NAT技術(shù)在網(wǎng)絡(luò)中的應(yīng)用與實現(xiàn)

1、編號：_商丘科技職業(yè)學(xué)院畢業(yè)論文題 目： NAT技術(shù)在網(wǎng)絡(luò)中的應(yīng)用與實現(xiàn) 系 別 計算機科學(xué)系 專 業(yè) 學(xué)生姓名 成 績 指導(dǎo)教師 2011年 4月摘 要隨著互聯(lián)網(wǎng)的普及，IP地址缺乏問題日益惡化，為了緩解問題，在IP地址分配和保留IP地址方面提出了許多辦法，甚至提出新一代的IPv6技術(shù)從根本上解決地址空間問題。但由于多方面的原因，NAT成為了事實上廣泛使用的解決方法，是我們至今在互聯(lián)網(wǎng)上沒有使用完合法IPv4地址的真實原因。它主要思想是把本地的私有IP地址映射到公網(wǎng)的合法IP地址，以緩解可用IP地址空間的消耗。本課程設(shè)計主要對NAT技術(shù)進行系統(tǒng)分析，并舉出一個應(yīng)用實例，在網(wǎng)絡(luò)模擬器中將其具體

2、實現(xiàn)，深入了解其工作原理與數(shù)據(jù)包每次被修改的情況，了解技術(shù)存在的缺點。關(guān)鍵詞：IP地址分配 保留IP地址 NAT目 錄緒論1第1章背景簡述21.1IP地址現(xiàn)狀21.2現(xiàn)存解決方案2第二章NAT技術(shù)分析32.1NAT類型32.2NAT術(shù)語42.3NAT工作原理4第三章NAT的應(yīng)用實例63.1實例描述63.2實例的設(shè)計方案73.3實例的配置重點83.4實例的分析10結(jié)束語12參考文獻13緒論隨著互聯(lián)網(wǎng)的普及，接入網(wǎng)絡(luò)的計算機數(shù)量增長非常迅速，目前使用的IPv4地址空間有限，可用的公網(wǎng)合法IP非常短缺。人們?yōu)榱司徑馊找鎼夯牡刂啡狈栴}，在IP地址的分配和保留IP地址方面采取了許多辦法。現(xiàn)存的解決辦

3、法包括ISP方面對公網(wǎng)地址的動態(tài)分配與回收、使用DHCP動態(tài)分配與回收、可變長子網(wǎng)掩碼（VLSM）1技術(shù)、無類域間路由（CIDR）技術(shù)，甚至提出新一代的IPv63技術(shù)從根本上解決地址空間問題，但由于多方面的原因，IPv6到目前還沒有得到普及，而網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）2技術(shù)的使用，是我們至今在互聯(lián)網(wǎng)上沒有使用完合法IPv4地址的真實原因。它主要思想是把本地的私有IP地址映射到公網(wǎng)的合法IP地址，以緩解可用IP地址空間的消耗。雖然，它沒有像IPv6那種從根本上解決問題，但在IPv6沒有得到普及的今天，成為了事實上廣泛使用的解決方法。第1章背景簡述1.1IP地址現(xiàn)狀眾所周知，在電話通信中，電話用戶是

4、靠電話號碼來識別的。同樣，在網(wǎng)絡(luò)中為了區(qū)別不同的計算機，也需要給計算機指定一個號碼，這個號碼就是“IP地址”。隨著互聯(lián)網(wǎng)的普及，一個明顯的事實是：連接到網(wǎng)絡(luò)中的人員和設(shè)備數(shù)量每時每刻都在增加。理論上說，IPv4的可用地址只有大約232個，實際上只有大約2億5千萬個地址能夠給設(shè)備使用。大量的報告顯示，在地球上大約有65億人，超過10%的人連接到了Internet。這些統(tǒng)計數(shù)據(jù)讓我們注意到一個令人擔(dān)憂的現(xiàn)實情況：按照IPv4的容量，地球上的每個人甚至不能擁有一臺計算機，IPv4正在面臨著地址枯竭的危機。針對這個問題，人們在IP地址的分配和保留IP地址方面做了許多工作和努力，來緩解日益惡化的地址缺乏

