NAT技術在校園網(wǎng)中的應用

NAT技術在校園網(wǎng)中的應用NAT技術在校園網(wǎng)中的應用NAT技術在校園網(wǎng)中的應用NAT技術在校園網(wǎng)中的應用編制僅供參考審核批準生效日期地址：電話：傳真:郵編:目錄23221引言 327532本文主要內(nèi)容 313028設計平臺 3204092NAT技術概述 38974NAT技術的基本概念 325660NAT技術的分類 41309NAT術語 5295493NAT技術基本原理 531510地址轉換 523553連接跟蹤 717018端口轉換 8247244NAT在校園網(wǎng)中的應用實現(xiàn) 92603靜態(tài)NAT的配置 922626動態(tài)NAT的配置 1218611接口動態(tài)NAPT的配置 15294565結束語 187545參考文獻 19長沙理工大學計算機與通信工程學院《計算機網(wǎng)絡》課程設計報告院系計算機與通信工程專業(yè)通信工程班級&&&&&&&學號&&&&&&&學生姓名&&&指導教師&&課程成績完成日期2015年7月10日課程設計成績評定院系計算機與通信工程專業(yè)&&&&班級&&&&&&&學號&&&&&&&學生姓名&&指導教師&&指導教師對學生在課程設計中的評價課程設計報告的質(zhì)量指導教師成績指導教師簽字年月日課程設計答辯組對學生在課程設計中的評價課程設計報告的質(zhì)量課程設計答辯答辯組成績答辯組長簽字年月日課程設計綜合成績注：課程設計綜合成績＝指導教師成績×60%＋答辯組成績×40%課程設計任務書計算機與通信工程學院通信工程專業(yè)課程名稱計算機網(wǎng)絡時間2014～2015學年第二學期18～19周學生姓名指導老師&&題目網(wǎng)絡地址轉換技術在校園網(wǎng)中的應用主要內(nèi)容：（1）學習校園網(wǎng)及NAT的相關知識；（2）結合一個實例，在模擬器中模擬實現(xiàn)NAT的配置；（3）驗證、分析其結果。要求：（1）按要求編寫課程設計報告書，能正確闡述設計結果。（2）通過課程設計培養(yǎng)學生嚴謹?shù)目茖W態(tài)度，認真的工作作風和團隊協(xié)作精神。（3）學會文獻檢索的基本方法和綜合運用文獻的能力。（4）在老師的指導下，要求每個學生獨立完成課程設計的全部內(nèi)容。應當提交的文件：（1）課程設計報告。（2）課程設計附件（各類圖紙、設備配置清單、報告等）網(wǎng)絡地址轉換技術在校園網(wǎng)中的應用學生姓名：&&指導教師：&&摘要：當Internet迅速發(fā)展，合法的IP地址資源日益短缺，網(wǎng)絡地址轉換技術即NAT(NetworkAddressTranslation)目前是解決IPv4地址短缺、被廣泛使用的主要方法。本課程設計在CiscoPacketTracer模擬器上模擬了NAT技術在校園網(wǎng)中的應用，并且分析了NAT過程中可能存在的一些潛在問題，給出了相應的解決方案。設計結果表明，內(nèi)部本地網(wǎng)絡可以通過NAT，轉換成合法內(nèi)部全局地址后，與外部網(wǎng)絡成功通信。關鍵字：NAT；IP地址；校園網(wǎng)；CiscoPacketTracer1引言20世紀90年代以來，隨著互聯(lián)網(wǎng)的迅速發(fā)展，我國的教育和科研計算機網(wǎng)也得到了長足的發(fā)展，大多數(shù)高校都建起了校園網(wǎng)，并實現(xiàn)了在教育和科研計算機網(wǎng)內(nèi)及與internet的互聯(lián)互通，使信息透明化程度更高，資源共享更廣泛。但是，由于目前所使用的IPv4固有的缺限——地址匱乏，造成了在校園網(wǎng)中IP地址使用的極度緊張。人們采用了相當多的方法來緩解這種矛盾，網(wǎng)絡地址轉換(NAT)技術即為其一。本文主要是探討NAT技術，并用一個在CiscoPacketTracer仿真軟件上的例子來說明NAT技術在校園網(wǎng)中的應用。本文主要內(nèi)容本文介紹了NAT技術的基本原理，還有NAT技術的幾種類型，以及在CiscoPacketTracer仿真軟件上模擬NAT技術在校園網(wǎng)中的應用和實現(xiàn)。設計平臺本課程設計是在Windows操作系統(tǒng)通過上完成的，通過CiscoPacketTracer仿真軟件模擬的簡單的校園網(wǎng)NAT技術應用。