基于Cisco Packet Tracer的端口復(fù)用NAT設(shè)計(jì)與實(shí)現(xiàn)

王亞麗

NAT通常是中小網(wǎng)絡(luò)實(shí)現(xiàn)眾多私有網(wǎng)絡(luò)IP和少量公有網(wǎng)絡(luò)IP之間轉(zhuǎn)換技術(shù)，有效地解決了IP地址空間嚴(yán)重不足的問(wèn)題。本文論述了NAT概念和類型，并基于思科模擬器設(shè)計(jì)仿真了端口復(fù)用NAT的綜合案例，實(shí)現(xiàn)了內(nèi)網(wǎng)地址通過(guò)NAPT映射為公網(wǎng)地址，訪問(wèn)外網(wǎng)。

隨著Internet技術(shù)快速發(fā)展，網(wǎng)絡(luò)內(nèi)部主機(jī)及IP接入終端數(shù)量呈現(xiàn)指數(shù)級(jí)增長(zhǎng)，IPv4注冊(cè)地址已經(jīng)枯竭。同時(shí)，Internet規(guī)模的不斷增長(zhǎng)，骨干互聯(lián)網(wǎng)設(shè)備中的路由表關(guān)于IP路由選擇的相關(guān)表項(xiàng)也急劇增長(zhǎng)，引發(fā)了路由設(shè)備中路由選擇算法的擴(kuò)展性問(wèn)題。NAT技術(shù)能夠?qū)?nèi)部網(wǎng)絡(luò)中的私有IPv4地址翻譯、轉(zhuǎn)換為全球唯一的合法IPv4公有地址，實(shí)現(xiàn)了子網(wǎng)地址在沒(méi)有注冊(cè)的情況下與外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)通信。NAT實(shí)質(zhì)是通過(guò)修改進(jìn)出NAT設(shè)備IP報(bào)文頭部的源IP地址、目的IP地址、端口號(hào)等信息，實(shí)現(xiàn)私有IPv4地址與少量注冊(cè)公有IP地址間的轉(zhuǎn)換，達(dá)到利用私有IP地址連接Internet進(jìn)行通信的目的。

NAT類型介紹

NAT按其基本功能可以分為靜態(tài)NAT、動(dòng)態(tài)NAT和端口復(fù)用NAT（NAPT）。

靜態(tài)NAT是指內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被映射成外部網(wǎng)絡(luò)中的某個(gè)合法地址。內(nèi)部地址和全局地址一一對(duì)應(yīng)，當(dāng)內(nèi)部節(jié)點(diǎn)與外界通信時(shí)，內(nèi)部地址就轉(zhuǎn)換為對(duì)應(yīng)全局地址。靜態(tài)NAT一般用于要求內(nèi)部網(wǎng)絡(luò)能夠被外部網(wǎng)絡(luò)訪問(wèn)需求中，例如內(nèi)網(wǎng)中的HTTP服務(wù)器需要對(duì)外提供WEB服務(wù)。

動(dòng)態(tài)NAT將可用的全局地址集定義成NAT池，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。動(dòng)態(tài)地址轉(zhuǎn)換是從NAT地址池中動(dòng)態(tài)選擇一個(gè)空閑的公有IP地址建立與內(nèi)部本地地址間的映射關(guān)系。

端口復(fù)用NAT（NAPT）是動(dòng)態(tài)轉(zhuǎn)換的一種變形，它可以使多個(gè)內(nèi)部節(jié)點(diǎn)共享一個(gè)全局IP地址，而使用源和目的TCP/UDP端口號(hào)來(lái)區(qū)分NAT表中的轉(zhuǎn)換條目及內(nèi)部地址，通常為PAT、NAPT或端口復(fù)用NAT。目前網(wǎng)絡(luò)中應(yīng)用最多的是端口多路復(fù)用的方式。該方式隱藏了局域網(wǎng)內(nèi)部的主機(jī)，避免了外部網(wǎng)絡(luò)對(duì)內(nèi)部主機(jī)的攻擊。

NAT實(shí)驗(yàn)設(shè)計(jì)與實(shí)現(xiàn)

1.實(shí)驗(yàn)拓?fù)湓O(shè)計(jì)

本實(shí)驗(yàn)?zāi)M內(nèi)網(wǎng)和外網(wǎng)，內(nèi)網(wǎng)網(wǎng)段為192.168.1.0/24，網(wǎng)絡(luò)拓?fù)淙鐖D1所示。R1是內(nèi)網(wǎng)網(wǎng)關(guān)路由器，R2模擬外網(wǎng)路由器與R1相連。R1和R2之間運(yùn)行Rip協(xié)議，網(wǎng)段202.166.10.0/24。內(nèi)網(wǎng)用戶通過(guò)交換機(jī)S1連接到R1上，由于內(nèi)網(wǎng)都使用私網(wǎng)IP地址，為了實(shí)現(xiàn)內(nèi)網(wǎng)用戶可以訪問(wèn)外網(wǎng)服務(wù)器，需要在路由器R1上配置NAT功能，使得內(nèi)網(wǎng)用戶可以訪問(wèn)外網(wǎng)服務(wù)器，服務(wù)器IP地址為66.32.10.2。要求內(nèi)網(wǎng)地址被轉(zhuǎn)換為外部一個(gè)指定的外網(wǎng)地址202.166.10.1，這個(gè)地址配置在路由器R1的Se0/3/1口。

實(shí)驗(yàn)結(jié)果測(cè)試

設(shè)置內(nèi)網(wǎng)PC機(jī)網(wǎng)關(guān)為192.168.1.1，通過(guò)ping服務(wù)器Server1，能夠?qū)崿F(xiàn)數(shù)據(jù)正常通信，如圖2所示。使用show ip nat translation查看NAT地址轉(zhuǎn)換條目，如圖3所示。

結(jié)束語(yǔ)

本文闡述了NAT技術(shù)的概念和類型，并采用思科模擬器仿真了NAPT技術(shù)，實(shí)現(xiàn)內(nèi)網(wǎng)所有主機(jī)多對(duì)一轉(zhuǎn)換為一個(gè)公網(wǎng)地址的方法，更好理解NAT端口復(fù)用原理，進(jìn)而達(dá)到了理論和實(shí)踐相結(jié)合效果。