典型NAT實驗環(huán)境設(shè)計研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了典型NAT實驗環(huán)境設(shè)計研究范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：作為一種在企業(yè)網(wǎng)絡(luò)邊界常用的技術(shù)，NAT為企業(yè)網(wǎng)絡(luò)在合法IP地址有限的情況下連接互聯(lián)網(wǎng)以及對外服務(wù)提供了技術(shù)上的實現(xiàn)途徑。給出了一種同時存在靜態(tài)NAT和EasyIP的典型實驗環(huán)境，并對其進行配置和測試，分析了其兩次地址轉(zhuǎn)換的過程。對于理解和掌握nat的工作原理、在企業(yè)網(wǎng)絡(luò)中應(yīng)用NAT技術(shù)提供了參考。

關(guān)鍵詞：網(wǎng)絡(luò)；網(wǎng)絡(luò)地址轉(zhuǎn)換；IP地址；EasyIP轉(zhuǎn)換；端口

1NAT的基本原理

網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）技術(shù)最初是作為緩解IPv4地址空間緊張的一種解決方案引入的，其主要作用就是通過將私有IP地址轉(zhuǎn)換為合法公有IP地址，使私有網(wǎng)絡(luò)中的主機可以通過共享少量的公有IP地址訪問Internet。另外，NAT技術(shù)在客觀上屏蔽了企業(yè)內(nèi)部網(wǎng)絡(luò)的真實IP地址，一定程度上保護了內(nèi)部網(wǎng)絡(luò)不受到外部網(wǎng)絡(luò)的主動攻擊。例如，在使用動態(tài)NAT技術(shù)進行地址轉(zhuǎn)換時，內(nèi)部網(wǎng)絡(luò)主機可以訪問外部網(wǎng)絡(luò)主機，但外部網(wǎng)絡(luò)主機將無法主動訪問內(nèi)部網(wǎng)絡(luò)中的主機，因此也提高了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)地址轉(zhuǎn)換一般在網(wǎng)絡(luò)的邊界由網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備，例如配置了地址轉(zhuǎn)換功能的路由器或防火墻來實現(xiàn)。網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備使用地址轉(zhuǎn)換表保存私有IP地址和公有IP地址的映射關(guān)系，并根據(jù)保存的映射關(guān)系對IP地址進行轉(zhuǎn)換。典型的網(wǎng)絡(luò)地址轉(zhuǎn)換過程如圖1所示。在PC1訪問外部網(wǎng)絡(luò)主機時，其產(chǎn)生的數(shù)據(jù)報文的源IP地址是PC1在內(nèi)部網(wǎng)絡(luò)的私有IP地址（內(nèi)部本地地址）192.168.1.10，當數(shù)據(jù)報文到達出口路由器的出接口時，路由器將數(shù)據(jù)報文的源IP地址轉(zhuǎn)換為內(nèi)部全局地址202.207.120.10，使數(shù)據(jù)報文可以在公共網(wǎng)絡(luò)上路由，并將內(nèi)部本地地址和內(nèi)部全局地址的映射關(guān)系保存在地址轉(zhuǎn)換表中；在返回的數(shù)據(jù)報文中，目的IP地址為內(nèi)部全局地址202.207.120.10，在路由器接收到該報文后，根據(jù)地址轉(zhuǎn)換表中保存的映射關(guān)系將目的IP地址轉(zhuǎn)換為內(nèi)部本地地址192.168.1.10，并路由給內(nèi)部網(wǎng)絡(luò)的目的主機PC1，從而實現(xiàn)PC1和外部網(wǎng)絡(luò)主機之間的通信。

2NAT的類型

按照網(wǎng)絡(luò)地址轉(zhuǎn)換的原理、轉(zhuǎn)換方式以及應(yīng)用場合的不同，可以將網(wǎng)絡(luò)地址轉(zhuǎn)換分為如表1所示的5種。使用哪一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)來進行地址的轉(zhuǎn)換需要根據(jù)網(wǎng)絡(luò)的具體需求來確定。很多時候在同一個網(wǎng)絡(luò)中可能會涉及到多種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，例如某一企業(yè)中大量的內(nèi)部網(wǎng)絡(luò)主機都有訪問Internet的需求，而且企業(yè)內(nèi)部網(wǎng)絡(luò)還需要提供可以從Internet進行訪問的HTTP服務(wù)來進行企業(yè)宣傳，這時候就會同時用到EasyIP和靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換兩種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。

3NAT實驗環(huán)境設(shè)計

3.1NAT實驗拓撲結(jié)構(gòu)

考慮到在實際的企業(yè)網(wǎng)絡(luò)應(yīng)用中往往會同時存在EasyIP和靜態(tài)NAT兩種地址轉(zhuǎn)換形式，因此在進行實驗環(huán)境設(shè)計時應(yīng)包含這兩種NAT類型，并能夠?qū)ζ涞刂忿D(zhuǎn)換進行監(jiān)控和測試。這就需要給出多個以太網(wǎng)段來模擬多個需要進行NAT的企業(yè)內(nèi)網(wǎng)。假設(shè)企業(yè)內(nèi)部網(wǎng)絡(luò)使用的IP地址段為192.168.1.0/24的多個子網(wǎng)段，將其轉(zhuǎn)換為10.0.0.0/8網(wǎng)段的某對應(yīng)子網(wǎng)段，設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖2所示。

