NAT技術(shù)的實(shí)驗(yàn)設(shè)計(jì)與仿真實(shí)現(xiàn)

楊子

關(guān)鍵詞：網(wǎng)絡(luò)地址轉(zhuǎn)換NAT；靜態(tài)NAT；動態(tài)NAT；NAPT；綜合實(shí)驗(yàn)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2023）20-0115-03

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，IPv4地址空間愈加不足，內(nèi)部網(wǎng)絡(luò)安全性不高。為了緩解這些難題，1994 年，互聯(lián)網(wǎng)工程任務(wù)組提出了網(wǎng)絡(luò)地址轉(zhuǎn)換（Net?work Address Translation，NAT） 技術(shù)[1]來有效緩解公網(wǎng)地址不足，隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。這樣，外部網(wǎng)絡(luò)無法實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)的直接訪問，提高了網(wǎng)絡(luò)安全性[2]。

1 NAT技術(shù)

1.1 私網(wǎng)、公網(wǎng)定義

私網(wǎng)是私有網(wǎng)絡(luò)，通常指局域網(wǎng)內(nèi)部，也就是內(nèi)網(wǎng)、內(nèi)部網(wǎng)絡(luò)。在私有網(wǎng)絡(luò)上可以使用的IP地址就是私網(wǎng)地址，一般有以下三個(gè)地址段[3]：

A類地址：10.0.0.0--10.255.255.255；

B類地址：172.16.0.0--172.31.255.255；

C類地址：192.168.0.0--192.168.255.255。

公網(wǎng)是公有網(wǎng)絡(luò)，通常是因特網(wǎng)，也就是外網(wǎng)、外部網(wǎng)絡(luò)?？梢栽诠芯W(wǎng)絡(luò)上使用的IP地址是公網(wǎng)地址，除了私網(wǎng)地址和一些特殊的IP地址外，其他地址都是公網(wǎng)地址。使用公網(wǎng)地址必須保證它在因特網(wǎng)上是全球唯一的地址。

1.2 NAT定義

NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換），是將私有 IP 地址映射為外部合法的全局 IP 地址的一種轉(zhuǎn)換技術(shù)[4]。實(shí)現(xiàn)了使用私有IP地址的內(nèi)部網(wǎng)絡(luò)用戶可以通過將私有地址轉(zhuǎn)換為可在公有網(wǎng)絡(luò)通信的全局IP地址的方式訪問外部網(wǎng)絡(luò)，也可以實(shí)現(xiàn)私有網(wǎng)絡(luò)設(shè)備為公網(wǎng)用戶提供網(wǎng)絡(luò)服務(wù)，供公有網(wǎng)絡(luò)用戶訪問。

1.3 NAT 技術(shù)類型

NAT 技術(shù)通常有三種類型：靜態(tài)NAT（StaticNAT） 、動態(tài)NAT（Pooled NAT） 、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation） [5]。

1） 靜態(tài)NAT

靜態(tài)NAT是網(wǎng)絡(luò)地址轉(zhuǎn)換最基本的形式。靜態(tài)NAT將內(nèi)網(wǎng)的私有IP地址一對一永久映射為合法的可在公網(wǎng)上通信的全局地址，從而實(shí)現(xiàn)了公網(wǎng)設(shè)備對私網(wǎng)中特定設(shè)備的訪問，通常是對內(nèi)網(wǎng)服務(wù)器的訪問。

2） 動態(tài)NAT

動態(tài)NAT 擁有可在外部網(wǎng)絡(luò)中路由的合法地址池，采用動態(tài)分配的方法，在合法地址池中為每一個(gè)內(nèi)網(wǎng)私有IP 地址分配一個(gè)一對一的臨時(shí)映射關(guān)系的公網(wǎng)可路由的全局IP 地址，以實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問外網(wǎng)。在撥號連接上網(wǎng)時(shí)，通常采用動態(tài)NAT。

3） 網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT

NAPT又稱為PAT，這種技術(shù)是把局域網(wǎng)內(nèi)的多個(gè)私有IP地址映射到外部網(wǎng)絡(luò)中一個(gè)公網(wǎng)可通信的全局IP地址的不同端口上，利用端口號實(shí)現(xiàn)一個(gè)公網(wǎng)地址和多個(gè)內(nèi)網(wǎng)私有地址的轉(zhuǎn)換，即采用端口多路復(fù)用方式進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換。利用NAPT，實(shí)現(xiàn)了局域網(wǎng)內(nèi)的大量網(wǎng)絡(luò)設(shè)備共享外部網(wǎng)絡(luò)中一個(gè)單獨(dú)的合法IP地址，既最大限度地節(jié)約了 IP 地址資源，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自 Internet 的攻擊。因此，目前計(jì)算機(jī)網(wǎng)絡(luò)中采用最廣泛的就是端口多路復(fù)用方式。

2 靜態(tài)NAT、動態(tài)NAT、NAPT 綜合實(shí)驗(yàn)規(guī)劃

2.1 實(shí)驗(yàn)設(shè)計(jì)

