《工业网络技术与应用（微课版）》 课件 第6章 地址转换技术NAT

天津中德应用技术大学李颖工业控制系统与工业网络第6章网络地址转换NAT技术第6章网络地址转换NAT技术NAT（NetworkAddressTranslation，网络地址转换）是一种广域网（WAN）的技术，用于将私有地址转换为共有IP地址，被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT不仅能够有效地隐藏并保护网络内部的计算机，避免外部网络攻击，还能够在IP地址分配不理想、不足的时候，有效、合理化地分配IP地址，从而能够进行互联网访问。6.1NAT原理为了发送和接收流量以及远程管理，使用TCP/IP协议的网络要求每个设备都要有独一无二的IP地址。随着个人计算机的激增和万维网的出现，接入Internet的设备越来越多，很快43亿个IPv4地址就不够用了。IETF实施了两个标准作为短期的解决方案，包括RFC1918标准定义的专用私有IPv4地址和网络地址转换（NAT）。RFC1918标准定义了专用的私有IP地址范围，并允许任何人使用它们；当数据离开公司网络时，可使用NAT将这些地址转换到公共地址，这样可以节省并更有效地使用IPv4地址，从而让各种规模的网络访问Internet。6.1NAT原理6.1.1专用私有地址RFC1918标准定义了专用私有IP地址的范围，包括一个A类地址、16个B类地址和256个C类地址，共有1千7百多万个地址，如表6-1所示。6.1NAT原理任何公司或企业可以在内部网络中使用这些私有地址，实现内部网络设备的本地通信。由于这些地址不属于任何一个公司或企业，任何公司或企业都可以使用相同的私有地址，私有地址是不能通过Internet路由的。假设公司A和公司B都在使用网络10.0.0.0/8。在公司A中，一个内部用户A想访问公司B的一台服务器C，此时就会出现问题：两个网络都在使用网络10.0.0.0/8，并都使用了相同的地址10.0.0.2，这两个网络不能彼此通信，如图6-1所示。6.1NAT原理有两种方法可以解决这个问题：（1）将两个网络中的一个（或两个）重新分配地址；（2）使用地址转换。用第一种方法显然工作量和影响范围都比较大，不到万不得已不能这么做，而且有的现场环境根本不允许这么做，见后续标准机器的案例。第二种方法的地址转换可以解决这个问题。比如，连接公司A的路由器将本地IP地址转换为170.16.0.0/16网络中的一个地址。公司B的路由器将它的内部本地地址转换为170.17.0.0/16网络中的地址。所以，从两个公司的角度来看，网络看上去是170.16.0.0/16和170.17.0.0/16。6.1NAT原理网络地址转换（即NAT）是IETF（InternetEngineeringTaskForce，Internet工程任务组）提出的RFC1631标准，可以将数据包中的地址信息从一个地址转换为另一个地址。有了NAT，可以在局域网内部为每个设备配置唯一的专用私有IP地址，当局域网内部的设备要与外部网络进行通讯时，通过安装在网络边界的NAT设备，将局域网内部的多个私有IP地址转换为一个或多个合法的共有IP地址，使整个内部网络数百甚至数千台设备通过一个或多个公用IP地址访问外部网络。而这个转换由NAT设备自动完成，局域网内部的用户不会意识到NAT的存在，同时局域网内部的节点对于外部网络来说也是不可见的。NAT一般用来将专用的私有IP地址转换为公有IP地址，反之亦可。6.1NAT原理需要使用NAT的情况（1）申请的公有IP地址数量不足以分配给所有的设备；（2）正在更换服务提供商，新服务提供商不再支持旧的公有地址空间；（3）需要连接两个使用相同地址空间网络；（4）正在使用给别人分配的公有IP地址；（5）想要实现负载平衡，用一个虚拟IP地址来代表多个设备；（6）想要对进出网络的流量进行更好的控制，隐藏内部网络结构，保护内部网络。6.1NAT原理NAT有以下优点：（1）只需使用少量的公有IP地址，就可以让整个企业所有需要上网的设备连上互联网，而企业内部网络可以使用专用的私有IP地址，即1个A类地址、16个B类地址和256个C类地址，而且不同网络可以同时使用这些私有地址；（2）只需改变NAT设备上的地址转换规则，无须改变内部网络各个设备的地址，即可改变与外部网络的连接，使内部网络与外部网络的连接更加灵活；（3）NAT自动将数据包中的内部网络的地址转换成NAT设备对外的地址，可以对外部隐藏网络的内部结构，提高了网络安全性。