邱文軍

（湖北輕工職業(yè)技術(shù)學(xué)院，湖北 武漢 430070）

?

NAT技術(shù)及其虛擬網(wǎng)絡(luò)實驗教學(xué)研究

邱文軍

（湖北輕工職業(yè)技術(shù)學(xué)院，湖北 武漢 430070）

摘要：隨著使用網(wǎng)絡(luò)的人數(shù)不斷增多，IP地址的需求也日益增加，在IPv4地址比較匱乏的今天，通過NAT可以使用少量的公用地址將較多私有IP地址的網(wǎng)絡(luò)連接到Internet。NAT除了能解決了IP地址不足的問題，還能夠有效地保護網(wǎng)絡(luò)內(nèi)部的計算機免受外部網(wǎng)絡(luò)的攻擊。文章給出仿真軟件教學(xué)的具體實例，事實證明，在實踐教學(xué)中，使用Cisco packet tracer模擬器可以提高教學(xué)效果。

關(guān)鍵詞：NAT技術(shù)；Cisco packet tracer；仿真實驗

引言

在中國，入網(wǎng)的人數(shù)每年都在增長，這就需要網(wǎng)絡(luò)供應(yīng)商提供大量的公網(wǎng)IP地址，眾所周知，IPv4地址在2014年就已經(jīng)分配完畢，這就形成了IP地址需求和供給的矛盾。另外，內(nèi)部網(wǎng)絡(luò)在訪問外部網(wǎng)絡(luò)的時候，如何保證內(nèi)部網(wǎng)絡(luò)的安全。為了解決這些問題，出現(xiàn)了一種網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)，它可以提供公網(wǎng)IP地址供專用網(wǎng)絡(luò)重復(fù)使用，可以有效的解決公網(wǎng)地址不足的問題。

一、NAT概述

（一）網(wǎng)絡(luò)地址轉(zhuǎn)換定義

網(wǎng)絡(luò)地址轉(zhuǎn)換器NAT（Network Address Translatio）位于使用專用地址的Intranet和公用地址的internet之間。從Intranet傳出的數(shù)據(jù)包由NAT將他們的專用地址轉(zhuǎn)換為公用地址。從Internet傳入的數(shù)據(jù)包由NAT將他們的公用地址轉(zhuǎn)換為專用地址。這樣在內(nèi)網(wǎng)中計算機使用私有IP地址，而在與外部網(wǎng)絡(luò)通信時使用合法的公有IP地址，大大降低了連接成本。同時NAT也起來將內(nèi)部網(wǎng)絡(luò)隱藏起來，起到保護內(nèi)部網(wǎng)絡(luò)的作用，因為對外部用戶來說只有使用公有IP地址的NAT是可見的。

（二）NAT工作原理

當內(nèi)部網(wǎng)絡(luò)中的一臺主機想傳輸數(shù)據(jù)到外部網(wǎng)絡(luò)時，它先將數(shù)據(jù)包傳輸?shù)絅AT路由器上，路由器檢查數(shù)據(jù)包的報頭，獲取該數(shù)據(jù)包的源IP信息，并從它的NAT映射表中找出與該IP匹配的轉(zhuǎn)換條目，用所選用的內(nèi)部全局地址（全球唯一的IP地址）來替換內(nèi)部局部地址，并轉(zhuǎn)發(fā)數(shù)據(jù)包。當外部網(wǎng)絡(luò)對內(nèi)部主機進行應(yīng)答時，數(shù)據(jù)包被送到NAT路由器上，路由器接收到目的地址為內(nèi)部全局地址的數(shù)據(jù)包后，它將用內(nèi)部全局地址通過NAT映射表查找出內(nèi)部局部地址，然后將數(shù)據(jù)包的目的地址替換成內(nèi)部局部地址，并將數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部主機。

