基于校園內(nèi)網(wǎng)實(shí)訓(xùn)環(huán)境的NAT技術(shù)仿真實(shí)訓(xùn)教學(xué)

趙秀麗

摘 要 介紹地址轉(zhuǎn)換技術(shù)，并在此基礎(chǔ)上探討在現(xiàn)有仿真實(shí)訓(xùn)軟件和真實(shí)設(shè)備實(shí)驗(yàn)環(huán)境下，在教學(xué)設(shè)計(jì)中如何引出該技術(shù)、搭建實(shí)驗(yàn)拓?fù)鋱D、設(shè)置問題引導(dǎo)學(xué)生思考、實(shí)驗(yàn)配置及整個(gè)教學(xué)中的注意事項(xiàng)。通過師生共同分析項(xiàng)目、共同嘗試完成項(xiàng)目、學(xué)生模仿、能力提升等教學(xué)環(huán)節(jié)，讓學(xué)生真正地掌握NAT技術(shù)。

關(guān)鍵詞 仿真實(shí)訓(xùn)；網(wǎng)絡(luò)專業(yè)；NAT

中圖分類號(hào)：TP391.9 文獻(xiàn)標(biāo)識(shí)碼：B

文章編號(hào)：1671-489X（2017）10-0054-03

1 引言

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，越來越多的用戶加入到互聯(lián)網(wǎng)中進(jìn)行辦公、娛樂等，而互聯(lián)網(wǎng)中的任何兩臺(tái)計(jì)算機(jī)通信需要全球唯一的IP地址，這就出現(xiàn)IP地址不足的問題。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT技術(shù)）的出現(xiàn)不僅解決了IP地址不足的問題，而且有效地避免了來自網(wǎng)絡(luò)外部的攻擊，隱藏并且保護(hù)了網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)是組建局域網(wǎng)、實(shí)現(xiàn)上互聯(lián)網(wǎng)的重要技術(shù)，是局域網(wǎng)搭建這門課教學(xué)的重點(diǎn)和難點(diǎn)。如何有效利用目前的模擬軟件和真實(shí)設(shè)備開展好此項(xiàng)實(shí)驗(yàn)，切實(shí)提高職業(yè)院校學(xué)生的實(shí)踐技能，值得高職院校承擔(dān)網(wǎng)絡(luò)專業(yè)課程教學(xué)的教師深思。

2 NAT技術(shù)介紹

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，Network Address Translation）屬接入廣域網(wǎng)（WAN）技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型互聯(lián)網(wǎng)接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單，NAT不僅完美地解決了IP地址不足的問題，而且能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。

NAT的實(shí)現(xiàn)方式有四種：靜態(tài)NAT、靜態(tài)NAPT、動(dòng)態(tài)NAT和動(dòng)態(tài)NAPT。

靜態(tài)NAT是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。靜態(tài)NAPT實(shí)現(xiàn)局域網(wǎng)內(nèi)部主機(jī)訪問外網(wǎng)的轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備（如服務(wù)器）的訪問。靜態(tài)NAT局限是配置完成后，即使這個(gè)主機(jī)的本機(jī)地址不進(jìn)行轉(zhuǎn)換，其他主機(jī)也不能使用公有地址，在一定程度上浪費(fèi)了地址資源。

動(dòng)態(tài)NAT和NAPT也是實(shí)現(xiàn)將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址。動(dòng)態(tài)NAT實(shí)現(xiàn)轉(zhuǎn)換的公有IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。這就要求內(nèi)部主機(jī)數(shù)和公有地址數(shù)相同。動(dòng)態(tài)NAPT實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址，實(shí)現(xiàn)對(duì)Internet的訪問，也就是要求內(nèi)部主機(jī)數(shù)可以大于公有地址數(shù)，從而可以最大限度地節(jié)約IP地址資源。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是動(dòng)態(tài)NAPT。

靜態(tài)NAPT和動(dòng)態(tài)NAPT在目前網(wǎng)絡(luò)中應(yīng)用廣泛，在此對(duì)這兩種NAT進(jìn)行介紹。

