西安交通大學(xué)城市學(xué)院 楊恩寧 江 帆 梁海燕

基于NAT技術(shù)的網(wǎng)絡(luò)模型設(shè)計(jì)與實(shí)現(xiàn)

西安交通大學(xué)城市學(xué)院 楊恩寧 江 帆 梁海燕

計(jì)算機(jī)網(wǎng)絡(luò)迅速發(fā)展，網(wǎng)絡(luò)覆蓋的范圍、容量、業(yè)務(wù)類型快速增長。IPv4中可用的IP地址越來越少，NAT技術(shù)是目前最常用的解決地址短缺的有效方法，它不僅能解決lP地址不足的問題，而且還能有效地避免來自網(wǎng)絡(luò)外部的攻擊。結(jié)合典型網(wǎng)絡(luò)特點(diǎn)，設(shè)計(jì)基于NAT技術(shù)的校園網(wǎng)絡(luò)結(jié)構(gòu)模型，采用靜態(tài)實(shí)現(xiàn)方式，在Packet Tracer中進(jìn)行實(shí)現(xiàn)和測試。

IPv4 NAT Packet Tracer 網(wǎng)絡(luò)設(shè)計(jì)

一、引言

主機(jī)數(shù)目飛速增長，32位地址結(jié)構(gòu)瀕臨耗盡，傳統(tǒng)地址分配策略造成IP地址浪費(fèi)。NAT采用私有地址和全球唯一地址相結(jié)合的原理進(jìn)行地址分配。NAT將每個(gè)局域網(wǎng)節(jié)點(diǎn)的地址轉(zhuǎn)換成一個(gè)IP地址，反之亦然。NAT技術(shù)除了能較好地解決IP地址耗盡的問題外，還能完成隔離外界保護(hù)公司和個(gè)人的隱私和安全，負(fù)載平衡，備份系統(tǒng)等功能。

二、NAT技術(shù)的發(fā)展現(xiàn)狀

國際上著名的防火墻廠家，如NAI公司、CheckPoint公司、GTA公司和CISCO公司等，都在他們自己的網(wǎng)絡(luò)安全產(chǎn)品當(dāng)中集成NAT技術(shù)，保證公司內(nèi)部網(wǎng)絡(luò)資源安全。很多廠商推出帶有NAT功能的路由器或網(wǎng)關(guān)產(chǎn)品，如Cicso0262l、Cicso06509等。許多廠商又開發(fā)了軟件NAT，這種軟件NAT作為插件運(yùn)行在PC機(jī)或服務(wù)器的操作系統(tǒng)之上，目前主要的軟件NAT有Windows平臺上的sygate、Win Gate和Linux平臺上的IP table等。

三、主要研究內(nèi)容

針對NAT技術(shù)設(shè)計(jì)合理地網(wǎng)絡(luò)模型，掌握網(wǎng)絡(luò)的組建和規(guī)劃方法，解決地址不足的問題，對NAT技術(shù)進(jìn)行應(yīng)用，提高對NAT的認(rèn)識和應(yīng)用能力，通過搭建模擬環(huán)境實(shí)現(xiàn)對網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的應(yīng)用與測試。使用Packet Tracer軟件，設(shè)計(jì)一個(gè)基于NAT技術(shù)的校園網(wǎng)，采用靜態(tài)方式實(shí)現(xiàn)。

1.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)

結(jié)合高校部門的劃分以及對網(wǎng)絡(luò)的需求，設(shè)計(jì)合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，如圖1所示。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

四、網(wǎng)絡(luò)設(shè)計(jì)模型的實(shí)現(xiàn)

1.運(yùn)行Packet Tracer軟件，選擇合適的網(wǎng)絡(luò)設(shè)備和通信線纜，按照拓?fù)鋱D進(jìn)行網(wǎng)絡(luò)設(shè)備互聯(lián)，如圖2所示。

2.配置路由信息和終端設(shè)備的IP地址，使網(wǎng)絡(luò)中的各個(gè)結(jié)點(diǎn)都能“ping”通，以宿舍樓的路由器為例，配置信息如圖3所示。

圖2 網(wǎng)絡(luò)設(shè)備的互聯(lián)

