NAT技術(shù)在網(wǎng)絡(luò)中的應(yīng)用與實(shí)現(xiàn)

1、編號(hào)：_商丘科技職業(yè)學(xué)院畢業(yè)論文題 目： NAT技術(shù)在網(wǎng)絡(luò)中的應(yīng)用與實(shí)現(xiàn) 系 別 計(jì)算機(jī)科學(xué)系 專 業(yè) 學(xué)生姓名 成 績(jī) 指導(dǎo)教師 2011年 4月摘 要隨著互聯(lián)網(wǎng)的普及，IP地址缺乏問題日益惡化，為了緩解問題，在IP地址分配和保留IP地址方面提出了許多辦法，甚至提出新一代的IPv6技術(shù)從根本上解決地址空間問題。但由于多方面的原因，NAT成為了事實(shí)上廣泛使用的解決方法，是我們至今在互聯(lián)網(wǎng)上沒有使用完合法IPv4地址的真實(shí)原因。它主要思想是把本地的私有IP地址映射到公網(wǎng)的合法IP地址，以緩解可用IP地址空間的消耗。本課程設(shè)計(jì)主要對(duì)NAT技術(shù)進(jìn)行系統(tǒng)分析，并舉出一個(gè)應(yīng)用實(shí)例，在網(wǎng)絡(luò)模擬器中將其具體

2、實(shí)現(xiàn)，深入了解其工作原理與數(shù)據(jù)包每次被修改的情況，了解技術(shù)存在的缺點(diǎn)。關(guān)鍵詞：IP地址分配 保留IP地址 NAT目 錄緒論1第1章背景簡(jiǎn)述21.1IP地址現(xiàn)狀21.2現(xiàn)存解決方案2第二章NAT技術(shù)分析32.1NAT類型32.2NAT術(shù)語(yǔ)42.3NAT工作原理4第三章NAT的應(yīng)用實(shí)例63.1實(shí)例描述63.2實(shí)例的設(shè)計(jì)方案73.3實(shí)例的配置重點(diǎn)83.4實(shí)例的分析10結(jié)束語(yǔ)12參考文獻(xiàn)13緒論隨著互聯(lián)網(wǎng)的普及，接入網(wǎng)絡(luò)的計(jì)算機(jī)數(shù)量增長(zhǎng)非常迅速，目前使用的IPv4地址空間有限，可用的公網(wǎng)合法IP非常短缺。人們?yōu)榱司徑馊找鎼夯牡刂啡狈栴}，在IP地址的分配和保留IP地址方面采取了許多辦法。現(xiàn)存的解決辦

3、法包括ISP方面對(duì)公網(wǎng)地址的動(dòng)態(tài)分配與回收、使用DHCP動(dòng)態(tài)分配與回收、可變長(zhǎng)子網(wǎng)掩碼（VLSM）1技術(shù)、無(wú)類域間路由（CIDR）技術(shù)，甚至提出新一代的IPv63技術(shù)從根本上解決地址空間問題，但由于多方面的原因，IPv6到目前還沒有得到普及，而網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）2技術(shù)的使用，是我們至今在互聯(lián)網(wǎng)上沒有使用完合法IPv4地址的真實(shí)原因。它主要思想是把本地的私有IP地址映射到公網(wǎng)的合法IP地址，以緩解可用IP地址空間的消耗。雖然，它沒有像IPv6那種從根本上解決問題，但在IPv6沒有得到普及的今天，成為了事實(shí)上廣泛使用的解決方法。第1章背景簡(jiǎn)述1.1IP地址現(xiàn)狀眾所周知，在電話通信中，電話用戶是

