《NAT技术在校园网中的应用.doc》由会员分享,可在线阅读,更多相关《NAT技术在校园网中的应用.doc(7页珍藏版)》请在三一文库上搜索。
1、NAT技术在校园网中的应用一、NAT技术简介 (一)NAT的概念 NAT(Network Address Translation,网络地址转换),是一个 IETF标准,是一种将一个IP地址域映射到另一个IP地址域的技术,允许一个整体机构以一个公用地址IP出现在Internet上,为终端主机提供透明路由。它将局域网的私有地址(A类的10.0.0.010.255.255.255、B类的172.16.0.0172.31.255.255、C类的192.168.0.0192.168.255.255)解释成合法的全局IP地址,以实现与Internet的连接。NAT技术能够很好地解决校园网中IP短缺的问题,
2、提供一种允许在多个内部子网中使用相同地址范围的IP解决方案,可以减少校园网对全局IP地址的需求量,是目前校园网中解决IP地址短缺的普遍方法。NAT的实现方式有三种:静态转换、动态转换和端口多路复用。 (二)NAT的工作原理 如图1所示,NAT路由设置在内部网络与Internet之间,当私有网主机和公共网主机通信的IP包经过NAT路由器时,将IP包中的源IP或目的IP在私有IP和公共IP之间进行转换。 其具体工作过程如图2所示。NAT路由有2个网络端口,其中公共网络端口的IP地址是统一分配的公共IP,为60.191.183.75;私有网络端口的IP地址是保留地址,为192.168.1.1。私有网
3、中的主机192.168.1.2要访问公网中的一个服务器122.224.194.190,它先向服务器122.224.194.190发送一个IP包(Des=122.224.194.190,Src=192.168.1.2)。当IP包经过NAT路由时,NAT会将IP包的源IP转换为NAT的公共IP并转发到公共网,此时IP包(Des=122.224.194.190,Src=60.191.183.75)中已经不含任何私有网IP的信息。由于IP包的源IP已经被转换成NAT的公共IP,相应的IP包(Des=60.191.183.75,Src=122.224.194.190)将被发送到NAT。这时,NAT会将I
4、P包的目的IP转换成私有网中主机的IP,然后将IP包(Des=192.168.1.2,Src=122.224.194.190)转发到私有网。对于通信双方而言,这种地址的转换过程是完全透明的。 二、NAT技术的校园网应用实例 (一)椒江区教育教学发展中心网络拓扑结构及分析 我中心网络采用10Mbps光纤,以城域网方式接入Internet,如图3所示。路由器选用拥有2个10/100Mbps自适应端口的Cisco3640。内部网络根据职能分成若干子网,服务器子网对外提供Web服务、FTP服务和E-mail服务,使用的IP地址段为192.168.20.1192.168.20.254;机房、多媒体教室等
5、教学计算机划分到子网lan1,使用的IP地址段为192.168.30.1192.168.30.254;教师办公室计算机划分到子网lan2,使用的IP地址段为192.168.40.1192.168.40.254。我中心申请到4个合法的公网IP地址,范围为60.191.183.7260.191.183.75,广域网接口Serial0/0的IP地址为60.191.183.75,子网掩码为255.255.255.0。路由器内网端口FastEthernet0/0的IP地址为192.168.10.1,子网掩码为255.255.255.0。使用NAT技术可以实现我中心对外提供Web服务、FTP服务和E-ma
6、il服务,并且所有计算机均可访问Internet。 路由器地址分配如表1所示。 NAT地址转换类型对应关系如表2所示。 (二)NAT配置过程与步骤 Step 1:配置路由器端口,选择fastethernet0/0作为内部接口,选择serial0/0作为外部接口。 interface fastethernet0/0 ip address 192.168.10.1 255.255.255.0 no shut ip nat inside interface serial0/0 ip address 60.191.183.75 255.255.255.0 no shut ip nat outside
