NAT技術(shù)及其虛擬網(wǎng)絡(luò)實(shí)驗(yàn)教學(xué)研究

邱文軍

（湖北輕工職業(yè)技術(shù)學(xué)院，湖北 武漢 430070）

?

NAT技術(shù)及其虛擬網(wǎng)絡(luò)實(shí)驗(yàn)教學(xué)研究

邱文軍

（湖北輕工職業(yè)技術(shù)學(xué)院，湖北 武漢 430070）

摘要：隨著使用網(wǎng)絡(luò)的人數(shù)不斷增多，IP地址的需求也日益增加，在IPv4地址比較匱乏的今天，通過(guò)NAT可以使用少量的公用地址將較多私有IP地址的網(wǎng)絡(luò)連接到Internet。NAT除了能解決了IP地址不足的問(wèn)題，還能夠有效地保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)免受外部網(wǎng)絡(luò)的攻擊。文章給出仿真軟件教學(xué)的具體實(shí)例，事實(shí)證明，在實(shí)踐教學(xué)中，使用Cisco packet tracer模擬器可以提高教學(xué)效果。

關(guān)鍵詞：NAT技術(shù)；Cisco packet tracer；仿真實(shí)驗(yàn)

引言

在中國(guó)，入網(wǎng)的人數(shù)每年都在增長(zhǎng)，這就需要網(wǎng)絡(luò)供應(yīng)商提供大量的公網(wǎng)IP地址，眾所周知，IPv4地址在2014年就已經(jīng)分配完畢，這就形成了IP地址需求和供給的矛盾。另外，內(nèi)部網(wǎng)絡(luò)在訪(fǎng)問(wèn)外部網(wǎng)絡(luò)的時(shí)候，如何保證內(nèi)部網(wǎng)絡(luò)的安全。為了解決這些問(wèn)題，出現(xiàn)了一種網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)，它可以提供公網(wǎng)IP地址供專(zhuān)用網(wǎng)絡(luò)重復(fù)使用，可以有效的解決公網(wǎng)地址不足的問(wèn)題。

一、NAT概述

（一）網(wǎng)絡(luò)地址轉(zhuǎn)換定義

網(wǎng)絡(luò)地址轉(zhuǎn)換器NAT（Network Address Translatio）位于使用專(zhuān)用地址的Intranet和公用地址的internet之間。從Intranet傳出的數(shù)據(jù)包由NAT將他們的專(zhuān)用地址轉(zhuǎn)換為公用地址。從Internet傳入的數(shù)據(jù)包由NAT將他們的公用地址轉(zhuǎn)換為專(zhuān)用地址。這樣在內(nèi)網(wǎng)中計(jì)算機(jī)使用私有IP地址，而在與外部網(wǎng)絡(luò)通信時(shí)使用合法的公有IP地址，大大降低了連接成本。同時(shí)NAT也起來(lái)將內(nèi)部網(wǎng)絡(luò)隱藏起來(lái)，起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用，因?yàn)閷?duì)外部用戶(hù)來(lái)說(shuō)只有使用公有IP地址的NAT是可見(jiàn)的。

（二）NAT工作原理

當(dāng)內(nèi)部網(wǎng)絡(luò)中的一臺(tái)主機(jī)想傳輸數(shù)據(jù)到外部網(wǎng)絡(luò)時(shí)，它先將數(shù)據(jù)包傳輸?shù)絅AT路由器上，路由器檢查數(shù)據(jù)包的報(bào)頭，獲取該數(shù)據(jù)包的源IP信息，并從它的NAT映射表中找出與該IP匹配的轉(zhuǎn)換條目，用所選用的內(nèi)部全局地址（全球唯一的IP地址）來(lái)替換內(nèi)部局部地址，并轉(zhuǎn)發(fā)數(shù)據(jù)包。當(dāng)外部網(wǎng)絡(luò)對(duì)內(nèi)部主機(jī)進(jìn)行應(yīng)答時(shí)，數(shù)據(jù)包被送到NAT路由器上，路由器接收到目的地址為內(nèi)部全局地址的數(shù)據(jù)包后，它將用內(nèi)部全局地址通過(guò)NAT映射表查找出內(nèi)部局部地址，然后將數(shù)據(jù)包的目的地址替換成內(nèi)部局部地址，并將數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部主機(jī)。