靜態(tài)NAPT的配置命令主要分為定義地址轉(zhuǎn)換關(guān)系、定義內(nèi)部端口和定義外部端口等。

定義轉(zhuǎn)換關(guān)系：

Router（config）#IP nat inside source static 需要轉(zhuǎn)換的本地主機(jī)的私有地址 端口號(hào) 轉(zhuǎn)換成的共有地址 端口號(hào)

定義端口類型：

Router（config-if）#IP nat inside //定義端口為內(nèi)部端口

Router（config-if）#IP nat outside //定義端口為外部端口

動(dòng)態(tài)NAPT配置包括定義內(nèi)部端口、定義外部端口、定義地址池、定義訪問控制列表和定義轉(zhuǎn)換關(guān)系等。

定義端口類型：

Router（config-if）#IP nat inside //定義端口為內(nèi)部端口

Router（config-if）#IP nat outside //定義端口為外部端口

定義全局地址池：

Router（config）#IP nat pool 地址池名字 起始地址 結(jié)束地址 netmask 子網(wǎng)掩碼 //定義公有地址的范圍

定義訪問控制列表：

access-list 訪問列表序號(hào) permit 私有地址的所在網(wǎng)段 反子網(wǎng)掩碼

定義轉(zhuǎn)換關(guān)系：

Router（config）#IP nat inside source list 訪問列表序列號(hào) pool 地址池名字 overload

3 探討銳捷設(shè)備NAT技術(shù)的仿真實(shí)訓(xùn)

仿真實(shí)訓(xùn)是模擬實(shí)際工作場(chǎng)所的那種環(huán)境和設(shè)備進(jìn)行演練，為了鞏固教學(xué)效果，目的是讓學(xué)生真正掌握知識(shí)技能及分析問題和解決問題的能力，而開設(shè)的一項(xiàng)重要實(shí)踐教學(xué)環(huán)節(jié)。

目前高職院校教育現(xiàn)狀是學(xué)生多，實(shí)驗(yàn)設(shè)備少，有的學(xué)校甚至沒有相關(guān)的網(wǎng)絡(luò)設(shè)備，為此可以選擇模擬軟件實(shí)現(xiàn)。可以選用Cisco Packet Tracer和北京潤(rùn)尼爾網(wǎng)絡(luò)科技有限公司研制的計(jì)算機(jī)網(wǎng)絡(luò)技能訓(xùn)練系統(tǒng)。Cisco Packet Tracer特點(diǎn)是操作簡(jiǎn)單，仿真效果不如計(jì)算機(jī)網(wǎng)絡(luò)技能訓(xùn)練系統(tǒng)。模擬軟件選好了，重點(diǎn)就是教學(xué)設(shè)計(jì)。目前較為提倡的教學(xué)方法是項(xiàng)目教學(xué)法、任務(wù)驅(qū)動(dòng)教學(xué)法、引導(dǎo)法和小組合作法。在此提倡采用項(xiàng)目教學(xué)法提出問題，引導(dǎo)學(xué)生思考，容易讓他們真正體會(huì)這門技術(shù)的實(shí)際應(yīng)用。

以動(dòng)態(tài)NAPT為例，任務(wù)描述：某公司局域網(wǎng)使用私有地址為192.168.12.0/24網(wǎng)絡(luò)，通過路由器Router與Internet連接；公司申請(qǐng)公有地址為200.1.1.1～200.1.

1.5，現(xiàn)需要在路由器上做適當(dāng)?shù)呐渲茫瑢?shí)現(xiàn)局域網(wǎng)主機(jī)訪問Internet。拓?fù)浣Y(jié)構(gòu)圖如圖1所示。

這個(gè)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)也很重要，要模擬真實(shí)的Internetendprint

的特點(diǎn)，有的教師會(huì)選擇網(wǎng)絡(luò)中只有一個(gè)路由器而沒有Internet的路由器，這樣容易導(dǎo)致學(xué)生對(duì)Internet的特點(diǎn)理解不準(zhǔn)確。在此基礎(chǔ)上講解NAPT的相關(guān)理論知識(shí)，講完后，教師和學(xué)生共同再次分析此項(xiàng)目。分析完成后，教師引導(dǎo)學(xué)生共同在實(shí)訓(xùn)軟件上完成相關(guān)的配置并測(cè)試。引導(dǎo)及演示教學(xué)過程具體如下。

