PAT技術的用意和NAT是一樣的,只是運行方式有所不同,稍微複雜些,NAT及PAT技術是IT人員必須知道的知識之一,藉由使用Cisco IOS所提供的NAT及PAT技術,可以有效地使用IP位址資源。
一般公司內部的網路都是分配私有IP位址給內部的電腦,不僅如此,若家裡自己有架設無線網路基地台,這個基地台也會分配私有IP位址給每一台連上網路的筆記型電腦,而這些私有的IP位址在外面的網際網路中是「不能見人」的,因此各個內部網路(Intranet)就可以重複使用這些私有IP位址範圍,以增加IP位址的使用性。
也就是說,每個在這樣網路環境內的電腦,會在自己的內部網路擁有私有IP位址,而當網路封包要跑到外部網路運作時,會有相對應的外部網路IP位址。外部IP位址不能重複,但在不同的內部網路中,私有IP位址就可以重複。
為了做到這樣的對應關係,所以才會出現所謂NAT或PAT的私有IP位址與外部公用IP位址的對應技術,而本文就是要詳細介紹PAT這個IP位址對應技術。
Link-Local位址
另外還有一段私有IP位址是被定義在RFC 3330和RFC 3927文件之中,這段私有IP位址稱為Link-Local Addresses。設計這段私有IP位址的目的在於,希望在沒有DHCP伺服器的情況下,還能夠提供IP位址。
Link-local Addresses的範圍在於「169.254.0.0/16」,但是在這段範圍內並不是所有的位址都可以使用,目前而言,169.254.0.0/24和169.254.255.0/24被保留起來,以便未來能夠提供不同的用途。
如果是使用Windows 9x的作業系統平台(不包含Windows NT作業系統),是不能經由DHCP伺服器來取得IP位址,這時就會隨意從169.254.1.0?169.254.254.255這個範圍之間取一個IP位址來使用。但這樣隨意取用的作法很有可能會造成IP衝突,若有IP衝突就只能靠自己去處理了。
Link-local Address比私有IP位址擁有較多限制,而這些限制都被定義在RFC 1918文件內,另外還必須注意的是,Link-local Address所發送出來的網路封包,以及要送往Link-local Address的網路封包都不能經過路由器,這個限制被定義在RFC 3927,若有興趣可直接參考RFC 3927及RFC 1918文件,這裡就不再額外敘述。
PAT技術基本用語
在NAT和PAT技術的敘述中,所謂的「內部網路」(Inside Network)指的是需要經過位址轉換的網路區域,一般而言,內部網路都像是公司內部的網路,或是某組織架構中的網路,是沒有直接暴露在網際網路的網路環境。
反觀,「外部網路」(Outside Network)則是指其他的網路區段,在外部網路中不需要做位址轉換,也就是說,外部網路上的IP位址都會是公有IP位址。外部網路指的通常都是網際網路或者直接暴露於網際網路的網路區域。接著,介紹四種不同的位址種類稱呼:
1. Inside Global位址
2. Inside Local位址
3. Outside Global位址
4. Outside Local位址
Inside Global位址是指經由Network Information Center或Server Provider所分派的邏輯IP位址,是給內部網路的電腦所使用。Inside Local位址是內部網路中所取得的IP位址,但卻不是透過Network Information Center或Service Provider所提供的IP位址。
至於Outside Global位址是網際網路中實際有效而且能被繞送的IP位址,是給外部網際網路電腦所使用的。而Outside Local位址則是外部網際網路中的電腦在內部網路所運行的IP位址。
簡單來說,Inside與Outside是用來反映出電腦實際所在的位置,若是內部網路就是Inside,若是位於網際網路則是Outside。而Local及Global則是指所使用的IP位址是公有IP位址還是私有IP位址,若是公有IP位址,則是Global,如果使用私有IP位址,則屬於Local。
PAT簡介
PAT是Port Address Translation的縮寫。PAT與NAT一樣,是用來將已經註冊的IP位址轉換到私有的IP位址,可簡化IP位址的管理,以便讓企業內部的網路連到外部的網際網路,而且甚至不需要有註冊的子網路。以下說明PAT是如何完成這些任務。
PAT是在Inside Global的位址加上獨特的埠編號來區分不同筆的位址轉換。由於其埠編號是由16個位元所組成的,因此單一Inside Global的位址可用來與65,536個位址做對應。
簡而言之,對NAT而言,是一個位址與一個位址做對應,但PAT是一個位址加上一個埠編號才與一個位址做對應,因此可能的對應組合變得更多。
用圖1來說明會更容易明白。在該網路架構圖內,左邊兩台電腦是私有網路中的兩台電腦,右邊的是網際網路,左邊兩台電腦想透過中間的路由器A做PAT位址轉換,並連到外面的網際網路。
 |
| ▲圖1 網路架構範例。 |
假設路由器所獲得的外部IP位址是171.69.68.10,由於只得到一個IP位址,因此路由器A必須使用PAT位址轉換的方式,才能同時讓兩台以上的電腦共同使用此IP位址連到網際網路。
表2是針對這個網路架構的PAT位址轉換表的範例。PAT技術一旦找到可用的埠編號,就會拿來使用。
表2 PAT位址轉換對照
說明至此,可將PAT的優點條列整理出來:
1. PAT技術可以事先將公有IP位址與私有IP位址做好
對應,這樣一來,一旦內部網路的電腦想存取網際網路,就能夠直接從對應表內取出對應的公有IP位址並拿來使用,這樣的作法可以節省一些時間。
2. 也因為能夠做出對應表,可節省公有IP位址的使用
量,所以只要申請少數個公有IP位址,就可以讓大量的內部網路電腦上網。
3. 因為私有IP位址不會流傳到外部網際網路,而是使
用公有IP位址,而外部網際網路的電腦也較難得知內部網路各台電腦的IP位址,因此PAT技術提供了一定程度的安全性。
4. 由於PAT技術是採用埠編號來對應,所以與NAT技
術比較起來,PAT更能節省IP位址。