论文部分内容阅读
摘要:为了解决IP地址紧缺以及局域网安全的问题,提出一种NAPT网络设计。公司总部和分公司的内部网络分别通过一个映射到公网的IP地址实现网络通信。公司的私网通常会有一些服务器需要提供给公网用户访问。但网络部署时,服务器地址一般都会被配置成私网地址,这样服务器就不能直接使用自身的地址来提供服务了。因此在路由器上配置NAT Server,通过公布到公网的IP地址来访问内部的服务器。此实现方案,为相关网络实践提供了有益的参考。
关键词:NAPT;NAT Server;转换;ENSP
引言
计算机网络的组建是一项系统工程,同时用户环境和用户需求通常具有复杂性,使得网络也变得形式多样,更具复杂性。网络组建的实践证明,在组建实际的网络之前先使用计算机网络仿真软件进行网络仿真,使得网络能满足用户的最终需求,可以避免实际网络组建过程中可能会发生的一些错误决策和资源浪费,有效的保证实际网络组建目标的实现。
ENSP(Enterprise Network Simulation Platform)是一款由华为公司提供的免费、可扩展、图形化操作界面的网络仿真平台,可以支持华为AR系列路由器(AR201、AR1220、AR2220、AR2240、AR3260等)、华为s系列交换机(S3700、S5700)、华为无线设备(AC6005、AC6605、AP6010)、华为防火墙(USG5500)、终端设备(PC、MCS、Client、Server、STA、Cell-phone等)以及各种连接链路,最新版本为ENSP1.2.00.380,该版本在支持上述网络设备的基础上还支持CE6800云数据中心交换机设备,有着完整的网络应用环境支持体系,完美呈现真实设备实景,支持大型网络模拟环境。
比起思科的Cisco Packet Tracer软件,ENSP支持高级网络的配置命令更多。Packet Tracer对网络组建各种硬件设备进行仿真,图形化的很形象的模拟了PC机、服务器、交换机、路由器等的配置过程。但是Packet Tracer主要模拟CCNA和CCNP的实验,对于一些高级网络环境模拟不足。ENSP能够模拟丰富的网络环境,支持高级防火墙的配置、组播配置、MPLS配置、交换机堆叠配置、交换机集群配置、VPN配置、NAPT配置、VRRP配置、路由策略配置、VOIP配置、QOS配置、帧中继配置、无线漫游配置等,还支持通过桥接真机后与思科设备混合联网。基于ENSP开展实验研究的模式,操作简单、方便、直观、容易理解、效果更好、配置文件小、容易保存。对于广大技术人员调试网络、学生学习网络组建、教师的网络课程教学或网络实验研究,这种模式值得借鉴。
1 NAPT
针对当今愈发严重的IP地址短缺问题,NAT地址转换是一种普遍采用的解决方案。由于NAT实现的是一个本地IP地址对应一个全局IP地址,是私有IP和NAT的公共IP之间的转换,那么,私有网中同时与公共网进行通信的主机数量就受到NAT的公共IP地址数量的限制。为了克服这种限制,NAT被进一步扩展到在进行IP地址转换的同时进行Port的转换,这就是网络地址端口转换NAPT(Network Address Port Translation)技术。
NAPT将多个内部地址映射为一个合法公网地址,也就是<内部地址+内部端口>与<外部地址+外部端口>之间的转换,使多个私网用户可共用一个公网IP地址访问外网,因此是地址转换实现的主要形式。这种方式较好地解决了公网地址不足的问题。
2 NAT Server
出于私有网络安全的考虑,大部分私网主机通常并不希望被公网用户访问。但是在某些实际应用中,需要给公网用户提供一个访问私网服务器的机会。而在一对一NAT或多对一NAT方式下,由于由公网用户发起的访问无法动态建立NAT表项,因此公网用户无法访问私网主机。NAT Server(NAT内部服务器)方式可以解决这个问题,其主要思想是通过静态配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系将公网地址“反向”转换成私网地址。
3 NAPT和NAT Server的实现
3.1组网背景
随着现代企业的发展,分支机构的建立,远程客户的形成,越来越多的用户需要建立与企业内部网的连接。某企业有海口总公司和上海分公司,需要组建企业总部到分公司的网络。总部和分公司各自拥有一个公网IP地址并通过该公网IP与因特网通信,考虑到IP地址紧缺以及局域网安全的问题,需要配置NAPT;企业总部和分公司的服务器给公网用户提供FTP和WWW服务,需要在R1和R2上配置NAT服务器。
3.2网络拓扑
为了实现预定目标,设计了如图1所示的网络拓扑图。采用2台AR2220路由器,3台S3700交换机,2台Server,1台PC机和4台Client终端。R1是海口公司总部的路由器,R2是上海分公司路由器。用Client1、Client2、PCI、Server1模拟R1的内网,Client3、Client4、Server2模拟R2的内网。R1与R2之间模拟公网,用R2的Loopback 0接口IP地址模拟其他外部网络。R1的G0/0/1和G0/0/2本别连接企业总部的两个内部网段,R2的G0/0/1连接企业分公司的私网。
