论文部分内容阅读
摘要:本文介绍解决私网地址的网络接入 Internet 问题的NAT技术,对NAT的工作原理以及4种配置NAT的具体方法进行了深入阐述,并就NAT技术在校园网中的应用作具体配置。
关键词:IP地址;路由器;NAT;PAT
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)12-20ppp-0c
The NAT Technique Principle Investigation and the Applied Example of Campus Net
YAO Zheng
(Maanshan Teachers’ College, Maanshan 243041, China)
Abstract: The article introduce the technology of Network address translation,which solves the problem of the private network address when it connected to the Internet, expatiate on the principle of Nat working and 4 kinds of frondose configurations,and apply the technology of Nat to the campus net in frondose configurations.
Key words: IP address; Router; Network address translation; Port address translation
1 引言
Internet(因特网)从1990年代以来发展非常迅速,取得了极大的成功。但是,IP地址短缺已成为一个相当严重的问题,因为任何人要想进入因特网,都必须拥有一个合法的IP地址实现与广域网的互联,而IPV4的地址供应是有限的,那么IP地址的供应将会被耗尽。随着新的技术产生和发展,IPV4不再面对迫在眉睫的地址耗尽。一个以帮助IPV4避免地址耗尽的技术是网络地址转换(NAT)。
当一个局域网接入到因特网时,往往只能获得一组很少的合法IP地址,局域网内大部分用户只有私有IP地址,那么怎样才能让私有IP地址的用户也能上因特网?网络地址转换(NAT)是用于将一个地址域映射到另一个地址域的标准方法,如局域网到广域网的映射。实际上,NAT允许私有地址主机访问Internet.NAT提供的另一个功能是网络安全。NAT通过隐藏真实的IP地址来提供安全。使用NAT,可以只有一个合法的外部地址,它是公开知道的,像一个屏蔽或隐藏网络的真IP地址。
2 NAT拓扑结构及其工作过程
一台启用NAT的设备典型的是运行在局域网和广域网连接的边界上(局域网到广域网只有一条链路),当局域网内的一个主机想传输数据到外部的一个主机时,它要将分组转发给它的缺省网关,运行在路由器的NAT进程查看内部的IP头。如果合适,NAT会用一个全球唯一的IP地址来替换本地IP地址。
NAT路由器RTA决定分组的源地址10.1.1.5应当被交换。本例中,RTA会用一个全球或真实的地址170.7.2.1来替换这个私有地址。RTA还将在一个NAT转换表中保存这个转换的记录。
当一个外部主机送一个应答时,NAT路由器收到它,如下图所示,NAT路由器检查当前的网络地址转换表,并且用最初的内部源地址替换目的地址
3 配置NAT的具体方法
设m为需要地址转换的源IP地址——内部地址(简称源IP)数,n为所能提供的转换IP地址——内部全局地址(简称NAT IP)数。根据m=n或m>n两种不同情况,可以把NAT技术分为两类:静态NAT和动态NAT技术,在源IP和NAT IP间进行一对一的固定转换称为静态NAT技术;而根据具体情况(运行时情况)为每个源IP动态分NAT IP则称为动态NAT技术;
3.1 静态NAT技术
源IP数目等于NAT IP数目,m=n。静态NAT技术的转换非常简单,但该技术由于没有起到节约IP地址资源的目的,应用面不是很广。
静态地址转换基本配置步骤如下:
1.在内部本地地址与内部合法地址之间建立静态地址转换。
Router(config)# ip nat inside source static 内部本地地址 内部合法地址
2.指定连接网络的内部端口。
Router(config)# ip natinside
3.指定连接外部网络的外部端口。
Router(config)# ip nat outside
3.2 动态NAT技术
当m>n时要采用动态NAT技术。另外,当m=n时,考虑到某些情况下需要非固定地址转换(如安全原因),也需要动态NAT技术。
NAT路由器动态地为每个IP地址或每次连接提供NAT IP地址。为保证通信的双向性,NAT路由器必须记录通信双方的主机信息甚至连接信息(这有可能要查看数据包中TCP信息)。
从内部来说,当所有能分配的NAT IP都被用完后,就不允许有其他的连接了。从外部来说,内部计算机是不可见的(前提是外部计算机先发起访问)。
使用动态NAT,NAT转换表中不存在转换直到路由器收到需要转换的流量。一个管理员定义这个流量。动态转换是暂时的并最终会过期。
动态地址转换基本配置步骤如下:
1.定义内部合法地址池
Router(config)# ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码
2.定义一个标准的access-list 规则以允许哪些内部地址可以进行动态地址转换
Router(config)# access-list 标号 permit 源地址 通配符,其中标号为1-99之间的整数
