NAT技術(shù)在校園網(wǎng)中的應(yīng)用

NAT技術(shù)在校園網(wǎng)中的應(yīng)用NAT技術(shù)在校園網(wǎng)中的應(yīng)用NAT技術(shù)在校園網(wǎng)中的應(yīng)用NAT技術(shù)在校園網(wǎng)中的應(yīng)用編制僅供參考審核批準(zhǔn)生效日期地址：電話：傳真:郵編:目錄23221引言 327532本文主要內(nèi)容 313028設(shè)計(jì)平臺(tái) 3204092NAT技術(shù)概述 38974NAT技術(shù)的基本概念 325660NAT技術(shù)的分類 41309NAT術(shù)語(yǔ) 5295493NAT技術(shù)基本原理 531510地址轉(zhuǎn)換 523553連接跟蹤 717018端口轉(zhuǎn)換 8247244NAT在校園網(wǎng)中的應(yīng)用實(shí)現(xiàn) 92603靜態(tài)NAT的配置 922626動(dòng)態(tài)NAT的配置 1218611接口動(dòng)態(tài)NAPT的配置 15294565結(jié)束語(yǔ) 187545參考文獻(xiàn) 19長(zhǎng)沙理工大學(xué)計(jì)算機(jī)與通信工程學(xué)院《計(jì)算機(jī)網(wǎng)絡(luò)》課程設(shè)計(jì)報(bào)告院系計(jì)算機(jī)與通信工程專業(yè)通信工程班級(jí)&&&&&&&學(xué)號(hào)&&&&&&&學(xué)生姓名&&&指導(dǎo)教師&&課程成績(jī)完成日期2015年7月10日課程設(shè)計(jì)成績(jī)?cè)u(píng)定院系計(jì)算機(jī)與通信工程專業(yè)&&&&班級(jí)&&&&&&&學(xué)號(hào)&&&&&&&學(xué)生姓名&&指導(dǎo)教師&&指導(dǎo)教師對(duì)學(xué)生在課程設(shè)計(jì)中的評(píng)價(jià)課程設(shè)計(jì)報(bào)告的質(zhì)量指導(dǎo)教師成績(jī)指導(dǎo)教師簽字年月日課程設(shè)計(jì)答辯組對(duì)學(xué)生在課程設(shè)計(jì)中的評(píng)價(jià)課程設(shè)計(jì)報(bào)告的質(zhì)量課程設(shè)計(jì)答辯答辯組成績(jī)答辯組長(zhǎng)簽字年月日課程設(shè)計(jì)綜合成績(jī)注：課程設(shè)計(jì)綜合成績(jī)＝指導(dǎo)教師成績(jī)×60%＋答辯組成績(jī)×40%課程設(shè)計(jì)任務(wù)書計(jì)算機(jī)與通信工程學(xué)院通信工程專業(yè)課程名稱計(jì)算機(jī)網(wǎng)絡(luò)時(shí)間2014～2015學(xué)年第二學(xué)期18～19周學(xué)生姓名指導(dǎo)老師&&題目網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在校園網(wǎng)中的應(yīng)用主要內(nèi)容：（1）學(xué)習(xí)校園網(wǎng)及NAT的相關(guān)知識(shí)；（2）結(jié)合一個(gè)實(shí)例，在模擬器中模擬實(shí)現(xiàn)NAT的配置；（3）驗(yàn)證、分析其結(jié)果。要求：（1）按要求編寫課程設(shè)計(jì)報(bào)告書，能正確闡述設(shè)計(jì)結(jié)果。（2）通過(guò)課程設(shè)計(jì)培養(yǎng)學(xué)生嚴(yán)謹(jǐn)?shù)目茖W(xué)態(tài)度，認(rèn)真的工作作風(fēng)和團(tuán)隊(duì)協(xié)作精神。（3）學(xué)會(huì)文獻(xiàn)檢索的基本方法和綜合運(yùn)用文獻(xiàn)的能力。（4）在老師的指導(dǎo)下，要求每個(gè)學(xué)生獨(dú)立完成課程設(shè)計(jì)的全部?jī)?nèi)容。應(yīng)當(dāng)提交的文件：（1）課程設(shè)計(jì)報(bào)告。（2）課程設(shè)計(jì)附件（各類圖紙、設(shè)備配置清單、報(bào)告等）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在校園網(wǎng)中的應(yīng)用學(xué)生姓名：&&指導(dǎo)教師：&&摘要：當(dāng)Internet迅速發(fā)展，合法的IP地址資源日益短缺，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)即NAT(NetworkAddressTranslation)目前是解決IPv4地址短缺、被廣泛使用的主要方法。