NAT技术在高校实验室中应用分析.docVIP

NAT技术在高校实验室中应用分析 　　摘 要：NAT技术主要用于解决IP地址短缺问题，本文在简单介绍NAT动态工作原理及IP地址的伪装之后，通过实例分析了如何很好地解决实验室IP地址不足的问题。 　　关键词：动态地址转换 端口号的伪装 实验室实例 　　中图分类号：TP393 文献标识码：B 文章编号：1673-8454（2008）17-0018-03 　　 　　随着Internet技术不断以指数级的速度增长，珍贵的网络地址分配给专用网络或内部网络越来越被视做是一种浪费。因此出现了网络地址转换（NAT）标准。就是将某些IP地址留出来供专用网络重复使用，通过路由器进行内部和外部地址的转换，使外界无法直接访问内部网络设备。 　　 　　一、第一种是动态地址翻译（Dynamic Address Translation）技术 　　 　　1.首先引入存根域（Stub Domain）是内部网络的抽象，这样的网络只处理源和目标都在子网内部的通信。任何时候存根域内只有一部分主机要与外界通信，甚至还有许多主机可能从不与外界通信，因此整个存根域只需共享少量的IP地址。存根域有一个边界路由器，由它来处理域内与域外部通信。我们假定m为需要翻译的内部地址数，n为可用的全局地址数（NAT地址）。 　　 　　2.当m、n满足条件（m≥1and m≥n）时，可以把大的地址空间映像到小的地址空间。所有NAT地址放在一个缓冲区中，并在存根域的边界路由器中建立一个局部地址和全局地址的动态映像表，如图1所示。图1显示的是把网络中的IP地址翻译成网络中的IP地址。这种NAT地址重用有如下特点： 　　（１）只要缓冲区中存在尚未使用的地址，任何从内向外的连接请求都可以得到响应，并且在边界路由器的动态ＮＡＴ表中为之建立一个映像表项。 　　（２）如果内部主机的映像存在，就可以利用它建立连接。 　　（３）从外部访问内部主机是有条件的，即动态NAT表中必须存在该主机的映像。 　　动态地址翻译的好处是节约了全局适用的IP地址，而且不需要改变子网内部的任何配置，只需在边界路由器中设置一个动态地址变换表就可以工作了。 　　 　　二、一种特殊的NAT应用 　　 　　一种特殊的NAT应用是M：1翻译，这种技术也叫做地址伪装（Ｍａｓｑｕｅｒａｄｉｎｇ），因为用一个路由器的IP地址可以把子网中所有主机的IP地址都隐藏起来。如果子网中有多个主机要同时通信，那么还要对端口号进行翻译，因此这种技术经常被称为网络地址端口号翻译（NAPT）。在很多NAPT实现中专门保留一部分端口号给地址伪装使用，叫做伪装端口号。 　　如图2中的NAT路由器中有一个伪装表，通过这个表对端口号进行翻译，从而隐藏了内部网络中的所有主机。可以看出，这种方法有如下特点： 　　（１）出口分组的源地址被路由器的ＩＰ地址所代替，出口分组的源端口号被一个未使用的伪装端口号所代替。 　　（２）如果进来的分组的目标地址是本地路由器的IP地址，而目标端口号是路由器的伪装端口号，则NAT路由器就检查该分组是否为当前的一个伪装会话，并试图通过伪装表对IP地址和端口号进行翻译。 　　伪装技术可作为一种安全手段使用，以限制外部对内部主机的访问。另外还可以用这种技术实现虚拟主机和虚拟路由，以便达到负载均衡和提高可靠性的目的。 　　 　　三、NAT技术在实验室的应用实例 　　 　　在很多网络建设中需要使用路由器，由于前述IP地址资源有限的因素造成ISP只能提供有限的IP地址，在某实验室设计的网络系统中，ISP只能提供0/29 和2/29 两个IP 地址，而网络系统内部共有100 多台计算机需要接入Internet, 首先需要解决地址资源不足的问题, 设计时采用了NAT技术。对端路由IP地址为9/29，在网络实施时使用0/29 作为本端路由地址，2作为www服务器地址。由于0/29 和2/29 在同一个子网段，2/29 信息包无法进入路由，造成在Internet上的用户无法访问www 服务器。如何解决此矛盾是计算机网络发展的一个瓶颈，普通的NAT转换技术无法解决此问题，本方案中提出了伪装NAT技术解决了网段的地址转发。 　　 　　考虑到系统内www 服务器的安全，在系统设计中将www 服务器的真实地址设定为保留地址，通过路由器的NAT转换建立www 服务器对外IP地址和www服务器真实ＩＰ地址（保留地址）之间的映射。 　　在实际网络建设中, 由于低端路由器不支持通过 ip nat source de stination 向内部保留地址的转换, 无法通过普通的CISCO IP NAT 命令操作完成向内部指定地址的转换。通过对NAT技术的分析和实际操作配置, 采用以下的路由配置可将2 信息包经路由器向内