劉金明，劉桂陽(yáng)，于成江

(黑龍江八一農(nóng)墾大學(xué) 信息技術(shù)學(xué)院，黑龍江 大慶 163319)

基于Packet Tracer的NAT實(shí)驗(yàn)教學(xué)設(shè)計(jì)

劉金明，劉桂陽(yáng)，于成江

(黑龍江八一農(nóng)墾大學(xué) 信息技術(shù)學(xué)院，黑龍江 大慶 163319)

針對(duì)當(dāng)前網(wǎng)絡(luò)實(shí)驗(yàn)教學(xué)的要求和特點(diǎn)，提出運(yùn)用Packet Tracer軟件提供的虛擬平臺(tái)進(jìn)行仿真實(shí)驗(yàn)教學(xué)設(shè)計(jì)，解決當(dāng)前網(wǎng)絡(luò)實(shí)驗(yàn)室建設(shè)中的重要問題。介紹了網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）的工作原理和分類，重點(diǎn)探討基于Packet Tracer的NAT實(shí)驗(yàn)教學(xué)的設(shè)計(jì)過程。

網(wǎng)絡(luò)地址轉(zhuǎn)換；Packet Tracer模擬軟件；實(shí)驗(yàn)教學(xué)；教學(xué)設(shè)計(jì)

網(wǎng)絡(luò)地址轉(zhuǎn)換[1](Network Address Translation，NAT)屬于接入廣域網(wǎng)的技術(shù)，是一種將私有(保留)IP地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，被廣泛應(yīng)用于各種類型Internet接入方式或各種類型的網(wǎng)絡(luò)中。究其原因，在于NAT不僅完美地解決了IP地址不足的問題，而且能夠隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，有效降低內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險(xiǎn)[2]。NAT作為網(wǎng)絡(luò)原理及網(wǎng)絡(luò)工程相關(guān)課程的核心內(nèi)容，理論與實(shí)踐結(jié)合緊密。傳統(tǒng)實(shí)驗(yàn)環(huán)境中開展NAT配置實(shí)驗(yàn)需要路由器、交換機(jī)、計(jì)算機(jī)、網(wǎng)線等多種硬件，實(shí)驗(yàn)環(huán)境搭建繁瑣。而且由于硬件條件與經(jīng)費(fèi)的不足常常制約了實(shí)驗(yàn)的開展，現(xiàn)實(shí)中也是多人組成一個(gè)小組進(jìn)行，人均實(shí)驗(yàn)時(shí)間得不到保證，學(xué)生對(duì)實(shí)驗(yàn)的理解不夠透徹，對(duì)實(shí)驗(yàn)效果有一定的影響[3]。

Packet Tracer、Boson Netsim等模擬軟件[4_5]可以幫助我們解決這類問題，使實(shí)驗(yàn)者從硬件設(shè)備的桎梏中走出來(lái)。模擬軟件可以仿真出真實(shí)的網(wǎng)絡(luò)工程項(xiàng)目，幫助學(xué)生獨(dú)立完成整個(gè)網(wǎng)絡(luò)工程的分析、設(shè)計(jì)、配置、測(cè)試以及運(yùn)行等過程，達(dá)到很好的教學(xué)效果。

Packet Tracer[6]是由Cisco公司針對(duì)CCNA認(rèn)證考試開發(fā)的一個(gè)用來(lái)設(shè)計(jì)、配置和排除網(wǎng)絡(luò)故障的模擬軟件。使用者可以在軟件的圖形用戶界面上直接拖曳物件建立網(wǎng)絡(luò)拓?fù)?，并可在仿真的設(shè)備上進(jìn)行網(wǎng)絡(luò)的配置，最終可驗(yàn)證整個(gè)網(wǎng)絡(luò)工程項(xiàng)目配置的正確性。軟件還提供一個(gè)分組傳輸模擬功能，讓用戶觀察分組在網(wǎng)絡(luò)中的傳輸過程，使用戶進(jìn)一步理解網(wǎng)絡(luò)設(shè)備的工作原理。本文主要探討了基于Packet Tracer配置NAT的實(shí)驗(yàn)教學(xué)設(shè)計(jì)過程。

