基于ENSP的NAPT和NAT SerVer的實現

王崇+陳燕

摘要：為了解決IP地址緊缺以及局域網安全的問題，提出一種NAPT網絡設計。公司總部和分公司的內部網絡分別通過一個映射到公網的IP地址實現網絡通信。公司的私網通常會有一些服務器需要提供給公網用戶訪問。但網絡部署時，服務器地址一般都會被配置成私網地址，這樣服務器就不能直接使用自身的地址來提供服務了。因此在路由器上配置NAT Server，通過公布到公網的IP地址來訪問內部的服務器。此實現方案，為相關網絡實踐提供了有益的參考。

關鍵詞：NAPT；NAT Server；轉換；ENSP

引言

計算機網絡的組建是一項系統工程，同時用戶環境和用戶需求通常具有復雜性，使得網絡也變得形式多樣，更具復雜性。網絡組建的實踐證明，在組建實際的網絡之前先使用計算機網絡仿真軟件進行網絡仿真，使得網絡能滿足用戶的最終需求，可以避免實際網絡組建過程中可能會發生的一些錯誤決策和資源浪費，有效的保證實際網絡組建目標的實現。

ENSP（Enterprise Network Simulation Platform）是一款由華為公司提供的免費、可擴展、圖形化操作界面的網絡仿真平臺，可以支持華為AR系列路由器（AR201、AR1220、AR2220、AR2240、AR3260等）、華為s系列交換機（S3700、S5700）、華為無線設備（AC6005、AC6605、AP6010）、華為防火墻（USG5500）、終端設備（PC、MCS、Client、Server、STA、Cell-phone等）以及各種連接鏈路，最新版本為ENSP1.2.00.380，該版本在支持上述網絡設備的基礎上還支持CE6800云數據中心交換機設備，有著完整的網絡應用環境支持體系，完美呈現真實設備實景，支持大型網絡模擬環境。

比起思科的Cisco Packet Tracer軟件，ENSP支持高級網絡的配置命令更多。Packet Tracer對網絡組建各種硬件設備進行仿真，圖形化的很形象的模擬了PC機、服務器、交換機、路由器等的配置過程。但是Packet Tracer主要模擬CCNA和CCNP的實驗，對于一些高級網絡環境模擬不足。ENSP能夠模擬豐富的網絡環境，支持高級防火墻的配置、組播配置、MPLS配置、交換機堆疊配置、交換機集群配置、VPN配置、NAPT配置、VRRP配置、路由策略配置、VOIP配置、QOS配置、幀中繼配置、無線漫游配置等，還支持通過橋接真機后與思科設備混合聯網。基于ENSP開展實驗研究的模式，操作簡單、方便、直觀、容易理解、效果更好、配置文件小、容易保存。對于廣大技術人員調試網絡、學生學習網絡組建、教師的網絡課程教學或網絡實驗研究，這種模式值得借鑒。

1 NAPT

針對當今愈發嚴重的IP地址短缺問題，NAT地址轉換是一種普遍采用的解決方案。由于NAT實現的是一個本地IP地址對應一個全局IP地址，是私有IP和NAT的公共IP之間的轉換，那么，私有網中同時與公共網進行通信的主機數量就受到NAT的公共IP地址數量的限制。為了克服這種限制，NAT被進一步擴展到在進行IP地址轉換的同時進行Port的轉換，這就是網絡地址端口轉換NAPT（Network Address Port Translation）技術。

NAPT將多個內部地址映射為一個合法公網地址，也就是<內部地址+內部端口>與<外部地址+外部端口>之間的轉換，使多個私網用戶可共用一個公網IP地址訪問外網，因此是地址轉換實現的主要形式。這種方式較好地解決了公網地址不足的問題。