3.将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换
Router(config)# ip natinside source list 访问列表标号 pool 内部合法地址池名字
4.指定与内部网络相连的内部端口
Router(config)# ip nat inside
5.指定与外部网络相连的外部端口
Router(config)# ip nat outside
3.3 NAT过载(端口地址转换)
动态NAT的一个重要优点是能够用很少的全球可路由IP地址来服务大量的主机。转换表项的超时很重要,这使得池里面的地址可用于其他主机。
但是,如果转换表项不能尽快地过期,整个地址池会都在使用,并且额外的主机将不能访问Internet。地址过载就是用很少的地址服务大量的主机。
端口地址转换PAT(Port Address Translation)也称为NAPT,普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面PAT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定TCP端口号。在Internet中使用PAT时,所有不同TCP和UDP信息流看起来源于同一个IP地址。此优点在小型办公室内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过PAT接入Internet。一条映射一个IP地址和端口对到另一个地址和端口对的转换条目被称为一条扩展表项。
配置NAT过载(PAT)步骤如下:
使用关键字Overload来配置NAT过载(PAT)
1.定义内部地址池
Router(config)# ip nat pool 地址池名称 起始IP地址 终止IP地址
Net mask 子网掩码,其中地址池名字可以任意设定。
2.定义一个标准的 access-list规则以允许那些内部本地地址可以进行地址转换
Router(config)# access-list 标号 permit 源地址 通配符,其中标号为1-99之间的整数。
3.设置在内部在内部的本地地址与内部合法IP地址间建立端口地址转换
Router(config)# ip nat inside source list 访问列表标号 pool 内部合法地址池名字overload
4.指定与内部网络相连的内部端口
Router(config)# ip nat inside
5.指定与外部网络相连的外部端口
Router(config)# ip nat outside
3.4 TCP负载负担
以上所谈论的是关于NAT和PAT把内部IP地址转换成外部合法的IP地址使用。除此之外,NAT还可以用于负载平衡的DNS系列服务器的一个替代品。DNS系列服务器解决了多个IP地址公用一个域名的问题。它会在响应DNS申请时跳跃式地寻找可用的IP地址。达到的效果就是一个域名可以对应多个IP地址。
这种功能可以应用在一个WWW服务器群中,利用它可以平衡多个服务器的负载。Cisco路由器支持TCP负载分担作为静态映射的一种扩展。
配置TCP负载分担步骤如下:
1.定义一个包含真实主机地址的地址池:
Router(config)# ip nat pool 地址池名称 起始IP地址 终止IP地址
Net mask 子网掩码 [type rotary]
2.定义一个访问列表允许虚拟主机的地址:
Router(config)# access-list 标号 permit 源地址 通配符,其中标号为1-99之间的整数。
3.建立动态内部目的转换,标识步骤2中定义的访问列表:
Router(config)# ip nat inside destination list 标号 poll name
4.指定内部接口
Router(config)# interface type number
5.将接口标记为连接到内部:
Router(config)# ip nat inside
6.指定外部接口:
Router(config)# interface type number
7.将接口标记为连接到外部:
Router(config)# ip nat outside
4 应用实例
根据某校园的网络环境利用TCP/UDP端口映射的应用,网络采用1000Mbps光纤接入Internet.路由器选用拥有2个 10/100/1000Mbps自适应端口的Cisco2821.内部网络使用的IP地址段为192.168.1.1~192.168.1.254(根据内部网络规模而定),局域网端口Ethernet 0 的IP地址为192.168.1.1,子网掩码为255.255.255.0.网络分配的合法IP地址范围为 202.99.16.128~202.99.160.135,子网掩码为255.255.255.248,连接ISP的端口Ethernet 1的IP地址为211.82.220.129,子网掩码为255.255.255.252,可用于转换IP地址为211.82.220.130.可以配置相同类型的多个服务器,如多个Web服务器,多个E-mail服务器等。
具体配置文件如下:(其他无关信息省略)
Interface fastethernet 0/0
Ip address 192.168.1.1 255.255.255.0!--定义本地端口IP地址
Ip nat inside !--定义为本地端口
Interface fastethernet 0/1
Ip address 202.99.160.129 255.255.255.252!--定义广域网端口IP地址
Ip nat outside !--定义为广域网端口
