吳樹(shù)

【摘 要】 本文闡述了網(wǎng)絡(luò)地址轉(zhuǎn)換產(chǎn)生的背景、轉(zhuǎn)換機(jī)制及實(shí)現(xiàn)過(guò)程，通過(guò) Packet Tracer 仿真平臺(tái)設(shè)計(jì)了靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換及端口多路復(fù)用的綜合組網(wǎng)實(shí)驗(yàn)方案，詳細(xì)說(shuō)明了網(wǎng)絡(luò)地址轉(zhuǎn)換實(shí)現(xiàn)的全過(guò)程，并進(jìn)行了結(jié)果驗(yàn)證及數(shù)據(jù)分析。通過(guò)實(shí)驗(yàn)可以讓使學(xué)生直觀、快速地理解NAT協(xié)議的工作原理及過(guò)程，增強(qiáng)學(xué)生對(duì)其他協(xié)議原理及工作過(guò)程的理解，加深學(xué)生對(duì)于綜合組網(wǎng)相關(guān)知識(shí)點(diǎn)的理解和掌握。

【關(guān)鍵詞】 網(wǎng)絡(luò)地址轉(zhuǎn)換;仿真軟件;訪問(wèn)控制

【中圖分類號(hào)】 TP393.2 【文獻(xiàn)標(biāo)識(shí)碼】 A

【文章編號(hào)】 2096-4102（2020）02-0100-03

網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）是將私有IP地址映射為外部合法的全局IP地址的一種轉(zhuǎn)換技術(shù);NAT通過(guò)私有網(wǎng)絡(luò)地址到公有網(wǎng)絡(luò)地址的映射，實(shí)現(xiàn)變換網(wǎng)絡(luò)IP地址的同時(shí)，相當(dāng)于增加了網(wǎng)絡(luò)中可使用IP地址的數(shù)量，因此采用NAT工作方式做法的優(yōu)勢(shì)十分明顯。

1網(wǎng)絡(luò)地址轉(zhuǎn)換原理及分類

1.1網(wǎng)絡(luò)地址轉(zhuǎn)換

網(wǎng)絡(luò)地址轉(zhuǎn)換是在網(wǎng)絡(luò)層將數(shù)據(jù)包的IP地址轉(zhuǎn)換成另一個(gè)IP地址的過(guò)程，如圖1所示的拓?fù)浣Y(jié)構(gòu)中，主機(jī)A在一個(gè)私有網(wǎng)絡(luò)中，其網(wǎng)絡(luò)地址為10.16.15.2/8，主機(jī)B在一個(gè)公網(wǎng)網(wǎng)絡(luò)中，其網(wǎng)絡(luò)地址為202.10.1.2/24。

當(dāng)主機(jī)A通過(guò)NAT訪問(wèn)主機(jī)B時(shí)，在通信過(guò)程中，對(duì)于主機(jī)A來(lái)說(shuō)，目的地址是202.10.1.2，源地址是10.16.15.2;數(shù)據(jù)報(bào)在路由器上進(jìn)行NAT轉(zhuǎn)換，路由器的接口地址為168.58.15.1，是個(gè)全局地址，路由器將需要轉(zhuǎn)發(fā)的數(shù)據(jù)映射到這個(gè)全局地址后轉(zhuǎn)發(fā)至Internet。

1.2 NAT的分類

（1）靜態(tài)轉(zhuǎn)換

靜態(tài)轉(zhuǎn)換采用一對(duì)一映射的形式，是指將內(nèi)網(wǎng)的私有IP一對(duì)一映射為合法的全局地址，這種一對(duì)一轉(zhuǎn)換本質(zhì)上沒(méi)有節(jié)約IP地址資源，但可以實(shí)現(xiàn)公網(wǎng)設(shè)備對(duì)私網(wǎng)中特定設(shè)備的訪問(wèn)。

（2）動(dòng)態(tài)轉(zhuǎn)換

動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)網(wǎng)私有IP地址多對(duì)多地映射為公網(wǎng)IP地址，內(nèi)網(wǎng)中私有IP地址通過(guò)映射到公網(wǎng)地址后，可以授權(quán)訪問(wèn)ISP網(wǎng)絡(luò);當(dāng)企業(yè)所擁有的公網(wǎng)IP地址較少，并且私網(wǎng)主機(jī)數(shù)量較多時(shí)，采用這種方式可以節(jié)約購(gòu)買公網(wǎng)IP地址的成本。