依據(jù)NAT實(shí)驗(yàn)原理，本文針對三種不同類型的NAT技術(shù)，設(shè)計(jì)了NAT綜合實(shí)驗(yàn)內(nèi)容，使用思科模擬器Cisco Packet Tracer Student 進(jìn)行了實(shí)驗(yàn)配置及驗(yàn)證，分析了實(shí)驗(yàn)結(jié)果，旨在幫助大家深刻理解并掌握三種不同的NAT的作用、實(shí)驗(yàn)步驟及配置，將課堂理論知識與動手實(shí)操融會貫通，探索NAT實(shí)驗(yàn)原理。

NAT綜合實(shí)驗(yàn)設(shè)計(jì)內(nèi)容如下：

某小型公司有服務(wù)器2臺，內(nèi)網(wǎng)客戶機(jī)4臺，需要通過NAT技術(shù)實(shí)現(xiàn)如下功能：

1） 將內(nèi)部網(wǎng)絡(luò)的Web服務(wù)器地址映射到公網(wǎng)地址200.1.1.8，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的Web服務(wù)器提供Web服務(wù)供外部網(wǎng)絡(luò)用戶訪問。

2）由于領(lǐng)導(dǎo)辦公網(wǎng)172.16.2.0/24內(nèi)用戶數(shù)比較多，訪問外網(wǎng)需求量大，因此特提供nat 地址池200.1.1.3-200.1.1.7 供領(lǐng)導(dǎo)辦公網(wǎng)用戶訪問Internet 資源。

3）企業(yè)辦公網(wǎng)用戶172.16.1.0/24通過邊界路由器R2的S0/1/0接口IP地址（200.1.1.1）來訪問Internet資源。

2.2 實(shí)驗(yàn)拓?fù)鋱D、設(shè)備互連情況

詳細(xì)實(shí)驗(yàn)拓?fù)鋱D見圖1。

本實(shí)驗(yàn)組網(wǎng)中的各網(wǎng)絡(luò)設(shè)備連接及IP地址分配表如表1所示。

2.3 NAT 綜合實(shí)驗(yàn)?zāi)M及驗(yàn)證

在本次綜合實(shí)驗(yàn)中，完整實(shí)驗(yàn)步驟如下：

第一步，按照雙絞線的使用原則：同種設(shè)備用交叉線、異種設(shè)備用直通線、路由器和PC相連除外，搭建如圖1所示的實(shí)驗(yàn)拓?fù)鋱D。然后，再根據(jù)表1所示的對應(yīng)關(guān)系，分別配置各PC、服務(wù)器、路由器的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)地址。

第二步，使用靜態(tài)路由實(shí)現(xiàn)內(nèi)網(wǎng)互聯(lián)互通。配置命令為：

R2（config） # ip route 172.16.0.0 255.255.0.0 Fast?Ethernet0/1

第三步，在R1路由器上配置默認(rèn)路由，指示下一跳路由器為R2；R2路由器配置默認(rèn)路由，指示下一跳為R3。配置命令如下所示：

R1（config） #ip route 0.0.0.0 0.0.0.0 FastEthernet0/1

R2（config） #ip route 0.0.0.0 0.0.0.0 Serial0/1/0

第四步，三種不同類型NAT實(shí)驗(yàn)的配置步驟及關(guān)鍵的驗(yàn)證測試命令如下：

2.3.1 靜態(tài)NAT 配置實(shí)驗(yàn)

1） 邊界路由器R2上定義內(nèi)外網(wǎng)接口

R2（config） #interface FastEthernet0/1

R2（config） # ip nat inside

R2（config） #interface Serial0/1/0

R2（config） #ip nat outside

2） 配置靜態(tài)NAT映射

R2（config） #ip nat inside source static 172.16.0.1 200.1.1.8

靜態(tài)映射時(shí)，NAT 表一直存在。在外網(wǎng)設(shè)備In?ternet Server上訪問內(nèi)網(wǎng)Web服務(wù)器，可正常訪問瀏覽器內(nèi)容，如圖2所示。

如圖3所示，在路由器R2上使用debug ip nat調(diào)試查看NAT 轉(zhuǎn)換可知，內(nèi)網(wǎng)Web 服務(wù)器地址172.16.0.1轉(zhuǎn)換成為公網(wǎng)IP地址200.1.1.8。當(dāng)外網(wǎng)設(shè)備訪問內(nèi)網(wǎng)服務(wù)器時(shí)，實(shí)際上并不知道內(nèi)網(wǎng)服務(wù)器IP 地址，外網(wǎng)設(shè)備是通過訪問200.1.1.8訪問內(nèi)網(wǎng)服務(wù)器，在同時(shí)連接內(nèi)外網(wǎng)、有NAT轉(zhuǎn)換表的路由器R2的基礎(chǔ)上，將200.1.1.8轉(zhuǎn)換為172.16.0.1，實(shí)際訪問內(nèi)網(wǎng)服務(wù)器Web Server。

2.3.2 動態(tài)NAT 配置實(shí)驗(yàn)

