论文导读::网络地址转换)。随着Internet网络的迅速发展。路由器NAT技术在企业网络中的应用研究。
论文关键词:网络地址转换,ip地址,网络
1.引言
随着Internet网络的迅速发展,绝大多数企事业单位的用户都存在上网的需求,但是现行的IPV4协议32位的地址空间已经出现严重短缺,公有IP地址不仅越来越稀少而且价格也相对昂贵。在目前的网络环境中,NAT技术的合理使用可以很好地解决这个问题。
NAT可以在路由器、防火墙或单独的NAT设备等多种网络设备上进行配置实现,应用范围广,而且价格低廉,配置简单网络地址转换,是许多中小企业解决公网地址不足的有效方法。
2.NAT 的基本原理
NAT (Network Address Translation,网络地址转换),它允许一个机构以一个公有 IP 地址出现在Internet 上。将局域网内每个节点的私有地址转换成一个公有 IP 地址,反之亦然。而且,它可以应用于防火墙技术,把个别地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备。同时,它可以帮助网络超越地址的限制,合理地安排网络中的公有 Internet 地址和私有 IP地址的使用。
NAT技术能帮助解决令人头疼的 IP 地址紧缺的问题,实现公网地址和私网地址之间的映射,而且能使内部和外部的网络隔离,提供一定程度的网络安全保障。它解决问题的办法是::在内部网络中使用内部地址,通过NAT 把内部地址翻译成合法的IP地址在 Internet 上使用,其具体的做法是把 IP包内的地址域用合法的外部 IP 地址来替换。
2.1 NAT工作流程:
(1)当私网内的 IP 包经 NAT 流入公网时,NAT将此 IP包的源 IP地址改为 NAT接口上的一个公网地址。
(2)当公网中的 IP包经NAT访问私网资源时,NAT将此 IP包目的地址改为某一私网 IP地址论文的格式。
2.2 NAT技术的类型
NAT有三种类:静态 NAT(static NAT)、NAT池(pooled NAT) 和端口 NAT(PAT)。其中,静态NAT设置起来最为简单网络地址转换,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。PAT 则是将多个内网地址映射到同一个外网地址的不同端口上。根据不同的需要,各种 NAT 方案都是有利有弊。
2.2.1 NAT地址池
使用 NAT地址池,可以从未注册的地址空间中提供被外部访问的服务,也可以从内部网络访问外部网络,而不需要重新配置内部网络中的每台机器的IP地址。采用 NAT池意味着可以在内部网络中定义很多的内部用户,通过动态分配的办法,共享很少的几个外部 IP地址。而静态NAT则只能形成一一对应的固定映射方式。
NAT池提供很大灵活性的同时,也影响到网络原有的一些管理功能。例如,一些管理系统要利用IP地址来跟踪设备的运行情况。但使用NAT 之后,意味着那些被翻译的地址对应的内部地址是变化的,今天可能对应一台工作站,明天可能对应一台服务器。这给网络管理带来了麻烦。
2.2.2 PAT
PAT 可把内部的 TCP/ IP 映射到外部一个注册 IP 地址的多个端口上,还可支持同时连接 64500 个 TCP/ IP、UDP/ IP,但实际可支持的工作站个数会少一些。
在 Internet 中使用 PAT 时,所有不同的 TCP和 UDP信息流看起来仿佛都来源于同一个 IP 地址。这个优点在小型办公室内非常实用,通过从ISP处申请的一个 IP 地址网络地址转换,通过 PAT 将多个连接接入 Internet。
3.企业案例
笔者在指导企业开展网络安全服务过程中,利用NAT 技术特点,将其运用至企业网络管理中,使企业节约了网络资源,增强了企业的网络调优能力和网络的安全性, 同时为企业节约了网络管理成本,受到企业欢迎。
背景:图1为某企业网络拓扑结构简图,是基于层次性网络结构的设计,接入层设备采用S2126G交换机,汇聚层设备采用s3550三层交换机。企业中有四个大的子网。分别为工程部、财务部、商务部和服务器群(目前企业只有1台web服务器),在交换机上划分vlan,vlan10 是工程部子网、vlan20是财务部子网、vlan30是商务部子网、vlan40是服务器群网络。为了保证网络的高可用性和稳定性,接入层交换机与汇聚层交换机通过两条链路相连,汇聚层交换机通过F0/1与RB路由器接口F1/1相连,汇聚层交换机通过接口F0/8与web服务器群网络相连接。
工程部和财务部各有20台电脑,商务部有30台电脑,网络中还有1台web服务器。根据企业业务需要,要求所有计算机都能上互联网网络地址转换,web服务器要求能对外开放。现在企业有8个c类地址(IP 地址是 218.192.84.101 至 218.192.84.108 掩码为 255.255.255.0 )这显然是不够用论文的格式。因此采用了NAT技术的解决方案。
