典型NAT实验环境设计研究

摘要：作为一种在企业网络边界常用的技术，NAT为企业网络在合法IP地址有限的情况下连接互联网以及对外服务提供了技术上的实现途径。给出了一种同时存在静态NAT和EasyIP的典型实验环境，并对其进行配置和测试，分析了其两次地址转换的过程。对于理解和掌握NAT的工作原理、在企业网络中应用NAT技术提供了参考。

关键词：网络；网络地址转换；IP地址；EasyIP转换；端口

1NAT的基本原理

网络地址转换（NetworkAddressTranslation，NAT）技术最初是作为缓解IPv4地址空间紧张的一种解决方案引入的，其主要作用就是通过将私有IP地址转换为合法公有IP地址，使私有网络中的主机可以通过共享少量的公有IP地址访问Internet。另外，NAT技术在客观上屏蔽了企业内部网络的真实IP地址，一定程度上保护了内部网络不受到外部网络的主动攻击。例如，在使用动态NAT技术进行地址转换时，内部网络主机可以访问外部网络主机，但外部网络主机将无法主动访问内部网络中的主机，因此也提高了企业内部网络的安全性。网络地址转换一般在网络的边界由网络地址转换设备，例如配置了地址转换功能的路由器或防火墙来实现。网络地址转换设备使用地址转换表保存私有IP地址和公有IP地址的映射关系，并根据保存的映射关系对IP地址进行转换。典型的网络地址转换过程如图1所示。在PC1访问外部网络主机时，其产生的数据报文的源IP地址是PC1在内部网络的私有IP地址（内部本地地址）192.168.1.10，当数据报文到达出口路由器的出接口时，路由器将数据报文的源IP地址转换为内部全局地址202.207.120.10，使数据报文可以在公共网络上路由，并将内部本地地址和内部全局地址的映射关系保存在地址转换表中；在返回的数据报文中，目的IP地址为内部全局地址202.207.120.10，在路由器接收到该报文后，根据地址转换表中保存的映射关系将目的IP地址转换为内部本地地址192.168.1.10，并路由给内部网络的目的主机PC1，从而实现PC1和外部网络主机之间的通信。

2NAT的类型

按照网络地址转换的原理、转换方式以及应用场合的不同，可以将网络地址转换分为如表1所示的5种。使用哪一种网络地址转换技术来进行地址的转换需要根据网络的具体需求来确定。很多时候在同一个网络中可能会涉及到多种网络地址转换技术，例如某一企业中大量的内部网络主机都有访问Internet的需求，而且企业内部网络还需要提供可以从Internet进行访问的HTTP服务来进行企业宣传，这时候就会同时用到EasyIP和静态网络地址转换两种网络地址转换技术。

3NAT实验环境设计

3.1NAT实验拓扑结构

考虑到在实际的企业网络应用中往往会同时存在EasyIP和静态NAT两种地址转换形式，因此在进行实验环境设计时应包含这两种NAT类型，并能够对其地址转换进行监控和测试。这就需要给出多个以太网段来模拟多个需要进行NAT的企业内网。假设企业内部网络使用的IP地址段为192.168.1.0/24的多个子网段，将其转换为10.0.0.0/8网段的某对应子网段，设计网络拓扑结构如图2所示。

3.2NAT实验配置

按照图2所示为路由器、交换机和PC配置IP地址，其中路由器的G0/0/0接口使用相应网段中的最后一个可用地址，PC1~PC4暂时使用相应网段中的第一个可用地址，路由器的G0/0/1接口和相连的交换机SWA的接口分别使用相应网段的前两个可用地址，PC5的网关地址设置为交换机SWA的接口G0/0/24的IP地址10.0.1.2。在4台路由器和交换机SWA上配置默认路由保障整个网络的连通性。此时，在四台路由器上使用PING命令测试与外部网络的连通性，应该可以PING通。但需要注意此时PC1~PC4均无法连通外部网络，因为交换机SWA并不知道PC所在网段的存在。在实际网络应用中也是如此：需要进行地址转换的内部网络对外部网络而言是透明的（或者说是不存在的），外部网络不会知道使用私有IP地址的内部网络的存在，以防止私有IP地址在公共合法网络上的泄露。在路由器上进行NAT的配置，要求将路由器连接PC的网段中的第一个可用IP地址静态转换到路由器与交换机相连的网段中的最后一个可用IP地址上，使外部网络可以主动访问PC上的HTTP服务。对于路由器连接PC的网段中的其他地址使用EasyIP进行转换，使内网主机可以访问外部网络。参考配置命令如下：注意在进行EasyIP使用的ACL的配置中，对于不需要进行EasyIP转换的内部本地地址要首先deny掉。配置完成后，在PC5的IE中分别输入PC1~PC4的内部全局地址来访问其上的HTTP服务，应该可以访问。

3.3NAT实验结果测试

将PC1和PC2划分到一组，PC3和PC4划分到一组，将PC2/PC4的IP地址修改为相应网段中非第一个地址的任意合法地址，例如第二个地址，然后在PC2和PC4的IE中分别输入同组的PC1或PC3的内部全局地址来访问其上的HTTP服务，应该可以访问。在进行访问的同时，在4台路由器上使用命令debuggingnatall查看地址转换的过程，并使用命令displaynatsessionprotocoltcpdestination10.1.1.6/14查看NAT会话情况，具体如下：注意：在PC2/PC4访问同组的PC1/PC3的HTTP服务过程中，实际上经过了两次地址转换。分别为在路由器RTB/RTD上进行的EasyIP的转换，以及在路由器RTA/RTC上进行的静态地址转换。具体如图3所示。

4结语

作为在企业网络边界常用的一种IP地址节约技术，NAT有着非常广泛的应用，尤其是多种不同NAT类型的综合应用，为企业网络访问外网以及对外进行网络服务提供了底层技术的支持。作为企业网络管理人员，有必要通过实际网络环境测试了解NAT的底层实现原理，以更好地维护网络，使其在可用IP地址有限的情况下能够高效、安全地运行，为企业提供优质的网络服务。

参考文献

[1]王达.华为路由器学习指南[M].2版.北京:人民邮电出版社,2020:346-348.

[2]吴树.基于网络地址转换技术的实验设计及仿真实现[J].山西能源学院学报,2020,(02):100-102.

[3]孙宇,嵩天.网络地址转换环境下的隐蔽通道构建方法[J].信息网络安全,2019,(07):59-66.

[4]路景贵,成树岗,寇超军,等.VLAN划分与NAT地址转换教学实验设计[J].实验室科学,2018,(06):51-56,60.

[5]杨礼.ACL和NAT技术在局域网中的应用与实践[J].喀什大学学报,2018,(03):108-111.

作者：刘延锋 王月春 张少芳 单位：石家庄邮电职业技术学院