潘唐贤　彭旭

【摘要】分析了内外网间同名IP地址转换相关问题的由来，围绕都静态NAT、动态NAT、端口NAT三种内外网间IP地址转换（映射）技术的特点进行梳理，并设计了一种内外网间同名IP地址转换技术的具体方案，以供参考。

【关键词】内网;外网;IP地址转换;访问

中图分类号：TN92                            文献标识码：A                            DOI：10.12246/j.issn.1673-0348.2021.21.003

IP的英文全称为Internet Protocil，即“网络之间互连的协议”，是为计算机通过网络互相连接，继而便于通信而设计的意向协议。所谓IP地址，即为每一台计算机在与互联网相连接时的编号。除此之外，IP地址的另一项功能在于，使互联网上每一个网络和每一台主机都具备一个“逻辑地址”，用以屏蔽物理地址方面的差异。但互联网分为内网和外网，接入不同网络时，有可能出现IP地址重名的情况，需通过特定的技术加以转换。

1. 内外网间同名IP地址转换相关问题的由来简析

近年来，我国综合国力飞速发展，能够取得如此巨大的成就，离不开经济全球化的趋势。认识到这一要素之后，我国很多有识之士希望进一步“开眼看世界”，即通过网络平台登录外国网站，了解外国人眼中的中国。但在这一过程中，很多人发现，我国在国内、国外网络之间建起了一面“墙”，即标记为国内IP地址的计算机、移动互联网设备无法访问所有外国网站。“建墙”的目的在于，如果没有“墙”的存在，则外国网络世界中的所有内容将会不受限制地流进国内，其中不乏网络黑客，以及试图在文化网面全面入侵中国的别有居心者。此外，外国网络世界的阴暗程度远非中国人民所能够想象，稍有不慎便可能上当，导致经济、人身方面的损失。由此可见，“墙”横亘在不同网络之间，主要起隔绝信息互通的目的。以國家为单位进行分析，则国内互联网即为“内网”、国外互联网即为“外网”，由于有“墙”的存在，故很少涉及同名IP地址转换的问题。而该问题多出现在更小的网络范围内。以我国很多企业为例。现代社会已经全面进入信息时代，数据信息十分重要，一旦泄露，必定会令相关企业产生经济损失。如3D模型设计公司，如果设计好的模型经由网络传递给其他公司，导致机密泄漏，则企业将会蒙受巨大损失。因此，该类企业为每一名员工配备电脑设备时，为其提供的网络资源搜索服务往往限制在企业内部，即共享内网资源，不允许员工私自连接外网。此处的内网、外网之间的“阻隔”实现方式，即为人们熟知的PIX防火墙。防火墙的一个特性在于，能够将内网、外网分别限制在各自的主机中，二者相互之间无法自由访问对方。但企业的“内外网”与国家层面的“内外网”存在一定的差异，即企业内网中的某个IP地址，如果能够成功映射为一个外网认可的IP地址之后，则经由该台计算机，内外网之间可互相访问。但此处存在一个问题，即内网的IP地址映射到外网之后，两个地址的实际表达方式可能是相同的，也可能是不同的。而防火墙如何进行区分，且IP地址在表达方式上的相同与否，与其本质之间存在何种关联？为解决该问题，必须围绕内外网间同名IP地址转换技术展开探讨。

2. 内外网间IP地址转换技术（映射）简介

早在十数年前，Cisco公司便已经围绕内外网防火墙的建设进行深入研究，采用定制的操作系统，为有需求的个人及企业用户提供多种访问限制的技术。具体而言，可分为静态NAT、动态NAT、端口NAT三种。

静态NAT。此种内外网络访问权限控制方式在实现原理和运用方式上的难度最低，理论支持的复杂程度也最低，即一个内网的IP地址对应一个外网的IP地址，此种映射是永久成立的。比如某企业目前有100台办公电脑，编号分别为001～100（为举例说明方便，编号并非真实的IP地址数字构成模式）。则编号为001的电脑的外网IP映射地址为XX1，只要该企业当前租用的互联网服务没有发生改变，则编号为001的电脑无论何时访问外网，外网映射地址只会是XX1，不会转变为其他地址。

动态NAT。可由网络运营服务商在外网中定义一系列IP地址。以此为基础，内网的IP地址若要访问外网时，依然可以映射到外网，但映射为哪一个具体的外网地址，具备随机性。此种映射模式的优点在于，可大幅度释放外网地址，使其具备更大的应用型。以上文提到的静态NAT模式为例，当内网编号为001的电脑没有连接外网时，则外网编号为XX1的地址便处于“无人连接”的闲置状态。而改成动态NAT模式后，即时内网001不连接，则XX1也不会闲置，而是为其他连接且随机映射至此的内网IP地址提供连接服务。