CiscoPacketTracer是由Cisco公司發(fā)布的一個輔助學習工具，為學習思科網(wǎng)絡課程的初學者去設計、配置、排除網(wǎng)絡故障提供了網(wǎng)絡模擬環(huán)境。用戶可以在軟件的圖形用戶界面上直接使用拖曳方法建立網(wǎng)絡拓撲，并可提供數(shù)據(jù)包在網(wǎng)絡中行進的詳細處理過程，觀察網(wǎng)絡實時運行情況。2NAT技術概述NAT技術的基本概念NAT英文全稱是“NetworkAddressTranslation”，中文意思是“網(wǎng)絡地址轉換”，它是一個IETF(InternetEngineeringTaskForce,Internet工程任務組)標準，允許一個整體機構以一個公用IP（InternetProtocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡地址（IP地址）翻譯成合法網(wǎng)絡IP地址的技術。因此我們可以認為，NAT在一定程度上，能夠有效的解決公網(wǎng)地址不足的問題。簡單的說，NAT的功能就是在內(nèi)部網(wǎng)絡的私有地址需要與外部通信時，把內(nèi)部私有地址轉換成合法的全局IP地址。NAT可以在兩個方向上隱藏地址，為了支持這種方案，NAT在兩個方向上都要翻譯原地址和目的地址。目前NAT的功能通常被集成到路由器、防火墻等設備中。NAT設備維護一個NAT映射表，用它來實現(xiàn)全局到本地和本地到全局的地址轉換。NAT技術的分類NAT有三種類型：靜態(tài)NAT(StaticNAT)、動態(tài)地址NAT(PooledNAT)、網(wǎng)絡地址端口轉換NAPT(Port-LevelNAT)。(1)靜態(tài)NAT是最簡單的一種轉換方式，它在NAT表中為本地地址和全局地址建立一個固定的一對一的映射。這種方式主要用于服務器，以確保外部對服務器的正確訪問。(2)動態(tài)NAT是較靈活的一種轉換方式，它在本地和全局地址之間建立一個動態(tài)的映射，這時必須建立一個全局地址池，由路由器從全局地址池中選擇一個未使用的地址對本地地址進行轉換。每個轉換條目在連接建立時動態(tài)建立，而在連接終止時被回收。這樣，網(wǎng)絡的靈活性增強，所需要的全局地址減少。必須注意的是：當全局地址池全部被占用以后，以后的地址轉換申請將被拒絕，這樣會造成網(wǎng)絡連通性的問題，所以應使用超時操作選項來回收全局地址池中的地址?！緦τ谥幌蛲庠L問而不允許外部網(wǎng)絡訪問的內(nèi)部主機，就采用動態(tài)地址轉換?！慷丝诘刂忿D換(PAT或NAPT或地址超載)將多個內(nèi)部地址映射為一個合法地址，用不同的端口號區(qū)分各個內(nèi)部地址。這種方法只需要一個合法IP地址。路由器支持的PAT會話數(shù)是有限制的，所以使用PAT的局域網(wǎng)，其網(wǎng)絡的規(guī)模不應該太大。在端口復用技術中，用端口區(qū)分的不是一臺主機，而是一個網(wǎng)絡連接（會話），當一臺主機同時建立了多個會話時，它的每個會話會占用一個端口映射。假如一臺路由器支持4000個會話，那么它支持的主機數(shù)量會遠少于4000臺。NAPT是使用最普遍的一種轉換方式，在HomeGW中也主要使用該方式。它又包含兩種轉換方式：SNAT和DNAT。EQ\o\ac(○,1)源NAT（SourceNAT，SNAT）：修改數(shù)據(jù)包的源地址。源NAT改變第一個數(shù)據(jù)包的來源地址，它永遠會在數(shù)據(jù)包發(fā)送到網(wǎng)絡之前完成，數(shù)據(jù)包偽裝就是SNAT的例子。EQ\o\ac(○,2)目的NAT（DestinationNAT，DNAT）：修改數(shù)據(jù)包的目的地址。DestinationNAT剛好與SNAT相反，它是改變第一個數(shù)據(jù)懈的目的地地址，如平衡負載、端口轉發(fā)和透明代理就是屬于DNAT。NAT術語在NAT中，有4個地址術語是必須正確理解的，它們是InsideLocalAddress、InsideGlobalAddress、OutsideLocalAddress和OutsideGlobalAddress。