4、靠電話號(hào)碼來識(shí)別的。同樣，在網(wǎng)絡(luò)中為了區(qū)別不同的計(jì)算機(jī)，也需要給計(jì)算機(jī)指定一個(gè)號(hào)碼，這個(gè)號(hào)碼就是“IP地址”。隨著互聯(lián)網(wǎng)的普及，一個(gè)明顯的事實(shí)是：連接到網(wǎng)絡(luò)中的人員和設(shè)備數(shù)量每時(shí)每刻都在增加。理論上說，IPv4的可用地址只有大約232個(gè)，實(shí)際上只有大約2億5千萬(wàn)個(gè)地址能夠給設(shè)備使用。大量的報(bào)告顯示，在地球上大約有65億人，超過10%的人連接到了Internet。這些統(tǒng)計(jì)數(shù)據(jù)讓我們注意到一個(gè)令人擔(dān)憂的現(xiàn)實(shí)情況：按照IPv4的容量，地球上的每個(gè)人甚至不能擁有一臺(tái)計(jì)算機(jī)，IPv4正在面臨著地址枯竭的危機(jī)。針對(duì)這個(gè)問題，人們?cè)贗P地址的分配和保留IP地址方面做了許多工作和努力，來緩解日益惡化的地址缺乏

5、問題。1.2現(xiàn)存解決方案最常見動(dòng)態(tài)解決的方法是，當(dāng)合法用戶需要接入Internet中時(shí)，ISP為他分配一個(gè)可用的IP地址，使他可以訪問網(wǎng)絡(luò)，當(dāng)用戶斷開連接后，之前分配的IP地址，再由ISP收回，留待其他用戶接入時(shí)，再把之前的IP地址分配給其他用戶。另一個(gè)常見的動(dòng)態(tài)解決方法是，通過DHCP服務(wù)器動(dòng)態(tài)地為需要使用網(wǎng)絡(luò)服務(wù)的主機(jī)提供自動(dòng)的TCP/IP配置，在使用完后便把IP地址回收到地址池中，為其他需要的主機(jī)提供分配。其他技術(shù)可以針對(duì)IP地址和子網(wǎng)掩碼來提供解決方案。如可以使用可變長(zhǎng)子網(wǎng)掩碼（VLSM）技術(shù)，更好地利用IP地址中的每一個(gè)二進(jìn)位，劃分出包含更少主機(jī)位的子網(wǎng)絡(luò)，高效分配IP地址（較少浪費(fèi)

6、），比有類IP地址提供了更多的靈活性。無(wú)類域間路由（CIDR）伴隨著VLSM而使用，將從VLSM產(chǎn)生的無(wú)類的IP地址集中起來，匯聚為一個(gè)代表較大范圍的單一路由表項(xiàng)，減少了路由器中路由表的條目，從而減輕路由器的負(fù)擔(dān)。CIDR可看作子網(wǎng)劃分的逆過程。子網(wǎng)劃分時(shí)，從主機(jī)號(hào)部分借位，將其合并進(jìn)網(wǎng)絡(luò)部分；而在CIDR的超網(wǎng)中，則是將網(wǎng)絡(luò)號(hào)部分的某些位合并進(jìn)主機(jī)號(hào)部分。IPv6的提出，讓人們看到的希望，最稱為是最終解決方案。IPv6提供了豐富的地址空間（3.4*1038）4，實(shí)際上是IPv4地址長(zhǎng)度的4倍，IPv6的優(yōu)點(diǎn)還有其安全性、擴(kuò)展性和高可用性?？上У氖?，直到現(xiàn)今，要用戶終端上IPv6還沒能普及，這

7、迫使人們尋找更實(shí)際的、針對(duì)IPv4的技術(shù)。NAT技術(shù)的使用，是我們至今在互聯(lián)網(wǎng)上沒有使用完合法IPv4地址的真實(shí)原因。NAT包括三種類型，分別是靜態(tài)NAT、動(dòng)態(tài)NAT和端口復(fù)用NAT（即PAT）。它主要思想是把本地的私有IP地址映射到公網(wǎng)的合法IP地址，以緩解可用IP地址空間的消耗。雖然，它沒有像IPv6那種從根本上解決問題，但在IPv6沒有得到普及的今天，成為了事實(shí)上廣泛使用的解決方法。第二章NAT技術(shù)分析 2.1NAT類型 NAT，全稱網(wǎng)絡(luò)地址轉(zhuǎn)換，分為三種類型：靜態(tài)NAT、動(dòng)態(tài)NAT和端口復(fù)用NAT（稱PAT）5。靜態(tài)NAT，是為了在私有IP地址和公網(wǎng)的合法IP地址之間允許一對(duì)一映射而設(shè)

