【题目】网络技术区专题活动－39

金算盘

什么是NAT技术?有何优缺点?
要求:至少一个实例带图片说明.比如在windows2000 server上如何设置NAT(2000 Server是网关).

[ Last edited by nello on 2005-2-23 at 07:50 ]

T22-T22

最早出现的NAT（Network Address Translation，网络地址翻译）技术，是用来解决互联网IP地址耗尽问题的，随着网络技术的发展，安全需求的提升，NAT逐渐演变为隔离内外网络、保障网络安全的基本手段，而且采用这种技术，无须额外投资，单纯利用现有网络设备，即可轻松达到安全目的。本文将从典型应用入手，详细介绍实现安全保护的办法，并分析什么应用适合选用NAT技术。

一、免费的NAT技术

NAT可以将局域网中的内部地址节点翻译成合法的IP地址在Internet上使用（即把IP包内的地址域用合法的IP地址来替换），或者把一个IP地址转换成某个局域网节点的地址，从而可以帮助网络超越地址的限制，合理地安排网络中公有Internet地址和私有IP地址的使用。通常，NAT功能会被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中，所以，只要购买了这些网络产品，您就可以免费享用NAT技术带来的网络安全了。NAT设备可以维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个数据包在NAT设备中都将被翻译成正确的IP地址，然后再发往下一级设备。

（一）相关概念

为了更好地认识NAT技术，我们先了解一下它所涉及的几个概念。

1．内部局部地址　　在内部网上分配到一个主机的IP地址。这个地址可能不是一个有网络信息中心（NIC）或服务提供商所分配的合法IP地址。

2．内部全局地址　　一个合法的IP地址（由NIC或服务供应商分配），对应到外部世界的一个或多个本地IP地址。

3．外部局部地址　　出现在网络内的一个外部主机的IP地址，不一定是合法地址，它可以在内部网上从可路由的地址空间进行分配。

4．外部全局地址　　由主机拥有者在外部网上分配给主机的IP地址，该地址可以从全局路由地址或网络空间进行分配。图1展示了NAT相关术语的图解。

T22-T22

于NAT技术，提供4种翻译地址的方式，如下所示。

（二）4种翻译方式

1．静态翻译　　是在内部局部地址和内部全局地址之间建立一对一的映射。

2．动态翻译　　是在一个内部局部地址和外部地址池之间建立一种映射。

3．端口地址翻译　　超载内部全局地址通过允许路由器为多个局部地址分配一个全局地址，也就是将多个局部地址映射为一个全局地址的某一端口，因此也被称为端口地址翻译（PAT）。

4．重叠地址翻译　　翻译重叠地址是当一个内部网中使用的内部局部地址与另外一个内部网中的地址相同，通过翻译，使两个网络连接后的通信保持正常。

在实际使用中，通常需要以上几种翻译方式配合使用。

二、让典型应用“说话”

现在，我们以常见Cisco路由器为例，阐述典型应用中NAT技术的实现。

1．配置共享IP地址

应用需求：当您需要允许内部用户访问Internet，但又没有足够的合法IP地址时，可以使用配置共享IP地址连接Internet的NAT转换方式。

图2是配置内部网络10.10.10.0/24通过重载一个地址172.16.10.1./24访问外部网络的全过程。如果有多个外部地址，可以利用动态翻译进行转换，这里就不多做说明了。清单1展示了具体配置方法。

T22-T22

NAT路由器配置清单1

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 172.16.10.64 255.255.255.0

ip nat outside

!-- 定义外部转换接口

ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24

!-- 定义名为ovrld的NAT地址池和地址池重的地址172.16.10.1

ip nat inside source list 1 pool ovrld overload

!--指出被 access-list 1 允许的源地址会转换成NAT地址池ovrld中的地址并且转换会被内部多个机器重载成一个相同的IP地址。

access-list 1 permit 10.10.10.0 0.0.0.31

!-- Access-list 1 允许地址10.10.10.0到10.10.10.255进行转换

NAT路由器配置清单2

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 172.16.20.254 255.255.255.0

ip nat outside

!-- 定义外部转换接口

ip nat inside source static 10.10.10.1 172.16.20.1

!-- 指定将地址10.10.10.1静态转换为172.16.20.1

适用范围：这种情况适合于通信都是由内部用户向Internet发起的应用。

例如小型企业多个用户通过共享xDSL连接Internet。另外，也可以用软件进行NAT转换，Windows 2000的操作系统就有这样的功能。至于内部用户数量较多的情况，建议使用代理服务器。

