NAT技术在局域网中的应用

...wd......wd......wd...NAT技术在局域网中的应用目录摘要…………………2关键词………………2前言…………………2第一章NAT概述…………31.1NAT的概念………31.2NAT的相关术语………31.3NAT的工作原理………4第二章NAT的分类………52.1静态地址转换………52.2动态地址转换………52.3复用端口转换………52.4网络地址转换的实现………62.5NAT的部署………10第三章NAT技术实现原理………113．1一对一地址转换………113．2多对多地址转换………123．3多对一地址转换………123．4内部服务器上………13第四章NAT的工作过程………134．1在客户机上………134．2NAT设备上的输出数据包…………………134．3在服务器上……………………144．4NAT设备上的输入数据包…………………14第五章NAT在局域网中的实例……………………155.1实例…………15完毕语………………20摘要随着互联网的普及，越来越多的公司、企业拥有了自己的网络，若何使用NAT技术让自己的局域网能够安全的访问互联网这事很多人都关心的问题，NAT技术是将专用IP地址映射为公用IP的士的标准方法，但在局域网中应用的研究文献并不多见。通过局域网中主机之间的互相通信和对外网Web页面的访问以及查看路由表信息，对应用NAT技术的结果进展了测试，并在实际的网络设备上进展了试验验证。关键词：局域网、NAT技术、地址映射、工作原理、工作过程前言：随着计算机网络技术的开展,网络地址日益紧缺,已经被视为是一种珍贵的网络资源。为了解决这个问题,网络地址转换(networkaddresstranslation,NAT)技术被人们广泛使用,它将网络地址从一个地址域映射到另一个地址域。IPv4地址日益缺乏是经常部署NAT的一个主要原因。随着网络技术的开展，安全需求的提升，NAT逐渐演变为隔离内外网络、保障网络安全的基本手段，而且采用这种技术，无须额外投资，单纯利用现有网络设备，即可轻松到达安全目的。因此一般用于企业，学校，网吧，小区等与互联网的通信。NAT的最典型应用是：在一个局域网内，只需要一台路由器〔计算机〕连接上Internet，就可以利用NAT共享Internet连接，使局域网内其他计算机也可以上网。请注意使用NAT协议，局域网内的计算机可以访问Internet上的计算机，但Internet上的计算机无法访问局域网内的计算机。使用NAT可以让多人同时通过NAT来上网，而且只需要使用一个公网IP，支持内部多个局域网同时通过NAT上网，支持DHCP的功能，用来自动分配IP地址给局域网内的计算机，支持DNS代理的功能，用来替局域网内的计算机查询IP地址，支持TCP/UDP端口映射的功能，让外界的用户可以访问内部的网站、邮件服务等，支持多个公网IP与地址映射的功能，以便让外界的特殊应用软件可以通过NAT来与网络内部的应用程序通信。第一章NAT概述1.1NAT的概念NAT的含义有多种，涉及省略词，和局部影星的姓名缩写。最为著名的是自然〔Nature〕的缩写以及第83届奥斯卡最正确女演员的得主娜塔丽波特曼〔NataliePortman〕的名字缩写。另一个含义是：NAT〔NetworkAddressTranslation，网络地址转换〕是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用IP地址空间的枯竭。说明：私有IP地址是指内部网络或主机的IP地址，公有IP地址是指在因特网上全球唯一的IP地址。RFC1918为私有网络预留出了三个IP地址块，如下：A类：10.0.0.0～10.255.255.255B类：172.16.0.0～172.31.255.255C类：192.168.0.0～192.168.255.255上述三个范围内的地址不会在因特网上被分配，因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用。1.2NAT的相关术语内部网络(Inside)：指内部的局域网络，它与边界路由器上被定义为inside的网络接口相连。外部网络〔Outside〕：指除了内部网络之外的所有网络，通常指因特网，它与边界路由器上被定义为outside的网络接口相连。内部本地地址〔InsideLocalAddress〕:指内部局域网中主机所使用的IP地址。这些地址通常为私网地址。内部全局地址〔InsideGlobalAddress〕:指内部局域网中的局部主机所使用的公网IP地址。如放在局域网中的服务器，服务器所使用的合法公网IP地址。外部本地地址〔OutsideLocalAddress〕:外部网络中的主机所使用的IP地址，这些IP地址不一定是公网地址。外部全局地址〔OutsideGlobalAddress〕:外部网络中的主机所使用的IP地址，这些IP地址是全局可路由的合法公网IP地址。地址池〔AddressPool〕:指可用来供NAT转换使用的多个合法公网IP地址。1.3NAT的工作原理以以以下列图来讲原理：1.3.1NAT工作原理拓扑图首先，我们要清楚，在局域网内部的私有地址是不能访问外网的，必须通过转换城公有地址才可以访问Internet，以上所图，是两个公司的Inter网络互相交流，下面来谈谈它的工作原理。