西安交通大學城市學院 楊恩寧 江 帆 梁海燕
基于NAT技術的網絡模型設計與實現
西安交通大學城市學院 楊恩寧 江 帆 梁海燕
計算機網絡迅速發展,網絡覆蓋的范圍、容量、業務類型快速增長。IPv4中可用的IP地址越來越少,NAT技術是目前最常用的解決地址短缺的有效方法,它不僅能解決lP地址不足的問題,而且還能有效地避免來自網絡外部的攻擊。結合典型網絡特點,設計基于NAT技術的校園網絡結構模型,采用靜態實現方式,在Packet Tracer中進行實現和測試。
IPv4 NAT Packet Tracer 網絡設計
主機數目飛速增長,32位地址結構瀕臨耗盡,傳統地址分配策略造成IP地址浪費。NAT采用私有地址和全球唯一地址相結合的原理進行地址分配。NAT將每個局域網節點的地址轉換成一個IP地址,反之亦然。NAT技術除了能較好地解決IP地址耗盡的問題外,還能完成隔離外界保護公司和個人的隱私和安全,負載平衡,備份系統等功能。
國際上著名的防火墻廠家,如NAI公司、CheckPoint公司、GTA公司和CISCO公司等,都在他們自己的網絡安全產品當中集成NAT技術,保證公司內部網絡資源安全。很多廠商推出帶有NAT功能的路由器或網關產品,如Cicso0262l、Cicso06509等。許多廠商又開發了軟件NAT,這種軟件NAT作為插件運行在PC機或服務器的操作系統之上,目前主要的軟件NAT有Windows平臺上的sygate、Win Gate和Linux平臺上的IP table等。
針對NAT技術設計合理地網絡模型,掌握網絡的組建和規劃方法,解決地址不足的問題,對NAT技術進行應用,提高對NAT的認識和應用能力,通過搭建模擬環境實現對網絡地址轉換技術的應用與測試。使用Packet Tracer軟件,設計一個基于NAT技術的校園網,采用靜態方式實現。
1.網絡拓撲結構的設計
結合高校部門的劃分以及對網絡的需求,設計合理的網絡拓撲結構,如圖1所示。
圖1 網絡拓撲結構圖
1.運行Packet Tracer軟件,選擇合適的網絡設備和通信線纜,按照拓撲圖進行網絡設備互聯,如圖2所示。
2.配置路由信息和終端設備的IP地址,使網絡中的各個結點都能“ping”通,以宿舍樓的路由器為例,配置信息如圖3所示。
圖2 網絡設備的互聯
圖3 路由器的配置
配置結果使圖2中的各個結點都呈綠色,選擇圖中任意兩結點,通過“ping”命令進行網絡連通性測試。
3.靜態NAT的實現
將整個網絡連通以后,選擇總路由器1作為整個網絡中的NAT網關,然后將在總路由器1的IOS命令行中做以下工作進行靜態NAT的實現:
(1)設置NAT轉換的外部接口
Router(config)#interface Serial0/3/0// 選擇端口Serial0/3/0
Router(config-if)#ip address 221.58.58.1 255.255.255.248//設置端口Serial0//3/0的ip地址為221.58.58.1,子網掩碼為255.255.255.248
Router(config-if)#ip nat outside//設置端口Serial0/3/0為NAT外部端
(2)設置NAT轉換的內部接口Router(config)#interfaceSerial0/3/1 //選擇端口Serial0/3/1 Router(config-if)#ip address 192.168.13.1 255.255.255.0
Router(config-if)#ip nat inside//設置端口Serial0/3/1為NAT的內部端
(3)在內部本地地址和外部合法地址之間建立靜態NAT。在宿舍樓路由器的IOS命令行中輸入靜態NAT轉換的命令:
Router(config)#ip nat inside source static 192.168.1.2221.58.58.2//將內部網絡地址192.168.1.2轉換成內部全局合法的IP地址221.58.58.2
Router(config)#ip nat inside source static 192.168.7.3 221.58.58.4//行政樓內的主機的IP地址也可以通過總路由器1的NAT網關進行靜態NAT
Router(config)#ip nat inside source static 192.168.9.4 221.58.58.5//綜合樓內的主機的IP地址也可以通過總路由器1的NAT網關進行靜態NAT
4.靜態NAT的測試
(1)先在總路由器1的IOS命令行中輸入“Router#debug ip nat”命令,打開PC機1號樓,在PC機1號樓的桌面中找到命令提示符,打開后輸入“PC>ping 202.168.188.3”命令,如圖4所示,這時在總路由器1上會觀察到靜態NAT的地址轉換過程。功訪問校園網中的服務器。先在外部主機1的Web瀏覽器中的URL地址欄中輸入“192.168.7.2”,可以看出能成功訪問,即驗證HTTP服務成功,在這里也可以輸入“192.168.1.2”或“192.168.9.2”也能成功進行訪問。
目前,互聯網雖然是IPv4主導,但隨著互聯網發展,IPv4向IPv6過渡是必然趨勢,但要經過一個漫長過程,如何實現他們之間的網絡地址轉換是未來的重要研究方向。相信在不久的將來,網絡地址轉換技術能得到更好發展。
[1]何 偉.NAT技術的研究及其應用[J].懷化學院學報,2008
[2]P.Srisuresh,K.Egevang.”Traditional ip network address translator”.RFC3022,2001
[3]Tsirtsis,Srisuresh.”Network Address Translation-Protocol Translation (NAT-PT)”RFC2766,2000
(2)驗證HTTP服務,是為了驗證外網中的主機能否成
ISSN2095-6711/Z01-2016-12-0247