Access-list 1 permit 192.168.1.0 0.0.0.255 !--定义本地访问列表
Ip nat pool multiip 202.99.160.130 202.99.160.134 netmask 255.255.255.248
!--定义multiip地址池的IP范围
Ip nat inside source list 1 mullitip overload
Ip nat inside source static tcp 192.168.1.11 80 202.99.16.130 80
Ip nat inside source static tcp 192.168.1.12 80 202.99.16.131 80
Ip nat inside source static tcp 192.168.1.13 80 202.99.16.132 80
!--将80端口映射为192.168.1.11~13的80端口(WEB1-3)
Ip nat inside source static tcp 192.168.1.14 21 202.99.16.130 21
Ip nat inside source static tcp 192.168.1.15 21 202.99.16.131 21
!--将21端口映射为192.168.1.14~15的21端口(FTP1-2)
Ip nat inside source static tcp 192.168.1.16 25 202.99.16.133 25
Ip nat inside source static tcp 192.168.1.17 25 202.99.16.134 25
!--将25端口映射为192.168.1.16~17的25端口(mail1-2)
5 结束语
虽然NAT带来了许多优越性,如使现有的网络不需要重新编址、节约地址空间、减少了ISP的接入费用,还可以起到负载分担的作用,但是NAT潜在地影响到一些网络管理功能和安全设施,首先,使用NAT地址转换会使路由器处理数据包延迟增大。路由器的CPU必须对每个数据包进行检查,对需要改变地址信息的数据包进行操作,因此会加大运行负担;同时路由器要使用NAT技术,必须处于处理机交换的工作模式,会降低运行性能。另一方面,NAT隐藏了端到端的IP地址,使得对数据包的跟踪变得比较困难,由于这个原因,使得一些内嵌的IP地址在应用中会产生问题,如ICMP协议,DNS,FTP等。所以在使用NAT技术时一定要精心的规划。
参考文献:
[1]谢希仁. 计算机网络(第2版)[M]. 北京:电子工业出版社,2002.
[2]Steve McQuerry. Cisco 网络设备互连[M]. 人民邮电出版社,2006.
[3]BassamHalabi. 因特网的路由选择技术[M]. 北京:电子工业出版社,2000.
收稿日期:2008-03-25
作者简介:姚正(1979-),男,安徽省马鞍山市人,助教,学士,研究方向:网络设备配置与网络安全。
关键词:IP地址;路由器;NAT;PAT
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)12-20ppp-0c
The NAT Technique Principle Investigation and the Applied Example of Campus Net
YAO Zheng
(Maanshan Teachers’ College, Maanshan 243041, China)
Abstract: The article introduce the technology of Network address translation,which solves the problem of the private network address when it connected to the Internet, expatiate on the principle of Nat working and 4 kinds of frondose configurations,and apply the technology of Nat to the campus net in frondose configurations.
Key words: IP address; Router; Network address translation; Port address translation
1 引言
Internet(因特网)从1990年代以来发展非常迅速,取得了极大的成功。但是,IP地址短缺已成为一个相当严重的问题,因为任何人要想进入因特网,都必须拥有一个合法的IP地址实现与广域网的互联,而IPV4的地址供应是有限的,那么IP地址的供应将会被耗尽。随着新的技术产生和发展,IPV4不再面对迫在眉睫的地址耗尽。一个以帮助IPV4避免地址耗尽的技术是网络地址转换(NAT)。
当一个局域网接入到因特网时,往往只能获得一组很少的合法IP地址,局域网内大部分用户只有私有IP地址,那么怎样才能让私有IP地址的用户也能上因特网?网络地址转换(NAT)是用于将一个地址域映射到另一个地址域的标准方法,如局域网到广域网的映射。实际上,NAT允许私有地址主机访问Internet.NAT提供的另一个功能是网络安全。NAT通过隐藏真实的IP地址来提供安全。使用NAT,可以只有一个合法的外部地址,它是公开知道的,像一个屏蔽或隐藏网络的真IP地址。
2 NAT拓扑结构及其工作过程
一台启用NAT的设备典型的是运行在局域网和广域网连接的边界上(局域网到广域网只有一条链路),当局域网内的一个主机想传输数据到外部的一个主机时,它要将分组转发给它的缺省网关,运行在路由器的NAT进程查看内部的IP头。如果合适,NAT会用一个全球唯一的IP地址来替换本地IP地址。