5、問題。1.2現(xiàn)存解決方案最常見動態(tài)解決的方法是，當(dāng)合法用戶需要接入Internet中時，ISP為他分配一個可用的IP地址，使他可以訪問網(wǎng)絡(luò)，當(dāng)用戶斷開連接后，之前分配的IP地址，再由ISP收回，留待其他用戶接入時，再把之前的IP地址分配給其他用戶。另一個常見的動態(tài)解決方法是，通過DHCP服務(wù)器動態(tài)地為需要使用網(wǎng)絡(luò)服務(wù)的主機提供自動的TCP/IP配置，在使用完后便把IP地址回收到地址池中，為其他需要的主機提供分配。其他技術(shù)可以針對IP地址和子網(wǎng)掩碼來提供解決方案。如可以使用可變長子網(wǎng)掩碼（VLSM）技術(shù)，更好地利用IP地址中的每一個二進位，劃分出包含更少主機位的子網(wǎng)絡(luò)，高效分配IP地址（較少浪費

6、），比有類IP地址提供了更多的靈活性。無類域間路由（CIDR）伴隨著VLSM而使用，將從VLSM產(chǎn)生的無類的IP地址集中起來，匯聚為一個代表較大范圍的單一路由表項，減少了路由器中路由表的條目，從而減輕路由器的負(fù)擔(dān)。CIDR可看作子網(wǎng)劃分的逆過程。子網(wǎng)劃分時，從主機號部分借位，將其合并進網(wǎng)絡(luò)部分；而在CIDR的超網(wǎng)中，則是將網(wǎng)絡(luò)號部分的某些位合并進主機號部分。IPv6的提出，讓人們看到的希望，最稱為是最終解決方案。IPv6提供了豐富的地址空間（3.4*1038）4，實際上是IPv4地址長度的4倍，IPv6的優(yōu)點還有其安全性、擴展性和高可用性?？上У氖?，直到現(xiàn)今，要用戶終端上IPv6還沒能普及，這

7、迫使人們尋找更實際的、針對IPv4的技術(shù)。NAT技術(shù)的使用，是我們至今在互聯(lián)網(wǎng)上沒有使用完合法IPv4地址的真實原因。NAT包括三種類型，分別是靜態(tài)NAT、動態(tài)NAT和端口復(fù)用NAT（即PAT）。它主要思想是把本地的私有IP地址映射到公網(wǎng)的合法IP地址，以緩解可用IP地址空間的消耗。雖然，它沒有像IPv6那種從根本上解決問題，但在IPv6沒有得到普及的今天，成為了事實上廣泛使用的解決方法。第二章NAT技術(shù)分析 2.1NAT類型 NAT，全稱網(wǎng)絡(luò)地址轉(zhuǎn)換，分為三種類型：靜態(tài)NAT、動態(tài)NAT和端口復(fù)用NAT（稱PAT）5。靜態(tài)NAT，是為了在私有IP地址和公網(wǎng)的合法IP地址之間允許一對一映射而設(shè)

8、計的。這種類型需要網(wǎng)絡(luò)中的每臺主機都擁有一個真實的Internet IP地址，適合內(nèi)網(wǎng)中的服務(wù)器使用，因為服務(wù)器要向外部網(wǎng)絡(luò)提供網(wǎng)絡(luò)服務(wù)，IP地址不能總是動態(tài)地改變。動態(tài)NAT可以實現(xiàn)映射一個私有IP地址到公網(wǎng)合法IP地址池中的其中一個IP。這種類型不必像靜態(tài)NAT那樣，在路由器上靜態(tài)映射內(nèi)部到外部的地址，但是必須保證擁有足夠的真實IP，保證每個在Internet中收發(fā)包的用戶都有真實的IP地址可用。端口復(fù)用NAT，又稱PAT，是最流行NAT配置類型。復(fù)用實際上是動態(tài)NAT的一種形式，它映射多個私有IP地址到單獨一個公網(wǎng)合法IP地址，形成多對一的關(guān)系，實現(xiàn)方式便是通過使用不同的端口。因此，它又

