郭 慧

(山西大學(xué)商務(wù)學(xué)院信息學(xué)院，山西 太原 030031)

0 引言

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(Network address translation，NAT)是采用少量的合法公網(wǎng)地址代替局域網(wǎng)中的多臺(tái)主機(jī)來(lái)訪問(wèn)外部資源的一種方法[1-3]。一方面，起到了對(duì)局域網(wǎng)內(nèi)部地址的安全保護(hù)作用；另一方面，在一定程度上解決了IPv4地址空間不足的問(wèn)題[4-6]。

1 基本概念

1) 公網(wǎng)地址和私網(wǎng)地址：公網(wǎng)地址是因特網(wǎng)上的IP地址，要求是全球唯一的地址，是局域網(wǎng)的外部地址。私網(wǎng)地址是局域網(wǎng)內(nèi)部的主機(jī)地址，主要有以下三類地址[7]：

10.0.0.0/8網(wǎng)絡(luò)

172.16.0.0-172.31.255.255

192.168.0.0/16網(wǎng)絡(luò)

2) 地址池：地址池是由一些外部地址組合而成的。在配置了NAT轉(zhuǎn)換的邊界設(shè)備上，會(huì)將自己的內(nèi)部地址轉(zhuǎn)換為地址池中的某個(gè)地址，提高了內(nèi)部主機(jī)訪問(wèn)外部網(wǎng)絡(luò)的能力[8]。

3) 訪問(wèn)控制列表：訪問(wèn)控制列表是一系列的規(guī)則，可以控制內(nèi)部主機(jī)對(duì)外部網(wǎng)絡(luò)的訪問(wèn)，提高網(wǎng)絡(luò)的安全性[9]。

2 問(wèn)題求解

以思科路由器和華為防火墻上的配置說(shuō)明NAT技術(shù)在不同設(shè)備上的實(shí)現(xiàn)。

2.1 NAT在防火墻上的實(shí)現(xiàn)

防火墻采用Eudemon 500防火墻，組網(wǎng)圖如圖1所示。對(duì)應(yīng)關(guān)系為：

員工工作網(wǎng)絡(luò)所在的網(wǎng)段為10.35.0.0/16，處于Trust安全區(qū)域。

需求如下：

要求該公司Trust安全區(qū)域的10.35.64.0/24網(wǎng)段用戶可以訪問(wèn)Internet，該安全區(qū)域其它網(wǎng)段的用戶不能訪問(wèn)。提供的訪問(wèn)外部網(wǎng)絡(luò)的IP范圍為218.26.110.93～218.26.110.96。因?yàn)榉峙涞墓械刂酚邢?，需要通過(guò)NAT進(jìn)行地址轉(zhuǎn)換。

圖1 在防火墻上配置NAT的組網(wǎng)圖

實(shí)驗(yàn)步驟如下[10]：

1) 配置防火墻接口E1/0/0、E2/0/0的IP地址，將以太網(wǎng)接口1/0/0加入trust區(qū)域，將2/0/0加入untrust區(qū)域。

2) 配置NAT address-group

nat address-group 0 220.35.66.3 220.35.66.5

3) 配置ACL規(guī)則

acl 3000

rule permit ip source 10.35.66.0 0.0.0.255

4) 在防火墻的trust域和untrust域間應(yīng)用NAT規(guī)則

firewall interzone trust untrust

nat outbound 3000 address-group 0

防火墻上的運(yùn)行結(jié)果如圖2所示。

圖2 NAT在防火墻上的實(shí)現(xiàn)

其中，InsiderAddr為內(nèi)部主機(jī)地址，以10.35.64.250為例，DestAddr為目的主機(jī)地址122.228.199.67，在訪問(wèn)時(shí)內(nèi)部主機(jī)地址進(jìn)行了NAT地址轉(zhuǎn)換，轉(zhuǎn)換后的地址為地址池中的地址，用GlobalAddr表示，具體為218.26.110.93。

2.2 NAT在路由器上的實(shí)現(xiàn)

一個(gè)公司的員工通過(guò)交換機(jī)連接在邊界路由器上的FastEthernet 0/0端口，路由器的FastEthernet 0/1端口連接外部的服務(wù)器。被分配的公網(wǎng)IP地址范圍為：202.201.1.3～202.201.1.4。要求該公司10.35.64.0/24網(wǎng)段的用戶可以訪問(wèn)外網(wǎng)。由于公網(wǎng)IP地址不多，需要采用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。

在Cisco Packet Tracer模擬器上進(jìn)行了實(shí)現(xiàn)，組網(wǎng)圖如圖3所示。其中，PC0的地址為10.35.64.2/24，F(xiàn)E0/0的地址為10.35.1.1/8，F(xiàn)E0/1的地址為202.201.1.1/24，外部服務(wù)器的地址為202.201.1.2/24。

實(shí)驗(yàn)步驟如下：

1) 配置路由器接口FE0/0、FE0/1、PC0、Server 0的IP地址。

2) 配置ACL規(guī)則，確定NAT轉(zhuǎn)換前的地址。Access-list number 可以自定義為1。

access-list 1 permit 10.35.64.0 0.0.0.255

3) 配置NAT pool，確定NAT轉(zhuǎn)換后的地址。nat pool name可以自定義為p1。

ip nat pool p1 202.201.1.3 202.201.1.4 netmask 255.255.255.0

4) 將ACL規(guī)則和NAT pool關(guān)聯(lián)起來(lái)。

ip nat inside source list 1 pool p1

5) 將FE0/0設(shè)置為內(nèi)網(wǎng)連接口，將FE0/1設(shè)置為外網(wǎng)連接口。

interface fastethernet 0/0

ip nat inside

interface fastethernet 0/1

ip nat outside

最后，打開(kāi)路由器的debug開(kāi)關(guān)。

配置完成后，在PC0上ping服務(wù)器，在路由器上得到的結(jié)果如圖4所示。

圖4 NAT在路由器上的實(shí)現(xiàn)

其中s代表源地址，也就是PC0的地址：10.35.64.2。d代表目的地址，也就是服務(wù)器的地址202.201.1.2。從圖中可以看到，源地址發(fā)生了NAT轉(zhuǎn)換，由10.35.64.2轉(zhuǎn)換成了NAT地址池中的地址202.201.1.3。

3 結(jié)語(yǔ)

實(shí)踐證明，NAT技術(shù)在不同設(shè)備上的具體配置命令雖然不同，但是配置思路基本相同，具體如下：

1) 配制訪問(wèn)控制列表，說(shuō)明哪些私網(wǎng)地址可以進(jìn)行NAT轉(zhuǎn)換。

2) 配制NAT地址池，說(shuō)明私網(wǎng)地址可以轉(zhuǎn)換成哪些公網(wǎng)地址。

3) 將訪問(wèn)控制列表和NAT地址池綁定起來(lái)。

通過(guò)在不同設(shè)備上進(jìn)行NAT配置，并對(duì)配置結(jié)果進(jìn)行分析，總結(jié)了NAT配置思路，使得NAT問(wèn)題求解更加清晰，具有一定的應(yīng)用價(jià)值。