（3）端口多路復(fù)用

端口多路復(fù)用一般是指對(duì)數(shù)據(jù)包的源端口進(jìn)行改變并轉(zhuǎn)換的一種方式，一般采用IP地址加端口號(hào)的方式進(jìn)行，采用端口多路復(fù)用時(shí)，私有網(wǎng)絡(luò)中的不同主機(jī)設(shè)備可共享同一個(gè)公網(wǎng)IP地址，通過(guò)采用不同端口號(hào)對(duì)ISP網(wǎng)絡(luò)的訪問(wèn)。

2網(wǎng)絡(luò)地址轉(zhuǎn)換實(shí)驗(yàn)設(shè)計(jì)

2.1搭建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

利用Packet Tracer仿真軟件創(chuàng)建網(wǎng)絡(luò)拓?fù)鋱D，如圖2所示：Router_0（R0）為內(nèi)部網(wǎng)絡(luò)中的路由器，PC0和PC1為私有網(wǎng)絡(luò)客戶端設(shè)備，使用的網(wǎng)絡(luò)地址為私網(wǎng)IP地址，通過(guò)交換機(jī)和出口路由器設(shè)備相連。

Router_1（R1）為Internet網(wǎng)絡(luò)中的設(shè)備，PC10、Server10代表ISP網(wǎng)絡(luò)設(shè)備，通過(guò)交換機(jī)和路由器設(shè)備相連，且均使用的是公網(wǎng)IP地址。Server0和Server1是兩臺(tái)部署在私有網(wǎng)絡(luò)的Web服務(wù)器，在其上可以搭建FTP、Web等各種服務(wù)，拓?fù)鋱D中的不同的網(wǎng)絡(luò)設(shè)備的IP地址分配如表1所示。

2.2靜態(tài)轉(zhuǎn)換仿真實(shí)驗(yàn)的配置及實(shí)現(xiàn)

（1）設(shè)備配置命令

Router_0（config）#interface serial 0/2/0

Router_0（config-if）#ip nat outside

Router_0（config）#ip nat inside source static 192.168.1.1 202.100.101.2? //配置靜態(tài)nat

Router_0（config）# ip nat inside source static 192.168.1.11 202.100.101.3

（2）結(jié)果分析

在仿真軟件上，使用show ip nat translations命令查看NAT的轉(zhuǎn)換表，如圖3（a）所示，內(nèi)部地址192.168.1.10-11已被轉(zhuǎn)換成了公網(wǎng)IP地址 202.131.101.5-6，如此則實(shí)現(xiàn)了內(nèi)部私有地址與全局IP地址之間的映射關(guān)系;同時(shí)也可以實(shí)現(xiàn)對(duì)公網(wǎng)的訪問(wèn)，如圖3（b）所示：

2.3動(dòng)態(tài)轉(zhuǎn)換仿真實(shí)驗(yàn)的配置及實(shí)現(xiàn)

（1）實(shí)現(xiàn)及配置（創(chuàng)建地址池實(shí)現(xiàn)網(wǎng)絡(luò)地址的動(dòng)態(tài)映射）

Router_0（config）# R0（config）#access-list 1 permit 192.168.1.0 0.0.0.255 // 內(nèi)部網(wǎng)絡(luò)添加到訪問(wèn)控制列表

Router_0（config）# ip nat pool wx 202.131.101.2 202.131.101.3? netmask 255.255.255.0

Router_0（config）#ip nat inside source list 1 pool wx overload //配置端口多路復(fù)用方式

（2）結(jié)果分析

通過(guò)配置動(dòng)態(tài)網(wǎng)絡(luò)地址池的方式，實(shí)現(xiàn)了私網(wǎng)地址和公網(wǎng)地址的動(dòng)態(tài)映射，實(shí)驗(yàn)中地址池的配置為202.131.101.2-3。在配置動(dòng)態(tài)地址轉(zhuǎn)換的映射關(guān)系如圖4（a）所示，其中私網(wǎng)服務(wù)器地址202.100.101.2-3動(dòng)態(tài)映射到地址池中的地202.131.101.2-3，私網(wǎng)可以訪問(wèn)公網(wǎng)服務(wù)器Server10（200.1.1.2），測(cè)試結(jié)果如下圖4（b）所示，連通性測(cè)試正常。