在這些術語中，Inside(內(nèi)部)是指那些不能在Internet上進行路由，從而也就不能直接用于對Internet的訪問,必須通過網(wǎng)絡地址的轉換，以合法IP的身份來訪問Internet。前者即InsideLocalAddress，后者則為InsideGlobalAddress。LocalAddress即本地地址或私有地址，是不能在Internet上通信的IP地址。GlobalAddress即全局地址或合法地址，是能夠在Internet上通信的地址。4個地址的定義如下。InsideLocalAddress：內(nèi)部局部地址,指一個網(wǎng)絡內(nèi)部分配給網(wǎng)上主機的IP地址,此地址通常不是Internet上合法的地址,即不是網(wǎng)絡信息中心(NIC)或Internet服務提供商(ISP)所分配的IP地址。InsideGlobalAddress：內(nèi)部全局地址,用來代替一個或多個內(nèi)部本地IP地址的、對外的、Internet上合法的IP地址(由ISP提供)。OutsideLocalAddress：外部局部地址，一個外部主機相對于內(nèi)部所用的IP地址，此地址需要是Internet上合法的地址，但是從內(nèi)部網(wǎng)可以進行路由的地址空間中進行分配。OutsideGlobalAddress：外部全局地址,由主機擁有者分配給在外部網(wǎng)上主機的IP地址。此地址是從一個從全局可路由的地址或網(wǎng)絡空間中分配的【1】。3NAT技術基本原理地址轉換NAT的基本工作原理是，當私有網(wǎng)主機和公共網(wǎng)主機通信的IP包經(jīng)過NAT網(wǎng)關時，將IP包中的源IP或目的IP在私有IP和NAT的公共IP之間進行轉換。如下圖3-1所示。圖3-1NAT網(wǎng)關圖3-2轉換示意圖NAT網(wǎng)關有2個網(wǎng)絡端口，其中公共網(wǎng)絡端口的IP地址是統(tǒng)一分配的公共IP，為；私有網(wǎng)絡端口的IP地址是保留地址，為。私有網(wǎng)中的主機向公共網(wǎng)中的主機發(fā)送了1個IP(Dst=,Src=)。當IP包經(jīng)過NAT網(wǎng)關時，NATGateway會將IP包的源IP轉換為NATGateway的公共IP并轉發(fā)到公共網(wǎng)，此時IP包（Dst=，Src=）中已經(jīng)不含任何私有網(wǎng)IP的信息。由于IP包的源IP已經(jīng)被轉換成NATGateway的公共IP，WebServer發(fā)出的響應IP包（Dst=,Src=）將被發(fā)送到NATGateway。這時，NATGateway會將IP包的目的IP轉換成私有網(wǎng)中主機的IP，然后將IP包（Des=，Src=）轉發(fā)到私有網(wǎng)。對于通信雙方而言，這種地址的轉換過程是完全透明的。轉換示意圖如圖3-2。如果內(nèi)網(wǎng)主機發(fā)出的請求包未經(jīng)過NAT，那么當WebServer收到請求包，回復的響應包中的目的地址就是私網(wǎng)IP地址，在Internet上無法正確送達，導致連接失敗。連接跟蹤在上述過程中，NATGateway在收到響應包后，就需要判斷將數(shù)據(jù)包轉發(fā)給誰。此時如果子網(wǎng)內(nèi)僅有少量客戶機，可以用靜態(tài)NAT手工指定；但如果內(nèi)網(wǎng)有多臺客戶機，并且各自訪問不同網(wǎng)站，這時候就需要連接跟蹤（connectiontrack）。如圖3-3所示：圖3-3連接跟蹤1在NATGateway收到客戶機發(fā)來的請求包后，做源地址轉換，并且將該連接記錄保存下來，當NATGateway收到服務器來的響應包后，查找TrackTable，確定轉發(fā)目標，做目的地址轉換，轉發(fā)給客戶機。端口轉換以上述客戶機訪問服務器為例，當僅有一臺客戶機訪問服務器時，NATGateway只須更改數(shù)據(jù)包的源IP或目的IP即可正常通訊。但是如果ClientA和ClientB同時訪問WebServer，那么當NATGateway收到響應包的時候，就無法判斷將數(shù)據(jù)包轉發(fā)給哪臺客戶機，如圖3-4所示。圖3-4連接跟蹤2此時，NATGateway會在Connecti