3.2NAT實驗配置

按照圖2所示為路由器、交換機和PC配置IP地址，其中路由器的G0/0/0接口使用相應(yīng)網(wǎng)段中的最后一個可用地址，PC1~PC4暫時使用相應(yīng)網(wǎng)段中的第一個可用地址，路由器的G0/0/1接口和相連的交換機SWA的接口分別使用相應(yīng)網(wǎng)段的前兩個可用地址，PC5的網(wǎng)關(guān)地址設(shè)置為交換機SWA的接口G0/0/24的IP地址10.0.1.2。在4臺路由器和交換機SWA上配置默認路由保障整個網(wǎng)絡(luò)的連通性。此時，在四臺路由器上使用PING命令測試與外部網(wǎng)絡(luò)的連通性，應(yīng)該可以PING通。但需要注意此時PC1~PC4均無法連通外部網(wǎng)絡(luò)，因為交換機SWA并不知道PC所在網(wǎng)段的存在。在實際網(wǎng)絡(luò)應(yīng)用中也是如此：需要進行地址轉(zhuǎn)換的內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)而言是透明的（或者說是不存在的），外部網(wǎng)絡(luò)不會知道使用私有IP地址的內(nèi)部網(wǎng)絡(luò)的存在，以防止私有IP地址在公共合法網(wǎng)絡(luò)上的泄露。在路由器上進行NAT的配置，要求將路由器連接PC的網(wǎng)段中的第一個可用IP地址靜態(tài)轉(zhuǎn)換到路由器與交換機相連的網(wǎng)段中的最后一個可用IP地址上，使外部網(wǎng)絡(luò)可以主動訪問PC上的HTTP服務(wù)。對于路由器連接PC的網(wǎng)段中的其他地址使用EasyIP進行轉(zhuǎn)換，使內(nèi)網(wǎng)主機可以訪問外部網(wǎng)絡(luò)。參考配置命令如下：注意在進行EasyIP使用的ACL的配置中，對于不需要進行EasyIP轉(zhuǎn)換的內(nèi)部本地地址要首先deny掉。配置完成后，在PC5的IE中分別輸入PC1~PC4的內(nèi)部全局地址來訪問其上的HTTP服務(wù)，應(yīng)該可以訪問。

3.3NAT實驗結(jié)果測試

將PC1和PC2劃分到一組，PC3和PC4劃分到一組，將PC2/PC4的IP地址修改為相應(yīng)網(wǎng)段中非第一個地址的任意合法地址，例如第二個地址，然后在PC2和PC4的IE中分別輸入同組的PC1或PC3的內(nèi)部全局地址來訪問其上的HTTP服務(wù)，應(yīng)該可以訪問。在進行訪問的同時，在4臺路由器上使用命令debuggingnatall查看地址轉(zhuǎn)換的過程，并使用命令displaynatsessionprotocoltcpdestination10.1.1.6/14查看NAT會話情況，具體如下：注意：在PC2/PC4訪問同組的PC1/PC3的HTTP服務(wù)過程中，實際上經(jīng)過了兩次地址轉(zhuǎn)換。分別為在路由器RTB/RTD上進行的EasyIP的轉(zhuǎn)換，以及在路由器RTA/RTC上進行的靜態(tài)地址轉(zhuǎn)換。具體如圖3所示。

4結(jié)語

作為在企業(yè)網(wǎng)絡(luò)邊界常用的一種IP地址節(jié)約技術(shù)，NAT有著非常廣泛的應(yīng)用，尤其是多種不同NAT類型的綜合應(yīng)用，為企業(yè)網(wǎng)絡(luò)訪問外網(wǎng)以及對外進行網(wǎng)絡(luò)服務(wù)提供了底層技術(shù)的支持。作為企業(yè)網(wǎng)絡(luò)管理人員，有必要通過實際網(wǎng)絡(luò)環(huán)境測試了解NAT的底層實現(xiàn)原理，以更好地維護網(wǎng)絡(luò)，使其在可用IP地址有限的情況下能夠高效、安全地運行，為企業(yè)提供優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。

參考文獻

[1]王達.華為路由器學(xué)習(xí)指南[M].2版.北京:人民郵電出版社,2020:346-348.

[2]吳樹.基于網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的實驗設(shè)計及仿真實現(xiàn)[J].山西能源學(xué)院學(xué)報,2020,(02):100-102.

[3]孫宇,嵩天.網(wǎng)絡(luò)地址轉(zhuǎn)換環(huán)境下的隱蔽通道構(gòu)建方法[J].信息網(wǎng)絡(luò)安全,2019,(07):59-66.

[4]路景貴,成樹崗,寇超軍,等.VLAN劃分與NAT地址轉(zhuǎn)換教學(xué)實驗設(shè)計[J].實驗室科學(xué),2018,(06):51-56,60.

[5]楊禮.ACL和NAT技術(shù)在局域網(wǎng)中的應(yīng)用與實踐[J].喀什大學(xué)學(xué)報,2018,(03):108-111.

作者：劉延鋒 王月春 張少芳 單位：石家莊郵電職業(yè)技術(shù)學(xué)院