本課程設(shè)計(jì)在CiscoPacketTracer模擬器上模擬了NAT技術(shù)在校園網(wǎng)中的應(yīng)用，并且分析了NAT過(guò)程中可能存在的一些潛在問(wèn)題，給出了相應(yīng)的解決方案。設(shè)計(jì)結(jié)果表明，內(nèi)部本地網(wǎng)絡(luò)可以通過(guò)NAT，轉(zhuǎn)換成合法內(nèi)部全局地址后，與外部網(wǎng)絡(luò)成功通信。關(guān)鍵字：NAT；IP地址；校園網(wǎng)；CiscoPacketTracer1引言20世紀(jì)90年代以來(lái)，隨著互聯(lián)網(wǎng)的迅速發(fā)展，我國(guó)的教育和科研計(jì)算機(jī)網(wǎng)也得到了長(zhǎng)足的發(fā)展，大多數(shù)高校都建起了校園網(wǎng)，并實(shí)現(xiàn)了在教育和科研計(jì)算機(jī)網(wǎng)內(nèi)及與internet的互聯(lián)互通，使信息透明化程度更高，資源共享更廣泛。但是，由于目前所使用的IPv4固有的缺限——地址匱乏，造成了在校園網(wǎng)中IP地址使用的極度緊張。人們采用了相當(dāng)多的方法來(lái)緩解這種矛盾，網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)即為其一。本文主要是探討NAT技術(shù)，并用一個(gè)在CiscoPacketTracer仿真軟件上的例子來(lái)說(shuō)明NAT技術(shù)在校園網(wǎng)中的應(yīng)用。本文主要內(nèi)容本文介紹了NAT技術(shù)的基本原理，還有NAT技術(shù)的幾種類型，以及在CiscoPacketTracer仿真軟件上模擬NAT技術(shù)在校園網(wǎng)中的應(yīng)用和實(shí)現(xiàn)。設(shè)計(jì)平臺(tái)本課程設(shè)計(jì)是在Windows操作系統(tǒng)通過(guò)上完成的，通過(guò)CiscoPacketTracer仿真軟件模擬的簡(jiǎn)單的校園網(wǎng)NAT技術(shù)應(yīng)用。CiscoPacketTracer是由Cisco公司發(fā)布的一個(gè)輔助學(xué)習(xí)工具，為學(xué)習(xí)思科網(wǎng)絡(luò)課程的初學(xué)者去設(shè)計(jì)、配置、排除網(wǎng)絡(luò)故障提供了網(wǎng)絡(luò)模擬環(huán)境。用戶可以在軟件的圖形用戶界面上直接使用拖曳方法建立網(wǎng)絡(luò)拓?fù)?，并可提供?shù)據(jù)包在網(wǎng)絡(luò)中行進(jìn)的詳細(xì)處理過(guò)程，觀察網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行情況。2NAT技術(shù)概述NAT技術(shù)的基本概念NAT英文全稱是“NetworkAddressTranslation”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個(gè)IETF(InternetEngineeringTaskForce,Internet工程任務(wù)組)標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP（InternetProtocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。因此我們可以認(rèn)為，NAT在一定程度上，能夠有效的解決公網(wǎng)地址不足的問(wèn)題。簡(jiǎn)單的說(shuō)，NAT的功能就是在內(nèi)部網(wǎng)絡(luò)的私有地址需要與外部通信時(shí)，把內(nèi)部私有地址轉(zhuǎn)換成合法的全局IP地址。NAT可以在兩個(gè)方向上隱藏地址，為了支持這種方案，NAT在兩個(gè)方向上都要翻譯原地址和目的地址。目前NAT的功能通常被集成到路由器、防火墻等設(shè)備中。NAT設(shè)備維護(hù)一個(gè)NAT映射表，用它來(lái)實(shí)現(xiàn)全局到本地和本地到全局的地址轉(zhuǎn)換。NAT技術(shù)的分類NAT有三種類型：靜態(tài)NAT(StaticNAT)、動(dòng)態(tài)地址NAT(PooledNAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-LevelNAT)。