复杂网络NAT综合应用及GNS3模拟验证

摘要：为解决IPV4地址资源紧张问题，NAT技术应运而生。NAT技术将内网的私有地址转换为外网的公有地址，从而实现和Internet用户的通信，在解决IP地址不足问题的同时，隐藏了内部网络的细节，防止了部分来自网络外部的攻击，具有一定的安全作用。由于NAT技术的复杂多样性，造成复杂网络中应用的复杂性，NAT技术的综合使用要兼顾内外网各种要素，周密计划，严密组织，避免网络漏洞，对此进行了论述。

关键词：网络地址转换；复杂网络；模拟验证

中图分类号：TP393 文献标识码：A 文章编号：16727800（2013）009014102

作者简介：段江春（1965-），女，中国人民69046部队工程师，研究方向为通信网络设计；聂行军（1976-），男，中国人民69046部队工程师，研究方向为通信网络维护；王巧燕（1971-），女，中国人民69026部队工程师，研究方向为通信网络优化。

0引言

一个复杂网络的大致结构概述如下：内部有多台路由器Rx，向下连接各部门交换机，部门之间按照职能分工不同划分为不同的VLAN，VLAN间通信使用单臂路由；VLAN1为关键部门，禁止内、外网对该网段的访问；R3通过串行口与外网连接，内部主机可以通过唯一分配的一个公网IP地址访问外网；内网地址为192.168.4.8的WWW服务器作为企业对外宣传的窗口，允许外网访问其WWW服务。企业内部复杂网络结构如图1所示。

1目标分析和初步实现方案

1.1目标分析

首先，该网络要实现内部相互访问，必须在内部启用动态路由协议，由于私有地址非常充分，在内网地址划分上可以不用太苛求。鉴于目前动态路由协议的性能，结合考虑网络实际，建议采用比较通用的OSPF协议，达到内部网络之间可以畅通。

其次，使用单臂路由实现VLAN间通信，在路由器对内的局域网端口划分子接口，封装比较通用的TRUNK协议，便于以后采用不同厂家设备进行网络规模的扩展。

再次，鉴于VLAN 1的私密性，使用ACL加入数据包过滤，除管理层的VLAN 2可以访问VLAN 1外，其他业务均不能访问VLAN 1，并将该限制应用到VLAN 1的子接口上，以保证VLAN 1数据安全。

最后，配置PAT实现内网对外网的访问，同时配置静态NAT满足外网对内网WWW服务器的访问要求。

1.2初步方案设计

①在内部启用OSPF动态路由协议，该协议支持VLSM，使内部主机之间可以任意通信，达到内网设计的通信目标；②在连接VLAN 1和VLAN 2的端口上，划分子接口，封装802.1q通用TRUNK协议，实现VLAN间通信以及VLAN和外网间通信；③使用访问控制列表，在连接VLAN 1的子接口上限制非法业务流量通过，保护VLAN 1的安全；④在内部路由器R3上，启用PAT技术，实现内网通过唯一公网IP地址对外网的访问，同时使用静态NAT，使外网主机能够访问内网某台WWW服务器。

2详细配置

（5）配置静态NAT，实现外网对内网WWW服务器的访问。

在R3路由器上设置静态NAT转换条目，使外网地址的特定端口对应内网主机的特定端口：Router（config）#ip nat inside source static tcp 192.168.4.8 80 200.1.1.1 80，在外网主机上通过网络浏览器输入200.1.1.1地址，可以顺利访问到内网192.168.4.8这台WWW服务器的主页。

（6）在R3上使用命令可以查看地址转换的细节：show ip nat translations，在地址转换出现细微问题时，可以使用clear命令清除转换表，实现地址的重新转换。Clear ip nat translations *。

3GNS3模拟验证

通过灵活使用Routerona stick、ACL和NAT结合，可以实现内网访问外网，也可以实现内网部分资源对外网的开放，在私有网络内部，可以结合使用比较成熟的单臂路由技术和ACL技术，实现网络内部信息流动的自由控制。网络功能在Cisco Packet Tracer及GNS3上得到验证。R3路由器承担了所有功能中的很大一部分，要求占用R3路由器软件和硬件资源较多，因此R3路由器的配置要相对好一些，才能保证网络整体的性能和要求。

参考文献：

[1]曹申会.端到端的TCP的NAT穿越[J].电信快报：网络与通信，2013（2）：4447.

[2]罗瑞红，申海军.利用CISCO PT软件模拟计算机网络中DHCP、NAT的应用[J].软件导刊，2012（12）：150152.

[3]周新卫，许自龙，刘浪.地址翻译技术在防火墙系统中的应用[J].科技广场，2012（10）：7981.

[4]冷飞.校园网双出口实施过程中出现的问题及解决方案[J].邢台学院学报，2012（4）：171172.