1） 在R2上定義內(nèi)外網(wǎng)接口

R2（config） #interface FastEthernet0/1

R2（config） #ip nat inside

R2（config） #interface Serial0/1/0

R2（config） #ip nat outside

2） 配置內(nèi)部全局地址池

R2（config） #ip nat pool nat-pool 200.1.1.3 200.1.1.7netmask 255.255.255.0

3） 使用ACL配置內(nèi)部本地地址范圍

R2（config） #access-list 20 permit 172.16.2.00.0.0.255

4） 建立一對一的臨時(shí)映射關(guān)系

R2（config） #ip nat inside source list 20 pool natpool

使用ping命令測試網(wǎng)絡(luò)連通性可知，領(lǐng)導(dǎo)辦公網(wǎng)用戶PC2、PC3可正常訪問外部網(wǎng)絡(luò)Internet服務(wù)器。

使用debug ip nat調(diào)試查看動態(tài)NAT轉(zhuǎn)換，如圖4 所示，當(dāng)領(lǐng)導(dǎo)辦公網(wǎng)用戶PC2、PC3訪問外部網(wǎng)絡(luò)時(shí)，需要將它們本身的私網(wǎng)地址172.16.2.1、172.16.2.2轉(zhuǎn)換為可在公有網(wǎng)絡(luò)通信的地址200.1.1.3——200.1.1.7 中的兩個(gè)IP地址和外部網(wǎng)絡(luò)通信。

2.3.3 NAPT 配置實(shí)驗(yàn)

1） R2上定義內(nèi)外網(wǎng)接口

R2（config） #interface FastEthernet0/1

R2（config） # ip nat inside

R2（config） #interface Serial0/1/0

R2（config） #ip nat outside

2） 使用ACL配置內(nèi)部本地地址范圍

R2（config） #access-list 10 permit 172.16.1.0 0.0.0.255

3） 建立多對一的臨時(shí)映射關(guān)系

3） 建立多對一的臨時(shí)映射關(guān)系

R2（config） #ip nat inside source list 10 interface Se?rial0/1/0 overload

使用ping命令測試網(wǎng)絡(luò)連通性可知，企業(yè)辦公網(wǎng)可以連通外部網(wǎng)絡(luò)Internet服務(wù)器。

使用debug ip nat調(diào)試查看NAPT轉(zhuǎn)換，如圖5所示，當(dāng)屬于172.16.1.0網(wǎng)絡(luò)的多個(gè)企業(yè)辦公網(wǎng)用戶同時(shí)訪問外部網(wǎng)絡(luò)時(shí)，都會轉(zhuǎn)換為S0/1/0 的IP 地址200.1.1.1和外網(wǎng)通信。

本次綜合實(shí)驗(yàn)中，使用show ip nat translationgs命令查看三種不同類型的NAT技術(shù)的轉(zhuǎn)換記錄，如圖6 所示。內(nèi)網(wǎng)Web服務(wù)器IP地址172.16.0.1已經(jīng)被轉(zhuǎn)換成了內(nèi)部全局地址200.1.1.8，為公網(wǎng)用戶提供Web服務(wù)。 內(nèi)網(wǎng)中企業(yè)辦公網(wǎng)用戶IP地址172.16.1.1被轉(zhuǎn)換為接口S0/1/0的IP地址200.1.1.1訪問外網(wǎng)。內(nèi)網(wǎng)中領(lǐng)導(dǎo)辦公網(wǎng)用戶IP地址172.16.2.1被轉(zhuǎn)換為地址池中的IP地址200.1.1.4訪問外部網(wǎng)絡(luò)，內(nèi)網(wǎng)中領(lǐng)導(dǎo)辦公網(wǎng)用戶IP地址172.16.2.2被轉(zhuǎn)換為地址池中的IP地址200.1.1.5訪問外部網(wǎng)絡(luò)。

3 結(jié)束語

NAT技術(shù)是網(wǎng)絡(luò)互聯(lián)技術(shù)等課程的重要學(xué)習(xí)內(nèi)容，也是學(xué)生需要深入理解掌握的難點(diǎn)部分。由于實(shí)際教學(xué)環(huán)境中網(wǎng)絡(luò)設(shè)備數(shù)量和實(shí)驗(yàn)條件難以支持50 位學(xué)生同時(shí)動手操作，因此，本實(shí)驗(yàn)采用了CiscoPacket Tracer Student模擬軟件完成NAT綜合實(shí)驗(yàn)，達(dá)到了NAT的教學(xué)目標(biāo)，加深了學(xué)生對三種不同類型NAT技術(shù)原理的理解，使用模擬器也有效節(jié)約了教學(xué)成本，滿足了正常的教學(xué)需要。同時(shí)，本實(shí)驗(yàn)為學(xué)生提供了獨(dú)立動手與思考的條件，培養(yǎng)了學(xué)生發(fā)現(xiàn)和解決問題的能力以及動手操作能力，在實(shí)際課程教學(xué)中起到了很好的效果。