(1)靜態(tài)NAT是最簡(jiǎn)單的一種轉(zhuǎn)換方式，它在NAT表中為本地地址和全局地址建立一個(gè)固定的一對(duì)一的映射。這種方式主要用于服務(wù)器，以確保外部對(duì)服務(wù)器的正確訪問(wèn)。(2)動(dòng)態(tài)NAT是較靈活的一種轉(zhuǎn)換方式，它在本地和全局地址之間建立一個(gè)動(dòng)態(tài)的映射，這時(shí)必須建立一個(gè)全局地址池，由路由器從全局地址池中選擇一個(gè)未使用的地址對(duì)本地地址進(jìn)行轉(zhuǎn)換。每個(gè)轉(zhuǎn)換條目在連接建立時(shí)動(dòng)態(tài)建立，而在連接終止時(shí)被回收。這樣，網(wǎng)絡(luò)的靈活性增強(qiáng)，所需要的全局地址減少。必須注意的是：當(dāng)全局地址池全部被占用以后，以后的地址轉(zhuǎn)換申請(qǐng)將被拒絕，這樣會(huì)造成網(wǎng)絡(luò)連通性的問(wèn)題，所以應(yīng)使用超時(shí)操作選項(xiàng)來(lái)回收全局地址池中的地址。【對(duì)于只向外訪問(wèn)而不允許外部網(wǎng)絡(luò)訪問(wèn)的內(nèi)部主機(jī)，就采用動(dòng)態(tài)地址轉(zhuǎn)換?！慷丝诘刂忿D(zhuǎn)換(PAT或NAPT或地址超載)將多個(gè)內(nèi)部地址映射為一個(gè)合法地址，用不同的端口號(hào)區(qū)分各個(gè)內(nèi)部地址。這種方法只需要一個(gè)合法IP地址。路由器支持的PAT會(huì)話數(shù)是有限制的，所以使用PAT的局域網(wǎng)，其網(wǎng)絡(luò)的規(guī)模不應(yīng)該太大。在端口復(fù)用技術(shù)中，用端口區(qū)分的不是一臺(tái)主機(jī)，而是一個(gè)網(wǎng)絡(luò)連接（會(huì)話），當(dāng)一臺(tái)主機(jī)同時(shí)建立了多個(gè)會(huì)話時(shí)，它的每個(gè)會(huì)話會(huì)占用一個(gè)端口映射。假如一臺(tái)路由器支持4000個(gè)會(huì)話，那么它支持的主機(jī)數(shù)量會(huì)遠(yuǎn)少于4000臺(tái)。NAPT是使用最普遍的一種轉(zhuǎn)換方式，在HomeGW中也主要使用該方式。它又包含兩種轉(zhuǎn)換方式：SNAT和DNAT。EQ\o\ac(○,1)源NAT（SourceNAT，SNAT）：修改數(shù)據(jù)包的源地址。源NAT改變第一個(gè)數(shù)據(jù)包的來(lái)源地址，它永遠(yuǎn)會(huì)在數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)之前完成，數(shù)據(jù)包偽裝就是SNAT的例子。EQ\o\ac(○,2)目的NAT（DestinationNAT，DNAT）：修改數(shù)據(jù)包的目的地址。DestinationNAT剛好與SNAT相反，它是改變第一個(gè)數(shù)據(jù)懈的目的地地址，如平衡負(fù)載、端口轉(zhuǎn)發(fā)和透明代理就是屬于DNAT。NAT術(shù)語(yǔ)在NAT中，有4個(gè)地址術(shù)語(yǔ)是必須正確理解的，它們是InsideLocalAddress、InsideGlobalAddress、OutsideLocalAddress和OutsideGlobalAddress。在這些術(shù)語(yǔ)中，Inside(內(nèi)部)是指那些不能在Internet上進(jìn)行路由，從而也就不能直接用于對(duì)Internet的訪問(wèn),必須通過(guò)網(wǎng)絡(luò)地址的轉(zhuǎn)換，以合法IP的身份來(lái)訪問(wèn)Internet。前者即InsideLocalAddress，后者則為InsideGlobalAddress。LocalAddress即本地地址或私有地址，是不能在Internet上通信的IP地址。GlobalAddress即全局地址或合法地址，是能夠在Internet上通信的地址。4個(gè)地址的定義如下。InsideLocalAddress：內(nèi)部局部地址,指一個(gè)網(wǎng)絡(luò)內(nèi)部分配給網(wǎng)上主機(jī)的IP地址,此地址通常不是Internet上合法的地址,即不是網(wǎng)絡(luò)信息中心(NIC)或Internet服務(wù)提供商(ISP)所分配的IP地址。