基于NAT技术在校园网中的应用研究

摘要:该文介绍了在校园网建设中如何解决了IP地址缺乏的问题,并阐述了NAT技术的工作原理和类型以及在校园网中的具体应用。

关键词:NAT;路由器;校园网

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)08-1854-02

NAT-based technology in the Campus Network Application Research

XIE Zhi-qiang

(Information Technology Department, Guangdong Teachers College of Foreign Language and Arts, Guangzhou 510507, China)

Abstract: This article describes the construction of the campus network how to solve the problem of the shortage of IP address, and introduces the principle of NAT working and types of NAT as well as in the concrete application of the campus network.

Key words: NAT; router; campus network

随着Internet的飞速发展,IP地址短缺已成为一个非常严重的问题。尽管IPv6被视为解决Internet不断发展的长期解决方案,但IPv6的全面使用还有待时日。目前在校园网络环境中常用的比较有效的解决IP地址短缺的方法是网络地址转换(Network Address Translation,简称NAT)。

NAT就是将IP报文头中的目的或源私有地址(私有地址是IANA指定的可以在不同的企业内部网上重复使用,但不能在Internet上路由的IP地址。IANA指定的私有地址为:一个A类地址10.0.0/8,16个B类地址172.16.0.0/16～172.31.0.0/16,256个C类地址192.168.0.0/16)修改成公有地址(除私有地址以外的其它IP地址,它们可以在Internet上进行路由)的一种设备(如路由器)。它既能将私有地址和公有地址进行相互转换,也能对网络的安全进行防范。学校在校园网与Internet交界处安装一个路由器,进行私有地址和公有地址的相互转换,从而实现学校使用私有地址的主机与Internet的通信。

1 NAT的工作原理及类型

1.1 NAT的工作原理

PC1要与Internet中的主机PC2通信,PC1发源地址为192.168.10.1,目的地址为218.192.10.1的IP报文,IP报文将被路由到边界路由器,路由器收到这个IP报文后,将源地址改为公有地址202.160.16.1,并记录私有地址192.168.10.1与公有地址202.160.16.1间的地址映射存入映射表中,然后发出修改后的IP报文;当PC2主机收到报文后,回复报文到达路由器后,路由器再根据地址映射表中地址的对应关系,把目的地址转换为PC1的地址,这样就完成了私有地址主机与Internet主机的通信。NAT的工作原理如图1所示。

1.2 NAT的类型

网络地址转换可分为三类:静态地址转换(Static Address Translation)、动态地址转换(Dynamic Address Translation)和地址端口转换(Network Address Port Translation)。

静态地址转换指在私有地址和公有地址之间实行固定不变的一对一的转换,这种转换不能达到节省公有地址的目的,但实现简单。

动态地址转换是NAT转换器具有一个公有地址池,在这个地址池中有多个公有地址,当一个私有地址主机要与外部通信时,NAT转换器从地址池中动态分配一个未使用的公有地址,在公有地址与私有地址间形成一种暂时的映射关系,并保存这种映射关系,然后进行地址转换,当通信结束时,NAT转换器将解除这种暂时的映射关系,释放出公有地址,以供下一个转换使用。动态地址转换使到学校可以用很少的公有地址实现学校内部主机与Internet的通信。

地址端口转换是实现网络层地址转换的同时,实现传输层的端口转换。它用公有地址的一个端口对应一个私有地址,建立公有地址端口与私有地址间的映射关系,这样一个公有地址可以同时建立64K个TCP连接和64K个UDP连接。只需要一个公有地址,就能实现整个企业主机与Internet的通信。这对于IP地址非常短缺的企业,是一个非常好的解决方案。

2 NAT技术在校园网中的应用

现以某学校的网络为例,给出NAT技术在校园网建设中的应用。校园网中有两间计算机课室,每间计算机课室配备60台PC机,一栋办公楼,有几十台办公PC机,有1台Web服务器和1台E-mail服务器,计算机课室和办公楼都要求能够上互联网,两台服务器要求对内外开放。学校现有8个C类的IP地址(IP地址是218.192.84. 101至218.192.84.108,掩码为255.255.255.0),这显然是不够用,为了达到校园网的建设目标,采用了NAT技术的解决方案。学校网络拓扑结构如图2所示。