2．配置在Internet上发布的服务器

应用需求：当您需要将内部设备发布到Internet上时，可以使用配置在Internet上发布的服务器的NAT转换方式。

图3是将内部网络的邮件服务器（IP地址为10.10.10.1/24）发布到外部网络的全过程，使用静态翻译可以实现这种转换。清单2展示了具体配置方法。

T22-T22

最早出现的NAT（Network Address Translation，网络地址翻译）技术，是用来解决互联网IP地址耗尽问题的，随着网络技术的发展，安全需求的提升，NAT逐渐演变为隔离内外网络、保障网络安全的基本手段，而且采用这种技术，无须额外投资，单纯利用现有网络设备，即可轻松达到安全目的。本文将从典型应用入手，详细介绍实现安全保护的办法，并分析什么应用适合选用NAT技术。

一、免费的NAT技术

NAT可以将局域网中的内部地址节点翻译成合法的IP地址在Internet上使用（即把IP包内的地址域用合法的IP地址来替换），或者把一个IP地址转换成某个局域网节点的地址，从而可以帮助网络超越地址的限制，合理地安排网络中公有Internet地址和私有IP地址的使用。通常，NAT功能会被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中，所以，只要购买了这些网络产品，您就可以免费享用NAT技术带来的网络安全了。NAT设备可以维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个数据包在NAT设备中都将被翻译成正确的IP地址，然后再发往下一级设备。

（一）相关概念

为了更好地认识NAT技术，我们先了解一下它所涉及的几个概念。

1．内部局部地址　　在内部网上分配到一个主机的IP地址。这个地址可能不是一个有网络信息中心（NIC）或服务提供商所分配的合法IP地址。

2．内部全局地址　　一个合法的IP地址（由NIC或服务供应商分配），对应到外部世界的一个或多个本地IP地址。

3．外部局部地址　　出现在网络内的一个外部主机的IP地址，不一定是合法地址，它可以在内部网上从可路由的地址空间进行分配。

4．外部全局地址　　由主机拥有者在外部网上分配给主机的IP地址，该地址可以从全局路由地址或网络空间进行分配。图1展示了NAT相关术语的图解。

　



对于NAT技术，提供4种翻译地址的方式，如下所示。

（二）4种翻译方式

1．静态翻译　　是在内部局部地址和内部全局地址之间建立一对一的映射。

2．动态翻译　　是在一个内部局部地址和外部地址池之间建立一种映射。

3．端口地址翻译　　超载内部全局地址通过允许路由器为多个局部地址分配一个全局地址，也就是将多个局部地址映射为一个全局地址的某一端口，因此也被称为端口地址翻译（PAT）。

4．重叠地址翻译　　翻译重叠地址是当一个内部网中使用的内部局部地址与另外一个内部网中的地址相同，通过翻译，使两个网络连接后的通信保持正常。

在实际使用中，通常需要以上几种翻译方式配合使用。

二、让典型应用“说话”

现在，我们以常见Cisco路由器为例，阐述典型应用中NAT技术的实现。

1．配置共享IP地址

应用需求：当您需要允许内部用户访问Internet，但又没有足够的合法IP地址时，可以使用配置共享IP地址连接Internet的NAT转换方式。

图2是配置内部网络10.10.10.0/24通过重载一个地址172.16.10.1./24访问外部网络的全过程。如果有多个外部地址，可以利用动态翻译进行转换，这里就不多做说明了。清单1展示了具体配置方法。

　



NAT路由器配置清单1

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 172.16.10.64 255.255.255.0

ip nat outside

!-- 定义外部转换接口

ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24

!-- 定义名为ovrld的NAT地址池和地址池重的地址172.16.10.1

ip nat inside source list 1 pool ovrld overload

!--指出被 access-list 1 允许的源地址会转换成NAT地址池ovrld中的地址并且转换会被内部多个机器重载成一个相同的IP地址。

access-list 1 permit 10.10.10.0 0.0.0.31

!-- Access-list 1 允许地址10.10.10.0到10.10.10.255进行转换

NAT路由器配置清单2

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 172.16.20.254 255.255.255.0

ip nat outside

!-- 定义外部转换接口

ip nat inside source static 10.10.10.1 172.16.20.1

!-- 指定将地址10.10.10.1静态转换为172.16.20.1

适用范围：这种情况适合于通信都是由内部用户向Internet发起的应用。

例如小型企业多个用户通过共享xDSL连接Internet。另外，也可以用软件进行NAT转换，Windows 2000的操作系统就有这样的功能。至于内部用户数量较多的情况，建议使用代理服务器。

