科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道NAT的实现及应用体会

NAT的实现及应用体会

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

现在很多中小型企业普遍采用了ISDN、Cable Modem或ADSL接入Internet,再由连接Internet的主机提供代理服务,使内部网计算机共享Internet连接。

作者:路由器技术资讯网 2008年6月10日

关键字: NAT 网络地址转换 什么是nat

  • 评论
  • 分享微博
  • 分享邮件
因地制宜 共享Internet
  现在很多中小型企业普遍采用了ISDN、Cable Modem或ADSL接入Internet,再由连接Internet的主机提供代理服务,使内部网计算机共享Internet连接。目前,经常采用的方法有Proxy和NAT 2种。对于应用水平和资金能力不同的企业,怎样选择适合自己的共享Internet连接的方法呢?怎样能既方便用户使用又能简化管理操作呢?本文将通过介绍一个小型企业利用Windows 2000 Server的NAT功能实现Internet连接共享的具体应用,将Proxy和NAT这2种方法进行比较,得出一些结论,力求帮助中小型企业用户找到一种适合自己的共享Internet连接的技术。
  
  NAT
  
  ---- NAT(Network Address Translation,网络地址翻译),顾名思义,它是一种把内部IP地址翻译成合法IP地址的技术。当网络内部分配了专用IP地址的适配器不能直接访问Internet时,NAT可以把局域网内部的IP地址转译成外部的合法IP地址(具体如附图所示)。
   


  附图 NAT示意图
  
  ---- NAT可以使多台计算机共享Internet连接,这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法,您可以只申请一个合法IP地址,就把整个局域网中的计算机接入Internet中。这时,NAT屏蔽了内部网络,所有内部网计算机对于公共网络来说是不可见的。
  
  ---- NAT是如何工作的呢?当内部网计算机向外部网发出数据请求时,安装NAT的服务器端接收到包含源地址和目的地址的TCP/IP包,它把其中的源地址替换为合法地址后发往远端服务器,而当远端响应时,数据由NAT服务器端回传给内部发出请求的计算机(注意: NAT可以对TCP/IP包中的源地址和目的地址进行替换,本文中主要介绍NAT替换源地址这一应用)。而内部网计算机用户通常不会意识到NAT的存在,用户只需在内部网计算机的网络设置中加入网关地址,即可实现Internet共享。NAT与Proxy代理服务和应用网关最大的不同在于,它支持很多Proxy和应用网关所不支持的协议。
  
  ---- 目前,一些硬件厂商已在其网络设备中加入了这一功能,比如Cisco路由器中已经加入这一功能,网络管理员只需在路由器的IOS中设置NAT功能,就可以实现对内部网络的屏蔽。而对于资金有限的小型企业来说,现在通过软件也可以实现这一功能。Windows 98 SE、Windows 2000 都包含了这一功能,另外一些软件厂商,如WinGate,在其3.0以后的版本中提供了NAT功能。另外,SyGate和WinRoute也提供了这一功能。
  
  NAT的实现
  
  ---- 某一小型企业,原来建有一个局域网,有1台服务器和8台客户机。随着企业业务的增长,需要使内部网所有的计算机都能访问Internet资源。企业已经申请了Cable Modem服务,针对其自身情况,此企业采用Windows 2000 Server的NAT功能来实现内部网计算机共享Internet连接。下面为实现NAT功能的具体操作。
  
  ---- 服务器端安装Windows 2000 Server (名称为slhsx,域名为sxserver)。Internet连接为Cable Modem。服务器安装2块网卡,其中一块100Mbps/10Mbps网卡连接局域网,另一块10Mbps网卡连接Cable Modem。连接Cable Modem的网卡设置成自动获得IP地址。连接内部网的网卡,设置IP地址为192.168.0.1,子网掩码为255.255.255.0。网关和DNS不需要设置。
  