端口NAT。将多个内网IP地址共同映射为同一个外网IP地址。在此基础上，从内网到外网进行IP地址转换时，外网的IP地址数据包中将会加入一个由NAT设备选定的TCP或UDP端口号，最终形成的结果是，数据包的外网均来源于同一个IP地址。具体的案例为：传统的宽带互联网网络通信服务商网通，多采用静态NAT模式，每台电脑每次启动后，均有使用者手动连接入网，之后方可进行网络访问。但随着宽带用户数量的激增，任何用户都不可能24小时不间断在线，故导致了大量的外网静态IP地址处于闲置状态，造成了极大的浪费（伴有极大的维护成本）。因此，静态NAT逐渐遭到淘汰。而长城、移动等网络纷纷采取了端口NAT模式并延续至今，尽管有时会出现大量用户集中抢占有限外网连接带宽的情况，但随着网络通信信道的不断扩大，断线、互相“抢资源”的情况已经很少发生，使得运营公司节省大量的成本。

3. 内外网间同名IP地址转换技术的具体应设计

除了运维方面的问题之外，静态NAT模式的局限性还体现在IP地址重名问题。比如很多内网用户的服务器往往有两个IP地址，或域名相同，但在内网、外网却会析出不同的IP地址。为解决内外网间同名IP地址转换问题，本文介绍一种NAT技术配置，即内外网同名IP地址转换问题。

假设在一个企业的网络中，L1是公司出口网关路由器，公司内的计算机设备及服务器分别通过交换机S1和S2与L1相连。此外，L2是连接外网的网关路由器，直接与L1相连。除了上述情况之外，连接该企业内网的所有计算机设备均拥有各自的私有IP地址。按照上文所述，该企业所有办公计算机若要访问外网，需要连接L1。网络管理员在检查每个访问用户的权限，确认具备访问外网资格后，需对该内网IP地址进行NAT配置。暂定的内网计算机访问外网的NAT方式为静态NAT模式。

假设该企业编号为001的计算机为客户经理，其需要的外网访问权限为：內外均能无障碍访问。为实现该目的，需为其配置一个IP地址：202.168.10.5，用于静态NAT外网映射用。网络后台显示情况为：

[R1]ip route-static 0.0.0.0 0.0.0.0 202.169.10.2配置默认路由

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]nat static global 202.169.10.5 inside 172.16.1.1

基于display nat static命令查看NAT的配置情况。

除客户经理之外，该企业市场部员工在办公期间，均应自由访问外网。为这些员工提供的静态内网IP地址为172.17.1.0～172.17.1.24，共计25个。网络管理员使用的公有地址池为202.169.10.50/60，用于NAT转换。

在L1路由器上使用nat address-group配置NAT地址池的后台数据显示为：

[R1]nat address-group 1 202.169.10.50 202.169.10.60

完成基本ACL 2001创建之后，管理员允许172.17.1.0/24网段地址转换，在G0/0/0接口下使用nat outbound命令，关联acl 2001与地址池，转换的后台显示数据为：

[R1]acl 2001

[R1]rule 5 permit source 172.17.1.0 0.0.0.255

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]nat outbound 2001address-group 1nat-pat

为尽可能地节省公网地址，可采用的方法为：将路由器接口IP地址直接作为公网地址，并将多个内部地址映射到同一个公网地址的不同端口号上，可实现多个内网地址到1个外网地址的转换。配置后的后台显示为：

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]nat outbound 2001

在其他电脑上，使用UDP发包工具，将数据包到公网地址202.169.21.1，并完成目标IP地址和UDP源的配置后，可输入字符串数据，并完成发送。按照上述方式，内网、外网之间的IP地址的名字是一一对应且相同的，企业外网访问用户能够获得更多而而访问功能，无须担心映射混乱的情况。

4.结语

综上所述，本文介绍的内网、外网同名IP地址转换（映射）技术实际上基于企业级网络服务器提供的FTP服务，供外网用户访问，需配合NAT Server，使公网地址对外公布服务器地址并开启NAT ALG功能后，方可进行正常的同名IP地址动/静态NAT转换。总体而言，此种方式可避免访问外网时受到限制，具备一定的应用价值。

参考文献：

[1]刘展.NAT技术在网络边缘计算中的应用分析[J].决策探索（中），2020（02）：81.

[2]席东.NAT地址转换浅析[J].现代计算机，2019（26）：69-72+92.

[3]苗新，卜广全，宋璇坤，等.采用约束映射机制的IPv4电力终端接入IPv6网络的方法[J].电力系统自动化，2018，42（23）：168-173.