2.4端口多路復(fù)用仿真實(shí)驗(yàn)的配置及實(shí)現(xiàn)

（1）實(shí)現(xiàn)及配置（采用路由器接口地址作為復(fù)用地址實(shí)現(xiàn)多對(duì)一映射）

Router_0（config）# R0（config）#access-list 2 permit 192.168.1.0 0.0.0.255 //內(nèi)部網(wǎng)絡(luò)添加到訪問(wèn)控制列表

Router_0（config）#? ip nat pool wx2 202.131.101.1 202.131.101.1? netmask 255.255.255.0 // 配置IP地址池

Router_0（config）#ip nat inside source list 2 pool wx2 // 配置端口多路復(fù)用方式

（2）實(shí)驗(yàn)結(jié)果及數(shù)據(jù)分析

實(shí)驗(yàn)中用PC0和PC1分別訪問(wèn)外網(wǎng)服務(wù)器Server10（200.1.1.10）兩次，如圖5（a）所示，私網(wǎng)網(wǎng)絡(luò)內(nèi)PC0（192.168.1.3）設(shè)備前后兩次分別被映射到接口地址202.131.101.1的1031端口和1032端口，私網(wǎng)網(wǎng)絡(luò)內(nèi)PC1（192.168.1.4）設(shè)備前后兩次訪問(wèn)外網(wǎng)服務(wù)器的端口號(hào)為1026和1027。在圖5（b）中顯示進(jìn)行了使用tracert路由可達(dá)測(cè)試的情況，路由連通性正常，說(shuō)明端口多路復(fù)用可很好地實(shí)現(xiàn)多對(duì)一的映射。

3結(jié)語(yǔ)

綜上所述，利用Packet Tracer搭建的仿真網(wǎng)絡(luò)，可以很好地模擬NAT過(guò)程;在闡述NAT技術(shù)的原理的基礎(chǔ)上，通過(guò)仿真實(shí)驗(yàn)，利用NAT技術(shù)，將服務(wù)器的私有地址映射到公網(wǎng)地址中，實(shí)現(xiàn)私網(wǎng)內(nèi)的設(shè)備訪問(wèn)ISP網(wǎng)絡(luò)，完成私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，達(dá)到了理論和實(shí)踐相結(jié)合效果，培養(yǎng)了學(xué)生分析問(wèn)題、解決問(wèn)題以及綜合應(yīng)用知識(shí)處理問(wèn)題的能力，教學(xué)效果良好，具有一定的教學(xué)指導(dǎo)意義。

【參考文獻(xiàn)】

[1]孟祥成.一種仿真企業(yè)網(wǎng)的綜合組網(wǎng)實(shí)驗(yàn)設(shè)計(jì)[J].實(shí)驗(yàn)室研究與探索，2018，37（6）：136-138.

[2]李永.NAT仿真實(shí)驗(yàn)設(shè)計(jì)與實(shí)現(xiàn)[J].實(shí)驗(yàn)科學(xué)與技術(shù)，2018，35（4）：132-135.

[3]鄒航，李梁，王柯柯，等.整合ACL 和NAT的網(wǎng)絡(luò)安全實(shí)驗(yàn)設(shè)計(jì)[J].實(shí)驗(yàn)室研究與探索，2011，30（4）：61-65.

[4]仲光蘋，劉金明.基于Packet Tracer的IPSecVPN實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J].實(shí)驗(yàn)科學(xué)與技術(shù)，2012，10（3）：51-53.

[5]陳棟.基于Packet Tracer的綜合性校園網(wǎng)實(shí)驗(yàn)仿真設(shè)計(jì)[J].赤峰學(xué)院學(xué)報(bào)，2016，32（3）：36-37.

[6]劉向東，李志潔，王德高，等.網(wǎng)絡(luò)地址轉(zhuǎn)換原理實(shí)驗(yàn)的設(shè)計(jì)與實(shí)現(xiàn)[J].實(shí)驗(yàn)科學(xué)與技術(shù)，2012，10（4）：106-109.

[7]徐宏，程代偉.Lammle T.CCNA Cisco Certified Network Associate Study Guide Fifth Edition [M].池亞平.譯.北京：電子工業(yè)出版社，2005：295-296.