8、計(jì)的。這種類型需要網(wǎng)絡(luò)中的每臺(tái)主機(jī)都擁有一個(gè)真實(shí)的Internet IP地址，適合內(nèi)網(wǎng)中的服務(wù)器使用，因?yàn)榉?wù)器要向外部網(wǎng)絡(luò)提供網(wǎng)絡(luò)服務(wù)，IP地址不能總是動(dòng)態(tài)地改變。動(dòng)態(tài)NAT可以實(shí)現(xiàn)映射一個(gè)私有IP地址到公網(wǎng)合法IP地址池中的其中一個(gè)IP。這種類型不必像靜態(tài)NAT那樣，在路由器上靜態(tài)映射內(nèi)部到外部的地址，但是必須保證擁有足夠的真實(shí)IP，保證每個(gè)在Internet中收發(fā)包的用戶都有真實(shí)的IP地址可用。端口復(fù)用NAT，又稱PAT，是最流行NAT配置類型。復(fù)用實(shí)際上是動(dòng)態(tài)NAT的一種形式，它映射多個(gè)私有IP地址到單獨(dú)一個(gè)公網(wǎng)合法IP地址，形成多對(duì)一的關(guān)系，實(shí)現(xiàn)方式便是通過使用不同的端口。因此，它又

9、被稱為端口地址映射（PAT）。通過使用PAT，可實(shí)現(xiàn)上千個(gè)用戶僅通過一個(gè)真實(shí)的公網(wǎng)IP地址連接到Internet，而也因?yàn)檫@個(gè)原因，使用PAT是人們至今在互聯(lián)網(wǎng)上沒有使用完公網(wǎng)合法IP地址的真實(shí)原因。2.2NAT術(shù)語(yǔ)在NAT轉(zhuǎn)換之前的地址叫做本地地址。因此，內(nèi)部本地地址實(shí)際上是指嘗試連接到Internet的主機(jī)的私有IP地址，而外部本地地址則是目標(biāo)主機(jī)的地址。目標(biāo)主機(jī)通常是服務(wù)器或網(wǎng)頁(yè)的公網(wǎng)IP地址。在NAT轉(zhuǎn)換之后使用的地址叫做全局地址。它們通常是使用公網(wǎng)合法IP地址，但如果不需要連接Internet，則不一定需要公網(wǎng)IP地址了。在轉(zhuǎn)換之后，內(nèi)部本地地址變成了內(nèi)部全局地址。表3-1列出了這些

10、術(shù)語(yǔ)的清晰含義：表3-1 NAT術(shù)語(yǔ)名字含義內(nèi)部本地轉(zhuǎn)換之前的內(nèi)部源地址外部本地轉(zhuǎn)換之前的目標(biāo)地址內(nèi)部全局轉(zhuǎn)換之后的內(nèi)部源地址外部全局轉(zhuǎn)換之后的目標(biāo)地址2.3NAT工作原理 下面通過例子說明NAT詳細(xì)工作原理。如圖3-1所示，主機(jī)1.1需要訪問外部網(wǎng)絡(luò)Internet中的服務(wù)器，它發(fā)送一個(gè)數(shù)據(jù)包到邊界路由器，該數(shù)據(jù)包的源地址為10.1.1.1。NAT轉(zhuǎn)換發(fā)生在邊界路由器中，該路由器識(shí)別出此數(shù)據(jù)包中的源地址為內(nèi)部本地IP地址，目標(biāo)是外部網(wǎng)絡(luò)，它便把內(nèi)部本地地址轉(zhuǎn)換為內(nèi)部全局地址172.168.2.2，并把轉(zhuǎn)換結(jié)果記錄到NAT表中。這個(gè)數(shù)據(jù)包使用轉(zhuǎn)換后的新的源地址被發(fā)送到路由器的外出接口，然后被送

