基于eNSP的網(wǎng)絡(luò)地址轉(zhuǎn)換實驗教學(xué)設(shè)計

【摘 要】網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)是路由交換和防火墻技術(shù)課程的重點和難點。如何在得到正確實驗結(jié)果的情況下，更生動的讓學(xué)生理解轉(zhuǎn)換原理，就成為該課程設(shè)計的中心點。通過圍繞仿真軟件eNSP的課程設(shè)計，可以實現(xiàn)將實驗結(jié)果與實驗過程統(tǒng)一，深化學(xué)生對于協(xié)議原理和工作過程的理解。

【關(guān)鍵詞】網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT） eNSP 實驗設(shè)計

一、引言

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)是目前廣泛采用的連接私有網(wǎng)絡(luò)至公網(wǎng)的一種地址轉(zhuǎn)換技術(shù)。NAT技術(shù)將內(nèi)網(wǎng)發(fā)送至外網(wǎng)的報文所包含的源主機私有IP地址轉(zhuǎn)換為共享的公網(wǎng)IP地址，從而隱藏內(nèi)網(wǎng)地址和內(nèi)網(wǎng)結(jié)構(gòu)，避免了真實內(nèi)網(wǎng)IP地址的泄露，提高了網(wǎng)絡(luò)的安全性[1-4]。因此網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)都是作為路由和交換以及防火墻技術(shù)的重點實驗內(nèi)容。

而在以往的課程實驗設(shè)計中，往往受到物理設(shè)備數(shù)量的限制，而必須將學(xué)生分組開展實驗。這樣的設(shè)計方式，既難以保證每位學(xué)生的實驗時間，也難于很好的幫助學(xué)生理解相關(guān)協(xié)議的工作原理和工作方式。針對上述問題，本文提出基于eNSP軟件開展NAT轉(zhuǎn)換實驗。通過實踐測試，表明該方法可以有效的解決以上問題。

二、NAT轉(zhuǎn)換原理

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的應(yīng)用方式主要有以下三類：

（1）靜態(tài)地址轉(zhuǎn)換：將內(nèi)網(wǎng)私有地址與一個固定的公網(wǎng)地址進行綁定，實現(xiàn)一對一靜態(tài)轉(zhuǎn)換。這種應(yīng)用也稱為NAT Server轉(zhuǎn)換，用于實現(xiàn)將內(nèi)網(wǎng)服務(wù)器對公網(wǎng)開放的情景。

（2）動態(tài)地址轉(zhuǎn)換：將多個內(nèi)網(wǎng)私有地址轉(zhuǎn)換為一個隨機分配的公網(wǎng)地址，連接終止后收回公網(wǎng)地址。

（3）動態(tài)地址、端口轉(zhuǎn)換：將多個內(nèi)網(wǎng)私有地址轉(zhuǎn)換為同一個分配的公網(wǎng)地址，實現(xiàn)公網(wǎng)地址的共享功能。這種應(yīng)用也稱為NAT Outbound轉(zhuǎn)換。

三、eNSP軟件的應(yīng)用

eNSP（Enterprise Network Simulation Platform）是一款由華為提供的免費的、可擴展的、圖形化的網(wǎng)絡(luò)設(shè)備仿真平臺，主要對企業(yè)網(wǎng)路由器、交換機、WLAN、防火墻等設(shè)備進行軟件仿真。 eNSP有如下的主要特色：

（1）圖形化操作；（2）高仿真度；（3）可與真實設(shè)備對接；（4）分布式部署；（5）便于演示實驗結(jié)果。

四、實驗驗證

我們已NAT Outbound實驗為例，講解eNSP軟件如何完成實驗仿真以及結(jié)果分析的。我們設(shè)計如圖1所示的拓撲結(jié)構(gòu)圖。

圖1 NAT Oubound轉(zhuǎn)換

我們的實驗驗證采用華為eNSP仿真模擬軟件。我們在防火墻上的主要配置指令如下：

[USG]policy interzone trust untrust outbound

[USG-policy-interzone-trust-untrust-outbound]policy 0

[USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 255.255.255.0

[USG-policy-interzone-trust-untrust-outbound-0]action permit

[USG]nat-policy interzone trust untrust outbound

[USG-nat-policy-interzone-trust-untrust-outbound]policy 0

[USG-nat-policy-interzone-trust-untrust-outbound-0]policy destination 2.2.2.10 0.0.0.255

[USG-nat-policy-interzone-trust-untrust-outbound-0]address-group 1

[USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.10 0.0.0.255

[USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat

四、結(jié)論

通過配置如下指令查看防火墻狀態(tài)轉(zhuǎn)換表，如下：

[USG]display firewall session table

23：43：43 2014/04/17

Current Total Sessions ： 5

icmp VPN：public --> public

192.168.1.10：51190[2.2.2.5：2048]-->2.2.2.10：2048

通過以上轉(zhuǎn)轉(zhuǎn)換表，可知內(nèi)網(wǎng)報文在進入外網(wǎng)之前，防火墻會將其私有源地址轉(zhuǎn)換為公網(wǎng)地址，保護了用戶隱私和網(wǎng)絡(luò)安全。通過以上實驗配置，我們可以看到eNSP仿真軟件在實現(xiàn)和演示NAT原理及方面，具有得天獨厚的優(yōu)勢。

參考文獻：

[1]李長春.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)及其應(yīng)用[J].電腦知識與技術(shù)，2009，6：4376-4377.

[2]趙永馳，吳堅，陳波. 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在防火墻中的應(yīng)用[J]. 兵工自動化，2005，1：35-35.

[3] 姜貴平，姜貴君，張松等.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)實驗的設(shè)計與實現(xiàn)[J]. 實驗科學(xué)與技術(shù)，2008，6：54-58.

[4]華為技術(shù)有限公司.HCDA華為認(rèn)證工程師培訓(xùn)[M].2013：183-237.

[5]華為技術(shù)有限公司.HCDA實驗指導(dǎo)書[M]. 2013：51-60.