2 NAT Server

出于私有網絡安全的考慮，大部分私網主機通常并不希望被公網用戶訪問。但是在某些實際應用中，需要給公網用戶提供一個訪問私網服務器的機會。而在一對一NAT或多對一NAT方式下，由于由公網用戶發起的訪問無法動態建立NAT表項，因此公網用戶無法訪問私網主機。NAT Server（NAT內部服務器）方式可以解決這個問題，其主要思想是通過靜態配置“公網IP地址+端口號”與“私網IP地址+端口號”間的映射關系將公網地址“反向”轉換成私網地址。

3 NAPT和NAT Server的實現

3.1組網背景

隨著現代企業的發展，分支機構的建立，遠程客戶的形成，越來越多的用戶需要建立與企業內部網的連接。某企業有海口總公司和上海分公司，需要組建企業總部到分公司的網絡。總部和分公司各自擁有一個公網IP地址并通過該公網IP與因特網通信，考慮到IP地址緊缺以及局域網安全的問題，需要配置NAPT；企業總部和分公司的服務器給公網用戶提供FTP和WWW服務，需要在R1和R2上配置NAT服務器。

3.2網絡拓撲

為了實現預定目標，設計了如圖1所示的網絡拓撲圖。采用2臺AR2220路由器，3臺S3700交換機，2臺Server，1臺PC機和4臺Client終端。R1是海口公司總部的路由器，R2是上海分公司路由器。用Client1、Client2、PCI、Server1模擬R1的內網，Client3、Client4、Server2模擬R2的內網。R1與R2之間模擬公網，用R2的Loopback 0接口IP地址模擬其他外部網絡。R1的G0/0/1和G0/0/2本別連接企業總部的兩個內部網段，R2的G0/0/1連接企業分公司的私網。

3.3終端IP地址規劃

Clientl、Server1、Client2、PC1、Client3、Client4、Server2的IP地址分別是222.18.244.1/24、222.18.244.2/24、222.18.245.2/24、222.18.245.3/24、192.168.1.1/24、192.168.1.2/24、192.168.1.3/24，網關分別是222.18.244.254、222.18.244.254、222.18.245.254、222.18.245.254、192.168.1.254、192.168.1.254、192.168.1.254。開啟Server1和Server2的FTP服務和HTTP服務。

3.4配置路由器

3.5驗證結果

ENSP軟件的終端很全面，在驗證實驗結果方面有得天獨厚的優勢。登錄服務器后，分別在R1、R2上，再次命名并查看NATP的轉換情況，結果如圖2和圖3所示。然后到R1和R2上查看NAT Server的轉換情況，結果如圖4和圖5所示。配置完NATServer后，公網用戶和分公司用戶可以通過Server1映射到公網的IP地址124.225.62.51訪問Server1，公網用戶和總部用戶可以通過Server2映射到公網的IP地址124.225.62.52訪問Server2。例如，訪問Server1的FTP可以在分公司客戶端輸入目標主機的IP地址是124.225.62.51。此時，NAT Server用于外網用戶需要使用固定公網IP地址訪問內部服務器的情形。總部和分公司內網訪問各自的服務器時，還是使用服務器內網的IP地址。如果不想讓內網用戶知道服務器IP地址，需要內網用戶也是通過公網地址訪問局域網內的服務器，就用同樣方法在內網數據輸入方向的路由器接口上配置NAPT和NATServer就可以了，不再贅述。

4結束語

文獻闡述了NAPT技術的特點、轉換原理、基于思科設備的實現過程，但是沒有提出如何從公網訪問內網服務器。本案例模擬一個現實的網絡，提出一種并非基于思科設備而是基于華為設備的NAPT和NAT Server，解決了內網服務器IP地址直接暴露給內部網絡和外部網絡的問題。經測試，此網絡運行穩定，實現內網所有主機多對一轉換（NAPT）為一個公網地址連入公網；同時實現了內網服務器給非內網用戶提供FTP和WWW服務，無論是企業總部或分公司或公網用戶都可以通過公網IP地址與內網服務器建立可靠的TCP連接。該案例加強了內網用戶的安全性和服務器的可靠性，步驟清晰并且給出具體實現的網絡配置代碼，為相關網絡實踐提供了有益的參考。