NAT路由器RTA决定分组的源地址10.1.1.5应当被交换。本例中,RTA会用一个全球或真实的地址170.7.2.1来替换这个私有地址。RTA还将在一个NAT转换表中保存这个转换的记录。
当一个外部主机送一个应答时,NAT路由器收到它,如下图所示,NAT路由器检查当前的网络地址转换表,并且用最初的内部源地址替换目的地址
3 配置NAT的具体方法
设m为需要地址转换的源IP地址——内部地址(简称源IP)数,n为所能提供的转换IP地址——内部全局地址(简称NAT IP)数。根据m=n或m>n两种不同情况,可以把NAT技术分为两类:静态NAT和动态NAT技术,在源IP和NAT IP间进行一对一的固定转换称为静态NAT技术;而根据具体情况(运行时情况)为每个源IP动态分NAT IP则称为动态NAT技术;
3.1 静态NAT技术
源IP数目等于NAT IP数目,m=n。静态NAT技术的转换非常简单,但该技术由于没有起到节约IP地址资源的目的,应用面不是很广。
静态地址转换基本配置步骤如下:
1.在内部本地地址与内部合法地址之间建立静态地址转换。
Router(config)# ip nat inside source static 内部本地地址 内部合法地址
2.指定连接网络的内部端口。
Router(config)# ip natinside
3.指定连接外部网络的外部端口。
Router(config)# ip nat outside
3.2 动态NAT技术
当m>n时要采用动态NAT技术。另外,当m=n时,考虑到某些情况下需要非固定地址转换(如安全原因),也需要动态NAT技术。
NAT路由器动态地为每个IP地址或每次连接提供NAT IP地址。为保证通信的双向性,NAT路由器必须记录通信双方的主机信息甚至连接信息(这有可能要查看数据包中TCP信息)。
从内部来说,当所有能分配的NAT IP都被用完后,就不允许有其他的连接了。从外部来说,内部计算机是不可见的(前提是外部计算机先发起访问)。
使用动态NAT,NAT转换表中不存在转换直到路由器收到需要转换的流量。一个管理员定义这个流量。动态转换是暂时的并最终会过期。
动态地址转换基本配置步骤如下:
1.定义内部合法地址池
Router(config)# ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码
2.定义一个标准的access-list 规则以允许哪些内部地址可以进行动态地址转换
Router(config)# access-list 标号 permit 源地址 通配符,其中标号为1-99之间的整数
3.将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换
Router(config)# ip natinside source list 访问列表标号 pool 内部合法地址池名字
4.指定与内部网络相连的内部端口
Router(config)# ip nat inside
5.指定与外部网络相连的外部端口
Router(config)# ip nat outside
3.3 NAT过载(端口地址转换)
动态NAT的一个重要优点是能够用很少的全球可路由IP地址来服务大量的主机。转换表项的超时很重要,这使得池里面的地址可用于其他主机。
但是,如果转换表项不能尽快地过期,整个地址池会都在使用,并且额外的主机将不能访问Internet。地址过载就是用很少的地址服务大量的主机。
端口地址转换PAT(Port Address Translation)也称为NAPT,普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面PAT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定TCP端口号。在Internet中使用PAT时,所有不同TCP和UDP信息流看起来源于同一个IP地址。此优点在小型办公室内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过PAT接入Internet。一条映射一个IP地址和端口对到另一个地址和端口对的转换条目被称为一条扩展表项。
配置NAT过载(PAT)步骤如下:
使用关键字Overload来配置NAT过载(PAT)
1.定义内部地址池
Router(config)# ip nat pool 地址池名称 起始IP地址 终止IP地址
Net mask 子网掩码,其中地址池名字可以任意设定。
2.定义一个标准的 access-list规则以允许那些内部本地地址可以进行地址转换
Router(config)# access-list 标号 permit 源地址 通配符,其中标号为1-99之间的整数。
3.设置在内部在内部的本地地址与内部合法IP地址间建立端口地址转换
Router(config)# ip nat inside source list 访问列表标号 pool 内部合法地址池名字overload
4.指定与内部网络相连的内部端口
Router(config)# ip nat inside
5.指定与外部网络相连的外部端口
Router(config)# ip nat outside
3.4 TCP负载负担
以上所谈论的是关于NAT和PAT把内部IP地址转换成外部合法的IP地址使用。除此之外,NAT还可以用于负载平衡的DNS系列服务器的一个替代品。DNS系列服务器解决了多个IP地址公用一个域名的问题。它会在响应DNS申请时跳跃式地寻找可用的IP地址。达到的效果就是一个域名可以对应多个IP地址。
