NAT技術的實驗設計與仿真實現

楊子

關鍵詞：網絡地址轉換NAT；靜態NAT；動態NAT；NAPT；綜合實驗

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2023）20-0115-03

0 引言

隨著計算機網絡的飛速發展，IPv4地址空間愈加不足，內部網絡安全性不高。為了緩解這些難題，1994 年，互聯網工程任務組提出了網絡地址轉換（Net?work Address Translation，NAT） 技術[1]來有效緩解公網地址不足，隔離內部網絡和外部網絡。這樣，外部網絡無法實現對內部網絡的直接訪問，提高了網絡安全性[2]。

1 NAT技術

1.1 私網、公網定義

私網是私有網絡，通常指局域網內部，也就是內網、內部網絡。在私有網絡上可以使用的IP地址就是私網地址，一般有以下三個地址段[3]：

A類地址：10.0.0.0--10.255.255.255；

B類地址：172.16.0.0--172.31.255.255；

C類地址：192.168.0.0--192.168.255.255。

公網是公有網絡，通常是因特網，也就是外網、外部網絡。可以在公有網絡上使用的IP地址是公網地址，除了私網地址和一些特殊的IP地址外，其他地址都是公網地址。使用公網地址必須保證它在因特網上是全球唯一的地址。

1.2 NAT定義

NAT（Network Address Translation，網絡地址轉換），是將私有 IP 地址映射為外部合法的全局 IP 地址的一種轉換技術[4]。實現了使用私有IP地址的內部網絡用戶可以通過將私有地址轉換為可在公有網絡通信的全局IP地址的方式訪問外部網絡，也可以實現私有網絡設備為公網用戶提供網絡服務，供公有網絡用戶訪問。

1.3 NAT 技術類型

NAT 技術通常有三種類型：靜態NAT（StaticNAT） 、動態NAT（Pooled NAT） 、網絡地址端口轉換NAPT（Network Address Port Translation） [5]。

1） 靜態NAT

靜態NAT是網絡地址轉換最基本的形式。靜態NAT將內網的私有IP地址一對一永久映射為合法的可在公網上通信的全局地址，從而實現了公網設備對私網中特定設備的訪問，通常是對內網服務器的訪問。

2） 動態NAT

動態NAT 擁有可在外部網絡中路由的合法地址池，采用動態分配的方法，在合法地址池中為每一個內網私有IP 地址分配一個一對一的臨時映射關系的公網可路由的全局IP 地址，以實現內網用戶訪問外網。在撥號連接上網時，通常采用動態NAT。

3） 網絡地址端口轉換NAPT

NAPT又稱為PAT，這種技術是把局域網內的多個私有IP地址映射到外部網絡中一個公網可通信的全局IP地址的不同端口上，利用端口號實現一個公網地址和多個內網私有地址的轉換，即采用端口多路復用方式進行網絡地址轉換。利用NAPT，實現了局域網內的大量網絡設備共享外部網絡中一個單獨的合法IP地址，既最大限度地節約了 IP 地址資源，又可隱藏網絡內部的所有主機，有效避免來自 Internet 的攻擊。因此，目前計算機網絡中采用最廣泛的就是端口多路復用方式。

2 靜態NAT、動態NAT、NAPT 綜合實驗規劃

2.1 實驗設計

依據NAT實驗原理，本文針對三種不同類型的NAT技術，設計了NAT綜合實驗內容，使用思科模擬器Cisco Packet Tracer Student 進行了實驗配置及驗證，分析了實驗結果，旨在幫助大家深刻理解并掌握三種不同的NAT的作用、實驗步驟及配置，將課堂理論知識與動手實操融會貫通，探索NAT實驗原理。

NAT綜合實驗設計內容如下：

某小型公司有服務器2臺，內網客戶機4臺，需要通過NAT技術實現如下功能：

1） 將內部網絡的Web服務器地址映射到公網地址200.1.1.8，實現內部網絡的Web服務器提供Web服務供外部網絡用戶訪問。

2）由于領導辦公網172.16.2.0/24內用戶數比較多，訪問外網需求量大，因此特提供nat 地址池200.1.1.3-200.1.1.7 供領導辦公網用戶訪問Internet 資源。

3）企業辦公網用戶172.16.1.0/24通過邊界路由器R2的S0/1/0接口IP地址（200.1.1.1）來訪問Internet資源。

2.2 實驗拓撲圖、設備互連情況

詳細實驗拓撲圖見圖1。

本實驗組網中的各網絡設備連接及IP地址分配表如表1所示。

2.3 NAT 綜合實驗模擬及驗證

在本次綜合實驗中，完整實驗步驟如下：

第一步，按照雙絞線的使用原則：同種設備用交叉線、異種設備用直通線、路由器和PC相連除外，搭建如圖1所示的實驗拓撲圖。然后，再根據表1所示的對應關系，分別配置各PC、服務器、路由器的IP地址、子網掩碼、網關地址。