11、達(dá)服務(wù)器。當(dāng)外部的服務(wù)器產(chǎn)生響應(yīng)數(shù)據(jù)包并回送到路由器時(shí)，路由器再使用NAT轉(zhuǎn)換表，把內(nèi)部全局地址轉(zhuǎn)換為內(nèi)部本地地址，然后再修改數(shù)據(jù)包的目的IP地址，然后送回發(fā)出請(qǐng)求的源主機(jī)10.1.1.1。圖3-1 基本的NAT轉(zhuǎn)換示例而在PAT轉(zhuǎn)換中，情況有些復(fù)雜，因?yàn)槭褂玫搅硕丝谔?hào)，而所謂復(fù)用，是全部的內(nèi)部主機(jī)被轉(zhuǎn)換成一個(gè)單獨(dú)的IP地址。如圖3-2所示，邊界路由器同樣把內(nèi)部本地地址轉(zhuǎn)換為內(nèi)部全局地址，所不同的是每個(gè)轉(zhuǎn)換都帶上了端口號(hào)。端口號(hào)作用于傳輸層，加上端口號(hào)便可幫助路由器識(shí)別哪一臺(tái)主機(jī)接收返回的流量。內(nèi)部主機(jī).1請(qǐng)求外部服務(wù)器63.40.7.3的資源，發(fā)送的請(qǐng)求數(shù)據(jù)包在路由器處被修改，轉(zhuǎn)換成一個(gè)公網(wǎng)

12、IP與隨機(jī)端口號(hào)的組合，并紀(jì)錄在NAT轉(zhuǎn)換表中。當(dāng)外部服務(wù)器返回響應(yīng)數(shù)據(jù)包到路由器時(shí)，雖然內(nèi)部全局IP地址都相同，但可以根據(jù)所分配的端口號(hào)來識(shí)別源主機(jī)，從而把返回的流量送往請(qǐng)求服務(wù)的源內(nèi)部主機(jī)。靜態(tài)與動(dòng)態(tài)NAT都是使用IP地址識(shí)別源主機(jī)，由于PAT允許使用傳輸層的端口號(hào)來識(shí)別主機(jī)，便可以更加節(jié)省公網(wǎng)的合法IP地址。圖3-2 PAT轉(zhuǎn)換示例第三章NAT的應(yīng)用實(shí)例3.1實(shí)例描述 GNS 3是一款優(yōu)秀的開源的具有圖形化界面的網(wǎng)絡(luò)模擬軟件，適用于多種操作系統(tǒng)。它可以用于運(yùn)行Cisco的網(wǎng)絡(luò)操作系統(tǒng)IOS，或者是檢驗(yàn)將要在真實(shí)的路由器上部署實(shí)施的相關(guān)配置。同時(shí)它也可以仿真一個(gè)網(wǎng)絡(luò)的性能。簡(jiǎn)單說來它是Dy

13、namips的一個(gè)圖形前端，而Dynamips則是直接運(yùn)行IOS來模擬Cisco的路由器，通過利用本地網(wǎng)卡，可虛擬出多個(gè)虛擬網(wǎng)上來模擬PC等設(shè)備的網(wǎng)絡(luò)連接。故本課程設(shè)計(jì)使用GNS 3來模擬一個(gè)NAT的應(yīng)用實(shí)例，使用Cisco的3600系列路由器來進(jìn)行NAT轉(zhuǎn)換。實(shí)例在GNS 3軟件中的網(wǎng)絡(luò)拓?fù)鋱D如圖4-1所示，加上了適當(dāng)?shù)膫渥?。圖4-1 實(shí)例網(wǎng)絡(luò)拓?fù)鋱D本實(shí)例中內(nèi)網(wǎng)中在主機(jī)pc1、pc2和內(nèi)部Web服務(wù)器，需要達(dá)到的目標(biāo)是pc1和pc2需要通過Internet訪問外部Web服務(wù)器，而外部主機(jī)則需要訪問內(nèi)網(wǎng)中的內(nèi)部Web服務(wù)器。而現(xiàn)有的ISP分配的可用地址只有兩個(gè)：202.100.100.1/24