3.3终端IP地址规划
Clientl、Server1、Client2、PC1、Client3、Client4、Server2的IP地址分别是222.18.244.1/24、222.18.244.2/24、222.18.245.2/24、222.18.245.3/24、192.168.1.1/24、192.168.1.2/24、192.168.1.3/24,网关分别是222.18.244.254、222.18.244.254、222.18.245.254、222.18.245.254、192.168.1.254、192.168.1.254、192.168.1.254。开启Server1和Server2的FTP服务和HTTP服务。
3.4配置路由器
3.5验证结果
ENSP软件的终端很全面,在验证实验结果方面有得天独厚的优势。登录服务器后,分别在R1、R2上,再次命名并查看NATP的转换情况,结果如图2和图3所示。然后到R1和R2上查看NAT Server的转换情况,结果如图4和图5所示。配置完NATServer后,公网用户和分公司用户可以通过Server1映射到公网的IP地址124.225.62.51访问Server1,公网用户和总部用户可以通过Server2映射到公网的IP地址124.225.62.52访问Server2。例如,访问Server1的FTP可以在分公司客户端输入目标主机的IP地址是124.225.62.51。此时,NAT Server用于外网用户需要使用固定公网IP地址访问内部服务器的情形。总部和分公司内网访问各自的服务器时,还是使用服务器内网的IP地址。如果不想让内网用户知道服务器IP地址,需要内网用户也是通过公网地址访问局域网内的服务器,就用同样方法在内网数据输入方向的路由器接口上配置NAPT和NATServer就可以了,不再赘述。
4结束语
文献阐述了NAPT技术的特点、转换原理、基于思科设备的实现过程,但是没有提出如何从公网访问内网服务器。本案例模拟一个现实的网络,提出一种并非基于思科设备而是基于华为设备的NAPT和NAT Server,解决了内网服务器IP地址直接暴露给内部网络和外部网络的问题。经测试,此网络运行稳定,实现内网所有主机多对一转换(NAPT)为一个公网地址连入公网;同时实现了内网服务器给非内网用户提供FTP和WWW服务,无论是企业总部或分公司或公网用户都可以通过公网IP地址与内网服务器建立可靠的TCP连接。该案例加强了内网用户的安全性和服务器的可靠性,步骤清晰并且给出具体实现的网络配置代码,为相关网络实践提供了有益的参考。
关键词:NAPT;NAT Server;转换;ENSP
引言
计算机网络的组建是一项系统工程,同时用户环境和用户需求通常具有复杂性,使得网络也变得形式多样,更具复杂性。网络组建的实践证明,在组建实际的网络之前先使用计算机网络仿真软件进行网络仿真,使得网络能满足用户的最终需求,可以避免实际网络组建过程中可能会发生的一些错误决策和资源浪费,有效的保证实际网络组建目标的实现。
ENSP(Enterprise Network Simulation Platform)是一款由华为公司提供的免费、可扩展、图形化操作界面的网络仿真平台,可以支持华为AR系列路由器(AR201、AR1220、AR2220、AR2240、AR3260等)、华为s系列交换机(S3700、S5700)、华为无线设备(AC6005、AC6605、AP6010)、华为防火墙(USG5500)、终端设备(PC、MCS、Client、Server、STA、Cell-phone等)以及各种连接链路,最新版本为ENSP1.2.00.380,该版本在支持上述网络设备的基础上还支持CE6800云数据中心交换机设备,有着完整的网络应用环境支持体系,完美呈现真实设备实景,支持大型网络模拟环境。
比起思科的Cisco Packet Tracer软件,ENSP支持高级网络的配置命令更多。Packet Tracer对网络组建各种硬件设备进行仿真,图形化的很形象的模拟了PC机、服务器、交换机、路由器等的配置过程。但是Packet Tracer主要模拟CCNA和CCNP的实验,对于一些高级网络环境模拟不足。ENSP能够模拟丰富的网络环境,支持高级防火墙的配置、组播配置、MPLS配置、交换机堆叠配置、交换机集群配置、VPN配置、NAPT配置、VRRP配置、路由策略配置、VOIP配置、QOS配置、帧中继配置、无线漫游配置等,还支持通过桥接真机后与思科设备混合联网。基于ENSP开展实验研究的模式,操作简单、方便、直观、容易理解、效果更好、配置文件小、容易保存。对于广大技术人员调试网络、学生学习网络组建、教师的网络课程教学或网络实验研究,这种模式值得借鉴。
1 NAPT