NAT功能通常被集成到路由器、防火墻等關(guān)鍵設(shè)備中，NAT將網(wǎng)絡(luò)分成內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩部分，一般情況下，內(nèi)部網(wǎng)絡(luò)是單位局域網(wǎng)，外部網(wǎng)絡(luò)是Internet。位于內(nèi)部網(wǎng)絡(luò)的外部網(wǎng)絡(luò)邊界的NAT路由器在發(fā)送數(shù)據(jù)之前負(fù)責(zé)把內(nèi)部私有IP地址翻譯成合法的公網(wǎng)IP地址。

圖1

（三）NAT的三種類(lèi)型

NAT中對(duì)地址的轉(zhuǎn)換有三種類(lèi)型：靜態(tài)NAT（Static NAT）、動(dòng)態(tài)NAT（Dynamic NAT）和端口NAT（PAT）。

（1）靜態(tài)NAT：這是一種比較簡(jiǎn)單的NAT，它將內(nèi)部地址和外部地址進(jìn)行一對(duì)一的轉(zhuǎn)換。一般情況下，內(nèi)部網(wǎng)絡(luò)中的服務(wù)器（如Web服務(wù)器，E-mail服務(wù)器等）采用這種方式，但靜態(tài)NAT不能解決IP地址短缺的問(wèn)題）

（2）動(dòng)態(tài)NAT：動(dòng)態(tài)NAT定義了NAT地址池（pool）以及一系列需要作映射的內(nèi)部私有地址。采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)，所有的內(nèi)網(wǎng)主機(jī)可以使用地址池中的任何一個(gè)可用的地址進(jìn)行NAT轉(zhuǎn)換。

（3）PAT：PAT允許把內(nèi)部私有地址映射到同一個(gè)公網(wǎng)地址上，但是這些地址會(huì)被轉(zhuǎn)換在該公網(wǎng)地址的不同的端口上，這樣就保證了會(huì)話(huà)的唯一性。

綜上所述，由于PAT地址轉(zhuǎn)換所要求的公網(wǎng)地址最少，成本最低，所以在地址轉(zhuǎn)換中被廣泛使用，下面的NAT仿真實(shí)驗(yàn)也采用了PAT技術(shù)。

二、利用Cisco packet tracer完成仿真實(shí)驗(yàn)

由于在網(wǎng)絡(luò)課程實(shí)訓(xùn)過(guò)程中需要大量的交換和路由設(shè)備，僅僅依靠學(xué)?，F(xiàn)有的網(wǎng)絡(luò)設(shè)備無(wú)法滿(mǎn)足實(shí)訓(xùn)需求，所以選擇在Cisco packet tracer模擬器中完成實(shí)驗(yàn)是一種較好的選擇，學(xué)生在加強(qiáng)對(duì)原理理解的同時(shí)，能快速搭建實(shí)驗(yàn)環(huán)境，使學(xué)生熟練、快速掌握配置技巧，提高教學(xué)效果。

（一）仿真實(shí)驗(yàn)拓?fù)鋱D設(shè)計(jì)

拓?fù)鋱D中Router0為邊界路由器，端口fa0/0連接企業(yè)內(nèi)部網(wǎng)絡(luò)，端口se0/0連接外部網(wǎng)絡(luò)，路由器ISP為互聯(lián)網(wǎng)路由器，要求在Router0上配置NAT，完成內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的訪(fǎng)問(wèn)（如圖1所示）。

（二）配置過(guò)程

在Router0上配置NAT，將內(nèi)網(wǎng)192.168.1.0/24的地址轉(zhuǎn)換為200.1.1.1的外網(wǎng)地址，轉(zhuǎn)換后的IP地址能通過(guò)路由器ISP訪(fǎng)問(wèn)Internet上的www和DNS服務(wù)器。

第一步 配置路由器端口地址

router0（config）#interface fa0/0//選定fa0/0端口

router0（config-if）#ip add 192.168.1.1 255.255.255.0//配置IP地址

router0（config-if）#ip nat inside//設(shè)置為內(nèi)部接口

router0（config-if）#no shut

router0（config）#interface se0/0//選定se0/0接口

router0（config-if）#ip add 200.1.1.1 255.255.255.0//配置IP地址

router0（config-if）#ip nat outside//設(shè)置為外部接口

router0（config-if）#no shut

ISP（config）#interface fa0/0

ISP（config-if）#ip add 60.6.6.1 255.255.255.0

ISP（config-if）#no shut

ISP（config-if）#exit

ISP（config）#int

ISP（config）#interface se0/0

ISP（config-if）#ip address 200.1.1.2 255.255.255.0

ISP（config-if）#no shut

第二步 配置缺省路由

router0（config）#ip route 0.0.0.0 0.0.0.0 se0/0

ISP（config）#ip route 0.0.0.0 0.0.0.0 se0/0

第三步配置NAT

router0（config）#access-list 1 permit 192.168.1.0 0.0.0.255 //設(shè)置訪(fǎng)問(wèn)列表