  ---- NAT功能的实现主要是对“Routing and Remote Access”(路由和远程访问)服务进行设置,方法如下。
  
  ---- 选择“控制面板”*“管理工具”*“路由和远程访问”,在“路由和远程访问”对话框的树目录左边,单击“slhsx(本地)”目录,在右键菜单中选择“配置并启用路由和远程访问”选项,系统弹出“路由和远程访问服务器安装向导”,根据向导提示设置“有网络地址转换(NAT)路由协议的路由器”,并创建Internet连接。然后根据系统给出的“请求拨号接口向导”进行有关设置,设置完成后的“路由和远程访问”界面如图1所示。其中对“slhsx(本地)”*“IP路由选择”目录下的“网络地址转换(NAT)”进行设置如下。“远程接口”即连接Cable Modem的接口名,在其右键菜单中选择“属性”选项,在“远程路由器属性”对话框的“常规”选项卡中选中“公用接口连接到Internet”和“转换TCP/IP头”选项,不用定义“地址池”和“特殊端口”。对于“本地连接”接口,在其“本地连接属性”对话框中选择“专用接口到专用网络”选项。另外,在Windows 2000 Server上启动DNS服务,设置转发功能。至此,服务器端设置完毕。
   


  图1"配置并启用路由和远程访问"完成后界面
  
  ---- 客户端在定义TCP/IP协议属性时设置DNS,并指定默认网关为192.168.0.1。
  
  ---- 内部网用户如果要浏览Internet网页,只需在IE中选择“工具”*“Internet选项”*“连接”,在“局域网设置”选项卡中选择“自动检测”选项即可,不用具体设置代理服务器地址。
  
  ---- 此企业应用NAT实现的网络地址翻译过程如图2所示。
   


  图2 NAT的地址翻译过程
  
  Proxy vs. NAT
  
  ---- 前面提到,目前通过软件实现共享Internet连接的方法主要有2种: Proxy和NAT。根据两者实现原理的对比和笔者应用Proxy和NAT实现Internet共享的体会,总结2种方法的优势和不足如下,希望能够给企业网络的管理者和决策者一些参考。
  
  ---- Proxy优点如下。
  
  本地缓存技术 对于经常访问的内容,一次下载后,其他人再次访问时可以直接从缓存中读取,而不须再到有关站点下载。
  节省网络带宽 如果内部网多个用户同时访问同样的内容,Proxy可以只对远端服务器提出一个请求,并且把接收的数据同时传送给所有提出请求的客户机。
  允许网络管理员对局域网客户访问Internet进行严格地管理,可以方便地设置有关管理权限,因而系统的安全性相对较高。
  许多Proxy提供Web内容和域名的过滤,并支持Logging功能。
  ---- Proxy也存在一些不足,归纳如下。
  ---- 1.由于网站的内容是不断变化的,并且不断有新的数据格式出现,而这些新的数据格式有很多是不能在缓存中存放的,这样Proxy的本地缓存技术优势就无法发挥了。而缓存中的文件如果没有及时刷新,客户有时会访问到过时的页面。
  
  ---- 2.Proxy代理服务的实现需要安装客户端程序或对客户端进行明确地设置。相比前面采用NAT系统的客户端设置,如果使用Proxy代理方式,在进行客户端配置时,必须安装客户端程序或对代理服务器进行定义。例如,系统采用MS Proxy作为代理,客户端是Windows 98系统,那么如果用户要浏览Internet网页,必须安装MS Proxy的Client端程序,或者在IE的“工具”*“Internet选项”*“连接”*“局域网设置”的“代理服务器”选项中定义代理服务器的地址和相应端口。
  
  ---- 如果用户应用多个网络应用程序,如FTP、新闻组、ICQ等,都要一一进行代理服务设置; 如果系统发生改变,例如,代理服务器地址改变,每一台客户机的相关应用程序选项都要作相应地修改; 而当客户机系统重装后,所有网络应用程序必须再次进行设置。
  
  ---- 3.目前,Proxy主要应用基于TCP层,当客户端发出Web访问请求时,在客户机和Proxy服务器间要建立一个连接,另外还要在Proxy服务器和远端Web服务器间建立连接。这样会造成Proxy服务器负担过重。事实上,在网页变得越来越复杂的今天,Proxy很可能成为网络的瓶颈。
  