192.168.1.0网络的PCI想要访问192.168.10.0网络的User1。1、PC1向RA〔网关〕发送请求，告诉自己的私有IP地址和MAC地址，并且要求自己要到达192.168.10.0网络的User1主机。2、RA收到请求后，把PC1的源IP地址进展转换，变成内部全局地址，即公有地址202.16.58.1，并且为PC1指定一个随即产生的端口号〔来识别某台主机〕，发送到Inter网。3、Inter网络受到了内部全局IP地址的请求，之间进展路由选择，被RB接收，RB通过查看RA发送过来的内部全局IP地址和端口号等信息，直接发送给192.168.10.0网络的网关。4、网关路由器RB受到了信息，根据对方发过来的目标主机信息，把数据传输给192.168.10.0网络的User1主机。5、根据ICMP协议，user1主机需要回应，对数据进展想应的处理，把数据封装后发送给网关。6、网关把user1的私有IP地址转换层外部局部IP地址，即公有地址202.16.58.2，通过这个公有地址，转发到路由器RA中。7、RA收到数据包，查看自己缓存里的对应的主机和端口，并对192.168.1.0网络的IP1进展转发。第二章NAT的分类2.1静态地址转换静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。2.2动态地址转换动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进展转换，以及用哪些合法地址作为外部地址时，就可以进展动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。2.3端口多路复用端口多路复用(PortaddressTranslation,PAT)是指改变外出数据包的源端口并进展端口转换，即端口地址转换(PAT，PortAddressTranslation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效防止来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式2.4网络地址转换(NAT)的实现在配置网络地址转换的过程之前，首先必须搞清楚内部接口和外部接口，以及在哪个外部接口上启用NAT。通常情况下，连接到用户内部网络的接口是NAT内部接口，而连接到外部网络(如Internet)的接口是NAT外部接口。2.4.1静态地址转换的实现假设内部局域网使用的lP地址段为192.168.0.1~192.168.0.254，路由器局域网端(即默认网关)的IP地址为192.168.0.1，子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.128~61.159.62.135，路由器在广域网中的IP地址为61.159.62.129，子网掩码为255.255.255.248可用于转换的IP地址范围为61.159.62.130~61.159.62.134。要求将内部网址192.168.0.2~192.168.0.6分别转换为合法IP地址61.159.62.130~61.159.62.134。第一步，设置外部端口。interfaceserial0//进入S端口ipaddress61.159.62.129255.255.255.248//配置IP地址ipnatoutside//配置NATIP地址第二步，设置内部端口。interfaceethernet0//进入EO端口ipaddress192.168.0.1255.255.255.0//配置IP地址网关ipnatinside//配置NAT内部IP地址第三步，在内部本地与外部合法地址之间建设静态地址转换。ipnatinsidesourcestatic内部本地地址内部合法地址。例如：ipnatinsidesourcestatic192.168.0.261.159.62.130//将内部网络地址192.168.0.2转换为合法IP地址61.159.62.130ipnatinsidesourcestatic192.168.0.361.159.62.131//将内部网络地址192.168.0.3转换为合法IP地址61.159.62.131ipnatinsidesourcestatic192.168.0.461.159.62.132//将内部网络地址192.168.0.4转换为合法IP地址61.159.62.132ipnatinsidesourcestatic192.168.0.561.159.62.133//将内部网络地址192.168.0.5转换为合法IP地址61.159.62.133ipnatinsidesourcestatic192.168.0.661.159.62.134//将内部网络地址192.168.0.6转换为合法IP地址61.159.62.134至此，静态地址转换配置完毕。2.4NAT的部署如图2.1所示，NAT功能一般部署在nat功能的路由器上，也可以是防火墙或代理服务器。NAT设备维护一个状态表，用来把非法的IP地址映射到和合法的IP地址上去。