教師引導(dǎo)學(xué)生分析此項(xiàng)目是要求實(shí)現(xiàn)局域網(wǎng)內(nèi)部主機(jī)的私有地址轉(zhuǎn)換成公有地址，且是多對(duì)一的關(guān)系，根據(jù)所學(xué)知識(shí)，在出口路由器上配置動(dòng)態(tài)NAPT。教師引導(dǎo)的問題可以設(shè)置為：本拓?fù)浣Y(jié)構(gòu)圖需要做動(dòng)態(tài)NAPT的是哪個(gè)路由器？具體配置分為幾步？哪一個(gè)是定義內(nèi)部端口？哪一個(gè)定義為外部端口？在出口路由器上用不用做默認(rèn)路由？引導(dǎo)學(xué)生回答完這些問題后，就開始配置本項(xiàng)目。

第一步，配置內(nèi)網(wǎng)。先看本拓?fù)浣Y(jié)構(gòu)的Router0左邊是局域網(wǎng)的內(nèi)網(wǎng)，這個(gè)配置以前做過，很簡(jiǎn)單，只需要激活左邊的端口配置IP地址即可，學(xué)生和教師共同完成。

第二步，配置電腦IP地址并測(cè)試，測(cè)試左邊的所有主機(jī)可以互相通信。

第三步，配置外網(wǎng)。在此只有兩個(gè)路由器Router1、Router0和Web服務(wù)器，在Router1上基本配置激活配置IP地址，在Router0上激活端口f0/1配置IP地址就可以了。

第四步，配置服務(wù)器IP地址，并測(cè)試內(nèi)網(wǎng)的主機(jī)是否可以訪問Web服務(wù)器。（答案：不能）

第五步，出口路由器的默認(rèn)路由和動(dòng)態(tài)NAPT配置。對(duì)具體的開展過程，教師引導(dǎo)學(xué)生回答前面課程中講到Inter-

net不認(rèn)識(shí)私有IP地址，為了實(shí)現(xiàn)局域網(wǎng)內(nèi)部的主機(jī)訪問Internet，數(shù)據(jù)包的正常轉(zhuǎn)發(fā)需要在出口路由器上設(shè)置什么？（答案：靜態(tài)路由）接下來就是動(dòng)態(tài)NAPT的配置。

第六步，測(cè)試。可以在內(nèi)網(wǎng)的主機(jī)上訪問到Web服務(wù)器網(wǎng)頁，通過兩次測(cè)試，讓學(xué)生深刻地理解動(dòng)態(tài)NAPT實(shí)現(xiàn)的功能。

具體配置過程如下。

第一步：內(nèi)網(wǎng)配置。

Router0（config）#int f0/0

Router0（config-if）#no shutdown

Router0（config-if）#IP address 192.168.12.254 255.255.

255.0

第二步：配置電腦IP地址。

Pc0：192.168.12.1 255.255.255.0 192.168.12.254

Pc1：192.168.12.2 255.255.255.0 192.168.12.254

Pc2：192.168.12.3 255.255.255.0 192.168.12.254

測(cè)試：三臺(tái)電腦互通，說明局域網(wǎng)搭建成功。

第三步：外網(wǎng)的配置。

Router0（config）#int f0/1

Router0（config-if）#no shutdown

Router0（config-if）#IP address 200.1.1.6 255.255.255.0

Router1（config）#int f0/0

Router1（config-if）#no shutdown

Router1（config-if）#IP address 200.1.1.7 255.255.255.0

Router1（config）#int f0/1

Router1（config-if）#no shutdown

Router1（config-if）#IP address 200.1.2.1 255.255.255.0

第四步：配置服務(wù)器IP地址，并測(cè)試是否可以訪問Web服務(wù)器。

Web服務(wù)器：

200.1.2.2 255.255.255.0 200.1.2.1

測(cè)試結(jié)果不可以訪問（圖2）。

第五步：出口路由器的靜態(tài)路由和NAPT配置。

Router0（config）#ip route 0.0.0.0 0.0.0.0 f0/1

Napt配置如下。

定義端口類型：

Router0（config）#int f0/0

Router0（config-if）#IP nat inside

Router0（config）#int f0/1

Router0（config-if）#ip nat outside

定義訪問控制列表：

Router0（config）#access-list 10 permit 192.168.12.0 0.0.