9、被稱為端口地址映射（PAT）。通過使用PAT，可實現(xiàn)上千個用戶僅通過一個真實的公網(wǎng)IP地址連接到Internet，而也因為這個原因，使用PAT是人們至今在互聯(lián)網(wǎng)上沒有使用完公網(wǎng)合法IP地址的真實原因。2.2NAT術(shù)語在NAT轉(zhuǎn)換之前的地址叫做本地地址。因此，內(nèi)部本地地址實際上是指嘗試連接到Internet的主機的私有IP地址，而外部本地地址則是目標(biāo)主機的地址。目標(biāo)主機通常是服務(wù)器或網(wǎng)頁的公網(wǎng)IP地址。在NAT轉(zhuǎn)換之后使用的地址叫做全局地址。它們通常是使用公網(wǎng)合法IP地址，但如果不需要連接Internet，則不一定需要公網(wǎng)IP地址了。在轉(zhuǎn)換之后，內(nèi)部本地地址變成了內(nèi)部全局地址。表3-1列出了這些

10、術(shù)語的清晰含義：表3-1 NAT術(shù)語名字含義內(nèi)部本地轉(zhuǎn)換之前的內(nèi)部源地址外部本地轉(zhuǎn)換之前的目標(biāo)地址內(nèi)部全局轉(zhuǎn)換之后的內(nèi)部源地址外部全局轉(zhuǎn)換之后的目標(biāo)地址2.3NAT工作原理 下面通過例子說明NAT詳細(xì)工作原理。如圖3-1所示，主機1.1需要訪問外部網(wǎng)絡(luò)Internet中的服務(wù)器，它發(fā)送一個數(shù)據(jù)包到邊界路由器，該數(shù)據(jù)包的源地址為10.1.1.1。NAT轉(zhuǎn)換發(fā)生在邊界路由器中，該路由器識別出此數(shù)據(jù)包中的源地址為內(nèi)部本地IP地址，目標(biāo)是外部網(wǎng)絡(luò)，它便把內(nèi)部本地地址轉(zhuǎn)換為內(nèi)部全局地址172.168.2.2，并把轉(zhuǎn)換結(jié)果記錄到NAT表中。這個數(shù)據(jù)包使用轉(zhuǎn)換后的新的源地址被發(fā)送到路由器的外出接口，然后被送

11、達服務(wù)器。當(dāng)外部的服務(wù)器產(chǎn)生響應(yīng)數(shù)據(jù)包并回送到路由器時，路由器再使用NAT轉(zhuǎn)換表，把內(nèi)部全局地址轉(zhuǎn)換為內(nèi)部本地地址，然后再修改數(shù)據(jù)包的目的IP地址，然后送回發(fā)出請求的源主機10.1.1.1。圖3-1 基本的NAT轉(zhuǎn)換示例而在PAT轉(zhuǎn)換中，情況有些復(fù)雜，因為使用到了端口號，而所謂復(fù)用，是全部的內(nèi)部主機被轉(zhuǎn)換成一個單獨的IP地址。如圖3-2所示，邊界路由器同樣把內(nèi)部本地地址轉(zhuǎn)換為內(nèi)部全局地址，所不同的是每個轉(zhuǎn)換都帶上了端口號。端口號作用于傳輸層，加上端口號便可幫助路由器識別哪一臺主機接收返回的流量。內(nèi)部主機.1請求外部服務(wù)器63.40.7.3的資源，發(fā)送的請求數(shù)據(jù)包在路由器處被修改，轉(zhuǎn)換成一個公網(wǎng)

12、IP與隨機端口號的組合，并紀(jì)錄在NAT轉(zhuǎn)換表中。當(dāng)外部服務(wù)器返回響應(yīng)數(shù)據(jù)包到路由器時，雖然內(nèi)部全局IP地址都相同，但可以根據(jù)所分配的端口號來識別源主機，從而把返回的流量送往請求服務(wù)的源內(nèi)部主機。靜態(tài)與動態(tài)NAT都是使用IP地址識別源主機，由于PAT允許使用傳輸層的端口號來識別主機，便可以更加節(jié)省公網(wǎng)的合法IP地址。圖3-2 PAT轉(zhuǎn)換示例第三章NAT的應(yīng)用實例3.1實例描述 GNS 3是一款優(yōu)秀的開源的具有圖形化界面的網(wǎng)絡(luò)模擬軟件，適用于多種操作系統(tǒng)。它可以用于運行Cisco的網(wǎng)絡(luò)操作系統(tǒng)IOS，或者是檢驗將要在真實的路由器上部署實施的相關(guān)配置。同時它也可以仿真一個網(wǎng)絡(luò)的性能。簡單說來它是Dy