1 NAT的基本原理與分類

1.1 NAT的基本原理

NAT是一個(gè)IETF(Internet Engineer Task Force)標(biāo)準(zhǔn)，可以有效解決IP地址短缺的問題，如圖1所示。在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部私有IP地址，通過NAT技術(shù)把內(nèi)部私有IP地址轉(zhuǎn)換成合法的公有IP地址在Internet上使用[7]。具體做法是把IP包內(nèi)的地址用合法的IP地址來(lái)替換;同時(shí)，發(fā)往內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包在NAT設(shè)備中被轉(zhuǎn)換成正確的IP地址。

NAT功能通常被集成到路由器、防火墻等設(shè)備中。NAT設(shè)備維護(hù)一個(gè)狀態(tài)表，用來(lái)把非法的IP地址映射到合法的IP地址上去。

圖1 NAT技術(shù)示意圖

1.2 NAT的分類

NAT技術(shù)的實(shí)現(xiàn)有三種類型[8]：靜態(tài)NAT (Static NAT)、動(dòng)態(tài)NAT(Pooled NAT)和網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Network Address Port Translation)。

1.2.1 靜態(tài)NAT

其設(shè)置最簡(jiǎn)單、最容易實(shí)現(xiàn)，是指內(nèi)部網(wǎng)絡(luò)中的某個(gè)特定主機(jī)被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。一般對(duì)內(nèi)網(wǎng)中的各種為外網(wǎng)提供公共訪問服務(wù)的服務(wù)器配置靜態(tài)NAT。

1.2.2 動(dòng)態(tài)NAT

在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。它只是轉(zhuǎn)換IP地址，為每一個(gè)內(nèi)部的IP地址分配一個(gè)臨時(shí)的外部IP地址。這種技術(shù)主要應(yīng)用于撥號(hào)上網(wǎng)，對(duì)于頻繁的遠(yuǎn)程連接也可以采用動(dòng)態(tài)NAT。

1.2.3 網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT

把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。NAPT能使多個(gè)內(nèi)部地址映射到一個(gè)全球地址，也可稱作“多對(duì)一”NAT。NAPT普遍應(yīng)用于接入設(shè)備中，可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面。NAPT與動(dòng)態(tài)NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上，同時(shí)在該地址上加上一個(gè)由NAT設(shè)備指定的TCP/UDP端口號(hào)。

NAPT經(jīng)常與一個(gè)NAT地址池的動(dòng)態(tài)映射一起使用，實(shí)現(xiàn)用多個(gè)合法的公網(wǎng)IP地址支持大量?jī)?nèi)網(wǎng)私有IP地址訪問Internet。

2 NAT配置實(shí)驗(yàn)

本文將針對(duì)上述三種典型的NAT技術(shù)進(jìn)行實(shí)驗(yàn)方案的設(shè)計(jì)，重點(diǎn)對(duì)靜態(tài)NAT、動(dòng)態(tài)NAT、動(dòng)態(tài)NAPT、靜態(tài)NAPT的配置方法和相關(guān)配置命令進(jìn)行詳細(xì)的講解。

2.1 繪制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

首先，在Packet Tracer的工作區(qū)域繪制仿真實(shí)驗(yàn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，如圖2所示。

圖2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

R1和R3分別為兩個(gè)局域網(wǎng)LAN1和LAN2的出口路由器，R2為Internet中的路由器，PC1、PC2、PC3、PC5為內(nèi)網(wǎng)私有IP地址，PC4為外網(wǎng)公有IP地址。需注意的是，PC1和PC2是添加的兩臺(tái)服務(wù)器，在其上可以搭建FTP、Web等各種網(wǎng)絡(luò)服務(wù)。

實(shí)驗(yàn)要求在R1上配置靜態(tài)NAT(為PC1指定內(nèi)網(wǎng)全局地址)，靜態(tài)NAPT(為PC2指定內(nèi)網(wǎng)全局地址和訪問端口)和動(dòng)態(tài)NAPT(為PC3所在網(wǎng)絡(luò)提供接入Internet支持)，在R3上配置動(dòng)態(tài)NAT(為PC5所在網(wǎng)絡(luò)提供接入Internet支持)。