2．配置在Internet上发布的服务器

应用需求：当您需要将内部设备发布到Internet上时，可以使用配置在Internet上发布的服务器的NAT转换方式。

图3是将内部网络的邮件服务器（IP地址为10.10.10.1/24）发布到外部网络的全过程，使用静态翻译可以实现这种转换。清单2展示了具体配置方法。

　



适用范围：这种情况适合于访问是从外部网络向内部设备发起的应用。

3．配置端口映射

应用需求：假设您在Internet上发布一台在内部网络的Web服务器，服务器配置成监听8080端口，您需要把外部网络对Web服务器80端口的访问请求重定向。

图4为配置端口映射示意图，清单3展示了具体配置方法。

T22-T22

4．配置TCP传输

应用需求：TCP传输装载共享是与地址匮乏无关的问题，它将数个设备的地址映射成一个虚拟设备的地址，从而实现设备间的负载均衡。

图5是将地址从10.10.10.2到10.10.10.15的真实设备映射成虚拟10.10.10.1地址的全过程。清单4展示了具体配置方法。

T22-T22

5．真实应用案例

应用需求：笔者所在的单位内部的局域网已建成，并稳定运行着各种应用系统。随着业务的发展，需要实施一个数据中心在外单位的新应用。出于安全方面的考虑，不能够对现有网络结构进行大的调整和改动；另外，由于资金方面的原因，需要尽可能地节省设备等方面的投入。

应用现状：我单位内部网结构如下：具有3个VLAN。VLAN 1（即10.1.1.X），使用单位内部应用系统，与数据中心没有数据交换；VLAN 2（即10.2.2.X），使用数据中心提供的应用系统，约有100台机器；VLAN 3（即10.3.3.X），只用2台机器使用数据中心提供的应用，分别是10.3.3.1和10.3.3.2。

数据中心提供一台Cisco 3640，Serial口与数据中心通过HDSL连接，分配的地址分别是192.168.252.1和255.255.255.252，FastEthernet口与单位内部局域网连接，分配的地址分别是192.168.1.0和255.255.255.0。

实施方案：由于不打算更改内部网的结构，所以将内部网地址作为内部局部地址，数据中心分配的地址作为内部全局地址，实施NAT应用。另外NAT需要两个端口，一个做为inside，另一个做为outside，因此考虑使用FastEthernet口做inside，Serial口做outside。图6 为本单位NAT技术的应用图。

T22-T22

利用以上设置，我们成功实现了内部地址的翻译转换，并实现了在不改变现有网络结构的情况下与数据中心连网的目标。

三、有比较有选择

1．与代理服务器的比较

用户经常把NAT和代理服务器相混淆。NAT设备对源机器和目标机器都是透明的，地址翻译只在网络边界进行。代理服务器不是透明的，源机器知道它需要通过代理服务器发出请求，而且需要在源机器上做出相关的配置，目标机器则以为代理服务器就是发出请求的源机器，并将数据直接发送到代理服务器，由代理服务器将数据转发到源机器上。

NAT路由器配置清单3

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 172.16.30.254 255.255.255.0

ip nat outside

!-- 定义外部转换接口

ip nat inside source static tcp 10.10.10.8 8080 172.16.30.8 80

!-- 指定将地址10.10.10.8:8080静态转换为172.16.30.8:80

NAT路由器配置清单4

interface ethernet 0

ip address 10.10.10.17 255.255.255.0ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 10.10.10.254 255.255.255.0ip nat outside

!-- 定义外部转换接口

ip nat pool real-hosts 10.10.10.2 10.10.10.15 prefix-length 28 type rotaryip nat inside destination list 1 pool real-hosts

