典型NAT實(shí)驗(yàn)環(huán)境設(shè)計(jì)研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了典型NAT實(shí)驗(yàn)環(huán)境設(shè)計(jì)研究范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：作為一種在企業(yè)網(wǎng)絡(luò)邊界常用的技術(shù)，NAT為企業(yè)網(wǎng)絡(luò)在合法IP地址有限的情況下連接互聯(lián)網(wǎng)以及對外服務(wù)提供了技術(shù)上的實(shí)現(xiàn)途徑。給出了一種同時(shí)存在靜態(tài)NAT和EasyIP的典型實(shí)驗(yàn)環(huán)境，并對其進(jìn)行配置和測試，分析了其兩次地址轉(zhuǎn)換的過程。對于理解和掌握nat的工作原理、在企業(yè)網(wǎng)絡(luò)中應(yīng)用NAT技術(shù)提供了參考。

關(guān)鍵詞：網(wǎng)絡(luò)；網(wǎng)絡(luò)地址轉(zhuǎn)換；IP地址；EasyIP轉(zhuǎn)換；端口

1NAT的基本原理

網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）技術(shù)最初是作為緩解IPv4地址空間緊張的一種解決方案引入的，其主要作用就是通過將私有IP地址轉(zhuǎn)換為合法公有IP地址，使私有網(wǎng)絡(luò)中的主機(jī)可以通過共享少量的公有IP地址訪問Internet。另外，NAT技術(shù)在客觀上屏蔽了企業(yè)內(nèi)部網(wǎng)絡(luò)的真實(shí)IP地址，一定程度上保護(hù)了內(nèi)部網(wǎng)絡(luò)不受到外部網(wǎng)絡(luò)的主動攻擊。例如，在使用動態(tài)NAT技術(shù)進(jìn)行地址轉(zhuǎn)換時(shí)，內(nèi)部網(wǎng)絡(luò)主機(jī)可以訪問外部網(wǎng)絡(luò)主機(jī)，但外部網(wǎng)絡(luò)主機(jī)將無法主動訪問內(nèi)部網(wǎng)絡(luò)中的主機(jī)，因此也提高了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)地址轉(zhuǎn)換一般在網(wǎng)絡(luò)的邊界由網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備，例如配置了地址轉(zhuǎn)換功能的路由器或防火墻來實(shí)現(xiàn)。網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備使用地址轉(zhuǎn)換表保存私有IP地址和公有IP地址的映射關(guān)系，并根據(jù)保存的映射關(guān)系對IP地址進(jìn)行轉(zhuǎn)換。典型的網(wǎng)絡(luò)地址轉(zhuǎn)換過程如圖1所示。在PC1訪問外部網(wǎng)絡(luò)主機(jī)時(shí)，其產(chǎn)生的數(shù)據(jù)報(bào)文的源IP地址是PC1在內(nèi)部網(wǎng)絡(luò)的私有IP地址（內(nèi)部本地地址）192.168.1.10，當(dāng)數(shù)據(jù)報(bào)文到達(dá)出口路由器的出接口時(shí)，路由器將數(shù)據(jù)報(bào)文的源IP地址轉(zhuǎn)換為內(nèi)部全局地址202.207.120.10，使數(shù)據(jù)報(bào)文可以在公共網(wǎng)絡(luò)上路由，并將內(nèi)部本地地址和內(nèi)部全局地址的映射關(guān)系保存在地址轉(zhuǎn)換表中；在返回的數(shù)據(jù)報(bào)文中，目的IP地址為內(nèi)部全局地址202.207.120.10，在路由器接收到該報(bào)文后，根據(jù)地址轉(zhuǎn)換表中保存的映射關(guān)系將目的IP地址轉(zhuǎn)換為內(nèi)部本地地址192.168.1.10，并路由給內(nèi)部網(wǎng)絡(luò)的目的主機(jī)PC1，從而實(shí)現(xiàn)PC1和外部網(wǎng)絡(luò)主機(jī)之間的通信。