圖3 路由器的配置

配置結(jié)果使圖2中的各個(gè)結(jié)點(diǎn)都呈綠色，選擇圖中任意兩結(jié)點(diǎn)，通過“ping”命令進(jìn)行網(wǎng)絡(luò)連通性測試。

3.靜態(tài)NAT的實(shí)現(xiàn)

將整個(gè)網(wǎng)絡(luò)連通以后，選擇總路由器1作為整個(gè)網(wǎng)絡(luò)中的NAT網(wǎng)關(guān)，然后將在總路由器1的IOS命令行中做以下工作進(jìn)行靜態(tài)NAT的實(shí)現(xiàn)：

（1）設(shè)置NAT轉(zhuǎn)換的外部接口

Router(config)#interface Serial0/3/0// 選擇端口Serial0/3/0

Router(config-if)#ip address 221.58.58.1 255.255.255.248//設(shè)置端口Serial0//3/0的ip地址為221.58.58.1,子網(wǎng)掩碼為255.255.255.248

Router(config-if)#ip nat outside//設(shè)置端口Serial0/3/0為NAT外部端

（2）設(shè)置NAT轉(zhuǎn)換的內(nèi)部接口Router(config)#interfaceSerial0/3/1 //選擇端口Serial0/3/1 Router(config-if)#ip address 192.168.13.1 255.255.255.0

Router(config-if)#ip nat inside//設(shè)置端口Serial0/3/1為NAT的內(nèi)部端

（3）在內(nèi)部本地地址和外部合法地址之間建立靜態(tài)NAT。在宿舍樓路由器的IOS命令行中輸入靜態(tài)NAT轉(zhuǎn)換的命令：

Router(config)#ip nat inside source static 192.168.1.2221.58.58.2//將內(nèi)部網(wǎng)絡(luò)地址192.168.1.2轉(zhuǎn)換成內(nèi)部全局合法的IP地址221.58.58.2

Router(config)#ip nat inside source static 192.168.7.3 221.58.58.4//行政樓內(nèi)的主機(jī)的IP地址也可以通過總路由器1的NAT網(wǎng)關(guān)進(jìn)行靜態(tài)NAT

Router(config)#ip nat inside source static 192.168.9.4 221.58.58.5//綜合樓內(nèi)的主機(jī)的IP地址也可以通過總路由器1的NAT網(wǎng)關(guān)進(jìn)行靜態(tài)NAT

4.靜態(tài)NAT的測試

（1）先在總路由器1的IOS命令行中輸入“Router#debug ip nat”命令，打開PC機(jī)1號樓，在PC機(jī)1號樓的桌面中找到命令提示符，打開后輸入“PC＞ping 202.168.188.3”命令，如圖4所示，這時(shí)在總路由器1上會觀察到靜態(tài)NAT的地址轉(zhuǎn)換過程。功訪問校園網(wǎng)中的服務(wù)器。先在外部主機(jī)1的Web瀏覽器中的URL地址欄中輸入“192.168.7.2”，可以看出能成功訪問，即驗(yàn)證HTTP服務(wù)成功，在這里也可以輸入“192.168.1.2”或“192.168.9.2”也能成功進(jìn)行訪問。

五、結(jié)論

目前，互聯(lián)網(wǎng)雖然是IPv4主導(dǎo)，但隨著互聯(lián)網(wǎng)發(fā)展，IPv4向IPv6過渡是必然趨勢，但要經(jīng)過一個(gè)漫長過程，如何實(shí)現(xiàn)他們之間的網(wǎng)絡(luò)地址轉(zhuǎn)換是未來的重要研究方向。相信在不久的將來，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)能得到更好發(fā)展。

[1]何 偉.NAT技術(shù)的研究及其應(yīng)用[J].懷化學(xué)院學(xué)報(bào)，2008

[2]P.Srisuresh,K.Egevang.”Traditional ip network address translator”.RFC3022，2001

[3]Tsirtsis，Srisuresh.”Network Address Translation-Protocol Translation (NAT-PT)”RFC2766，2000

（2）驗(yàn)證HTTP服務(wù)，是為了驗(yàn)證外網(wǎng)中的主機(jī)能否成

ISSN2095-6711/Z01-2016-12-0247