方案中使用思科的Cisco Generic路由器,将校园网根据职能分成若干子网。服务器子网对外提供Web服务和E-mail服务,考虑到服务的安全性,采用静态地址转换;两个计算机课室各自使用独立的地址池接入校园网,采用动态地址转换;办公楼共用1个IP地址,采用地址端口转换。路由器端口地址分配见表1,NAT地址转换见表2。

表1 路由器端口地址分配表 表2 NAT地址转换对照表

路由器的配置如下:

1) 配置内部全局地址池。给两个计算机课室和办公楼配置地址池computer 1、computer 2和office。

Router(config)# ip nat pool computer 1 218.192.84.104 218.192.84.105 netmask 255.255.255.0

Router(config)# ip nat pool computer 2 218.192.84.106 218.192.84.107 netmask 255.255.255.0

Router(config)# ip nat pool office 218.192.84.108 218.192.84.108 netmask 255.255.255.0

2) 配置允许转换的内部本地地址的范围。给两个计算机课室和办公楼配置允许转换的内部本地地址的范围。

Router(config)# accessClist 1 permit 192.168.2.0 0.0.0.255

Router(config)# accessClist 2 permit 192.168.3.0 0.0.0.255

Router(config)# accessClist 3 permit 192.168.4.0 0.0.0.255

3) 配置本地地址与全局地址的映射关系。

Router(config)# ip nat inside source static 192.168.1.2 218.192.84.102

Router(config)# ip nat inside source static 192.168.1.3 218.192.84.103

Router(config)# ip nat inside source list 1 pool computer 1

Router(config)# ip nat inside source list 2 pool computer 2

Router(config)# ip nat inside source list 3 pool office overload

4) 配置外部接口

Router(config)# interface s1/2

Router(config-if)# ip address 218.192.84.101 255.255.255.0

Router(config-if)# ip nat outside

Router(config-if)# no shutdown

5) 配置内部接口。(以f0/0内部接口配置为例,其它内部接口的配置省略)

Router(config)# interface f0/0

Router(config-if)# ip address 192.168.1.1 255.255.255.0

Router(config-if)# ip nat inside

Router(config-if)# no shutdown

6) 设置缺省路由。路由器设置如下:

Router(config)# ip route 0. 0. 0. 0 0. 0. 0. 0 218. 192. 84. 1

经过上述配置后,Internet上的主机可以访问校园网中的Web服务器和E-mail服务器,两个计算机课室和一栋办公楼所有的计算机也可以同时访问到互联网。

3 结束语

网络地址转换技术(NAT)是为解决互联网Ipv4 格式中IP地址匮乏的重要技术。尽管NAT技术可以带来各种好处(例如无需为网络重分IP地址、节约地址空间、减少ISP账号花费以及提供更完善的平衡功能等),但NAT技术还是对一些管理和安全机制存在潜在的威胁(例如NAT 隐藏了端到端的IP 地址,使得对数据包的跟踪变得比较困难,由于这个原因,使得一些内嵌的IP 地址在应用中会产生问题,如ICMP 协议、DNS和FTP 等),因此,在应用过程上还需要提高网络的安全性。

参考文献:

[1] 冯昊,黄治虎,伍技祥.交换机/路由器的配置与管理[M].北京:清华大学出版社出版社,2005:250-251.

[2] 李文琴.NAT技术在校园内部网络中的应用[J].重庆工商大学学报(自然科学版), 2007,(7):354-355.

[3] 姚正.NAT技术原理探究及在校园网上的应用实例[J].电脑知识与技术,2008,(4):457-458.

[4] 刘欣,王行建.NAT技术的研究与应用[J].计算机应用,2008,(7):52-53.