NAT技術(shù)在校園網(wǎng)中的應(yīng)用

1、NAT技術(shù)在校園網(wǎng)中的應(yīng)用 摘要本文闡述了 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)的概念、 基本原理和實現(xiàn)方式 ,以臺州市椒江區(qū)教育教學(xué)發(fā)展中心網(wǎng) 絡(luò)設(shè)計與實踐研究為例，由淺入深地介紹了利用NAT技術(shù)實 現(xiàn)校園網(wǎng)部分應(yīng)用的方法和技巧，并且分析了使用 NAT過程 中可能存在的一些潛在問題 ,給出了相應(yīng)的解決方案。 關(guān)鍵詞校園網(wǎng)NAT技術(shù)應(yīng)用 一、NAT技術(shù)簡介 （一 ）NAT的概念 NAT（Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換）,是一個 IETF標(biāo)準(zhǔn),是一種將一個IP地址域映射到另一個IP地址域的 技術(shù) ,允許一個整體機構(gòu)以一個公用地址IP 出現(xiàn)在 Internet 上,為終

2、端主機提供透明路由。它將局域網(wǎng)的私有地址（A 類的 55、B 類的 55、C 類的 55）解釋成 合法的全局IP地址，以實現(xiàn)與Internet的連接。NAT技術(shù)能夠 很好地解決校園網(wǎng)中IP短缺的問題，提供一種允許在多個內(nèi) 部子網(wǎng)中使用相同地址范圍的IP解決方案,可以減少校園網(wǎng) 對全局IP地址的需求量，是目前校園網(wǎng)中解決IP地址短缺的 普遍方法。NAT的實現(xiàn)方式有三種：靜態(tài)轉(zhuǎn)換、動態(tài)轉(zhuǎn)換和端 口多路復(fù)用。 (二) NAT的工作原理 如圖1所示,NAT路由設(shè)置在

3、內(nèi)部網(wǎng)絡(luò)與 Internet之間， 當(dāng)私有網(wǎng)主機和公共網(wǎng)主機通信的IP包經(jīng)過NAT路由器時， 將IP包中的源IP或目的IP在私有IP和公共IP之間進行轉(zhuǎn)換。 其具體工作過程如圖2所示。NAT路由有2個網(wǎng)絡(luò)端口， 其中公共網(wǎng)絡(luò)端口的IP地址是統(tǒng)一分配的公共IP為 5;私有網(wǎng)絡(luò)端口的IP地址是保留地址，為 。私有網(wǎng)中的主機 要訪問公網(wǎng)中的一 個服務(wù)器 90,它先向服務(wù)器 90 發(fā) 送一個 IP 包(Des=90,Src=)。當(dāng) IP

4、 包 經(jīng)過NAT路由時,NAT會將IP包的源IP轉(zhuǎn)換為NAT的公共IP 并轉(zhuǎn)發(fā)到公共網(wǎng) ,此時 IP 包 (Des=90,Src=5)中已經(jīng)不含任何私 有網(wǎng)IP的信息。由于IP包的源IP已經(jīng)被轉(zhuǎn)換成NAT的公共 IP相應(yīng)的 IP包(Des=5,Src=90)將被 發(fā)送到NAT。這時,NAT會將IP包的目的IP轉(zhuǎn)換成私有網(wǎng)中 主機的 IP然后將 IP 包(Des=,Src=90) 轉(zhuǎn)發(fā)到私有網(wǎng)。 對于通信雙方而言 ,這種地址的轉(zhuǎn)換過程是完 全透明的。

5、 二、NAT技術(shù)的校園網(wǎng)應(yīng)用實例 （一）椒江區(qū)教育教學(xué)發(fā)展中心網(wǎng)絡(luò)拓撲結(jié)構(gòu)及分析 我中心網(wǎng)絡(luò)采用 10Mbps 光纖 ,以城域網(wǎng)方式接入 Internet, 如圖 3 所示。路由器選用擁有 2 個 10/100Mbps 自適 應(yīng)端口的Cisco3640。內(nèi)部網(wǎng)絡(luò)根據(jù)職能分成若干子網(wǎng)，服務(wù) 器子網(wǎng)對外提供 Web服務(wù)、FTP服務(wù)和E-mail服務(wù),使用的IP 地址段為54;機房、多媒體教室等 教學(xué)計算機劃分到子網(wǎng)Ian1,使用的IP地址段為 54;教師辦公室計算機劃分到子網(wǎng) lan2,使用的 IP 地

6、址段為 54。我中 心申請到4個合法的公網(wǎng)IP地址,范圍為2 5,廣域網(wǎng)接口 Serial0/0 的 IP地址為 5, 子網(wǎng)掩碼為 。路由器內(nèi)網(wǎng)端口 FastEthernet0/0 的IP地址為,子網(wǎng)掩碼為 。使用 NAT技術(shù)可以實現(xiàn)我中心對外提供Web服務(wù)、FTP服務(wù)和 E-mail 服務(wù) ,并且所有計算機均可訪問Internet 。 路由器地址分配如表 1 所示。 NAT地址轉(zhuǎn)換類型對應(yīng)關(guān)系如表

7、2所示。 （二）NAT配置過程與步驟 Step 1:配置路由器端口 ,選擇 fastethernet0/0 作為內(nèi)部接 口 ,選擇 serial0/0 作為外部接口。 interface fastethernet0/0 ip address no shut ip nat inside interface serial0/0 ip address 5 no shut ip nat outside Step 2:為子網(wǎng) lan1 配置地址池 lan1 ip nat pool lan1 60.1