7、Step 2:为子网lan1配置地址池lan1 ip nat pool lan1 60.191.183.73 60.191.183.74 netmask 255.255.255.0 Step 3:定义访问控制列表 access-list 1 permit 192.168.30.0 0.0.0.255 access-list 2 permit 192.168.40.0 0.0.0.255 Step 4:启用lan1地址池端口复用地址转换,将访问控制列表list 1映射到地址池lan1。 ip nat inside source list 1 pool lan1 overload Step 5:启
8、用端口复用地址转换,并直接采用fastethernet0/0的IP地址。 ip nat inside source list 2 interface fastethernet0/0 overload Step 6:启用静态地址转换和端口复用地址转换,将内网各服务器的服务端口映射为60.191.183.72的对应端口。 ip nat inside source static tcp 192.168.20.1 80 60.191.183.72 80 !-将80端口映射为60.191.183.72的80端口(Web服务) ip nat inside source static tcp 192.168
9、.20.2 21 60.191.183.72 21 !-将21端口映射为60.191.183.72的21端口(FTP服务) ip nat inside source static tcp 192.168.20.3 25 60.191.183.7225 !-将25端口映射为60.191.183.72的25端口(POP3服务) ip nat inside source static tcp 192.168.20.3 110 60.191.183.72 110 !-将110端口映射为60.191.183.72的110端口(SMTP服务) 使用NAT技术在配置Cisco路由器时,必须注意以下几个问题:
10、 1.在本地主机IP地址属性设置项中,将“默认网关”设置为“ip nat inside”对应的端口地址。 2.当分配的合法IP地址不连续时,可以定义多个NAT地址池,也可以定义多个访问控制列表。 3.动态地址池之间不能有重复的地址。 4.动态地址池中不能包含网络地址和广播地址(利用netmask部分进行检查)。 经过上述配置后,Internet上的主机可以分别通过60.191.183.72:80访问到我校内部的WEB服务器,通过60.191.183.72:21访问到我中心内部的FTP服务器,通过60.191.183.72:25和61.191.183.72:110访问我中心内部的E-mail服务
11、器,整个中心网络中的计算机都能访问互联网。 (三)NAT与ACL(访问控制列表)的关系 上述所定义的标准访问控制列表是用于表明哪些内部本地地址将作地址转换,此列表与相应的地址池相对应。虽然通过上述配置,隐藏了我中心网络的内部结构,但中心网络对外提供Internet服务(WWW、FTP、POP3、SMTP),为使网络更加安全,可以在路由器的每个接口上为每种网络协议配置访问控制列表,以便在接口上过滤进站数据流、出站数据流或同时过滤它们,或根据需要可屏蔽某些IP网段对中心网络的访问。当我们定义的ACL要应用到某个端口起包过滤作用时,一定要注意ACL与NAT执行时的逻辑顺序。 (四)利用NAT实现网络
12、内部WWW服务的负载平衡 若在网络中有3台内容相同的WWW服务器(192.168.20.4192.168.20.6),通过NAT设置使这3台WWW服务器对外具有相同的地址,即从外部看来,内部只有一台WWW服务器,当外部TCP数据包发给WWW服务器时,路由器将公用的一个全局IP通过循环方式发给3个服务器的实际地址,从而达到负载均衡的目的。 三、总结与建议 利用NAT技术,校园网内部用户可以透明地访问Internet,同时做到对外部网络隐藏内部网络的体系结构。NAT技术方案在一定程度上减缓了地址耗尽的周期和路由表规模越来越大的问题,提供了一种非常方便的方案来解决校园网与Internet的互联问题。然而,NAT技术在校园网应用中也存在一些有待解决的问题,如:效率问题、加密问题、安全问题以及具体协议涉及到的问题等等。 总的来说,NAT带来了很大的优越性,可以节约地址空间,可以简化配置使网络规划更灵活。但是,它对网络应用带来了一定的影响,也给网络管理带来了一定的复杂性,并且会潜在地影响网络的安全性。因此,在校园网中使用NAT技术时一定要仔细地规划。