!--定义地址池real-hosts地址范围是从10.10.10.2到10.10.10.15

!--指定将地址将地址池real-hosts转换为10.10.10.1

access-list 1 permit 10.10.10.1

代理服务器工作在OSI模型的第4层传输层，NAT则是工作在第3层网络层，由于高层的协议比较复杂，通常来说，代理服务器比NAT要慢一些。

但是NAT比较占用路由器的CPU资源，加上NAT隐藏了IP地址，跟踪起来比较困难，不利于管理员对内部用户对外部访问的跟踪管理和审计工作。所有NAT技术只适用于内部用户数量较少的应用，如果访问外部网络的用户数量大，而且管理员对内部用户有访问策略设置和访问情况跟踪的应用，还是使用代理服务器较好一些。

NAT路由器配置清单5

interface fastethernet 1/0

ip nat inside

!-- 定义内部转换接口

interface serial 0/0

ip address 192.168.252.1 255.255.255.252

ip address 192.168.1.254 255.255.255.0 secondary

ip nat outside

!-- 为节省端口，将数据中心提供的地址全部绑在Serial口

ip nat pool ToCenter 192.168.1.1 192.168.1.253 prefix-length 24

ip nat inside source list 1 pool ToCenter

!-- 建立动态源地址翻译，指定在前一步定义的访问列表

access-list 1 permit 10.3.3.1

access-list 1 permit 10.3.3.2

access-list 1 permit 10.2.2.0 0.0.0.255

!-- 定义一个标准的访问列表，对允许访问数据中心的地址进行翻译

2．与防火墙比较

防火墙是一个或一组安全系统，它在网络之间执行访问控制策略。防火墙对流经它的网络通信数据进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口，禁止特定端口的流出通信，封锁特洛伊木马等。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

一般的防火墙都具有NAT功能，或者能和NAT配合使用。应用到防火墙技术中的NAT技术可以把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备。作为网络安全的一个重要手段，是选用单纯的NAT技术还是带NAT技术的防火墙，要从几个方面考虑：

一是您的企业和运营机构如何运用访问控制策略，是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务，还是为了访问提供一种计量和审计的方法；

二是您对企业网需要何种程度的监视、冗余度以及控制水平；

三则是财务上的考虑，一个高端完整的防火墙系统是十分昂贵的。是否采用防火墙需要在易用性、安全性和预算之间做出平衡的决策。

四、安全中的不安全

我们可以从以下几个方面窥视NAT技术的安全性问题。

1．NAT只对地址进行转换而不进行其他操作，因此，当您建立了与外部网络的连接时，NAT不会阻止任何从外部返回的恶意破坏信息。

2．虽然NAT隐藏了端到端的IP地址，但它并不隐藏主机信息。例如您通过NAT设备访问Windows Streaming Media服务器，您会发现服务器记录的不仅是您的主机名，还有您的内部IP地址和操作系统。

3．Internet上的恶意攻击通常针对机器的“熟知端口”，如HTTP的80端口、FTP的21端口和POP的110端口等。虽然NAT可以屏蔽不向外部网络开放的端口，但针对面向熟知端口的攻击，它是无能为力的。

4．许多NAT设备都不记录从外部网络到内部网络的连接，这会使您受到来自外部网络的攻击，但由于没有记录可以追查，您根本无法发觉自己受到过什么攻击。

NAT隐藏了内部IP地址，使其具有一定的安全性，但从上面的分析我们可以知道，不能将NAT作为网络单一的安全防范措施。

点评

应用NAT技术，既可以解决IP地址不足问题，也可以简化配置和网络设计，而且由于地址使用不受限制，使得网络设计更加灵活。此外，它还可以简化网络的合并和变换，企业不需要为更换ISP而重新对自己的网络进行编码。

从一方面看，由于路由器须对每个数据包进行检查，并对需要地址翻译的数据包进行操作，会占用大量的路由器CPU时间，所以NAT技术只适用于需要翻译地址的机器数量不太多的情况，像上面的例子，一般需要翻译的机器在线不得超过50台，对路由器的CPU占用一般不超过10%。还有就是NAT隐藏了端到端的IP地址，使得对数据包路径的跟踪变得比较困难，也使得一些内嵌的IP地址在应用中会产生问题，比如ICMP协议、FTP、NBT、SNMP和DNS等，这些应用将不能透明地工作和完全通过一个NAT设备。另外，NAT隐藏了主机的标识，这可能是一个优点，也可能是一个缺点，它会潜在影响网络的安全性，所以在使用时应仔细规划。