InsideGlobalAddress：內(nèi)部全局地址,用來(lái)代替一個(gè)或多個(gè)內(nèi)部本地IP地址的、對(duì)外的、Internet上合法的IP地址(由ISP提供)。OutsideLocalAddress：外部局部地址，一個(gè)外部主機(jī)相對(duì)于內(nèi)部所用的IP地址，此地址需要是Internet上合法的地址，但是從內(nèi)部網(wǎng)可以進(jìn)行路由的地址空間中進(jìn)行分配。OutsideGlobalAddress：外部全局地址,由主機(jī)擁有者分配給在外部網(wǎng)上主機(jī)的IP地址。此地址是從一個(gè)從全局可路由的地址或網(wǎng)絡(luò)空間中分配的【1】。3NAT技術(shù)基本原理地址轉(zhuǎn)換NAT的基本工作原理是，當(dāng)私有網(wǎng)主機(jī)和公共網(wǎng)主機(jī)通信的IP包經(jīng)過(guò)NAT網(wǎng)關(guān)時(shí)，將IP包中的源IP或目的IP在私有IP和NAT的公共IP之間進(jìn)行轉(zhuǎn)換。如下圖3-1所示。圖3-1NAT網(wǎng)關(guān)圖3-2轉(zhuǎn)換示意圖NAT網(wǎng)關(guān)有2個(gè)網(wǎng)絡(luò)端口，其中公共網(wǎng)絡(luò)端口的IP地址是統(tǒng)一分配的公共IP，為；私有網(wǎng)絡(luò)端口的IP地址是保留地址，為。私有網(wǎng)中的主機(jī)向公共網(wǎng)中的主機(jī)發(fā)送了1個(gè)IP(Dst=,Src=)。當(dāng)IP包經(jīng)過(guò)NAT網(wǎng)關(guān)時(shí)，NATGateway會(huì)將IP包的源IP轉(zhuǎn)換為NATGateway的公共IP并轉(zhuǎn)發(fā)到公共網(wǎng)，此時(shí)IP包（Dst=，Src=）中已經(jīng)不含任何私有網(wǎng)IP的信息。由于IP包的源IP已經(jīng)被轉(zhuǎn)換成NATGateway的公共IP，WebServer發(fā)出的響應(yīng)IP包（Dst=,Src=）將被發(fā)送到NATGateway。這時(shí)，NATGateway會(huì)將IP包的目的IP轉(zhuǎn)換成私有網(wǎng)中主機(jī)的IP，然后將IP包（Des=，Src=）轉(zhuǎn)發(fā)到私有網(wǎng)。對(duì)于通信雙方而言，這種地址的轉(zhuǎn)換過(guò)程是完全透明的。轉(zhuǎn)換示意圖如圖3-2。如果內(nèi)網(wǎng)主機(jī)發(fā)出的請(qǐng)求包未經(jīng)過(guò)NAT，那么當(dāng)WebServer收到請(qǐng)求包，回復(fù)的響應(yīng)包中的目的地址就是私網(wǎng)IP地址，在Internet上無(wú)法正確送達(dá)，導(dǎo)致連接失敗。連接跟蹤在上述過(guò)程中，NATGateway在收到響應(yīng)包后，就需要判斷將數(shù)據(jù)包轉(zhuǎn)發(fā)給誰(shuí)。此時(shí)如果子網(wǎng)內(nèi)僅有少量客戶機(jī)，可以用靜態(tài)NAT手工指定；但如果內(nèi)網(wǎng)有多臺(tái)客戶機(jī)，并且各自訪問(wèn)不同網(wǎng)站，這時(shí)候就需要連接跟蹤（connectiontrack）。如圖3-3所示：圖3-3連接跟蹤1在NATGateway收到客戶機(jī)發(fā)來(lái)的請(qǐng)求包后，做源地址轉(zhuǎn)換，并且將該連接記錄保存下來(lái)，當(dāng)NATGateway收到服務(wù)器來(lái)的響應(yīng)包后，查找TrackTable，確定轉(zhuǎn)發(fā)目標(biāo)，做目的地址轉(zhuǎn)換，轉(zhuǎn)發(fā)給客戶機(jī)。端口轉(zhuǎn)換以上述客戶機(jī)訪問(wèn)服務(wù)器為例，當(dāng)僅有一臺(tái)客戶機(jī)訪問(wèn)服務(wù)器時(shí)，NATGateway只須更改數(shù)據(jù)包的源IP或目的IP即可正常通訊。但是如果ClientA和ClientB同時(shí)訪問(wèn)WebServer，那么當(dāng)NATGateway收到響應(yīng)包的時(shí)候，就無(wú)法判斷將數(shù)據(jù)包轉(zhuǎn)發(fā)給哪臺(tái)客戶機(jī)，如圖3-4所示。圖3-4連接跟蹤2此時(shí)，NATGateway會(huì)在Connecti