方案中使用锐捷路由器。将企业网根据职能分成四个子网,服务器子网对外提供 Web 服务。考虑到服务的安全性,故采用静态地址转换。工程部和财务部各自使用独立的地址池接入企业网,并采用动态地址转换;商务部共用 1 个 IP 地址,采用地址端口转换。
图1 企业网络拓扑结构
路由器的配置如下(以下命令均以锐捷设备为例)
1)配置内部全局地址池。给工程部、财务部、商务部配置地址池engineering_departmeng、accounting_department 和commerce_department
Router(config)# ip nat poolengineering_department 218.192.84.104 218.192.84.105 netmask 255.255.255.0
Router(config)# ip natpool accounting_department 218.192.84.106 218.192.84.107 netmask255.255.255.0
Router(config)# ip nat poolcommerce_department 218.192.84.108 218.192.84.108 netmask 255.255.255.0
2)配置允许转换的内部本地地址的范围。给工程部、财务部、商务部配置允许转换的内部本地地址的范围
Router(config)# access–list10 permit 172.16.10.0 0.0.0.255
Router(config)# access–list20 permit 172.16.20.0 0.0.0.255
Router(config)# access–list30 permit 172.16.30.0 0.0.0.255
Router(config)# access–list40 permit 172.16.40.0 0.0.0.255
3)配置本地地址与全局地址的映射关系
Router(config)# ip nat insidesource static 172.16.40.1 218.192.84.102
Router(config)# ip nat insidesource list 10 pool engineering_departmengcomputer 1
Router(config)# ip nat insidesource list 20 pool accounting_department computer 2
Router(config)# ip nat insidesource list 30 pool commerce_department overload
4)配置外部接口
Router(config)# interfaces1/2
Router(config-if)# ip address218.192.84.101 255.255.255.0
Router(config-if)# ip natoutside
Router(config-if)# noshutdown
5)配置内部接口。
Router(config)# interfacef1/1
Router(config-if)# ip address172.16.1.2 255.255.255.0
Router(config-if)# ip natinside
Router(config-if)# noshutdown
6)设置缺省路由 路由器设置。
Router(config)# ip route 0. 0. 0. 0 0. 0. 0. 0 218. 192. 84. 101
7)三层交换机的基本配置以及vlan划分省略了,不在此罗列了。
经过上述配置后 Internet 上的主机可以访问校园网中的 Web 服务器以及工程部、财务部、商务部的计算机也可以同时访问到互联网。
4.结束语
随着 IP 地址短缺以及网络安全的问题日渐突出,采用网络地址转换是一个方便、廉价而且实用的方法。文章系统的归纳了此项技术,并结合此技术给出了 NAT 技术的应用实例,很好的解决了企业网络调优及安全问题,完善了该技术的价值。
[参考文献]
[1]谢希仁.计算机网络[M]. 北京电子工业出版社,2003.
[2]J . Rosenberg , J . Weinberger , C.Huitema , and R.Mahy. STUN - Simple Traversal of User Datagram Pro2tocol ( UDP) Through Network Address Translators(NATs)[J] . RFC 3489 , March 2003.
|
