王崇

【摘 要】為了克服私有網(wǎng)同時(shí)與公共網(wǎng)通信的主機(jī)數(shù)量就受到NAT的公共IP地址數(shù)量的限制，NAT被進(jìn)一步擴(kuò)展到在進(jìn)行IP地址轉(zhuǎn)換的同時(shí)進(jìn)行Port的轉(zhuǎn)換，這就是NAPT（Network Address Port Translation，網(wǎng)絡(luò)地址端口轉(zhuǎn)換）技術(shù)。本文重點(diǎn)闡述基于Packet Tracer的NAPT教學(xué)設(shè)計(jì)及實(shí)現(xiàn)過程。

【關(guān)鍵詞】轉(zhuǎn)換；NAPT；Packet Tracer；Address

【Abstract】When private network communicates with public network， the number of hosts will be constrained by the number of public IP address of the NAT. In order to overcome this problem， NAT has been further extended to conduct port translation at the same time of IP address translation. This is the NAPT（Network Address Port Translation） technology. This paper mainly elaborated the teaching design and implementation process of NAPT technology based on Packet Tracer.

【Key words】Translation； NAPT； Packet Tracer； Address

1 選擇Packet Tracer模擬軟件的原因

隨著計(jì)算機(jī)仿真技術(shù)的發(fā)展，網(wǎng)絡(luò)模擬軟件應(yīng)用越來也廣泛。目前，Packet Tracer軟件的版本升級，該軟件的功能日趨完善，使得許多組網(wǎng)的實(shí)驗(yàn)可以用它來實(shí)現(xiàn)。眾所周知GNS3模擬器加載ios文件，支持的命令比Packet Tracer多，功能十分強(qiáng)大。但是GNS3目前的版本不能配置服務(wù)器且PC機(jī)里沒有自帶瀏覽器。而我設(shè)計(jì)的NAPT實(shí)驗(yàn)需要在PC機(jī)上打開瀏覽器使用HTTP協(xié)議訪問服務(wù)器上的網(wǎng)址，再在路由器上查看IP地址和端口轉(zhuǎn)換的情況。這樣設(shè)計(jì)使學(xué)生能形象的看到NAPT工作時(shí)IP地址的轉(zhuǎn)換過程，更容易理解NAPT的工作原理?；赑acket Tracer模擬軟件實(shí)現(xiàn)了各種典型NAPT技術(shù)的配置和測試，Packet Tracer對網(wǎng)絡(luò)組建個(gè)各種硬件設(shè)備進(jìn)行仿真，圖形化的很形象的模擬了PC機(jī)、服務(wù)器、交換機(jī)、路由器等的配置過程。

2 NAPT的優(yōu)勢

由于NAT實(shí)現(xiàn)的是一個(gè)本地IP地址對應(yīng)一個(gè)全局IP地址，是私有IP和NAT的公共IP之間的轉(zhuǎn)換，那么， 私有網(wǎng)中同時(shí)與公共網(wǎng)進(jìn)行通信的主機(jī)數(shù)量就受到NAT的公共IP地址數(shù)量的限制。為了克服這種限制，NAT被進(jìn)一步擴(kuò)展到在進(jìn)行IP地址轉(zhuǎn)換的同時(shí)進(jìn)行Port的轉(zhuǎn)換，這就是網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）技術(shù)。

NAPT（Network Address Port Translation）即網(wǎng)絡(luò)端口地址轉(zhuǎn)換，就是將多個(gè)內(nèi)部地址映射為一個(gè)合法公網(wǎng)地址，但以不同的協(xié)議端口號與不同的內(nèi)部地址相對應(yīng)。也就是<內(nèi)部地址+內(nèi)部端口>與<外部地址+外部端口>之間的轉(zhuǎn)換。NAPT普遍用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面。

