cable Modem的接口名,在其右鍵菜單中選擇“屬性”選項，在“遠程路由器屬性”對話框的“常規”選項卡中選中“公用接口連接到Internet”和“轉換TCP/IP頭”選項，不用定義“地址池”和“非凡端口”。對于“本地連接”接口，在其“本地連接屬性”對話框中選擇“專用接口到專用網絡”選項。另外，在Windows 2000 Server上啟動DNS服務，設置轉發功能。至此，服務器端設置完畢。
　　　 NAT的實現及應用體會（圖二）

　　圖1"配置并啟用路由和遠程訪問"完成后界面
　　
　　---- 客戶端在定義TCP/IP協議屬性時設置DNS，并指定默認網關為192.168.0.1。
　　
　　---- 內部網用戶假如要瀏覽Internet網頁，只需在IE中選擇“工具”*“Internet選項”*“連接”，在“局域網設置”選項卡中選擇“自動檢測”選項即可，不用具體設置代理服務器地址。
　　
　　---- 此企業應用NAT實現的網絡地址翻譯過程如圖2所示。
　　 NAT的實現及應用體會（圖三）

　　圖2 NAT的地址翻譯過程
　　
　　Proxy vs. NAT
　　
　　---- 前面提到，目前通過軟件實現共享Internet連接的方法主要有2種: Proxy和NAT。根據兩者實現原理的對比和筆者應用Proxy和NAT實現Internet共享的體會，總結2種方法的優勢和不足如下，希望能夠給企業網絡的治理者和決策者一些參考。
　　
　　---- Proxy優點如下。
　　
　　本地緩存技術對于經常訪問的內容，一次下載后，其他人再次訪問時可以直接從緩存中讀取，而不須再到有關站點下載。
　　節省網絡帶寬假如內部網多個用戶同時訪問同樣的內容，Proxy可以只對遠端服務器提出一個請求，并且把接收的數據同時傳送給所有提出請求的客戶機。
　　答應網絡治理員對局域網客戶訪問Internet進行嚴格地治理，可以方便地設置有關治理權限，因而系統的安全性相對較高。
　　許多Proxy提供Web內容和域名的過濾，并支持Logging功能。
　　---- Proxy也存在一些不足，歸納如下。
　　---- 1．由于網站的內容是不斷變化的，并且不斷有新的數據格式出現，而這些新的數據格式有很多是不能在緩存中存放的，這樣Proxy的本地緩存技術優勢就無法發揮了。而緩存中的文件假如沒有及時刷新，客戶有時會訪問到過時的頁面。
　　
　　---- 2．Proxy代理服務的實現需要安裝客戶端程序或對客戶端進行明確地設置。相比前面采用NAT系統的客戶端設置，假如使用Proxy代理方式，在進行客戶端配置時，必須安裝客戶端程序或對代理服務器進行定義。例如，系統采用MS Proxy作為代理，客戶端是Windows 98系統，那么假如用戶要瀏覽Internet網頁，必須安裝MS Proxy的Client端程序，或者在IE的“工具”*“Internet選項”*“連接”*“局域網設置”的“代理服務器”選項中定義代理服務器的地址和相應端口。
　　
　　---- 假如用戶應用多個網絡應用程序，如FTP、新聞組、ICQ等，都要一一進行代理服務設置; 假如系統發生改變，例如，代理服務器地址改變，每一臺客戶機的相關應用程序選項都要作相應地修改; 而當客戶機系統重裝后，所有網絡應用程序必須再次進行設置。
　　
　　---- 3．目前，Proxy主要應用基于TCP層，當客戶端發出Web訪問請求時，在客戶機和Proxy服務器間要建立一個連接，另外還要在Proxy服務器和遠端Web服務器間建立連接。這樣會造成Proxy服務器負擔過重。事實上，在網頁變得越來越復雜的今天，Proxy很可能成為網絡的瓶頸。
　　
　　---- 作為共享Internet連接的另一選擇，NAT又具有什么優勢和不足呢？NAT的優勢主要體現在以下幾方面。
　　
　　NAT在常用網絡協議上對用戶實現“透明”，支持協議包括HTTP, Gopher, Telnet, POP, SMTP, IMAP等。
　　易于安裝和使用，把客戶端所需的設置減到最少。大部分網絡應用程序都支持NAT，用戶在安裝有關程序后不用專門進行代理設置就可以使用。
　　相對于主要應用基于TCP層的Proxy來說，由于NAT工作在分組級，在建立連接時過程相對快速。
　　假如某一連接有問題，用戶可以直接得到相關的出錯信息，并進行相應診斷。
　　---- NAT的不足主要有以下2方面。
　　在系統的安全性上不如Proxy。
　　沒有緩存。
　　NAT的安全性
　　---- 從上文可以看出，NAT提供的“透明”服務特點鮮明，它為網絡治理者和決策者提供了一種更為靈活方便的選擇。在企業申請的IP地址有限的情況下，能夠使局域網內多臺計算機同時訪問Internet資源。它為網站設計提供了無限空間，為網絡治理提供了可操作性和便于治理的途徑。
　　
　　---- 同時前面也提到，NAT的不足一方面體現在其安全性上，安裝了NAT的計算機并不能真正起到防火墻的作用。一般說來，在默認狀態下，NAT屏蔽內部網絡，不答應任何非正常外部請求進入內部網絡。但是這并不意味著系統的絕對安全，由于NAT只改變數據包最外層的IP地址，這為外部攻擊留下了隱患。NAT所提供的安全選項相對較少，如要真正地為網絡提供高效的安全保障還是要采用包過濾防火墻和應用防火墻。另外，內部網用戶可以通過NAT直接連入Internet，也可能會帶來網絡治理的困難和安全隱患，同樣需要采用其他技術來提高其安全性。
　　
　　---- 但對于小型企業來說，NAT對于網絡的一般安全問題解決能力良好，可以基本滿足他們的需求。對于這類用戶來說，安裝NAT和一款較好的防火墻軟件就可以杜絕大部分來自Internet的攻擊。
　　
　　---- 另外，現在很多軟件廠商都在其代理服務軟件中對多種技術進行了集成，用戶可以配合使用其他功能，保障系統的安全性。
　　
　　２種方法如何選擇？
　　
　　---- Proxy和NAT各自有自己的優勢和不足，對于不同的企業來說，選擇適合自

上一篇：VLAN 實現虛擬工作組的新興技術

下一篇：綁定IP地址與MAC地址，解決IP地址盜用問題