【摘 要】網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)是路由交換和防火墻技術(shù)課程的重點(diǎn)和難點(diǎn)。如何在得到正確實(shí)驗(yàn)結(jié)果的情況下，更生動的讓學(xué)生理解轉(zhuǎn)換原理，就成為該課程設(shè)計(jì)的中心點(diǎn)。通過圍繞仿真軟件eNSP的課程設(shè)計(jì)，可以實(shí)現(xiàn)將實(shí)驗(yàn)結(jié)果與實(shí)驗(yàn)過程統(tǒng)一，深化學(xué)生對于協(xié)議原理和工作過程的理解。

【關(guān)鍵詞】網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT） eNSP 實(shí)驗(yàn)設(shè)計(jì)

一、引言

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)是目前廣泛采用的連接私有網(wǎng)絡(luò)至公網(wǎng)的一種地址轉(zhuǎn)換技術(shù)。NAT技術(shù)將內(nèi)網(wǎng)發(fā)送至外網(wǎng)的報(bào)文所包含的源主機(jī)私有IP地址轉(zhuǎn)換為共享的公網(wǎng)IP地址，從而隱藏內(nèi)網(wǎng)地址和內(nèi)網(wǎng)結(jié)構(gòu)，避免了真實(shí)內(nèi)網(wǎng)IP地址的泄露，提高了網(wǎng)絡(luò)的安全性[1-4]。因此網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)都是作為路由和交換以及防火墻技術(shù)的重點(diǎn)實(shí)驗(yàn)內(nèi)容。

而在以往的課程實(shí)驗(yàn)設(shè)計(jì)中，往往受到物理設(shè)備數(shù)量的限制，而必須將學(xué)生分組開展實(shí)驗(yàn)。這樣的設(shè)計(jì)方式，既難以保證每位學(xué)生的實(shí)驗(yàn)時(shí)間，也難于很好的幫助學(xué)生理解相關(guān)協(xié)議的工作原理和工作方式。針對上述問題，本文提出基于eNSP軟件開展NAT轉(zhuǎn)換實(shí)驗(yàn)。通過實(shí)踐測試，表明該方法可以有效的解決以上問題。

二、NAT轉(zhuǎn)換原理

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的應(yīng)用方式主要有以下三類：

（1）靜態(tài)地址轉(zhuǎn)換：將內(nèi)網(wǎng)私有地址與一個(gè)固定的公網(wǎng)地址進(jìn)行綁定，實(shí)現(xiàn)一對一靜態(tài)轉(zhuǎn)換。這種應(yīng)用也稱為NAT Server轉(zhuǎn)換，用于實(shí)現(xiàn)將內(nèi)網(wǎng)服務(wù)器對公網(wǎng)開放的情景。

（2）動態(tài)地址轉(zhuǎn)換：將多個(gè)內(nèi)網(wǎng)私有地址轉(zhuǎn)換為一個(gè)隨機(jī)分配的公網(wǎng)地址，連接終止后收回公網(wǎng)地址。

（3）動態(tài)地址、端口轉(zhuǎn)換：將多個(gè)內(nèi)網(wǎng)私有地址轉(zhuǎn)換為同一個(gè)分配的公網(wǎng)地址，實(shí)現(xiàn)公網(wǎng)地址的共享功能。這種應(yīng)用也稱為NAT Outbound轉(zhuǎn)換。

三、eNSP軟件的應(yīng)用

eNSP（Enterprise Network Simulation Platform）是一款由華為提供的免費(fèi)的、可擴(kuò)展的、圖形化的網(wǎng)絡(luò)設(shè)備仿真平臺，主要對企業(yè)網(wǎng)路由器、交換機(jī)、WLAN、防火墻等設(shè)備進(jìn)行軟件仿真。 eNSP有如下的主要特色：

（1）圖形化操作；（2）高仿真度；（3）可與真實(shí)設(shè)備對接；（4）分布式部署；（5）便于演示實(shí)驗(yàn)結(jié)果。

四、實(shí)驗(yàn)驗(yàn)證

我們已NAT Outbound實(shí)驗(yàn)為例，講解eNSP軟件如何完成實(shí)驗(yàn)仿真以及結(jié)果分析的。我們設(shè)計(jì)如圖1所示的拓?fù)浣Y(jié)構(gòu)圖。

圖1 NAT Oubound轉(zhuǎn)換

我們的實(shí)驗(yàn)驗(yàn)證采用華為eNSP仿真模擬軟件。我們在防火墻上的主要配置指令如下：

[USG]policy interzone trust untrust outbound

[USG-policy-interzone-trust-untrust-outbound]policy 0

[USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 255.255.255.0

[USG-policy-interzone-trust-untrust-outbound-0]action permit

[USG]nat-policy interzone trust untrust outbound

[USG-nat-policy-interzone-trust-untrust-outbound]policy 0

[USG-nat-policy-interzone-trust-untrust-outbound-0]policy destination 2.2.2.10 0.0.0.255

[USG-nat-policy-interzone-trust-untrust-outbound-0]address-group 1

[USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.10 0.0.0.255

[USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat

四、結(jié)論

通過配置如下指令查看防火墻狀態(tài)轉(zhuǎn)換表，如下：

[USG]display firewall session table

23：43：43 2014/04/17

Current Total Sessions ： 5

icmp VPN：public --> public

192.168.1.10：51190[2.2.2.5：2048]-->2.2.2.10：2048

通過以上轉(zhuǎn)轉(zhuǎn)換表，可知內(nèi)網(wǎng)報(bào)文在進(jìn)入外網(wǎng)之前，防火墻會將其私有源地址轉(zhuǎn)換為公網(wǎng)地址，保護(hù)了用戶隱私和網(wǎng)絡(luò)安全。通過以上實(shí)驗(yàn)配置，我們可以看到eNSP仿真軟件在實(shí)現(xiàn)和演示NAT原理及方面，具有得天獨(dú)厚的優(yōu)勢。

參考文獻(xiàn)：

[1]李長春.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)及其應(yīng)用[J].電腦知識與技術(shù)，2009，6：4376-4377.

[2]趙永馳，吳堅(jiān)，陳波. 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在防火墻中的應(yīng)用[J]. 兵工自動化，2005，1：35-35.

[3] 姜貴平，姜貴君，張松等.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)實(shí)驗(yàn)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 實(shí)驗(yàn)科學(xué)與技術(shù)，2008，6：54-58.

[4]華為技術(shù)有限公司.HCDA華為認(rèn)證工程師培訓(xùn)[M].2013：183-237.

[5]華為技術(shù)有限公司.HCDA實(shí)驗(yàn)指導(dǎo)書[M]. 2013：51-60.