2NAT的類型

按照網(wǎng)絡(luò)地址轉(zhuǎn)換的原理、轉(zhuǎn)換方式以及應(yīng)用場合的不同，可以將網(wǎng)絡(luò)地址轉(zhuǎn)換分為如表1所示的5種。使用哪一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)來進(jìn)行地址的轉(zhuǎn)換需要根據(jù)網(wǎng)絡(luò)的具體需求來確定。很多時(shí)候在同一個(gè)網(wǎng)絡(luò)中可能會涉及到多種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，例如某一企業(yè)中大量的內(nèi)部網(wǎng)絡(luò)主機(jī)都有訪問Internet的需求，而且企業(yè)內(nèi)部網(wǎng)絡(luò)還需要提供可以從Internet進(jìn)行訪問的HTTP服務(wù)來進(jìn)行企業(yè)宣傳，這時(shí)候就會同時(shí)用到EasyIP和靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換兩種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。

3NAT實(shí)驗(yàn)環(huán)境設(shè)計(jì)

3.1NAT實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)

考慮到在實(shí)際的企業(yè)網(wǎng)絡(luò)應(yīng)用中往往會同時(shí)存在EasyIP和靜態(tài)NAT兩種地址轉(zhuǎn)換形式，因此在進(jìn)行實(shí)驗(yàn)環(huán)境設(shè)計(jì)時(shí)應(yīng)包含這兩種NAT類型，并能夠?qū)ζ涞刂忿D(zhuǎn)換進(jìn)行監(jiān)控和測試。這就需要給出多個(gè)以太網(wǎng)段來模擬多個(gè)需要進(jìn)行NAT的企業(yè)內(nèi)網(wǎng)。假設(shè)企業(yè)內(nèi)部網(wǎng)絡(luò)使用的IP地址段為192.168.1.0/24的多個(gè)子網(wǎng)段，將其轉(zhuǎn)換為10.0.0.0/8網(wǎng)段的某對應(yīng)子網(wǎng)段，設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

3.2NAT實(shí)驗(yàn)配置

按照圖2所示為路由器、交換機(jī)和PC配置IP地址，其中路由器的G0/0/0接口使用相應(yīng)網(wǎng)段中的最后一個(gè)可用地址，PC1~PC4暫時(shí)使用相應(yīng)網(wǎng)段中的第一個(gè)可用地址，路由器的G0/0/1接口和相連的交換機(jī)SWA的接口分別使用相應(yīng)網(wǎng)段的前兩個(gè)可用地址，PC5的網(wǎng)關(guān)地址設(shè)置為交換機(jī)SWA的接口G0/0/24的IP地址10.0.1.2。在4臺路由器和交換機(jī)SWA上配置默認(rèn)路由保障整個(gè)網(wǎng)絡(luò)的連通性。此時(shí)，在四臺路由器上使用PING命令測試與外部網(wǎng)絡(luò)的連通性，應(yīng)該可以PING通。但需要注意此時(shí)PC1~PC4均無法連通外部網(wǎng)絡(luò)，因?yàn)榻粨Q機(jī)SWA并不知道PC所在網(wǎng)段的存在。在實(shí)際網(wǎng)絡(luò)應(yīng)用中也是如此：需要進(jìn)行地址轉(zhuǎn)換的內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)而言是透明的（或者說是不存在的），外部網(wǎng)絡(luò)不會知道使用私有IP地址的內(nèi)部網(wǎng)絡(luò)的存在，以防止私有IP地址在公共合法網(wǎng)絡(luò)上的泄露。在路由器上進(jìn)行NAT的配置，要求將路由器連接PC的網(wǎng)段中的第一個(gè)可用IP地址靜態(tài)轉(zhuǎn)換到路由器與交換機(jī)相連的網(wǎng)段中的最后一個(gè)可用IP地址上，使外部網(wǎng)絡(luò)可以主動訪問PC上的HTTP服務(wù)。對于路由器連接PC的網(wǎng)段中的其他地址使用EasyIP進(jìn)行轉(zhuǎn)換，使內(nèi)網(wǎng)主機(jī)可以訪問外部網(wǎng)絡(luò)。參考配置命令如下：注意在進(jìn)行EasyIP使用的ACL的配置中，對于不需要進(jìn)行EasyIP轉(zhuǎn)換的內(nèi)部本地地址要首先deny掉。配置完成后，在PC5的IE中分別輸入PC1~PC4的內(nèi)部全局地址來訪問其上的HTTP服務(wù)，應(yīng)該可以訪問。