第二步，使用靜態路由實現內網互聯互通。配置命令為：

R2（config） # ip route 172.16.0.0 255.255.0.0 Fast?Ethernet0/1

第三步，在R1路由器上配置默認路由，指示下一跳路由器為R2；R2路由器配置默認路由，指示下一跳為R3。配置命令如下所示：

R1（config） #ip route 0.0.0.0 0.0.0.0 FastEthernet0/1

R2（config） #ip route 0.0.0.0 0.0.0.0 Serial0/1/0

第四步，三種不同類型NAT實驗的配置步驟及關鍵的驗證測試命令如下：

2.3.1 靜態NAT 配置實驗

1） 邊界路由器R2上定義內外網接口

R2（config） #interface FastEthernet0/1

R2（config） # ip nat inside

R2（config） #interface Serial0/1/0

R2（config） #ip nat outside

2） 配置靜態NAT映射

R2（config） #ip nat inside source static 172.16.0.1 200.1.1.8

靜態映射時，NAT 表一直存在。在外網設備In?ternet Server上訪問內網Web服務器，可正常訪問瀏覽器內容，如圖2所示。

如圖3所示，在路由器R2上使用debug ip nat調試查看NAT 轉換可知，內網Web 服務器地址172.16.0.1轉換成為公網IP地址200.1.1.8。當外網設備訪問內網服務器時，實際上并不知道內網服務器IP 地址，外網設備是通過訪問200.1.1.8訪問內網服務器，在同時連接內外網、有NAT轉換表的路由器R2的基礎上，將200.1.1.8轉換為172.16.0.1，實際訪問內網服務器Web Server。

2.3.2 動態NAT 配置實驗

1） 在R2上定義內外網接口

R2（config） #interface FastEthernet0/1

R2（config） #ip nat inside

R2（config） #interface Serial0/1/0

R2（config） #ip nat outside

2） 配置內部全局地址池

R2（config） #ip nat pool nat-pool 200.1.1.3 200.1.1.7netmask 255.255.255.0

3） 使用ACL配置內部本地地址范圍

R2（config） #access-list 20 permit 172.16.2.00.0.0.255

4） 建立一對一的臨時映射關系

R2（config） #ip nat inside source list 20 pool natpool

使用ping命令測試網絡連通性可知，領導辦公網用戶PC2、PC3可正常訪問外部網絡Internet服務器。

使用debug ip nat調試查看動態NAT轉換，如圖4 所示，當領導辦公網用戶PC2、PC3訪問外部網絡時，需要將它們本身的私網地址172.16.2.1、172.16.2.2轉換為可在公有網絡通信的地址200.1.1.3——200.1.1.7 中的兩個IP地址和外部網絡通信。

2.3.3 NAPT 配置實驗

1） R2上定義內外網接口

R2（config） #interface FastEthernet0/1

R2（config） # ip nat inside

R2（config） #interface Serial0/1/0

R2（config） #ip nat outside

2） 使用ACL配置內部本地地址范圍

R2（config） #access-list 10 permit 172.16.1.0 0.0.0.255

3） 建立多對一的臨時映射關系

3） 建立多對一的臨時映射關系

R2（config） #ip nat inside source list 10 interface Se?rial0/1/0 overload

使用ping命令測試網絡連通性可知，企業辦公網可以連通外部網絡Internet服務器。

使用debug ip nat調試查看NAPT轉換，如圖5所示，當屬于172.16.1.0網絡的多個企業辦公網用戶同時訪問外部網絡時，都會轉換為S0/1/0 的IP 地址200.1.1.1和外網通信。

本次綜合實驗中，使用show ip nat translationgs命令查看三種不同類型的NAT技術的轉換記錄，如圖6 所示。內網Web服務器IP地址172.16.0.1已經被轉換成了內部全局地址200.1.1.8，為公網用戶提供Web服務。 內網中企業辦公網用戶IP地址172.16.1.1被轉換為接口S0/1/0的IP地址200.1.1.1訪問外網。內網中領導辦公網用戶IP地址172.16.2.1被轉換為地址池中的IP地址200.1.1.4訪問外部網絡，內網中領導辦公網用戶IP地址172.16.2.2被轉換為地址池中的IP地址200.1.1.5訪問外部網絡。

3 結束語

NAT技術是網絡互聯技術等課程的重要學習內容，也是學生需要深入理解掌握的難點部分。由于實際教學環境中網絡設備數量和實驗條件難以支持50 位學生同時動手操作，因此，本實驗采用了CiscoPacket Tracer Student模擬軟件完成NAT綜合實驗，達到了NAT的教學目標，加深了學生對三種不同類型NAT技術原理的理解，使用模擬器也有效節約了教學成本，滿足了正常的教學需要。同時，本實驗為學生提供了獨立動手與思考的條件，培養了學生發現和解決問題的能力以及動手操作能力，在實際課程教學中起到了很好的效果。