NAT技术的实验设计与仿真实现
作者: 杨子
关键词:网络地址转换NAT;静态NAT;动态NAT;NAPT;综合实验
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2023)20-0115-03
0 引言
随着计算机网络的飞速发展,IPv4地址空间愈加不足,内部网络安全性不高。为了缓解这些难题,1994 年,互联网工程任务组提出了网络地址转换(Net⁃work Address Translation,NAT) 技术[1]来有效缓解公网地址不足,隔离内部网络和外部网络。这样,外部网络无法实现对内部网络的直接访问,提高了网络安全性[2]。
1 NAT技术
1.1 私网、公网定义
私网是私有网络,通常指局域网内部,也就是内网、内部网络。在私有网络上可以使用的IP地址就是私网地址,一般有以下三个地址段[3]:
A类地址:10.0.0.0--10.255.255.255;
B类地址:172.16.0.0--172.31.255.255;
C类地址:192.168.0.0--192.168.255.255。
公网是公有网络,通常是因特网,也就是外网、外部网络。可以在公有网络上使用的IP地址是公网地址,除了私网地址和一些特殊的IP地址外,其他地址都是公网地址。使用公网地址必须保证它在因特网上是全球唯一的地址。
1.2 NAT定义
NAT(Network Address Translation,网络地址转换),是将私有 IP 地址映射为外部合法的全局 IP 地址的一种转换技术[4]。实现了使用私有IP地址的内部网络用户可以通过将私有地址转换为可在公有网络通信的全局IP地址的方式访问外部网络,也可以实现私有网络设备为公网用户提供网络服务,供公有网络用户访问。
1.3 NAT 技术类型
NAT 技术通常有三种类型:静态NAT(StaticNAT) 、动态NAT(Pooled NAT) 、网络地址端口转换NAPT(Network Address Port Translation) [5]。
1) 静态NAT
静态NAT是网络地址转换最基本的形式。静态NAT将内网的私有IP地址一对一永久映射为合法的可在公网上通信的全局地址,从而实现了公网设备对私网中特定设备的访问,通常是对内网服务器的访问。
2) 动态NAT
动态NAT 拥有可在外部网络中路由的合法地址池,采用动态分配的方法,在合法地址池中为每一个内网私有IP 地址分配一个一对一的临时映射关系的公网可路由的全局IP 地址,以实现内网用户访问外网。在拨号连接上网时,通常采用动态NAT。
3) 网络地址端口转换NAPT
NAPT又称为PAT,这种技术是把局域网内的多个私有IP地址映射到外部网络中一个公网可通信的全局IP地址的不同端口上,利用端口号实现一个公网地址和多个内网私有地址的转换,即采用端口多路复用方式进行网络地址转换。利用NAPT,实现了局域网内的大量网络设备共享外部网络中一个单独的合法IP地址,既最大限度地节约了 IP 地址资源,又可隐藏网络内部的所有主机,有效避免来自 Internet 的攻击。因此,目前计算机网络中采用最广泛的就是端口多路复用方式。
2 静态NAT、动态NAT、NAPT 综合实验规划
2.1 实验设计
依据NAT实验原理,本文针对三种不同类型的NAT技术,设计了NAT综合实验内容,使用思科模拟器Cisco Packet Tracer Student 进行了实验配置及验证,分析了实验结果,旨在帮助大家深刻理解并掌握三种不同的NAT的作用、实验步骤及配置,将课堂理论知识与动手实操融会贯通,探索NAT实验原理。
NAT综合实验设计内容如下:
某小型公司有服务器2台,内网客户机4台,需要通过NAT技术实现如下功能:
1) 将内部网络的Web服务器地址映射到公网地址200.1.1.8,实现内部网络的Web服务器提供Web服务供外部网络用户访问。
2)由于领导办公网172.16.2.0/24内用户数比较多,访问外网需求量大,因此特提供nat 地址池200.1.1.3-200.1.1.7 供领导办公网用户访问Internet 资源。
3)企业办公网用户172.16.1.0/24通过边界路由器R2的S0/1/0接口IP地址(200.1.1.1)来访问Internet资源。
2.2 实验拓扑图、设备互连情况
详细实验拓扑图见图1。
本实验组网中的各网络设备连接及IP地址分配表如表1所示。
2.3 NAT 综合实验模拟及验证
在本次综合实验中,完整实验步骤如下:
第一步,按照双绞线的使用原则:同种设备用交叉线、异种设备用直通线、路由器和PC相连除外,搭建如图1所示的实验拓扑图。然后,再根据表1所示的对应关系,分别配置各PC、服务器、路由器的IP地址、子网掩码、网关地址。
第二步,使用静态路由实现内网互联互通。配置命令为:
R2(config) # ip route 172.16.0.0 255.255.0.0 Fast⁃Ethernet0/1
第三步,在R1路由器上配置默认路由,指示下一跳路由器为R2;R2路由器配置默认路由,指示下一跳为R3。配置命令如下所示:
R1(config) #ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