13、namips的一個圖形前端，而Dynamips則是直接運行IOS來模擬Cisco的路由器，通過利用本地網(wǎng)卡，可虛擬出多個虛擬網(wǎng)上來模擬PC等設(shè)備的網(wǎng)絡(luò)連接。故本課程設(shè)計使用GNS 3來模擬一個NAT的應(yīng)用實例，使用Cisco的3600系列路由器來進行NAT轉(zhuǎn)換。實例在GNS 3軟件中的網(wǎng)絡(luò)拓?fù)鋱D如圖4-1所示，加上了適當(dāng)?shù)膫渥?。圖4-1 實例網(wǎng)絡(luò)拓?fù)鋱D本實例中內(nèi)網(wǎng)中在主機pc1、pc2和內(nèi)部Web服務(wù)器，需要達到的目標(biāo)是pc1和pc2需要通過Internet訪問外部Web服務(wù)器，而外部主機則需要訪問內(nèi)網(wǎng)中的內(nèi)部Web服務(wù)器。而現(xiàn)有的ISP分配的可用地址只有兩個：202.100.100.1/24

14、和202.100.100.2/24。3.2實例的設(shè)計方案內(nèi)網(wǎng)中使用的是A類的私有IP地址，而私有IP地址是不能在公網(wǎng)是被路由的，所以要達到實例的預(yù)期目標(biāo)，必須在邊界路由器處對私有IP地址進行NAT轉(zhuǎn)換，方可獲取網(wǎng)絡(luò)服務(wù)。然而NAT有三種類型，下一步就應(yīng)該確定所使用NAT的類型。pc1和pc2只需要訪問外部Web服務(wù)器，無其他特別要求，三種類型都能適合要求，然而內(nèi)部Web服務(wù)器的要求則不一樣。外部主機需要可以訪問到內(nèi)部Web服務(wù)器，這就決定了內(nèi)部Web服務(wù)器必須隨時擁有一個公網(wǎng)的合法IP，才能使外部主機可以隨時訪問。若內(nèi)部Web服務(wù)器使用動態(tài)NAT和PAT來配置，在任意一個時刻內(nèi)，外部主機根本無

15、法知道內(nèi)部Web服務(wù)器使用的地址與端口號，也就無法進行訪問了。因此，內(nèi)部Web服務(wù)器需要使用靜態(tài)NAT的轉(zhuǎn)換，來保證任意時刻都能為外部主機提供服務(wù)。內(nèi)部Web服務(wù)器的靜態(tài)NAT轉(zhuǎn)換需要分配一個公網(wǎng)IP地址，不妨就定為202.100.100.2/24，現(xiàn)在只剩下一個公網(wǎng)IP地址可用了。若pc1和pc2只使用動態(tài)NAT，在任意一個時刻，只有其中一臺主機可訪問外部網(wǎng)絡(luò)服務(wù)，但如果使用PAT，便可以令兩臺主機同時訪問外部網(wǎng)絡(luò)而不想到干擾。綜上所述，內(nèi)部Web服務(wù)器應(yīng)該使用靜態(tài)NAT配置，而pc1和pc2則使用PAT配置，兩個公網(wǎng)IP地址202.100.100.1/24和202.100.100.2/24

16、剛好都被利用到。3.3實例的配置重點上面已經(jīng)分析與設(shè)計出實例的配置方案，下面需要做的則是在模擬器上進行配置與運行，測試設(shè)計方案是否可行。在路由器上的各端口的IP地址規(guī)劃與NAT端口角色如下：（1）F1/0是內(nèi)部端口：.100/24。（2）F2/0是內(nèi)部端口：.200/24。（3）F0/0是外部端口：202.100.100.1/24。在本規(guī)劃中，路由器的出口F0/0必須配置成公網(wǎng)IP地址，原因是，內(nèi)部地址在路由器中被轉(zhuǎn)換成公網(wǎng)IP地址，而外部的服務(wù)器與主機根本不知道這一過程，它們只知道與自己通信的源IP地址為202.100.100.1/24和202.100.100.2/24，若不在F0/0上配置