NAPT使得一組主機(jī)可以共享唯一的外部地址，當(dāng)位于內(nèi)部網(wǎng)絡(luò)中的主機(jī)通過NAT設(shè)備向外部主機(jī)發(fā)起會(huì)話請求時(shí)，NAT設(shè)備就會(huì)查詢NAT表，看是否有相關(guān)會(huì)話記錄，如果有相關(guān)記錄，就會(huì)將內(nèi)部IP地址及端口同時(shí)進(jìn)行轉(zhuǎn)換，再轉(zhuǎn)發(fā)出去；如果沒有相關(guān)記錄，進(jìn)行IP地址和端口轉(zhuǎn)換的同時(shí)，還會(huì)在NAT表增加一條該會(huì)話的記錄。外部主機(jī)接收到數(shù)據(jù)包后，用接受到的合法公網(wǎng)地址及端口作為目的IP地址及端口來響應(yīng)，NAT設(shè)備接收到外部回來的數(shù)據(jù)包，再根據(jù)NAT表中的記錄把目的地址及端口轉(zhuǎn)換成對應(yīng)的內(nèi)部IP地址及端口，轉(zhuǎn)發(fā)給該內(nèi)部主機(jī)。

3 NAPT的術(shù)語

Inside——內(nèi)部網(wǎng)絡(luò)。

Outside——外部網(wǎng)絡(luò)。

Inside Local Address——內(nèi)部局部地址：是指分配給內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址，該地址可能是非法的未向相關(guān)機(jī)構(gòu)注冊的IP地址，也可能是合法的私有網(wǎng)絡(luò)地址（一般是企業(yè)內(nèi)部的私有IP）。

Inside Global Address——內(nèi)部全局地址：被轉(zhuǎn)換后的外部地址（一般是企業(yè)所擁有的公網(wǎng)IP）；合法的全局可路由地址，在外部網(wǎng)絡(luò)代表著一個(gè)或多個(gè)內(nèi)部本地地址。

Outside Local Address——外部局部地址：外部網(wǎng)絡(luò)的主機(jī)在內(nèi)部網(wǎng)絡(luò)中表現(xiàn)的IP地址，該地址是內(nèi)部可路由地址，一般不是注冊的全局唯一地址（相當(dāng)于內(nèi)部全局地址）。

Outside Global Address——外部全局地址：外部網(wǎng)絡(luò)分配給外部主機(jī)的IP地址，該地址為全局可路由地址（相當(dāng)于internet上主機(jī)的公網(wǎng) IP）。

4 NAPT的設(shè)計(jì)與實(shí)現(xiàn)

4.1 組網(wǎng)需求

某公司內(nèi)部有3個(gè)C類網(wǎng)段分為3個(gè)VLAN，但要接入Internet。公司內(nèi)部IP都可以訪問外網(wǎng)的WEB服務(wù)器。但是該公司只有一個(gè)連接ISP的全局IP地址202.1.1.2，由于內(nèi)部網(wǎng)要求上網(wǎng)的主機(jī)數(shù)很多，企業(yè)所擁有的公網(wǎng)IP緊缺，為了提高內(nèi)網(wǎng)的安全性采用NAPT組網(wǎng)方案。

4.2 網(wǎng)絡(luò)拓?fù)?/p>

為了完成該實(shí)驗(yàn)，設(shè)計(jì)了如圖1 所示的網(wǎng)絡(luò)拓?fù)鋱D： 采用2臺Router-PT路由器，4臺2960-24TT交換機(jī)，2臺服務(wù)器，5臺PC機(jī)。圖中Switch3接內(nèi)網(wǎng)交換機(jī)Switch0和Switch1以及Switch2，路由器Router1 為公司的出口路由器，路由器Router2屬于電信部門的路由器，用它來模擬Internet 網(wǎng)絡(luò)，Server2模擬公網(wǎng)上的網(wǎng)站。在Server2上啟用HTTP，設(shè)置index.html顯示的內(nèi)容為“Welcome to www.wangchong.com. Opening doors to new opportunities.”，設(shè)置DNS服務(wù)為www.wangchong.com對應(yīng)IP地址是10.0.0.2，設(shè)置內(nèi)網(wǎng)Server1上HTTP選項(xiàng)顯示的內(nèi)容是“Welcome to www.wangluo.edu.com.”。