router0（config）#ip nat pool internet 200.1.1.1 200.1.1.1 netmask 255.255.255.0//建立被轉(zhuǎn)換公網(wǎng)IP地址池

router0（config）#ip nat inside source list 1 pool internet ove rload//完成端口復(fù)用

（三）驗(yàn)證測(cè)試

分別配置好pc機(jī)和服務(wù)器的IP地址，在pc0或pc1上訪(fǎng)問(wèn)www服務(wù)器，訪(fǎng)問(wèn)成功后在NAT路由器上輸入測(cè)試命令，發(fā)現(xiàn)內(nèi)網(wǎng)IP地址192.168.1.2：1026已經(jīng)被轉(zhuǎn)換為公網(wǎng)IP地址200.1.1.1：1026，仿真實(shí)驗(yàn)完成。

三、NAT配置過(guò)程中可能產(chǎn)生的問(wèn)題及解決的辦法

在實(shí)際應(yīng)用過(guò)程中，NAT的配置過(guò)程中可能會(huì)產(chǎn)生地址轉(zhuǎn)換不成功，與外網(wǎng)無(wú)法通信的問(wèn)題。具體的解決步驟是：首先查看各路由器的端口地址配置是否正確；其次查看路由表，看路由表中的條目是否完整，當(dāng)網(wǎng)絡(luò)規(guī)劃比較大時(shí)，內(nèi)網(wǎng)的連通一般使用動(dòng)態(tài)路由來(lái)完成，而內(nèi)網(wǎng)到外網(wǎng)的連通則使用表態(tài)路由；最后檢查NAT的配置是否正確，主要有兩個(gè)部分，一是檢查ACL控制訪(fǎng)問(wèn)列表是否正確，二是檢查公網(wǎng)地址池及端口復(fù)用是否正確。

四、結(jié)束語(yǔ)

文章詳細(xì)介紹了NAT技術(shù)在Cisco packet tracer仿真環(huán)境下的配置，NAT技術(shù)是連接局域網(wǎng)和廣域網(wǎng)的重要技術(shù)，在IP地址匱乏的今天，NAT能夠低成本的完成接入，在校園網(wǎng)、企業(yè)網(wǎng)絡(luò)中應(yīng)用非常廣。通過(guò)在仿真環(huán)境下的實(shí)踐，既可以減少實(shí)驗(yàn)投入成本，也可以鍛煉學(xué)生的實(shí)際動(dòng)手能力，積累實(shí)踐經(jīng)驗(yàn)，增加理論與實(shí)踐的結(jié)合，培養(yǎng)學(xué)生的探索精神和創(chuàng)造性思維。

參考文獻(xiàn)

［1］張春玉.路由器NAT實(shí)驗(yàn)教學(xué)設(shè)計(jì)［J］.現(xiàn)代計(jì)算機(jī)，2014（3）：24-25.

［2］孫媛.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）的應(yīng)用［J］.電子技術(shù)與軟件工程，2015（10）：17.

［3］唐泉，聶芳.基于PACKET TRACER實(shí)現(xiàn)NAT［J］.電子世界，2015（15）：137-138.

中圖分類(lèi)號(hào)：G642

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：2096-000X（2016）14-0103-02

作者簡(jiǎn)介：邱文軍，男，漢族，湖北漢川人，碩士，講師，研究方向?yàn)橥ㄐ啪W(wǎng)絡(luò)技術(shù)。

Abstract:With the increasing use of the number of network，demand for the IP address is also increasing，in the IPv4 address shortage of today，through the NAT can use a small amount of public address will be more private IP address to a network to connect to the Internet.NAT in addition to solve the problem of insufficient lP address，but also to effectively protect the network internal computer from the external network attacks.This paper gives the concrete examples of the teaching of simulation software，it is proved that in practice teaching，the teaching effect can be improved by using the packet tracer Cisco simulator.

Keywords:NAT Technology；Cisco packet tracer；simulation experiment