14、和202.100.100.2/24。3.2實(shí)例的設(shè)計(jì)方案內(nèi)網(wǎng)中使用的是A類的私有IP地址，而私有IP地址是不能在公網(wǎng)是被路由的，所以要達(dá)到實(shí)例的預(yù)期目標(biāo)，必須在邊界路由器處對(duì)私有IP地址進(jìn)行NAT轉(zhuǎn)換，方可獲取網(wǎng)絡(luò)服務(wù)。然而NAT有三種類型，下一步就應(yīng)該確定所使用NAT的類型。pc1和pc2只需要訪問外部Web服務(wù)器，無(wú)其他特別要求，三種類型都能適合要求，然而內(nèi)部Web服務(wù)器的要求則不一樣。外部主機(jī)需要可以訪問到內(nèi)部Web服務(wù)器，這就決定了內(nèi)部Web服務(wù)器必須隨時(shí)擁有一個(gè)公網(wǎng)的合法IP，才能使外部主機(jī)可以隨時(shí)訪問。若內(nèi)部Web服務(wù)器使用動(dòng)態(tài)NAT和PAT來配置，在任意一個(gè)時(shí)刻內(nèi)，外部主機(jī)根本無(wú)

15、法知道內(nèi)部Web服務(wù)器使用的地址與端口號(hào)，也就無(wú)法進(jìn)行訪問了。因此，內(nèi)部Web服務(wù)器需要使用靜態(tài)NAT的轉(zhuǎn)換，來保證任意時(shí)刻都能為外部主機(jī)提供服務(wù)。內(nèi)部Web服務(wù)器的靜態(tài)NAT轉(zhuǎn)換需要分配一個(gè)公網(wǎng)IP地址，不妨就定為202.100.100.2/24，現(xiàn)在只剩下一個(gè)公網(wǎng)IP地址可用了。若pc1和pc2只使用動(dòng)態(tài)NAT，在任意一個(gè)時(shí)刻，只有其中一臺(tái)主機(jī)可訪問外部網(wǎng)絡(luò)服務(wù)，但如果使用PAT，便可以令兩臺(tái)主機(jī)同時(shí)訪問外部網(wǎng)絡(luò)而不想到干擾。綜上所述，內(nèi)部Web服務(wù)器應(yīng)該使用靜態(tài)NAT配置，而pc1和pc2則使用PAT配置，兩個(gè)公網(wǎng)IP地址202.100.100.1/24和202.100.100.2/24

16、剛好都被利用到。3.3實(shí)例的配置重點(diǎn)上面已經(jīng)分析與設(shè)計(jì)出實(shí)例的配置方案，下面需要做的則是在模擬器上進(jìn)行配置與運(yùn)行，測(cè)試設(shè)計(jì)方案是否可行。在路由器上的各端口的IP地址規(guī)劃與NAT端口角色如下：（1）F1/0是內(nèi)部端口：.100/24。（2）F2/0是內(nèi)部端口：.200/24。（3）F0/0是外部端口：202.100.100.1/24。在本規(guī)劃中，路由器的出口F0/0必須配置成公網(wǎng)IP地址，原因是，內(nèi)部地址在路由器中被轉(zhuǎn)換成公網(wǎng)IP地址，而外部的服務(wù)器與主機(jī)根本不知道這一過程，它們只知道與自己通信的源IP地址為202.100.100.1/24和202.100.100.2/24，若不在F0/0上配置

17、兩個(gè)公網(wǎng)IP地址，外部服務(wù)器和外部主機(jī)所發(fā)的數(shù)據(jù)包無(wú)法到達(dá)路由器，也就無(wú)法達(dá)到實(shí)例的通信目標(biāo)。 首先進(jìn)行靜態(tài)NAT的相關(guān)配置。在模擬器中登入路由器的控制臺(tái)，可進(jìn)行所有功能配置。第一步對(duì)內(nèi)部端口F2/0進(jìn)行相關(guān)的配置如圖4-2所示：圖4-2 端口F2/0的配置第二步在全局配置模式下建立靜態(tài)NAT的映射，如圖4-3所示：圖4-3 建立靜態(tài)NAT映射第三步便要對(duì)外部端口F0/0進(jìn)行相關(guān)的配置，如圖4-4所示：圖4-4 端口F0/0的配置 然后進(jìn)行PAT的配置。第一步先對(duì)內(nèi)部端口F1/0進(jìn)行相關(guān)的配置如圖4-5所示：圖4-5 端口F1/0的配置第二步全局配置模式下建立PAT的映射，這與建立靜態(tài)NAT的