R2(config) #ip route 0.0.0.0 0.0.0.0 Serial0/1/0
第四步,三种不同类型NAT实验的配置步骤及关键的验证测试命令如下:
2.3.1 静态NAT 配置实验
1) 边界路由器R2上定义内外网接口
R2(config) #interface FastEthernet0/1
R2(config) # ip nat inside
R2(config) #interface Serial0/1/0
R2(config) #ip nat outside
2) 配置静态NAT映射
R2(config) #ip nat inside source static 172.16.0.1 200.1.1.8
静态映射时,NAT 表一直存在。在外网设备In⁃ternet Server上访问内网Web服务器,可正常访问浏览器内容,如图2所示。
如图3所示,在路由器R2上使用debug ip nat调试查看NAT 转换可知,内网Web 服务器地址172.16.0.1转换成为公网IP地址200.1.1.8。当外网设备访问内网服务器时,实际上并不知道内网服务器IP 地址,外网设备是通过访问200.1.1.8访问内网服务器,在同时连接内外网、有NAT转换表的路由器R2的基础上,将200.1.1.8转换为172.16.0.1,实际访问内网服务器Web Server。
2.3.2 动态NAT 配置实验
1) 在R2上定义内外网接口
R2(config) #interface FastEthernet0/1
R2(config) #ip nat inside
R2(config) #interface Serial0/1/0
R2(config) #ip nat outside
2) 配置内部全局地址池
R2(config) #ip nat pool nat-pool 200.1.1.3 200.1.1.7netmask 255.255.255.0
3) 使用ACL配置内部本地地址范围
R2(config) #access-list 20 permit 172.16.2.00.0.0.255
4) 建立一对一的临时映射关系
R2(config) #ip nat inside source list 20 pool natpool
使用ping命令测试网络连通性可知,领导办公网用户PC2、PC3可正常访问外部网络Internet服务器。
使用debug ip nat调试查看动态NAT转换,如图4 所示,当领导办公网用户PC2、PC3访问外部网络时,需要将它们本身的私网地址172.16.2.1、172.16.2.2转换为可在公有网络通信的地址200.1.1.3——200.1.1.7 中的两个IP地址和外部网络通信。
2.3.3 NAPT 配置实验
1) R2上定义内外网接口
R2(config) #interface FastEthernet0/1
R2(config) # ip nat inside
R2(config) #interface Serial0/1/0
R2(config) #ip nat outside
2) 使用ACL配置内部本地地址范围
R2(config) #access-list 10 permit 172.16.1.0 0.0.0.255
3) 建立多对一的临时映射关系
3) 建立多对一的临时映射关系
R2(config) #ip nat inside source list 10 interface Se⁃rial0/1/0 overload
使用ping命令测试网络连通性可知,企业办公网可以连通外部网络Internet服务器。
使用debug ip nat调试查看NAPT转换,如图5所示,当属于172.16.1.0网络的多个企业办公网用户同时访问外部网络时,都会转换为S0/1/0 的IP 地址200.1.1.1和外网通信。
本次综合实验中,使用show ip nat translationgs命令查看三种不同类型的NAT技术的转换记录,如图6 所示。内网Web服务器IP地址172.16.0.1已经被转换成了内部全局地址200.1.1.8,为公网用户提供Web服务。 内网中企业办公网用户IP地址172.16.1.1被转换为接口S0/1/0的IP地址200.1.1.1访问外网。内网中领导办公网用户IP地址172.16.2.1被转换为地址池中的IP地址200.1.1.4访问外部网络,内网中领导办公网用户IP地址172.16.2.2被转换为地址池中的IP地址200.1.1.5访问外部网络。
3 结束语
NAT技术是网络互联技术等课程的重要学习内容,也是学生需要深入理解掌握的难点部分。由于实际教学环境中网络设备数量和实验条件难以支持50 位学生同时动手操作,因此,本实验采用了CiscoPacket Tracer Student模拟软件完成NAT综合实验,达到了NAT的教学目标,加深了学生对三种不同类型NAT技术原理的理解,使用模拟器也有效节约了教学成本,满足了正常的教学需要。同时,本实验为学生提供了独立动手与思考的条件,培养了学生发现和解决问题的能力以及动手操作能力,在实际课程教学中起到了很好的效果。