每个包在NAT设备中都被翻译城正确的IP地址，发往下一级，这以为着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微缺乏道的。图2.1NAT放在边界路由器第三章NAT技术实现原理NAT技术的基本思想是将数据报首部中的IP地址、端口号转换为另外一个IP地址、端口号。NAT通常在边界路由器或者安全王观众实现。根据实现机理的不同，可以非为一对一、多对多和多对一地址转换。3.1一对一地址转换一对一地址转换的原理如图3.1所示。图中路由器处于内部网络和外部网络的边界处，作为NAT服务器。但内部IP〔10.1.1.15〕想外部服务器〔35.7.6.8〕法从请求报文1是，数据报将经过NAT服务器。NAT进程查看报头内容，发现该数据报是发往外网的，于是将数据报1转换为数据报2，即将数据报1中的源地址字段的局部地址10.1.1.15替换成全局地址200.16.1.2，最后将数据报2发送给外部服务器，同时在NAT转换表中记录这一映射。当外部服务器给内部PC发现哦那个应答报文3时，由于其目的地址为100.16.1.2，因此NAT服务器将收到此报文NAT进程查看报头内容，然后根据当前NAT转换表的映射关系，将数据报3转换为数据报4，即将数据报3中的目的地址字段的全局地址100.16.1.2替换成局部地址10.1.1.15，最后将数据报4发送给内部PC。图3.1一对一NAT原理图3.2多对多地址转换多对多地址转换的原理与多对一的类似，不同的是多对一转换只使用一个全局地址，而多对多转换使用的是一组全局地址，通常将这一组全局地址成为NAT地址池。多对多地址转换的原理如图4.2所示，可见多对多转换的本质是将一个大的内部网地址空间映射到一个小的NAT地址池空间。此时，NAT服务器的NAT转换表中可有假设干条映射记录，记录的最大值为地址池空间的IP地址数，显然该数值决定了内网中可同时与外网主机通信的数量。图3.2多对多NAT原理图3.3多对一地址转换多对一地址转换，有时也称为网络地址端口转换NAPT〔NetworkSddressPortTranslation〕，NAPT允许多个局部地址映射到同一个全局地址。NAPT的转换原理如图3.3所示，可见其本质是在【局部地址+端口】与【全局地址+端口】之间进展转换。与之对用的NAT转换表中的每行记录需要5个字段，这些字段共同决定了内外网间的不同通信连接。由于端口的数量为65536个，因此理论上一个全局地址最多可满足65536个内部主机同好似访问外网〔假设全局地址为n个，那么最大数为65536Xn〕,但实际应用时会远小于此数，不过这已经可以满足要求了。图3.3多对一的原理图3.4内部服务器前面讨论的三种地址转换技术均具有以下两个特点：3.4.1只要NAT服务器的资源允许，任何从内网向外网的连接请求都可以得到相应；假设在NAT转换表中没有对用的映射记录，那么动态添加；否那么直接利用它建设连接。3.4.2从外网访问内网主机是有条件的，即在NAT转换表中必须已存在该主机的映射。上述特点说明NAT隐藏了内部网络的构造，具有屏蔽内部主机的作用。但是在实际应用中，有时却需要提供应外网可以主动访问内网逐句的时机，比方对外的公共服务器。图3.4.1内部服务器通过NAT技术，也可以方便地实现内网的服务器被外网的主句访问，其基本原理是在NAT转换表中静态地添加一条与服务器对应的映射记录。这样，当外部网络的用户访问内部服务器是，NAT进程根据转换表可以将请求报文首部的目的地址转换成内部服务器的局部地址；当内部服务器发送应答报文时,NAT进程将应答报文的源地址转换成全局地址。第四章NAT的工作过程4.1在客户机上当应用程序想同服务器通信时，它将翻开与源IP地址、源端口、目标IP地址、目标端口机网络协议相关联的套接字。这样可以识别通信所需的两个端点。当应用程序利用该套接字传输信息时，客户机的专用IP地址〔源IP地址〕和端口〔源端口〕将被插入数据包的源字段中。数据包的目标字段将包含服务器的IP地址〔远程主机-目标IP地址〕和端口。由于该数据包的目的地是该专用网络之外的某个位置，因此客户机将把该数据包抓发给默认的网关。这种情况下的默认网关就是NAT设备。4.2NAT设备上的输出数据包NAT设备将截获该输出数据包。然后利用目标IP地址〔服务器〕、目标端口、NAT设备的外部IP地址、外部端口、网络协议即可户机的内部IP地址和端口来创立端口映射。NAT设备将维护这些映射组成的表，并将该端口的映射存储在表中。外部IP地址和端口就是该数据通信用于取代内部客户机IP地址和端口的公共IP地址和端口。NAT设备随即将来自客户机庄泳内部IP弟子和端口的数据包的源字段转换为NAT设备的公共IP地址和端口，从而对这些数据包进展转换。然后，数据包将通过外部网络发送出去，并最终到达目标服务器。4.3服务器上当服务器承受到数据包时，他认为自己是在和一台具有可全球路由IP地址的计算机进展通信。它会利用自己源字段中的IP地址和端口将响应数据包定向到NAT设备的外部IP地址和端口。4.4NAT设备上的输入数据包NAT从服务器那承受到这些数据包，然后将数据包与其端口映射表进展对比。如果MAT发现某个端口映射的远程主机IP地址、远程端口、外部端口即网络协议与输入数据包的源IP地址、源端口、目标端口和网络写实匹配，NAT就会进展反响转换。NAT将把数据包目标字段中的外部IP地址和外部端口替换为客户据的专用IP地址和内部端口。