NAT功能通常被集成到路由器、防火墻等關(guān)鍵設(shè)備中，NAT將網(wǎng)絡(luò)分成內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩部分，一般情況下，內(nèi)部網(wǎng)絡(luò)是單位局域網(wǎng)，外部網(wǎng)絡(luò)是Internet。位于內(nèi)部網(wǎng)絡(luò)的外部網(wǎng)絡(luò)邊界的NAT路由器在發(fā)送數(shù)據(jù)之前負責把內(nèi)部私有IP地址翻譯成合法的公網(wǎng)IP地址。

圖1

（三）NAT的三種類型

NAT中對地址的轉(zhuǎn)換有三種類型：靜態(tài)NAT（Static NAT）、動態(tài)NAT（Dynamic NAT）和端口NAT（PAT）。

（1）靜態(tài)NAT：這是一種比較簡單的NAT，它將內(nèi)部地址和外部地址進行一對一的轉(zhuǎn)換。一般情況下，內(nèi)部網(wǎng)絡(luò)中的服務(wù)器（如Web服務(wù)器，E-mail服務(wù)器等）采用這種方式，但靜態(tài)NAT不能解決IP地址短缺的問題）

（2）動態(tài)NAT：動態(tài)NAT定義了NAT地址池（pool）以及一系列需要作映射的內(nèi)部私有地址。采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)，所有的內(nèi)網(wǎng)主機可以使用地址池中的任何一個可用的地址進行NAT轉(zhuǎn)換。

（3）PAT：PAT允許把內(nèi)部私有地址映射到同一個公網(wǎng)地址上，但是這些地址會被轉(zhuǎn)換在該公網(wǎng)地址的不同的端口上，這樣就保證了會話的唯一性。

綜上所述，由于PAT地址轉(zhuǎn)換所要求的公網(wǎng)地址最少，成本最低，所以在地址轉(zhuǎn)換中被廣泛使用，下面的NAT仿真實驗也采用了PAT技術(shù)。

二、利用Cisco packet tracer完成仿真實驗

由于在網(wǎng)絡(luò)課程實訓(xùn)過程中需要大量的交換和路由設(shè)備，僅僅依靠學(xué)校現(xiàn)有的網(wǎng)絡(luò)設(shè)備無法滿足實訓(xùn)需求，所以選擇在Cisco packet tracer模擬器中完成實驗是一種較好的選擇，學(xué)生在加強對原理理解的同時，能快速搭建實驗環(huán)境，使學(xué)生熟練、快速掌握配置技巧，提高教學(xué)效果。

（一）仿真實驗拓撲圖設(shè)計

拓撲圖中Router0為邊界路由器，端口fa0/0連接企業(yè)內(nèi)部網(wǎng)絡(luò)，端口se0/0連接外部網(wǎng)絡(luò)，路由器ISP為互聯(lián)網(wǎng)路由器，要求在Router0上配置NAT，完成內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的訪問（如圖1所示）。

（二）配置過程

在Router0上配置NAT，將內(nèi)網(wǎng)192.168.1.0/24的地址轉(zhuǎn)換為200.1.1.1的外網(wǎng)地址，轉(zhuǎn)換后的IP地址能通過路由器ISP訪問Internet上的www和DNS服務(wù)器。

