《【环境设计论文】典型NAT实验环境设计研究(共3212字).docx》由会员分享,可在线阅读,更多相关《【环境设计论文】典型NAT实验环境设计研究(共3212字).docx(5页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、【环境设计论文】典型NAT实验环境设计研究(共3212字)摘要:作为一种在企业网络边界常用的技术,NAT为企业网络在合法IP地址有限的情况下连接互联网以及对外服务提供了技术上的实现途径。给出了一种同时存在静态NAT和EasyIP的典型实验环境,并对其进行配置和测试,分析了其两次地址转换的经过。对于理解和把握NAT的工作原理、在企业网络中应用NAT技术提供了参考。关键词:网络;网络地址转换;IP地址;EasyIP转换;端口1NAT的基本原理网络地址转换NetworkAddressTranslation,NAT技术最初是作为缓解IPv4地址空间紧张的一种解决方案引入的,其主要作用就是通过将私有IP
2、地址转换为合法公有IP地址,使私有网络中的主机能够通过分享少量的公有IP地址访问Internet。另外,NAT技术在客观上屏蔽了企业内部网络的真实IP地址,一定程度上保护了内部网络不遭到外部网络的主动攻击。例如,在使用动态NAT技术进行地址转换时,内部网络主机能够访问外部网络主机,但外部网络主机将无法主动访问内部网络中的主机,因而也提高了企业内部网络的安全性。网络地址转换一般在网络的边界由网络地址转换设备,例如配置了地址转换功能的路由器或防火墙来实现。网络地址转换设备使用地址转换表保存私有IP地址和公有IP地址的映射关系,并根据保存的映射关系对IP地址进行转换。典型的网络地址转换经过如图1所示
3、。在PC1访问外部网络主机时,其产生的数据报文的源IP地址是PC1在内部网络的私有IP地址内部本地地址192.168.1.10,当数据报文到达出口路由器的出接口时,路由器将数据报文的源IP地址转换为内部全局地址202.207.120.10,使数据报文能够在公共网络上路由,并将内部本地地址和内部全局地址的映射关系保存在地址转换表中;在返回的数据报文中,目的IP地址为内部全局地址202.207.120.10,在路由器接收到该报文后,根据地址转换表中保存的映射关系将目的IP地址转换为内部本地地址192.168.1.10,并路由给内部网络的目的主机PC1,进而实现PC1和外部网络主机之间的通信。2NA
4、T的类型根据网络地址转换的原理、转换方式以及应用场合的不同,能够将网络地址转换分为如表1所示的5种。使用哪一种网络地址转换技术来进行地址的转换需要根据网络的详细需求来确定。很多时候在同一个网络中可能会涉及到多种网络地址转换技术,例如某一企业中大量的内部网络主机都有访问Internet的需求,而且企业内部网络还需要提供能够从Internet进行访问的HTTP服务来进行企业宣传,这时候就会同时用到EasyIP和静态网络地址转换两种网络地址转换技术。3NAT实验环境设计3.1NAT实验拓扑构造考虑到在实际的企业网络应用中往往会同时存在EasyIP和静态NAT两种地址转换形式,因而在进行实验环境设计时
5、应包含这两种NAT类型,并能够对其地址转换进行监控和测试。这就需要给出多个以太网段来模拟多个需要进行NAT的企业内网。假设企业内部网络使用的IP地址段为192.168.1.0/24的多个子网段,将其转换为10.0.0.0/8网段的某对应子网段,设计网络拓扑构造如图2所示。3.2NAT实验配置根据图2所示为路由器、交换机和PC配置IP地址,其中路由器的G0/0/0接口使用相应网段中的最后一个可用地址,PC1PC4暂时使用相应网段中的第一个可用地址,路由器的G0/0/1接口和相连的交换机SWA的接口分别使用相应网段的前两个可用地址,PC5的网关地址设置为交换机SWA的接口G0/0/24的IP地址1
6、0.0.1.2。在4台路由器和交换机SWA上配置默认路由保障整个网络的连通性。此时,在四台路由器上使用PING命令测试与外部网络的连通性,应该能够PING通。但需要注意此时PC1PC4均无法连通外部网络,由于交换机SWA并不知道PC所在网段的存在。在实际网络应用中也是如此:需要进行地址转换的内部网络对外部网络而言是透明的或者讲是不存在的,外部网络不会知道使用私有IP地址的内部网络的存在,以防止私有IP地址在公共合法网络上的泄露。在路由器上进行NAT的配置,要求将路由器连接PC的网段中的第一个可用IP地址静态转换到路由器与交换机相连的网段中的最后一个可用IP地址上,使外部网络能够主动访问PC上的
7、HTTP服务。对于路由器连接PC的网段中的其他地址使用EasyIP进行转换,使内网主机能够访问外部网络。参考配置命令如下:注意在进行EasyIP使用的ACL的配置中,对于不需要进行EasyIP转换的内部本地地址要首先deny掉。配置完成后,在PC5的IE中分别输入PC1PC4的内部全局地址来访问其上的HTTP服务,应该能够访问。3.3NAT实验结果测试将PC1和PC2划分到一组,PC3和PC4划分到一组,将PC2/PC4的IP地址修改为相应网段中非第一个地址的任意合法地址,例如第二个地址,然后在PC2和PC4的IE中分别输入同组的PC1或PC3的内部全局地址来访问其上的HTTP服务,应该能够访
8、问。在进行访问的同时,在4台路由器上使用命令debuggingnatall查看地址转换的经过,并使用命令displaynatsessionprotocoltcpdestination10.1.1.6/14查看NAT会话情况,详细如下:注意:在PC2/PC4访问同组的PC1/PC3的HTTP服务经过中,实际上经过了两次地址转换。分别为在路由器RTB/RTD上进行的EasyIP的转换,以及在路由器RTA/RTC上进行的静态地址转换。详细如图3所示。作为在企业网络边界常用的一种IP地址节约技术,NAT有着非常广泛的应用,尤其是多种不同NAT类型的综合应用,为企业网络访问外网以及对外进行网络服务提供了底层技术的支持。作为企业网络管理人员,有必要通过实际网络环境测试了解NAT的底层实现原理,以更好地维护网络,使其在可用IP地址有限的情况下能够高效、安全地运行,为企业提供优质的网络服务。
黑公网安备:91230400333293403D