T22-T22

下面说一下如何利用win2000本身的功能实现 NAT技术的应用

第一 服务器/客户机的IP规划

    服务器要配置双网卡，一块连接Internet，另一块连接内部网。

    1、连接Internet网卡的IP由ISP提供。

    2、连接内部网网卡的IP地址需要以下配置：

    IP地址：192.168.0.1
　　子网掩码：255.255.255.0
　　默认网关：无

    3、客户机的IP地址的配置为：

    IP地址：192.168.0.x(可设为同一网段内的任一独立的IP)
　　子网掩码：255.255.255.0
　　默认网关：192.168.0.1

第二 Windows 2000 Server配置

    找到控制面板里的“路由和远程访问”然后打开它。

    1、在“路由和远程访问”控制台中，用鼠标右键单击域服务器，从弹出的快捷菜单中选择“配置并启用路由和远程访问”选项，打开“路由和远程访问服务器安装向导”对话框。

    2、在路由和远程访问服务器安装向导中，选择用于“Internet连接服务器”的选项，以及用来安装带有网络地址转换(NAT)路由协议的路由器的选项。

    3、接下来我们要定义好哪块网卡连接Internet。

T22-T22

我们按附图选择，然后一路选择[下一步]。

    4、至此所有配置工作已经全部完成，下面需要测试Windows 2000能不能连接内网和外网。

      Ping 2xx.2x.1xx.1xx
　　Ping 166.111.136.2
　　Ping 61.155.107.22
　　Ping通过后，我们的Windows 2000就配置成路由器了。

T22-T22

附录：IPsec与NAT和平共处的解决之道
--------------------------------------------------------------------------------


现在，网络安全和网络地址转换的应用已经十分广泛。单就其中任何一种技术来说，都是很不错的。如何将两个好技术共用但又使它们相安无事,是很多人正在思考的问题。
　　网络安全IPsec(IP Security)和网络地址转换NAT（Net Address Translation）应用已经十分广泛了，但是要使它们运行在一起，却不是一件容易的事。从IP的角度来看，NAT对IP的低层进行了修改，对IP是一种背叛；而从应用的角度来看，网络管理人员必须要处理网络地址的问题，NAT使用户可以采取多种方式把自己的网络和主机对外部公共网络隐藏起来，是一种好的工具，现在，无论是大企业还是中小企业都在使用它。与NAT类似，IPsec也是一种好工具，它使用户可以安全地通过Internet联接到远程终端。然而，由于IPsec协议架构本身以及缺乏支持IPsec的NAT设备，当IPsec和NAT在一起运行时就会出现很多问题。解决这些问题最简单的办法，就是再增加一个路由器来运行NAT和虚拟专用网VPN。可是，对于多数情况来说并没有多余的路由器来执行这一功能，因此，要解决两者共存的问题，就必须对IPsec和NAT有一定的了解。

　　■NAT的基本原理和类型

　　NAT能解决令人头痛的IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。

　　NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这意味着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。

　　NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT。其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。

　　动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。

　　网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。

　　在Internet中使用NAPT时，所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过NAPT接入Internet。实际上，许多SOHO远程访问设备支持基于PPP的动态IP地址。这样，ISP甚至不需要支持NAPT，就可以做到多个内部IP地址共用一个外部IP地址上Internet，虽然这样会导致信道的一定拥塞，但考虑到节省的ISP上网费用和易管理的特点，用NAPT还是很值得的。（如图示）

　　■IPsec的工作模式

　　IPsec是一个能在Internet上保证通道安全的开放标准。在不同的国度中，跨国企业面临不同的密码长度进出口限制。IPSec能使网络用户和开发商采用各自不同的加密算法和关键字长，从而解决令跨国机构头痛的安全问题。

　　IPsec生成一个标准平台，来开发安全网络和两台机器之间的电子隧道。通过IPsec的安全隧道，在数据包可以传送的网络中生成像电路那样的连接。IPsec在远地用户之间和在本地网中生成这样的隧道，它也把每个数据包包封在一个新的包中，该新包包含了建立、维持和不再需要时拆掉隧道所必需的信息。

　　经常利用IPsec来确保数据网络的安全。通过使用数字证明和自动认证设备，来验证两个来回发送信息的用户身份。对需要在很多设备之间安全连接的大型网络中确保数据安全，IPsec是一个理想的方法。