0.255

定義地址池：

Router0（config）#IP nat pool 12 200.1.1.1 200.1.1.5 netmask 255.255.255.0

定義轉(zhuǎn)換關(guān)系：

Router0（config）#IP nat inside list 10 pool 12 overload

第六步：測(cè)試。測(cè)試可以有兩種方法：一種采用show ip nat translations命令在路由器router0查看轉(zhuǎn)換記錄；第二種直接在電腦上瀏覽器中輸入網(wǎng)站的IP地址200.1.2.2，測(cè)試是否可以訪問網(wǎng)頁，分別如圖3、圖4所示。兩種結(jié)果顯示都是測(cè)試成功（在此采用思科模擬軟件進(jìn)行仿真實(shí)訓(xùn)）。

在教師講解引導(dǎo)共同完成此實(shí)驗(yàn)后，就是學(xué)生在機(jī)房的實(shí)訓(xùn)操作。實(shí)訓(xùn)課重點(diǎn)是培養(yǎng)學(xué)生模仿教師利用所學(xué)知識(shí)解決實(shí)際問題的能力及分析問題和解決問題的思路，所以實(shí)訓(xùn)課的項(xiàng)目提出，在理論課上稍作改動(dòng)，如把私有地址的網(wǎng)絡(luò)改為192.168.1.0/24，公有地址變?yōu)?00.0.0.1～

200.0.0.4。讓學(xué)生以小組完成此項(xiàng)目，并測(cè)試。

仿真實(shí)訓(xùn)擴(kuò)展：對(duì)于有真實(shí)設(shè)備的學(xué)校還可以用一個(gè)路由器模擬出口路由器，內(nèi)部端口連接一臺(tái)電腦，外部端口連接到整個(gè)機(jī)房連接的交換機(jī)上，要求學(xué)生在此路由器上做適當(dāng)?shù)呐渲茫瑢?shí)現(xiàn)這臺(tái)電腦能夠訪問互聯(lián)網(wǎng)。

4 NAT仿真實(shí)訓(xùn)中應(yīng)注意的問題

1）很多教師在設(shè)置拓?fù)浣Y(jié)構(gòu)圖的時(shí)候省略了第二個(gè)路由器，讓學(xué)生很難認(rèn)識(shí)到互聯(lián)網(wǎng)的特點(diǎn)——私有地址不能訪問互聯(lián)網(wǎng)，認(rèn)為不做NAPT，做了基本配置就能訪問互聯(lián)網(wǎng)服務(wù)器的網(wǎng)頁。

2）注意第四步測(cè)試的設(shè)置，很多教師沒有設(shè)置這一步，如果沒有這一步，直接到第六步測(cè)試學(xué)生，就不能很好地理解NAPT的工作原理和實(shí)際應(yīng)用的功能。

3）在第六步測(cè)試中，有的學(xué)生使用了show ip nat tran-

slations，沒有顯示轉(zhuǎn)換關(guān)系，用show running-config查看命令，發(fā)現(xiàn)自己也配置正確，就是找不到出錯(cuò)在哪里。為了清楚觀看NAT結(jié)果，在執(zhí)行此命令前，要產(chǎn)生一個(gè)需要NAT的數(shù)據(jù)包，這樣才能看到轉(zhuǎn)換關(guān)系。如執(zhí)行ping命令產(chǎn)生發(fā)送數(shù)據(jù)包。

5 結(jié)束語

高職教育的特點(diǎn)是突出職業(yè)技能，重點(diǎn)培養(yǎng)學(xué)生實(shí)踐操作能力和分析問題、解決問題的能力，其中仿真實(shí)訓(xùn)是有效提高學(xué)生用所學(xué)知識(shí)解決實(shí)際問題的有效方法。如何利用仿真實(shí)訓(xùn)軟件設(shè)計(jì)教學(xué)內(nèi)容顯得尤為重要。仿真是為了模擬真實(shí)的工作環(huán)境，所以在模擬過程中一定要將一些實(shí)際應(yīng)用的好案例引入教學(xué)，設(shè)置恰當(dāng)?shù)膯栴}引導(dǎo)學(xué)生一步步思考、分析，切實(shí)提高學(xué)生的綜合能力。endprint