NAT技术在计算机实验室中运用.docVIP

NAT技术在计算机实验室中运用 　　摘要： IP地址的有限性，促使NAT技术的产生。介绍NAT技术的基本原理及三种实现方式，并通过案例给出NAT技术在计算机实验室中的实现方案。 　　关键词： NAT技术；路由器；IP地址 　　中图分类号：TP393.02文献标识码：A文章编号：1671－7597（2011）0510191－01 　　 　　0 引言 　　接入Internet的计算机数量的不断增加，IP地址资源的有限性，促使了NAT技术的产生。借助于NAT，内部网络通过路由器发送资源包时，内部本地地址被转换成公有合法IP地址，反之亦然。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备；同时，它也可以帮助网络超越IP地址的限制，合理安排网络中有限合法IP地址和内部本地地址的使用[1]。 　　计算机实验室一般有几个机房，还有自己的服务器向外提供web、ftp等网络服务。在实际运用中，一个部门也只能使用几个有限的合法IP地址。怎样才能让几百台内部网络的计算机访问外网，同时服务器还可以向外提供相应的网络服务呢？NAT技术的使用便能很好地解决这一难题。 　　1 NAT技术的基本原理及实现方式 　　1.1 NAT技术的基本原理 　　NAT（Network Address Translation）是一种将内部本地地址转化为公有合法IP地址的转换技术，它属于接入广域网（WAN）技术。NAT技术通常被集成到路由器或防火墙中，也有单独的NAT设备，它的功能就是在实现内部网络与外部网络通信时，NAT设备负责把包内的内部本地地址映射为少数几个甚至一个公有合法IP地址。 　　1.2 NAT的实现方式[1] 　　NAT的实现方式有三种，分别是静态地址转换（Static Nat）、动态地址转换（Dynamic Nat）和端口复用动态地址转换（overload）。这三种实现方式各有利弊，用户可根据不同需求选择。 　　1.2.1 静态地址转换 　　静态地址转换是将内部本地地址与公有合法IP地址进行一对一的转换，且需要指定和哪个合法地址进行转换，这样内部主机被永久映射成外部网络中的某个合法的地址。如果内部网络有web、ftp、e-mail等服务器时，这些服务器的IP地址均可采用静态地址转换，以便为外部网络提供相应的服务。 　　1.2.2 动态地址转换 　　动态地址转换也是将内部本地地址与公有合法IP地址一对一地转换，但是动态地址转换是从公有合法地址池中动态地选择一个未使用的合法地址对内部本地地址进行转换。当远程用户连接上之后，动态IP地址NAT设备就会分配一个IP地址，用户断开时，这个IP址就会被释放而留待以后使用。 　　1.2.3 端口复用动态地址转换 　　网络地址端口复用动态地址转换（NAPT）也是一种动态地址转换，但是它可以允许多个内部本地地址共用一个合法IP地址，通过一个固定端口上网。这样只需申请到少量合法IP地址就可以允许多个内部网络的大量主机访问外网。这种转换方式节省了合法IP地址，在实际运用中极为有效。 　　2 案例设计 　　2.1 设计需求 　　计算机实验室有三个机房，每个机房大约有100台主机；另外该部门还有两台服务器向外提供web服务、ftp服务。该部门申请的合法IP地址段为0/29～7/29，该部门的内部网络使用的内部本地地址段为：/24～54/24。要求机房的所有主机都可以访问外网，各个机房间可以相互通信，而外部主机不能访问机房里的主机。 　　2.2 具体分析与设计 　　2.2.1实验室各设备IP地址的分配[2] 　　该部门的三个机房分配三个网段，形成三个局域网；两台服务器分配两个具体的内部本地地址。通过表1，我们列出了该计算机实验室的三个机房和两台服务器在转换前后的具体地址的分布。 　　2.2.2 路由及交换设备的使用 　　实验室使用一台三层交换机的四个端口（具有路由功能）分别与三个机房的交换机和服务器的交换机相连，三层交换机再与一台路由器（边界路由器）相连，该路由器通过S0/0端口与外网相连，通过F0/0端口与内部网络相连，两个端口的具体IP地址分配如表1所示。边界路由器进行配置地址转换。 　　2.2.3 NAT技术的使用 　　NAT技术的使用情况：两台服务器采用静态地址转换方式，各分配一个具体的合法IP地址；三个机房的主机均采用端口复用动态地址转换方式，针对每个机房所处的网段分配一个合法的IP地址。 　　2.2.4 边界路由器的配置步骤（三层交换机的配置在这里不讨论） 　　1）配置F0/0端口为内部接口 　　interface F0/0 　　ip address 　　ip nat inside 　　2）配置S0/0端口