　　部署了IPsec的用户能确保其网络基础设施的安全，而不会影响各台计算机上的应用程序。此套协议是用作对网络基础设施的纯软件升级。这既允许实现安全性，又没有花什么钱对每台计算机进行改造。最重要的是，IPsec允许不同的网络设备、PC机和其他计算系统之间实现互通。

　　IPsec有两种模式—─传输模式和隧道模式。传输模式只对IP分组应用IPsec协议，对IP报头不进行任何修改，它只能应用于主机对主机的IPsec虚拟专用网VPN中。隧道模式中IPsec将原有的IP分组封装成带有新的IP报头的IPsec分组，这样原有的IP分组就被有效地隐藏起来了。隧道主要应用于主机到网关的远程接入的情况。

　　IPsec协议中有两点是我们所关心的：鉴定报头AH（Authentication Header）和封装安全载荷ESP（Encapsulation Security Payload）。

　　鉴定报头AH可与很多各不相同的算法一起工作。AH应用得很少，它要校验源地址和目的地址这些标明发送设备的字段是否在路由过程中被改变过，如果校验没通过，分组就会被抛弃。通过这种方式AH就为数据的完整性和原始性提供了鉴定。

　　封装安全载荷（ESP）信头提供集成功能和IP数据的可靠性。集成保证了数据没有被恶意网客破坏，可靠性保证使用密码技术的安全。对IPv4和IPv6，ESP信头都列在其它IP信头后面。注意两种可选择的IP信头，段到段信头在每个段被路由器等立即系统处理，而终端信头只被接收端处理。ESP编码只有在不被任何IP信头扰乱的情况下才能正确发送包。ESP协议非常灵活，可以在两种加密算法下工作。建立IPSec的两个或者更多系统之间可以使用其他转换方式。现在，可选择算法包括Triple－DES、RC5、IDEA、CAST、BLOWFISH和RC4。

　　■NAT和IPsec之间的“矛盾”

　　NAT和AH IPsec无法一起运行，因为根据定义，NAT会改变IP分组的IP地址，而IP分组的任何改变都会被AH标识所破坏。当两个IPsec边界点之间采用了NAPT功能但没有设置IPsec流量处理的时候，IPsec和NAT同样无法协同工作；另外，在传输模式下，ESP IPsec不能和NAPT一起工作，因为在这种传输模式下，端口号受到ESP的保护，端口号的任何改变都会被认为是破坏。在隧道模式的ESP情况下，TCP/UDP报头是不可见的，因此不能被用于进行内外地址的转换，而此时静态NAT和ESP IPsec可以一起工作，因为只有IP地址要进行转换，对高层协议没有影响。

　　■解决争端，和平共处

　　为了解决ESP IPsec和NAPT共用的问题，设备生产商提出了多种解决方法。简单的办法是专门用一个工作站来运行IKE，以处理所有的IPsec分组，但这样只允许一个IPsec VPN通过NAPT。客户端可以一开始通过端口号500传送数据进行协商，将所有进入到NAPT设备的IPsec分组传送到指定的主机，同时使NAPT设备将所需的IPsec数据送回到客户端。为了使NAPT正常工作，必须保证内部网络和外部网络之间转换的源端口号是惟一的。因此，我们可以使用IKE来进行协商，IKE采用UDP的500端口，所以不需要任何的特殊处理。为了在两个主机之间传送IPsec流量，我们需要使用SPI。每个SA都有SPI，在VPN安装过程中进行IKE协商时，它们互相交换SPI。NAPT设备将这一对SPI数字映射到NAT内的相关的VPN终端。IPsec 客户端选择的SPI要映射到一个内部IP地址，因为NAPT设备要通过它来确定将流入的流量传送到哪里。

　　几点值得注意：1．这种解决争端的方法只适用于位于NAPT设备之外的IPsec 客户端来初始化IPsec VPN；2．必须要设置IPsec网关，用NAPT网关给出的某个IP地址进行IKE协商。ESP用SPI、目的地址和协议号来查找IPsec分组所属的SA，因为IPsec网关只是通过NAPT地址来确定IPsec客户端，它必须使用这个地址进行协商；3．许多IKE鉴定是通过IP地址相关的预先设定或者与密码来进行处理的，因此必须设置IPsec网关与NAPT IP地址之间的协商。

T22-T22

附：NAT映射端口.doc

金算盘

此题目ID：T22-T22获胜，记入排名榜，希望继续努力，欢迎大家继续参与。