2.2 網(wǎng)絡(luò)基本參數(shù)設(shè)置

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖繪制完成后，在Packet Tracer各配置終端中，分別對(duì)相應(yīng)網(wǎng)絡(luò)設(shè)備進(jìn)行基本網(wǎng)絡(luò)參數(shù)的配置。各PC機(jī)、路由器各接口的IP地址和子網(wǎng)掩碼如圖2所示，其中各PC機(jī)的默認(rèn)網(wǎng)關(guān)為其所連接的路由器接口的IP地址。同時(shí)，在出口路由器R1和R3上配置默認(rèn)路由如表1所示。

表1 出口路由器默認(rèn)路由配置

在完成網(wǎng)絡(luò)基本參數(shù)配置后，在各主機(jī)之間用ping命令測(cè)試連通性，發(fā)現(xiàn)PC1、PC2、PC3相互之間可以通信，且他們都能與路由器R1通信，PC5可以與R3通信，PC4可以與路由器R1、R2、R3通信，但PC4和PC1、PC2、PC3無(wú)法通信，PC4和PC5之間也無(wú)法通信，PC1、PC2、PC3與PC5之間也不可以通信。即LAN1和LAN2內(nèi)部的私有IP地址無(wú)法與Internet上的公網(wǎng)IP地址進(jìn)行通信，通過后續(xù)NAT實(shí)驗(yàn)的配置能夠?qū)崿F(xiàn)內(nèi)網(wǎng)私有IP地址按需接入Internet。

2.3 NAT實(shí)驗(yàn)配置實(shí)現(xiàn)

2.3.1 動(dòng)態(tài)NAT

在R3上配置動(dòng)態(tài)NAT，使PC5可以與PC4通信。在配置前后在PC5上用ping命令測(cè)試其是否能與PC4通信。R3主要配置命令如下：

R3#conf t

R3(config)#access-list 1 permit 10.0.0.0 0.0.0.255

//設(shè)置標(biāo)準(zhǔn)訪問控制列表，指定哪些內(nèi)部主機(jī)地址可以使用動(dòng)態(tài)NAT。

R3(config)#ip nat pool pool_210 210.46.195.101 210.46.195.200 netmask 255.255.255.0

//指定公網(wǎng)地址池，命名為pool_210，用于將內(nèi)部主機(jī)映射到該地址池中的公網(wǎng)地址。

R3(config)#ip nat inside source list 1 pool pool _210

//聲明動(dòng)態(tài)NAT，滿足訪問控制列表1的內(nèi)部主機(jī)地址映射到地址池pool_210中的公網(wǎng)地址，由公網(wǎng)地址代替內(nèi)網(wǎng)地址訪問外網(wǎng)。

R3(config)#int f0/0

R3(config-if)#ip nat outside

//聲明外網(wǎng)出口

R3(config-if)#int f0/1

R3(config-if)#ip nat inside

//聲明內(nèi)網(wǎng)接口

2.3.2 靜態(tài)NAT

在R1上配置靜態(tài)NAT，為FTP服務(wù)器PC1指定內(nèi)網(wǎng)全局地址202.97.224.100，使PC4和PC5可以通過內(nèi)網(wǎng)全局地址202.97.224.100訪問FTP服務(wù)器PC1。在配置前后在PC5和PC4上用ping命令測(cè)試其是否能與202.97.224.100通信，也可以在PC4和PC5的命令行方式下用ftp 202.97.224.100登錄PC1上搭建的FTP服務(wù)器進(jìn)行驗(yàn)證，用戶名和密碼默認(rèn)都是cisco(可在PC1的配置選項(xiàng)卡對(duì)FTP服務(wù)器的相關(guān)參數(shù)進(jìn)行設(shè)置)。另外，因?yàn)槭褂玫氖庆o態(tài)NAT(IP地址對(duì)IP地址的一對(duì)一映射)，因此，PC1上搭建的其他服務(wù)(如Web服務(wù))同樣允許PC4和PC5的訪問。R1主要配置命令如下：