然后，NAT见内部网络上的数据包发送给客户机。然而，如果NAT找不到对应的端口映射，它就会丢弃输入数据包并中断连接。第五章NAT在局域网中的实例一、实验目的通过配置可以通信，PC1和PC2能和PC3的网关通信。二、实验条件网络综合实验室：路由器4个、三层交换机1个、两层交换机3个、PC机假设干台、网线假设干根。三、实验要求1、合理规划IP地址；2、实现全网段互通；3、VLAN之间能够通信；4、在RT3上实现NAT地址转换；5、PC1和PC2能够Ping通PC3的网关，但不能与PC3通信。四、实验图形路由器交换机互联图形五、实验过程及步骤1.首先为自己实验的设备各个端口分配好IP地址和端口类型：[H3C]sys//进入系统[H3C]sysnameswitch//命名为switch[switch]inte1/0/1//进入端口E1/0/1[switch]portlink-moderoute//指定端口可以从这个口级联[swtich]ipadd192.168.13.224//指定端口IP地址RT1[H3C]sys//进入系统[H3C]sysnamert1//命名为rt1[rt1]ints0/0//进入串口s0/0[rt1]ipadd192.168.12.124//指定s0/0端口IP地址[rt1]inte0/0//进入端口e0/0[rt1]ipadd192.168.17.124//指定e0/0端口IP地址RT2[rt2]sys//进入系统[rt2]sysnamert2//命名rt2[rt2]ints0/0//进入串口s0/0[rt2]ipadd192.168.12.224//指定s0/0端口IP地址[rt2]inte0/0//进入端口[rt2]ipadd192.168.14.124//指定e0/0端口IP地址[rt2]inte0/1//进入端口[rt2]portlink-moderoute//指定端口可以从这个口级联[rt2]ipadd192.168.13.124//指定e0/1端口IP地址RT3[rt3]sys//进入系统[rt3]sysnamert3//命名rt3[rt3]inte0/0//进入e0/0端口[rt3]ipadd192.168.14.224//指定e0/0端口IP地址[rt3]ints0/0//进入串口S0/0端口[rt3]ipadd202.102.101.124//指定S0/0端口IP地址RT4[rt4]sys//进入系统[rt4]sysnamert4//命名rt4[rt4]ints0/0//进入串口S0/0端口[rt4]ipadd202.102.101.2/24//指定S0/0端口IP地址[rt4]inte0/0//进入端口E0/0端口[rt4]ipadd202.102.111.1//分配e0/0端口IP地址2.进入三层交换机划分vlan：[H3C]vlan2//划分VLAN2[H3C]porte1/0/2//指定端口e1/0/2在VLAN2下[H3C]vlan3//划分VLAN2[H3C]porte1/0/3//指定端口e1/0/3在VLAN3下[H3C]inte1/0/24//进入e1/0/24端口[H3C]protlink-typetrunk//指定端口可以从这个口级联[H3C]porttrunkpermitvlan23//允许VLAN2、3通过[H3C]intvlan2//进入VLAN2[H3C]ipadd192.168.16.124//指定VLAN2端口的IP3.将各个设备进展配置连接，并实现实训中的各个要求：[H3C]rip//进入rip[H3C]network192.168.13.0//指定可达IP[H3C]network192.168.15.0//指定可达IP[H3C]network192.168.16.0//指定可达IP[H3C]importdirect//直接进入[H3C]importospf//指定OSPF路由[H3C]routeid3.3.3.3//路由地址[H3C]are0//路由器划分区域[H3C]network192.168.13.00.0.0.255//指定可达IP[H3C]importdirect//直接进入[H3C]importrip//引入RIPRT1[rt1]rip//RIP路由[rt1]network192.168.12.0//指定可达IP[rt1]network192.168.17.0//指定可达IPRT2[rt2]rip//RIP路由[rt2]network192.168.12.0//指定可达IP[rt2]network192.168.13.0//指定可达IP[rt2]network192.168.14.0//指定可达IP[rt2]routeid1.1.1.1//路由器地址[rt2]rea0//路由器划分区域[rt2]network192.168.13.00.0.0.255//指定可达IP[rt2]area1[rt2]network192.168.14.00.0.0.255//指定可达IP[rt2]importdirect//直接进入[rt2]importospf//引用OSPF路由RT3[rt3]routeid2.2.2.2//路由地址[rt3]ospf[rt3]area1//范围[rt3]network192.168.14.00.0.0.255