17、兩個公網(wǎng)IP地址，外部服務(wù)器和外部主機所發(fā)的數(shù)據(jù)包無法到達路由器，也就無法達到實例的通信目標(biāo)。 首先進行靜態(tài)NAT的相關(guān)配置。在模擬器中登入路由器的控制臺，可進行所有功能配置。第一步對內(nèi)部端口F2/0進行相關(guān)的配置如圖4-2所示：圖4-2 端口F2/0的配置第二步在全局配置模式下建立靜態(tài)NAT的映射，如圖4-3所示：圖4-3 建立靜態(tài)NAT映射第三步便要對外部端口F0/0進行相關(guān)的配置，如圖4-4所示：圖4-4 端口F0/0的配置 然后進行PAT的配置。第一步先對內(nèi)部端口F1/0進行相關(guān)的配置如圖4-5所示：圖4-5 端口F1/0的配置第二步全局配置模式下建立PAT的映射，這與建立靜態(tài)NAT的

18、映射不一樣，需要建立一個訪問控制列表（ACL）、一個地址池（盡管只有一個IP地址），并把兩者聯(lián)系起來，如圖4-6所示：圖4-6 建立PAT映射第三步便要再一次對外部端口F0/0進行相關(guān)的配置，但上面靜態(tài)NAT轉(zhuǎn)換中已經(jīng)做了，所以可以省略。命令ip nat inside source list 1 pool pcs overload告訴路由器把匹配access-list 1的IP地址轉(zhuǎn)換成名字叫pcs的IP NAT地址池中的地址，而由于地址池中只有一個地址并在命令末尾帶上了“overload”關(guān)鍵字，所以會用相同的IP、不同的端口號進行網(wǎng)絡(luò)地址轉(zhuǎn)換。3.4實例的分析下面對實例中的路由器中各端口可

19、能出現(xiàn)的數(shù)據(jù)包進行分析。當(dāng)pc1和pc2同時（或較短時間間隔）訪問或ping外網(wǎng)的Web服務(wù)器時，所發(fā)送的數(shù)據(jù)包會在路由器中被修改源地址，并記錄在NAT轉(zhuǎn)換表中，如表4-1所示：表4-1 PAT轉(zhuǎn)換條目協(xié)議類型內(nèi)部本地IP地址：端口內(nèi)部全局IP地址：端口目的地址IP地址：端口TCPTCP.1:1234.2:1570202.100.100.1:1024202.100.100.1:1750202.0.0.1:80202.0.0.1:80當(dāng)外部的Web服務(wù)器對pc1和pc2訪問作出響應(yīng)，返回包含服務(wù)的數(shù)據(jù)包時，目的地址將是202.100.100.1。路由器將返回的數(shù)據(jù)包對比轉(zhuǎn)換表，根據(jù)端口號來識別p

20、c1和pc2，然后根據(jù)結(jié)果返回相應(yīng)的內(nèi)網(wǎng)主機。當(dāng)外部主機請求內(nèi)網(wǎng)中的Web服務(wù)器的服務(wù)時，會使用NAT轉(zhuǎn)換后的合法公網(wǎng)IP地址，而路由器中會在配置完成后便一直保留一條靜態(tài)NAT轉(zhuǎn)換的條目，如表4-2所示：表4-2 靜態(tài)NAT轉(zhuǎn)換條目內(nèi)部本地IP地址內(nèi)部全局IP地址.1由于靜態(tài)條目一直存在，所以每次外部主機訪問202.100.100.2這個地址時，都會被路由器進行轉(zhuǎn)換，然后再轉(zhuǎn)發(fā)到內(nèi)部Web服務(wù)器；當(dāng)內(nèi)網(wǎng)中的Web服務(wù)器對外部主機的訪問作出響應(yīng)，回發(fā)的數(shù)據(jù)包進入路由器時，被根據(jù)靜態(tài)轉(zhuǎn)換條目修改源IP地址。這樣，在任意時刻都可以對外部主機提供Web服務(wù)。 至此，實例的NAT設(shè)計方案基本上符合通信要求。并且由于每次都由路由器進行數(shù)據(jù)包的IP轉(zhuǎn)換，趕到一定的安全保護作用，但這也揭露出NAT技術(shù)的缺點。由于每次都需要路由器對數(shù)據(jù)包進行轉(zhuǎn)換，而路由器的工作原理是依靠基于CPU與內(nèi)存計算的軟件，并不像交換機基于硬件芯片那樣的高性能，故隨著路由器的負(fù)載增加，NAT的轉(zhuǎn)換時間和數(shù)據(jù)包時延會