4.3 IP地址規(guī)劃

將公司內(nèi)部IP 地址規(guī)劃為3個(gè)C類網(wǎng)段，Switch0連接的網(wǎng)段為192.168.10.0 /24，Switch1連接的網(wǎng)段為192.168.20.0/24，Switch2連接的網(wǎng)段為192.168.30.0 /24，出口路由器Router1和Internet 網(wǎng)之間網(wǎng)段設(shè)置為202.1.1.0/24。外網(wǎng)WEB服務(wù)器的IP地址設(shè)置為10.0.0.2/24，網(wǎng)關(guān)是10.0.0.1，DNS服務(wù)器的IP地址為10.0.0.2。

4.6 驗(yàn)證結(jié)果

配置完成后，從內(nèi)網(wǎng)各PC機(jī)都能ping通外網(wǎng)的Server2，分別在Server1、PC3、PC5上點(diǎn)擊“桌面”選項(xiàng)，打開瀏覽器，在瀏覽器的URL欄中輸入http：//www.wangchong.com，看到結(jié)果如圖2所示。在Router1上進(jìn)入特權(quán)模式后，輸入show ip nat translations查看該網(wǎng)絡(luò)的IP地址的轉(zhuǎn)換情況，結(jié)果如圖3所示?？梢钥吹绞褂肏TTP協(xié)議上網(wǎng)時(shí)，不管是在VLAN 10的IP、VLAN 20的IP還是VLAN 30的IP地址都是通過轉(zhuǎn)換為一個(gè)內(nèi)部全局地址202.1.1.2，同時(shí)變換傳送層端口號。而訪問公網(wǎng)上的WEB服務(wù)器Server2的端口始終是HTTP協(xié)議的默認(rèn)端口號80。在圖3的左側(cè)還可以看到HTTP協(xié)議使用的TCP連接，而UDP無法提供可靠傳輸，所以HTTP不會(huì)使用UDP連接。

5 結(jié)論

雖然GNS3軟件支持的命令比Packet Tracer多，但是在一些實(shí)驗(yàn)教學(xué)上，比起GNS3，使用Packet Tracer模擬軟件的教學(xué)要更方便、更直觀、更容易理解、效果更好，配置文件占用資源少更容易保存。目前，基于Packet Tracer的實(shí)驗(yàn)教學(xué)模式已經(jīng)成為高職高專的一種非常重要的教學(xué)模式。在《計(jì)算機(jī)網(wǎng)絡(luò)》《組網(wǎng)技術(shù)》《局域網(wǎng)組建與維護(hù)》教學(xué)以及其它的計(jì)算機(jī)網(wǎng)絡(luò)課程的教學(xué)過程中，這種教學(xué)模式值得推廣。

【參考文獻(xiàn)】

[1]王秀欣，戚宇林，王鼎.基于目前NAPT的一種改進(jìn)算法[J].微型電腦應(yīng)用， 2008（09）.

[2]謝志強(qiáng).基于NAT技術(shù)在校園網(wǎng)中的應(yīng)用研究[J].電腦知識與技術(shù)，2010（08）.

[3]林國蘭，陳顯毅. NAT技術(shù)在局域網(wǎng)中的應(yīng)用[J].科技信息，2009（01）.

[4]禾苗.節(jié)約資源的NAT技術(shù)[J].網(wǎng)絡(luò)與信息，2006（02）.

[5]李亞珩.NAT技術(shù)實(shí)現(xiàn)原理和應(yīng)用[J].才智，2010（05）.

[責(zé)任編輯：楊玉潔]