R1#conf t

R1(config)#ip nat inside source static 10.0.0.3 202.97.224.100

//配置靜態(tài)NAT，內(nèi)網(wǎng)地址為10.0.0.3，外網(wǎng)地址為202.97.224.100，實(shí)現(xiàn)所有發(fā)往202.97.224.100的數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)網(wǎng)主機(jī)10.0.0.3。

R1(config)#int s0/0/0

R1(config-if)#ip nat outside

R1(config-if)#int f0/0

R1(config-if)#ip nat inside

2.3.3 動(dòng)態(tài)NAPT

在R1上配置動(dòng)態(tài)NAPT，使PC3可以與PC4通信。在配置前后在PC3上用ping命令測(cè)試其是否能與PC4通信。R1主要配置命令如下：

R1#conf t

R1(config)#access-list 2 permit 192.168.1.0 0.0.0.255

R1(config)#ip nat pool pool_202 202.97.224.200 202.97.224.250 netmask 255.255.255.0

R1(config)#ip nat inside source list 2 pool pool _202 overload

//聲明動(dòng)態(tài)NAPT，內(nèi)網(wǎng)滿足訪問控制列表2的所有主機(jī)以網(wǎng)絡(luò)地址端口轉(zhuǎn)換的形式映射到地址池pool_202中的公網(wǎng)地址和相應(yīng)端口。

R1(config)#int f0/1

R1(config-if)#ip nat inside

2.3.4 靜態(tài)NAPT

靜態(tài)NAPT即靜態(tài)的端口映射，就是在NAT設(shè)備上開放一個(gè)固定的端口，然后設(shè)定此端口收到的數(shù)據(jù)要轉(zhuǎn)發(fā)給內(nèi)網(wǎng)某個(gè)私有IP地址和特定端口。不管有沒有連接，這個(gè)映射關(guān)系都會(huì)一直存在，用以支持Internet上的主機(jī)訪問內(nèi)網(wǎng)的特定服務(wù)器。

在R1上配置靜態(tài)NAPT，為Web服務(wù)器PC2指定內(nèi)網(wǎng)全局地址202.97.224.150，指定訪問端口為80，使PC4和PC5可以通過內(nèi)網(wǎng)全局地址202.97.224.150訪問Web服務(wù)器PC2。在配置前后，在PC5和PC4上用Web瀏覽器測(cè)試其是否能訪問202.97.224.150上的Web頁(yè)面。在靜態(tài)NAPT配置完成后，若在PC5和PC4的命令行方式下嘗試用ftp 202.97.224.150連接PC2上的FTP服務(wù)器(在PC1和PC3上直接用ftp 10.0.0.2可以訪問)，會(huì)發(fā)現(xiàn)連接不上，因?yàn)樵赗1上配置的是NAPT(IP地址：端口對(duì)IP地址：端口的一對(duì)一靜態(tài)端口映射)，只允許對(duì)80端口的訪問。R1主要配置命令如下：

R1#conf t

R1(config)#ip nat inside source static tcp 10.0.0.2 80 202.97.224.150 80

//配置靜態(tài)NAPT，實(shí)現(xiàn)所有發(fā)往公網(wǎng)IP地址202.97.224.150的80端口的TCPWeb請(qǐng)求轉(zhuǎn)發(fā)給內(nèi)網(wǎng)主機(jī)10.0.0.2的80端口。

R1(config)#int f0/1

R1(config-if)#ip nat inside

2.4 實(shí)驗(yàn)結(jié)果測(cè)試與分析

在完成相關(guān)NAT實(shí)驗(yàn)配置實(shí)現(xiàn)后，可以在相應(yīng)PC機(jī)上使用ping命令進(jìn)行聯(lián)通性測(cè)試，也可通過訪問特定服務(wù)器的特定服務(wù)驗(yàn)證配置是否生效，還可以通過在相應(yīng)路由器上使用相應(yīng)命令查看NAT的狀態(tài)信息，相關(guān)命令如下：

Router#show ip nat translations

//查看NAT地址轉(zhuǎn)換信息，即查看NAT Session。

Router#show ip nat statistics

//查看NAT統(tǒng)計(jì)信息

在測(cè)試過程中，可以由Cisco Packet Tracer模擬器的實(shí)時(shí)模式切換到模擬模式下，進(jìn)行數(shù)據(jù)包的捕獲，并查看數(shù)據(jù)包的源IP地址和目的IP地址及相應(yīng)的端口號(hào)，來(lái)驗(yàn)證NAT配置是否生效。