3.3NAT實(shí)驗(yàn)結(jié)果測試

將PC1和PC2劃分到一組，PC3和PC4劃分到一組，將PC2/PC4的IP地址修改為相應(yīng)網(wǎng)段中非第一個(gè)地址的任意合法地址，例如第二個(gè)地址，然后在PC2和PC4的IE中分別輸入同組的PC1或PC3的內(nèi)部全局地址來訪問其上的HTTP服務(wù)，應(yīng)該可以訪問。在進(jìn)行訪問的同時(shí)，在4臺路由器上使用命令debuggingnatall查看地址轉(zhuǎn)換的過程，并使用命令displaynatsessionprotocoltcpdestination10.1.1.6/14查看NAT會話情況，具體如下：注意：在PC2/PC4訪問同組的PC1/PC3的HTTP服務(wù)過程中，實(shí)際上經(jīng)過了兩次地址轉(zhuǎn)換。分別為在路由器RTB/RTD上進(jìn)行的EasyIP的轉(zhuǎn)換，以及在路由器RTA/RTC上進(jìn)行的靜態(tài)地址轉(zhuǎn)換。具體如圖3所示。

4結(jié)語

作為在企業(yè)網(wǎng)絡(luò)邊界常用的一種IP地址節(jié)約技術(shù)，NAT有著非常廣泛的應(yīng)用，尤其是多種不同NAT類型的綜合應(yīng)用，為企業(yè)網(wǎng)絡(luò)訪問外網(wǎng)以及對外進(jìn)行網(wǎng)絡(luò)服務(wù)提供了底層技術(shù)的支持。作為企業(yè)網(wǎng)絡(luò)管理人員，有必要通過實(shí)際網(wǎng)絡(luò)環(huán)境測試了解NAT的底層實(shí)現(xiàn)原理，以更好地維護(hù)網(wǎng)絡(luò)，使其在可用IP地址有限的情況下能夠高效、安全地運(yùn)行，為企業(yè)提供優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。

參考文獻(xiàn)

[1]王達(dá).華為路由器學(xué)習(xí)指南[M].2版.北京:人民郵電出版社,2020:346-348.

[2]吳樹.基于網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的實(shí)驗(yàn)設(shè)計(jì)及仿真實(shí)現(xiàn)[J].山西能源學(xué)院學(xué)報(bào),2020,(02):100-102.

[3]孫宇,嵩天.網(wǎng)絡(luò)地址轉(zhuǎn)換環(huán)境下的隱蔽通道構(gòu)建方法[J].信息網(wǎng)絡(luò)安全,2019,(07):59-66.

[4]路景貴,成樹崗,寇超軍,等.VLAN劃分與NAT地址轉(zhuǎn)換教學(xué)實(shí)驗(yàn)設(shè)計(jì)[J].實(shí)驗(yàn)室科學(xué),2018,(06):51-56,60.

[5]楊禮.ACL和NAT技術(shù)在局域網(wǎng)中的應(yīng)用與實(shí)踐[J].喀什大學(xué)學(xué)報(bào),2018,(03):108-111.

作者：劉延鋒 王月春 張少芳 單位：石家莊郵電職業(yè)技術(shù)學(xué)院