这种功能可以应用在一个WWW服务器群中,利用它可以平衡多个服务器的负载。Cisco路由器支持TCP负载分担作为静态映射的一种扩展。
配置TCP负载分担步骤如下:
1.定义一个包含真实主机地址的地址池:
Router(config)# ip nat pool 地址池名称 起始IP地址 终止IP地址
Net mask 子网掩码 [type rotary]
2.定义一个访问列表允许虚拟主机的地址:
Router(config)# access-list 标号 permit 源地址 通配符,其中标号为1-99之间的整数。
3.建立动态内部目的转换,标识步骤2中定义的访问列表:
Router(config)# ip nat inside destination list 标号 poll name
4.指定内部接口
Router(config)# interface type number
5.将接口标记为连接到内部:
Router(config)# ip nat inside
6.指定外部接口:
Router(config)# interface type number
7.将接口标记为连接到外部:
Router(config)# ip nat outside
4 应用实例
根据某校园的网络环境利用TCP/UDP端口映射的应用,网络采用1000Mbps光纤接入Internet.路由器选用拥有2个 10/100/1000Mbps自适应端口的Cisco2821.内部网络使用的IP地址段为192.168.1.1~192.168.1.254(根据内部网络规模而定),局域网端口Ethernet 0 的IP地址为192.168.1.1,子网掩码为255.255.255.0.网络分配的合法IP地址范围为 202.99.16.128~202.99.160.135,子网掩码为255.255.255.248,连接ISP的端口Ethernet 1的IP地址为211.82.220.129,子网掩码为255.255.255.252,可用于转换IP地址为211.82.220.130.可以配置相同类型的多个服务器,如多个Web服务器,多个E-mail服务器等。
具体配置文件如下:(其他无关信息省略)
Interface fastethernet 0/0
Ip address 192.168.1.1 255.255.255.0!--定义本地端口IP地址
Ip nat inside !--定义为本地端口
Interface fastethernet 0/1
Ip address 202.99.160.129 255.255.255.252!--定义广域网端口IP地址
Ip nat outside !--定义为广域网端口
Access-list 1 permit 192.168.1.0 0.0.0.255 !--定义本地访问列表
Ip nat pool multiip 202.99.160.130 202.99.160.134 netmask 255.255.255.248
!--定义multiip地址池的IP范围
Ip nat inside source list 1 mullitip overload
Ip nat inside source static tcp 192.168.1.11 80 202.99.16.130 80
Ip nat inside source static tcp 192.168.1.12 80 202.99.16.131 80
Ip nat inside source static tcp 192.168.1.13 80 202.99.16.132 80
!--将80端口映射为192.168.1.11~13的80端口(WEB1-3)
Ip nat inside source static tcp 192.168.1.14 21 202.99.16.130 21
Ip nat inside source static tcp 192.168.1.15 21 202.99.16.131 21
!--将21端口映射为192.168.1.14~15的21端口(FTP1-2)
Ip nat inside source static tcp 192.168.1.16 25 202.99.16.133 25
Ip nat inside source static tcp 192.168.1.17 25 202.99.16.134 25
!--将25端口映射为192.168.1.16~17的25端口(mail1-2)
5 结束语
虽然NAT带来了许多优越性,如使现有的网络不需要重新编址、节约地址空间、减少了ISP的接入费用,还可以起到负载分担的作用,但是NAT潜在地影响到一些网络管理功能和安全设施,首先,使用NAT地址转换会使路由器处理数据包延迟增大。路由器的CPU必须对每个数据包进行检查,对需要改变地址信息的数据包进行操作,因此会加大运行负担;同时路由器要使用NAT技术,必须处于处理机交换的工作模式,会降低运行性能。另一方面,NAT隐藏了端到端的IP地址,使得对数据包的跟踪变得比较困难,由于这个原因,使得一些内嵌的IP地址在应用中会产生问题,如ICMP协议,DNS,FTP等。所以在使用NAT技术时一定要精心的规划。
参考文献:
[1]谢希仁. 计算机网络(第2版)[M]. 北京:电子工业出版社,2002.
[2]Steve McQuerry. Cisco 网络设备互连[M]. 人民邮电出版社,2006.
[3]BassamHalabi. 因特网的路由选择技术[M]. 北京:电子工业出版社,2000.
收稿日期:2008-03-25
作者简介:姚正(1979-),男,安徽省马鞍山市人,助教,学士,研究方向:网络设备配置与网络安全。