路由器NAT技术在企业网络中的应用研究

1、路由器NAT技术在企业网络中的应用研究论文摘要：本文介绍了NAT技术的根本原理。并通过NAT技术在企业网络中的具体应用实例，提出来具体的解决方案，解决了公网地址缺乏的问题，在一定程度上为企业节省了网络资源。论文关键词：网络地址转换,地址,网络引言随着Internet网络的迅速开展，绝大多数企事业单位的用户都存在上网的需求，但是现行的IPV4协议32位的地址空间已经出现严重短缺，公有IP地址不仅越来越稀少而且价格也相对昂贵。在目前的网络环境中，NAT技术的合理使用可以很好地解决这个问题。NAT可以在路由器、防火墙或单独的NAT设备等多种网络设备上进行配置实现，应用范围广，而且价格低廉，配置简单，

2、是许多中小企业解决公网地址缺乏的有效方法。2NAT的根本原理NAT(NetworkAddressTranslation，网络地址转换),它允许一个机构以一个公有IP地址出现在Internet上。将局域网内每个节点的私有地址转换成一个公有IP地址，反之亦然。而且，它可以应用于防火墙技术，把个别地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备。同时，它可以帮助网络超越地址的限制，合理地安排网络中的公有Internet地址和私有IP地址的使用。NAT技术能帮助解决令人头疼的IP地址紧缺的问题，实现公网地址和私网地址之间的映射，而且能使内部和外部的网络隔离，提供一定程度的网络平安保障。它解决问

3、题的方法是：:在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的外部IP地址来替换。2.1NAT工作流程:(1)当私网内的IP包经NAT流入公网时，NAT将此IP包的源IP地址改为NAT接口上的一个公网地址。(2)当公网中的IP包经NAT访问私网资源时，NAT将此IP包目的地址改为某一私网IP地址。2.2NAT技术的类型NAT有三种类:静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)。其中，静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地

4、址。而NAT池那么是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。PAT那么是将多个内网地址映射到同一个外网地址的不同端口上。根据不同的需要，各种NAT方案都是有利有弊。使用NAT地址池，可以从未注册的地址空间中提供被外部访问的效劳，也可以从内部网络访问外部网络，而不需要重新配置内部网络中的每台机器的IP地址。采用NAT池意味着可以在内部网络中定义很多的内部用户，通过动态分配的方法，共享很少的几个外部IP地址。而静态NAT那么只能形成一一对应的固定映射方式。NAT池提供很大灵活性的同时，也影响到网络原有的一些管理功能。例如，一些管理系统要利用IP地址来跟踪设备的运行情况

5、。但使用NAT之后，意味着那些被翻译的地址对应的内部地址是变化的，今天可能对应一台工作站，明天可能对应一台效劳器。这给网络管理带来了麻烦。PAT可把内部的TCP/IP映射到外部一个注册IP地址的多个端口上，还可支持同时连接64500个TCP/IP、UDP/IP，但实际可支持的工作站个数会少一些。在Internet中使用PAT时，所有不同的TCP和UDP信息流看起来仿佛都来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，通过PAT将多个连接接入Internet。3企业案例笔者在指导企业开展网络平安效劳过程中，利用NAT技术特点，将其运用至企业网络管理中，使企

6、业节约了网络资源，增强了企业的网络调优能力和网络的平安性,同时为企业节约了网络管理本钱，受到企业欢送。背景：图1为某企业网络拓扑结构简图，是基于层次性网络结构的设计，接入层设备采用S2126G交换机，会聚层设备采用s3550三层交换机。企业中有四个大的子网。分别为工程部、财务部、商务部和效劳器群目前企业只有1台web效劳器，在交换机上划分vlan，vlan10是工程部子网、vlan20是财务部子网、vlan30是商务部子网、vlan40是效劳器群网络。为了保证网络的高可用性和稳定性，接入层交换机与会聚层交换机通过两条链路相连，会聚层交换机通过F0/1与RB路由器接口F1/1相连，会聚层交换机通

7、过接口F0/8与web效劳器群网络相连接。方案中使用锐捷路由器。将企业网根据职能分成四个子网，效劳器子网对外提供Web效劳。考虑到效劳的平安性，故采用静态地址转换。工程部和财务部各自使用独立的地址池接入企业网，并采用动态地址转换；商务部共用1个IP地址，采用地址端口转换。图1企业网络拓扑结构路由器的配置如下1)配置内部全局地址池。给工程部、财务部、商务部配置地址池engineering_departmeng、accounting_department和commerce_department2)配置允许转换的内部本地地址的范围。给工程部、财务部、商务部配置允许转换的内部本地地址的范围3)配置本地

8、地址与全局地址的映射关系Router(config)#ipnatinsidesourcelist10poolengineering_departmengcomputer1Router(config)#ipnatinsidesourcelist20poolaccounting_departmentcomputer2Router(config)#ipnatinsidesourcelist30poolcommerce_departmentoverload4)配置外部接口Router(config)#interfaces1/2Router(config-if)#ipnatoutsideRouter(c

9、onfig-if)#noshutdown5)配置内部接口。Router(config)#interfacef1/1Router(config-if)#ipnatinsideRouter(config-if)#noshutdown6)设置缺省路由路由器设置。7)三层交换机的根本配置以及vlan划分省略了，不在此罗列了。经过上述配置后Internet上的主机可以访问校园网中的Web效劳器以及工程部、财务部、商务部的计算机也可以同时访问到互联网。4结束语随着IP地址短缺以及网络平安的问题日渐突出，采用网络地址转换是一个方便、廉价而且实用的方法。文章系统的归纳了此项技术，并结合此技术给出了NAT技术的应用实例,很好的解决了企业网络调优及平安问题，完善了该技术的价值。参考文献1 谢希仁 计算机网络第四版,北京电子工业出版社,20032 J . Rosenberg , J . Weinberger , C. Huitema , and R.Mahy. STUN - Simple T