针对当今愈发严重的IP地址短缺问题,NAT地址转换是一种普遍采用的解决方案。由于NAT实现的是一个本地IP地址对应一个全局IP地址,是私有IP和NAT的公共IP之间的转换,那么,私有网中同时与公共网进行通信的主机数量就受到NAT的公共IP地址数量的限制。为了克服这种限制,NAT被进一步扩展到在进行IP地址转换的同时进行Port的转换,这就是网络地址端口转换NAPT(Network Address Port Translation)技术。
NAPT将多个内部地址映射为一个合法公网地址,也就是<内部地址+内部端口>与<外部地址+外部端口>之间的转换,使多个私网用户可共用一个公网IP地址访问外网,因此是地址转换实现的主要形式。这种方式较好地解决了公网地址不足的问题。
2 NAT Server
出于私有网络安全的考虑,大部分私网主机通常并不希望被公网用户访问。但是在某些实际应用中,需要给公网用户提供一个访问私网服务器的机会。而在一对一NAT或多对一NAT方式下,由于由公网用户发起的访问无法动态建立NAT表项,因此公网用户无法访问私网主机。NAT Server(NAT内部服务器)方式可以解决这个问题,其主要思想是通过静态配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系将公网地址“反向”转换成私网地址。
3 NAPT和NAT Server的实现
3.1组网背景
随着现代企业的发展,分支机构的建立,远程客户的形成,越来越多的用户需要建立与企业内部网的连接。某企业有海口总公司和上海分公司,需要组建企业总部到分公司的网络。总部和分公司各自拥有一个公网IP地址并通过该公网IP与因特网通信,考虑到IP地址紧缺以及局域网安全的问题,需要配置NAPT;企业总部和分公司的服务器给公网用户提供FTP和WWW服务,需要在R1和R2上配置NAT服务器。
3.2网络拓扑
为了实现预定目标,设计了如图1所示的网络拓扑图。采用2台AR2220路由器,3台S3700交换机,2台Server,1台PC机和4台Client终端。R1是海口公司总部的路由器,R2是上海分公司路由器。用Client1、Client2、PCI、Server1模拟R1的内网,Client3、Client4、Server2模拟R2的内网。R1与R2之间模拟公网,用R2的Loopback 0接口IP地址模拟其他外部网络。R1的G0/0/1和G0/0/2本别连接企业总部的两个内部网段,R2的G0/0/1连接企业分公司的私网。
3.3终端IP地址规划
Clientl、Server1、Client2、PC1、Client3、Client4、Server2的IP地址分别是222.18.244.1/24、222.18.244.2/24、222.18.245.2/24、222.18.245.3/24、192.168.1.1/24、192.168.1.2/24、192.168.1.3/24,网关分别是222.18.244.254、222.18.244.254、222.18.245.254、222.18.245.254、192.168.1.254、192.168.1.254、192.168.1.254。开启Server1和Server2的FTP服务和HTTP服务。
3.4配置路由器
3.5验证结果
ENSP软件的终端很全面,在验证实验结果方面有得天独厚的优势。登录服务器后,分别在R1、R2上,再次命名并查看NATP的转换情况,结果如图2和图3所示。然后到R1和R2上查看NAT Server的转换情况,结果如图4和图5所示。配置完NATServer后,公网用户和分公司用户可以通过Server1映射到公网的IP地址124.225.62.51访问Server1,公网用户和总部用户可以通过Server2映射到公网的IP地址124.225.62.52访问Server2。例如,访问Server1的FTP可以在分公司客户端输入目标主机的IP地址是124.225.62.51。此时,NAT Server用于外网用户需要使用固定公网IP地址访问内部服务器的情形。总部和分公司内网访问各自的服务器时,还是使用服务器内网的IP地址。如果不想让内网用户知道服务器IP地址,需要内网用户也是通过公网地址访问局域网内的服务器,就用同样方法在内网数据输入方向的路由器接口上配置NAPT和NATServer就可以了,不再赘述。
4结束语
文献阐述了NAPT技术的特点、转换原理、基于思科设备的实现过程,但是没有提出如何从公网访问内网服务器。本案例模拟一个现实的网络,提出一种并非基于思科设备而是基于华为设备的NAPT和NAT Server,解决了内网服务器IP地址直接暴露给内部网络和外部网络的问题。经测试,此网络运行稳定,实现内网所有主机多对一转换(NAPT)为一个公网地址连入公网;同时实现了内网服务器给非内网用户提供FTP和WWW服务,无论是企业总部或分公司或公网用户都可以通过公网IP地址与内网服务器建立可靠的TCP连接。该案例加强了内网用户的安全性和服务器的可靠性,步骤清晰并且给出具体实现的网络配置代码,为相关网络实践提供了有益的参考。