6.1NAT原理NAT的缺点通过NAT，外部网络上的设备看起来是直接与启用NAT的设备进行通信，而不是与内部网络的实际设备通信，这一事实会造成以下几个问题：（1）地址转换会更改数据包的地址信息，并重新计算校验和，这样增加了延迟，影响网络性能，对实时协议的影响比较大；（2）网络上需要转换的设备越多，NAT设备的负担越大，可能会产生扩展性问题；（3）一些复杂的网络环境，可能经过多次NAT转换，数据包地址改变多次，导致追溯数据包更加困难，故障排除也更具挑战性；6.1NAT原理（4）NAT可以提供更坚固的安全，但同时也隐藏了被转换设备的身份，导致跟踪攻击源更困难。（5）一些互联网协议和应用程序需要从源到目的地的端到端寻址，不能与NAT配合使用，如数字签名。（6）使用NAT会干扰IPsec等隧道协议执行完整性检查，使隧道协议更加复杂。以上是NAT的缺点，在使用时必须很小心。6.2利用西门子三层交换机实现NATNAT功能通常被集成到路由器、防火墙或者单独的NAT设备中，还可以通过软件来实现。西门子SCALANCEXM408三层交换机就集成了NAT的功能。在NAT中，IP子网分为“Inside”内部和“Outside”外部。这样划分是从配置了NAT功能的接口角度来看的，通过NAT接口连接所有网络均被视为该接口的“Outside”外部，同一设备的其它IP接口连接的所有网络均被视为NAT接口的“Inside”内部。当数据包经过NAT接口，在“Inside”与“Outside”之间交换时，所传送数据包的源或目标IP地址会发生改变。当数据包从“Inside”到“Outside”，数据包中源IP地址会发生改变；当数据包从“Outside”到“Inside”，数据包中目的IP地址会发生改变。被转换的内部IP地址总是会被标识为“Local”本地或“Global”全局。因此，在NAT配置中有三种地址：内部本地地址、内部全局地址和外部地址

内部本地地址：也称为内部私有地址，分配给内部网络中某个设备的实际IP地址，外部网络无法访问该地址。 内部全局地址：可供外部网络访问内部设备的IP地址 外部地址：分配给外部网络中某个设备的实际IP地址。6.2利用西门子三层交换机实现NAT6.2利用西门子三层交换机实现NAT如图6-2所示，两个IP子网通过工业以太网交换机连接，实现PC1和PC2通信。VLAN20接口10.10.0.1/24上配置NAT功能。其中VLAN20所在网络为外部网络，VLAN10所在网络为内部网络。PC1的内部本地地址为192.168.1.100，PC1的内部全局地址为10.10.0.2，PC2的地址10.10.1.100是外部地址。6.2利用西门子三层交换机实现NAT西门子SCALANCEXM408三层交换机主要有三种NAT工作模式：静态地址转换（Static）、动态地址转换（Pool）和网络端口地址转换（NAPT）。6.2.1静态地址转换（NATStatic）静态地址转换是一种将内部网络的私有IP地址（内部本地地址）与外部网络的IP地址（内部全局地址）之间建立固定映射关系的网络地址转换技术。我们通过一个例子来展示静态地址转换的工作原理，在内部网络中有3台PLC控制器，连接到SCALANCEXM408交换机上，并通过交换机访问外部网络。因此，在交换机上配置了2个虚拟专用网VLAN10和VLAN20，VLAN10是内部私有网络，VLAN20连接外部公共网络。为了隐藏内部网络结构，在VLAN20端口配置静态地址转换，NAT静态映射表格如图6-3所示。6.2利用西门子三层交换机实现NAT6.2利用西门子三层交换机实现NAT当工作站访问PLC1时，工作站发出的数据包目的IP地址应为PLC1的内部全局地址，数据包经过交换机后，目的IP地址被转换成内部本地地址。当响应数据包返回时，源地址为PLC1的内部本地地址，经过交换机后，源地址为PLC1的内部全局地址，如图6-4所示。6.2利用西门子三层交换机实现NAT6.2.2动态地址转换（Pool）动态地址转换是一种网络地址转换技术，它允许多个内部网络设备共享一组全局IP地址，从而在内部网络和外部网络之间建立映射关系。下面通过一个例子来看一下动态地址转换是如何工作的。如图6-5所示，内部3台PLC有使用外部服务器的需求，但是全局地址只有1个，需要将内部网络192.168.10.0/24使用动态地址转换将本地IP地址转换为全局IP地址10.10.10.100来连接Internet。6.2利用西门子三层交换机实现NAT6.2利用西门子三层交换机实现NAT在SCALANCEXM408交换机上，动态地址转换的配置界面如图6-6所示。其中Interface表示配置NAT功能的接口，InsideGlobalAddress内部全局地址表示动态分配全局IP地址池的起始地址，InsideGlobalAddressMask是内部全局地址掩码决定了地址池中全局地址的数量。6.2利用西门子三层交换机实现NAT6.2.3网络地址端口转换（NAPT）端口转发可以让用户通过Internet访问内部网络上使用私有IP地址的专门设备，而且可以使用不同的端口