網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的實現(xiàn)

郭 慧

(山西大學(xué)商務(wù)學(xué)院信息學(xué)院，山西 太原 030031)

0 引言

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(Network address translation，NAT)是采用少量的合法公網(wǎng)地址代替局域網(wǎng)中的多臺主機來訪問外部資源的一種方法[1-3]。一方面，起到了對局域網(wǎng)內(nèi)部地址的安全保護作用；另一方面，在一定程度上解決了IPv4地址空間不足的問題[4-6]。

1 基本概念

1) 公網(wǎng)地址和私網(wǎng)地址：公網(wǎng)地址是因特網(wǎng)上的IP地址，要求是全球唯一的地址，是局域網(wǎng)的外部地址。私網(wǎng)地址是局域網(wǎng)內(nèi)部的主機地址，主要有以下三類地址[7]：

10.0.0.0/8網(wǎng)絡(luò)

172.16.0.0-172.31.255.255

192.168.0.0/16網(wǎng)絡(luò)

2) 地址池：地址池是由一些外部地址組合而成的。在配置了NAT轉(zhuǎn)換的邊界設(shè)備上，會將自己的內(nèi)部地址轉(zhuǎn)換為地址池中的某個地址，提高了內(nèi)部主機訪問外部網(wǎng)絡(luò)的能力[8]。

3) 訪問控制列表：訪問控制列表是一系列的規(guī)則，可以控制內(nèi)部主機對外部網(wǎng)絡(luò)的訪問，提高網(wǎng)絡(luò)的安全性[9]。

2 問題求解

以思科路由器和華為防火墻上的配置說明NAT技術(shù)在不同設(shè)備上的實現(xiàn)。

2.1 NAT在防火墻上的實現(xiàn)

防火墻采用Eudemon 500防火墻，組網(wǎng)圖如圖1所示。對應(yīng)關(guān)系為：

員工工作網(wǎng)絡(luò)所在的網(wǎng)段為10.35.0.0/16，處于Trust安全區(qū)域。

需求如下：

要求該公司Trust安全區(qū)域的10.35.64.0/24網(wǎng)段用戶可以訪問Internet，該安全區(qū)域其它網(wǎng)段的用戶不能訪問。提供的訪問外部網(wǎng)絡(luò)的IP范圍為218.26.110.93～218.26.110.96。因為分配的公有地址有限，需要通過NAT進行地址轉(zhuǎn)換。

圖1 在防火墻上配置NAT的組網(wǎng)圖

實驗步驟如下[10]：

1) 配置防火墻接口E1/0/0、E2/0/0的IP地址，將以太網(wǎng)接口1/0/0加入trust區(qū)域，將2/0/0加入untrust區(qū)域。

2) 配置NAT address-group

nat address-group 0 220.35.66.3 220.35.66.5

3) 配置ACL規(guī)則

acl 3000

rule permit ip source 10.35.66.0 0.0.0.255

4) 在防火墻的trust域和untrust域間應(yīng)用NAT規(guī)則

firewall interzone trust untrust

nat outbound 3000 address-group 0

防火墻上的運行結(jié)果如圖2所示。

圖2 NAT在防火墻上的實現(xiàn)

其中，InsiderAddr為內(nèi)部主機地址，以10.35.64.250為例，DestAddr為目的主機地址122.228.199.67，在訪問時內(nèi)部主機地址進行了NAT地址轉(zhuǎn)換，轉(zhuǎn)換后的地址為地址池中的地址，用GlobalAddr表示，具體為218.26.110.93。

2.2 NAT在路由器上的實現(xiàn)

一個公司的員工通過交換機連接在邊界路由器上的FastEthernet 0/0端口，路由器的FastEthernet 0/1端口連接外部的服務(wù)器。被分配的公網(wǎng)IP地址范圍為：202.201.1.3～202.201.1.4。要求該公司10.35.64.0/24網(wǎng)段的用戶可以訪問外網(wǎng)。由于公網(wǎng)IP地址不多，需要采用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。

在Cisco Packet Tracer模擬器上進行了實現(xiàn)，組網(wǎng)圖如圖3所示。其中，PC0的地址為10.35.64.2/24，F(xiàn)E0/0的地址為10.35.1.1/8，F(xiàn)E0/1的地址為202.201.1.1/24，外部服務(wù)器的地址為202.201.1.2/24。

實驗步驟如下：

1) 配置路由器接口FE0/0、FE0/1、PC0、Server 0的IP地址。

2) 配置ACL規(guī)則，確定NAT轉(zhuǎn)換前的地址。Access-list number 可以自定義為1。

access-list 1 permit 10.35.64.0 0.0.0.255

3) 配置NAT pool，確定NAT轉(zhuǎn)換后的地址。nat pool name可以自定義為p1。

ip nat pool p1 202.201.1.3 202.201.1.4 netmask 255.255.255.0

4) 將ACL規(guī)則和NAT pool關(guān)聯(lián)起來。

ip nat inside source list 1 pool p1

5) 將FE0/0設(shè)置為內(nèi)網(wǎng)連接口，將FE0/1設(shè)置為外網(wǎng)連接口。

interface fastethernet 0/0

ip nat inside

interface fastethernet 0/1

ip nat outside

最后，打開路由器的debug開關(guān)。

配置完成后，在PC0上ping服務(wù)器，在路由器上得到的結(jié)果如圖4所示。

圖4 NAT在路由器上的實現(xiàn)

其中s代表源地址，也就是PC0的地址：10.35.64.2。d代表目的地址，也就是服務(wù)器的地址202.201.1.2。從圖中可以看到，源地址發(fā)生了NAT轉(zhuǎn)換，由10.35.64.2轉(zhuǎn)換成了NAT地址池中的地址202.201.1.3。

3 結(jié)語

實踐證明，NAT技術(shù)在不同設(shè)備上的具體配置命令雖然不同，但是配置思路基本相同，具體如下：

1) 配制訪問控制列表，說明哪些私網(wǎng)地址可以進行NAT轉(zhuǎn)換。

2) 配制NAT地址池，說明私網(wǎng)地址可以轉(zhuǎn)換成哪些公網(wǎng)地址。

3) 將訪問控制列表和NAT地址池綁定起來。

通過在不同設(shè)備上進行NAT配置，并對配置結(jié)果進行分析，總結(jié)了NAT配置思路，使得NAT問題求解更加清晰，具有一定的應(yīng)用價值。