第一步 配置路由器端口地址

router0（config）#interface fa0/0//選定fa0/0端口

router0（config-if）#ip add 192.168.1.1 255.255.255.0//配置IP地址

router0（config-if）#ip nat inside//設(shè)置為內(nèi)部接口

router0（config-if）#no shut

router0（config）#interface se0/0//選定se0/0接口

router0（config-if）#ip add 200.1.1.1 255.255.255.0//配置IP地址

router0（config-if）#ip nat outside//設(shè)置為外部接口

router0（config-if）#no shut

ISP（config）#interface fa0/0

ISP（config-if）#ip add 60.6.6.1 255.255.255.0

ISP（config-if）#no shut

ISP（config-if）#exit

ISP（config）#int

ISP（config）#interface se0/0

ISP（config-if）#ip address 200.1.1.2 255.255.255.0

ISP（config-if）#no shut

第二步 配置缺省路由

router0（config）#ip route 0.0.0.0 0.0.0.0 se0/0

ISP（config）#ip route 0.0.0.0 0.0.0.0 se0/0

第三步配置NAT

router0（config）#access-list 1 permit 192.168.1.0 0.0.0.255 //設(shè)置訪問列表

router0（config）#ip nat pool internet 200.1.1.1 200.1.1.1 netmask 255.255.255.0//建立被轉(zhuǎn)換公網(wǎng)IP地址池

router0（config）#ip nat inside source list 1 pool internet ove rload//完成端口復(fù)用

（三）驗證測試

分別配置好pc機和服務(wù)器的IP地址，在pc0或pc1上訪問www服務(wù)器，訪問成功后在NAT路由器上輸入測試命令，發(fā)現(xiàn)內(nèi)網(wǎng)IP地址192.168.1.2：1026已經(jīng)被轉(zhuǎn)換為公網(wǎng)IP地址200.1.1.1：1026，仿真實驗完成。

三、NAT配置過程中可能產(chǎn)生的問題及解決的辦法

在實際應(yīng)用過程中，NAT的配置過程中可能會產(chǎn)生地址轉(zhuǎn)換不成功，與外網(wǎng)無法通信的問題。具體的解決步驟是：首先查看各路由器的端口地址配置是否正確；其次查看路由表，看路由表中的條目是否完整，當網(wǎng)絡(luò)規(guī)劃比較大時，內(nèi)網(wǎng)的連通一般使用動態(tài)路由來完成，而內(nèi)網(wǎng)到外網(wǎng)的連通則使用表態(tài)路由；最后檢查NAT的配置是否正確，主要有兩個部分，一是檢查ACL控制訪問列表是否正確，二是檢查公網(wǎng)地址池及端口復(fù)用是否正確。

四、結(jié)束語

文章詳細介紹了NAT技術(shù)在Cisco packet tracer仿真環(huán)境下的配置，NAT技術(shù)是連接局域網(wǎng)和廣域網(wǎng)的重要技術(shù)，在IP地址匱乏的今天，NAT能夠低成本的完成接入，在校園網(wǎng)、企業(yè)網(wǎng)絡(luò)中應(yīng)用非常廣。通過在仿真環(huán)境下的實踐，既可以減少實驗投入成本，也可以鍛煉學(xué)生的實際動手能力，積累實踐經(jīng)驗，增加理論與實踐的結(jié)合，培養(yǎng)學(xué)生的探索精神和創(chuàng)造性思維。

參考文獻

［1］張春玉.路由器NAT實驗教學(xué)設(shè)計［J］.現(xiàn)代計算機，2014（3）：24-25.

［2］孫媛.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）的應(yīng)用［J］.電子技術(shù)與軟件工程，2015（10）：17.

［3］唐泉，聶芳.基于PACKET TRACER實現(xiàn)NAT［J］.電子世界，2015（15）：137-138.

中圖分類號：G642

文獻標志碼：A

文章編號：2096-000X（2016）14-0103-02

作者簡介：邱文軍，男，漢族，湖北漢川人，碩士，講師，研究方向為通信網(wǎng)絡(luò)技術(shù)。

Abstract:With the increasing use of the number of network，demand for the IP address is also increasing，in the IPv4 address shortage of today，through the NAT can use a small amount of public address will be more private IP address to a network to connect to the Internet.NAT in addition to solve the problem of insufficient lP address，but also to effectively protect the network internal computer from the external network attacks.This paper gives the concrete examples of the teaching of simulation software，it is proved that in practice teaching，the teaching effect can be improved by using the packet tracer Cisco simulator.

Keywords:NAT Technology；Cisco packet tracer；simulation experiment