  ---- 作为共享Internet连接的另一选择,NAT又具有什么优势和不足呢?NAT的优势主要体现在以下几方面。
  
  NAT在常用网络协议上对用户实现“透明”,支持协议包括HTTP, Gopher, Telnet, POP, SMTP, IMAP等。
  易于安装和使用,把客户端所需的设置减到最少。大部分网络应用程序都支持NAT,用户在安装有关程序后不用专门进行代理设置就可以使用。
  相对于主要应用基于TCP层的Proxy来说,由于NAT工作在分组级,在建立连接时过程相对快速。
  如果某一连接有问题,用户可以直接得到相关的出错信息,并进行相应诊断。
  ---- NAT的不足主要有以下2方面。
  在系统的安全性上不如Proxy。
  没有缓存。
  NAT的安全性
  ---- 从上文可以看出,NAT提供的“透明”服务特点鲜明,它为网络管理者和决策者提供了一种更为灵活方便的选择。在企业申请的IP地址有限的情况下,能够使局域网内多台计算机同时访问Internet资源。它为网站设计提供了无限空间,为网络管理提供了可操作性和便于管理的途径。
  
  ---- 同时前面也提到,NAT的不足一方面体现在其安全性上,安装了NAT的计算机并不能真正起到防火墙的作用。一般说来,在默认状态下,NAT屏蔽内部网络,不允许任何非正常外部请求进入内部网络。但是这并不意味着系统的绝对安全,由于NAT只改变数据包最外层的IP地址,这为外部攻击留下了隐患。NAT所提供的安全选项相对较少,如要真正地为网络提供高效的安全保障还是要采用包过滤防火墙和应用防火墙。另外,内部网用户可以通过NAT直接连入Internet,也可能会带来网络管理的困难和安全隐患,同样需要采用其他技术来提高其安全性。
  
  ---- 但对于小型企业来说,NAT对于网络的一般安全问题解决能力良好,可以基本满足他们的需求。对于这类用户来说,安装NAT和一款较好的防火墙软件就可以杜绝大部分来自Internet的攻击。
  
  ---- 另外,现在很多软件厂商都在其代理服务软件中对多种技术进行了集成,用户可以配合使用其他功能,保障系统的安全性。
  
  2种方法 如何选择?
  
  ---- Proxy和NAT各自有自己的优势和不足,对于不同的企业来说,选择适合自己的技术才是最为重要的。对此,笔者的应用体会是,根据企业网络环境的不同和投入资金的多少,可以采取不同的技术实现Internet连接共享。
  
  ---- 对于中型企业来说,对网络的安全性要求较高,Proxy提供的安全选项较多,安全性相对较高; 中型企业网络的访问量相对较大,Proxy的本地缓存技术和节约带宽的优势可以很好地发挥; 而且,中型企业一般都有专职的网络管理员,可以随时对客户端进行有效配置。所以对于他们来说,Proxy是一种比较好的选择。另外,对于那些需要对客户端访问Internet进行严格控制的企业来说,Proxy优良的管理和控制功能可以更好地满足他们的需要。
  
  ---- 而对于小型企业来说,NAT所提供的“透明”服务是最吸引人的。小型企业通常没有专职的网络管理人员,客户端的简单配置是十分必要的。如果网络用户不仅仅浏览网页和收发邮件,需要应用多个网络应用程序,采用NAT共享Internet对用户来说更为方便。另外,NAT建立连接的速度比Proxy相对较快,在带宽有限的情况下,采用NAT更为有利。
  
  ---- 以上说明,Proxy适用于具有一定规模、管理能力较强的企业。而NAT对于小型企业来说是一种更为灵活和经济的选择。作为用户,可以根据企业自身的网络和资金情况量体裁衣,选择适合自己的共享Internet连接技术加以应用,找到既方便又安全的解决之道。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章