18、映射不一樣，需要建立一個(gè)訪問控制列表（ACL）、一個(gè)地址池（盡管只有一個(gè)IP地址），并把兩者聯(lián)系起來，如圖4-6所示：圖4-6 建立PAT映射第三步便要再一次對(duì)外部端口F0/0進(jìn)行相關(guān)的配置，但上面靜態(tài)NAT轉(zhuǎn)換中已經(jīng)做了，所以可以省略。命令ip nat inside source list 1 pool pcs overload告訴路由器把匹配access-list 1的IP地址轉(zhuǎn)換成名字叫pcs的IP NAT地址池中的地址，而由于地址池中只有一個(gè)地址并在命令末尾帶上了“overload”關(guān)鍵字，所以會(huì)用相同的IP、不同的端口號(hào)進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換。3.4實(shí)例的分析下面對(duì)實(shí)例中的路由器中各端口可

19、能出現(xiàn)的數(shù)據(jù)包進(jìn)行分析。當(dāng)pc1和pc2同時(shí)（或較短時(shí)間間隔）訪問或ping外網(wǎng)的Web服務(wù)器時(shí)，所發(fā)送的數(shù)據(jù)包會(huì)在路由器中被修改源地址，并記錄在NAT轉(zhuǎn)換表中，如表4-1所示：表4-1 PAT轉(zhuǎn)換條目協(xié)議類型內(nèi)部本地IP地址：端口內(nèi)部全局IP地址：端口目的地址IP地址：端口TCPTCP.1:1234.2:1570202.100.100.1:1024202.100.100.1:1750202.0.0.1:80202.0.0.1:80當(dāng)外部的Web服務(wù)器對(duì)pc1和pc2訪問作出響應(yīng)，返回包含服務(wù)的數(shù)據(jù)包時(shí)，目的地址將是202.100.100.1。路由器將返回的數(shù)據(jù)包對(duì)比轉(zhuǎn)換表，根據(jù)端口號(hào)來識(shí)別p

20、c1和pc2，然后根據(jù)結(jié)果返回相應(yīng)的內(nèi)網(wǎng)主機(jī)。當(dāng)外部主機(jī)請(qǐng)求內(nèi)網(wǎng)中的Web服務(wù)器的服務(wù)時(shí)，會(huì)使用NAT轉(zhuǎn)換后的合法公網(wǎng)IP地址，而路由器中會(huì)在配置完成后便一直保留一條靜態(tài)NAT轉(zhuǎn)換的條目，如表4-2所示：表4-2 靜態(tài)NAT轉(zhuǎn)換條目?jī)?nèi)部本地IP地址內(nèi)部全局IP地址.1由于靜態(tài)條目一直存在，所以每次外部主機(jī)訪問202.100.100.2這個(gè)地址時(shí)，都會(huì)被路由器進(jìn)行轉(zhuǎn)換，然后再轉(zhuǎn)發(fā)到內(nèi)部Web服務(wù)器；當(dāng)內(nèi)網(wǎng)中的Web服務(wù)器對(duì)外部主機(jī)的訪問作出響應(yīng)，回發(fā)的數(shù)據(jù)包進(jìn)入路由器時(shí)，被根據(jù)靜態(tài)轉(zhuǎn)換條目修改源IP地址。這樣，在任意時(shí)刻都可以對(duì)外部主機(jī)提供Web服務(wù)。 至此，實(shí)例的NAT設(shè)計(jì)方案基本上符合通信要求。并且由于每次都由路由器進(jìn)行數(shù)據(jù)包的IP轉(zhuǎn)換，趕到一定的安全保護(hù)作用，但這也揭露出NAT技術(shù)的缺點(diǎn)。由于每次都需要路由器對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)換，而路由器的工作原理是依靠基于CPU與內(nèi)存計(jì)算的軟件，并不像交換機(jī)基于硬件芯片那樣的高性能，故隨著路由器的負(fù)載增加，NAT的轉(zhuǎn)換時(shí)間和數(shù)據(jù)包時(shí)延會(huì)