8、91.183.73 4 netmask Step 3:定義訪問控制列表 access-list 1 permit 55 access-list 2 permit 55 Step 4:啟用 lan1 地址池端口復(fù)用地址轉(zhuǎn)換 ,將訪問控制 列表 list 1 映射到地址池 lan1。 ip nat inside source list 1 pool lan1 overload Step 5:啟用端口復(fù)用地址轉(zhuǎn)換 ,并直接采用 fastethernet0/0 的 IP

9、地址。 ip nat inside source list 2 interface fastethernet0/0 overload Step 6:啟用靜態(tài)地址轉(zhuǎn)換和端口復(fù)用地址轉(zhuǎn)換 ,將內(nèi)網(wǎng) 各服務(wù)器的服務(wù)端口映射為 2 的對應(yīng)端口。 ip nat inside source static tcp 80 2 80 !-將80端口映射為 2的80端口（Web服務(wù)） ip nat inside source static tcp 21 2 21 !-

10、將21端口映射為 2的21端口（FTP服務(wù)） ip nat inside source static tcp 25 225 !-將 25 端口映射為 2 的 25 端口 （POP3服務(wù)） ip nat inside source static tcp 110 2 110 !-將 110 端口映射為 2 的 110 端口（SMTP服 務(wù)） 使用NAT技術(shù)在配置Cisco路由器時，必須注意以下幾個 問題 : 1 .在本地主機 I

11、P 地址屬性設(shè)置項中 ,將“默認網(wǎng)關(guān)” 設(shè)置 為“ ip nat inside ”對應(yīng)的端口地址。 2. 當(dāng)分配的合法IP地址不連續(xù)時，可以定義多個 NAT 地址池 ,也可以定義多個訪問控制列表。 3. 動態(tài)地址池之間不能有重復(fù)的地址。 4. 動態(tài)地址池中不能包含網(wǎng)絡(luò)地址和廣播地址（利用 netmask 部分進行檢查 ）。 經(jīng)過上述配置后 ,Internet 上的主機可以分別通過 2:80 訪問到我校內(nèi)部的 WEB 服務(wù)器 ,通過 2:21訪問到我中心內(nèi)部的 FTP服務(wù)器，通過 2:25 和 2:1

12、10 訪問我中心內(nèi)部的 E-mail服務(wù)器，整個中心網(wǎng)絡(luò)中的計算機都能訪問互聯(lián)網(wǎng)。 （三）NAT與ACL訪問控制列表）的關(guān)系 上述所定義的標(biāo)準(zhǔn)訪問控制列表是用于表明哪些內(nèi)部 本地地址將作地址轉(zhuǎn)換 ,此列表與相應(yīng)的地址池相對應(yīng)。雖然 通過上述配置 ,隱藏了我中心網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),但中心網(wǎng)絡(luò)對 外提供Internet服務(wù)（WWW、FTP POP3 SMTP）為使網(wǎng)絡(luò)更 加安全 ,可以在路由器的每個接口上為每種網(wǎng)絡(luò)協(xié)議配置訪 問控制列表 , 以便在接口上過濾進站數(shù)據(jù)流、 出站數(shù)據(jù)流或同 時過濾它們 ,或根據(jù)需要可屏蔽某些 IP 網(wǎng)段對中心網(wǎng)絡(luò)的訪 問。當(dāng)我們定義的 ACL要應(yīng)用到某個端口起包過濾作用時

13、， 一定要注意ACL與NAT執(zhí)行時的邏輯順序。 （四）利用NAT實現(xiàn)網(wǎng)絡(luò)內(nèi)部WWW服務(wù)的負載平衡 若在網(wǎng)絡(luò)中有 3臺內(nèi)容相同的 WWW 服務(wù)器 （ ）,通過 NAT設(shè)置使這 3 臺 WWW 服務(wù)器對外具有相同的地址 ,即從外部看來 ,內(nèi)部只有一臺 WWW服務(wù)器，當(dāng)外部TCP數(shù)據(jù)包發(fā)給 WWW服務(wù)器時，路由 器將公用的一個全局IP通過循環(huán)方式發(fā)給3個服務(wù)器的實際 地址 ,從而達到負載均衡的目的。 三、總結(jié)與建議 利用NAT技術(shù)，校園網(wǎng)內(nèi)部用戶可以透明地訪問 Internet, 同時做到對外部網(wǎng)絡(luò)隱藏內(nèi)部網(wǎng)絡(luò)的體系結(jié)構(gòu)。NAT技術(shù)方 案在一定程度上減緩了地址耗盡的周期和路由表規(guī)模越來 越大的問題 ,提供了一種非常方便的方案來解決校園網(wǎng)與 Internet的互聯(lián)問題。然而,NAT技術(shù)在校園網(wǎng)應(yīng)用中也存在 一些有待解決的問題 ,如:效率問題、加密問題、安全問題以 及具體協(xié)議涉及到的問題等等。 總的來說,NAT帶來了很大的優(yōu)越性，可以節(jié)約地址空間, 可以簡化配置使網(wǎng)絡(luò)規(guī)劃更靈活。 但是 ,它對網(wǎng)絡(luò)應(yīng)用帶來了 一定的影響 ,也給網(wǎng)絡(luò)管理帶來了一定的復(fù)雜性,并且會潛在 地影響網(wǎng)絡(luò)