3 結(jié)束語(yǔ)

網(wǎng)絡(luò)地址轉(zhuǎn)換是《計(jì)算機(jī)網(wǎng)絡(luò)》《組網(wǎng)技術(shù)》《網(wǎng)絡(luò)管理》等網(wǎng)絡(luò)工程專業(yè)相關(guān)課程的核心內(nèi)容，也是學(xué)生難以深入理解的知識(shí)點(diǎn)之一。通過對(duì)接近實(shí)際的網(wǎng)絡(luò)環(huán)境的模擬，基于Packet Tracer模擬軟件實(shí)現(xiàn)了各種典型NAT技術(shù)的配置和測(cè)試，對(duì)于NAT的理解和掌握具有很大的幫助。而在計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)教學(xué)中利用Packet Tracer模擬軟件進(jìn)行仿真實(shí)驗(yàn)，既能降低網(wǎng)絡(luò)設(shè)備的投資成本，又能提高學(xué)生做實(shí)驗(yàn)的效率，具有很好的推廣價(jià)值。

[1]劉風(fēng)華，丁賀龍，張永平.關(guān)于NAT技術(shù)的研究與應(yīng)用[J].計(jì)算機(jī)工程與設(shè)計(jì)，2006，27(6)：1814_ 1817.

[2]鄒航，李梁，王柯柯，等.整合ACL和NAT的網(wǎng)絡(luò)安全實(shí)驗(yàn)設(shè)計(jì)[J].實(shí)驗(yàn)室研究與探索，2011，30(4)：61_65.

[3]陳建銳.基于Boson Netsim的網(wǎng)絡(luò)地址轉(zhuǎn)換實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J].實(shí)驗(yàn)室研究與探索，2010，29(4)：59_62.

[4]薛琴.基于Packet Tracer的計(jì)算機(jī)網(wǎng)絡(luò)仿真實(shí)驗(yàn)教學(xué)[J].實(shí)驗(yàn)室研究與探索，2010，29(2)：57_59.

[5]謝慧，聶峰.基于Boson Netsim的計(jì)算機(jī)網(wǎng)絡(luò)仿真實(shí)驗(yàn)教學(xué)研究[J].實(shí)驗(yàn)技術(shù)與管理，2007，24(5)：89 _91.

[6]仲光蘋，劉金明.基于Packet Tracer的IPSec VPN實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J].實(shí)驗(yàn)科學(xué)與技術(shù)，2012，10(3)：51 _53.

[7]劉向東，李志潔，王德高，等.網(wǎng)絡(luò)地址轉(zhuǎn)換原理實(shí)驗(yàn)的設(shè)計(jì)與實(shí)現(xiàn)[J].實(shí)驗(yàn)科學(xué)與技術(shù)，2012，10(4)：106_109.

[8]劉向東，李志潔，王德高，等.NAT原理實(shí)驗(yàn)的設(shè)計(jì)與實(shí)現(xiàn)[J].實(shí)驗(yàn)室研究與探索，2012，31(1)：58_ 62.

Design of NAT EXperimental Teaching Based on Packet Tracer

LIU Jinming，LIU Guiyang，YU Chengjiang
(College of Information Technology，Heilongjiang Bayi Agricultural University，Daqing 163319，China)

According to the requirements and characteristics of networking experimental teaching，using the Packet Tracer software and a virtual platform，this paper proposed the design of simulation experimental teaching to resolve the vital problem in current laboratory construction.This paper introduced the working principle and classification of NAT，focused on the design of NAT experimental teaching based on Packet Tracer.

network address translation;Packet Tracer simulation software;experimental teaching;teaching design

TP393

A

10.3969/j.issn.1672_4550.2014.01.015

2012_11_06

黑龍江八一農(nóng)墾大學(xué)2012年校級(jí)教研課題。

劉金明（1981_），男，碩士，講師，研究方向：虛擬現(xiàn)實(shí)與網(wǎng)絡(luò)教學(xué)。