《NAT技术在网络中的应用与实现.docx》由会员分享,可在线阅读,更多相关《NAT技术在网络中的应用与实现.docx(17页珍藏版)》请在三一办公上搜索。
1、编号:商丘科技职业学院毕业论文题 目:NAT技术在网络中的应用与实现系 别计算机科学系专 业学生姓名成 绩指导教师2011年4月摘要随着互联网的普及,IP地址缺乏问题日益恶化,为了缓解问题,在IP地址分配和保 留IP地址方面提出了许多办法,甚至提出新一代的IPv6技术从根本上解决地址空间问题。 但由于多方面的原因,NAT成为了事实上广泛使用的解决方法,是我们至今在互联网上没 有使用完合法IPv4地址的真实原因。它主要思想是把本地的私有IP地址映射到公网的合 法IP地址,以缓解可用IP地址空间的消耗。本课程设计主要对NAT技术进行系统分析, 并举出一个应用实例,在网络模拟器中将其具体实现,深入了
2、解其工作原理与数据包每次 被修改的情况,了解技术存在的缺点。关键词:IP地址分配 保留IP地址NAT目录绪论1第1章背景简述21.1 IP地址现状21.2 现存解决方案2第二章NAT技术分析32. 1 NAT 类型32.2 NAT 术语42.3 NAT工作原理4第三章NAT的应用实例63. 1实例描述63.2实例的设计方案73.3 实例的配置重点83.4 实例的分析10结束语12参考文献13绪论随着互联网的普及,接入网络的计算机数量增长非常迅速,目前使用的IPv4地址空间有 限,可用的公网合法IP非常短缺。人们为了缓解口益恶化的地址缺乏问题,在IP地址的分配 和保留IP地址方面采取了许多办法。
3、现存的解决办法包括ISP方面对公网地址的动态分配与 回收、使用DHCP动态分配与回收、可变长子网掩码(VLSM)技术、无类域间路由(CIDR) 技术,甚至提出新一代的IPv6技术从根本上解决地址空间问题,但由于多方面的原因,IPv6 到目前还没有得到普及,而网络地址转换(NAT) -1技术的使用,是我们至今在互联网上没有 使用完合法IPv4地址的真实原因。它主要思想是把本地的私有IP地址映射到公网的合法IP 地址,以缓解可用IP地址空间的消耗。虽然,它没有像IPv6那种从根本上解决问题,但在IPv6 没有得到普及的今天,成为了事实上广泛使用的解决方法。第1章背景简述1.1IP地址现状众所周知,
4、在电话通信中,电话用户是靠电话号码来识别的。同样,在网络 中为了区别不同的计算机,也需要给计算机指定一个号码,这个号码就是“IP地 址”。随着互联网的普及,一个明显的事实是:连接到网络中的人员和设备数量每 时每刻都在增加。理论上说,IPv4的可用地址只有大约232个,实际上只有大约2 亿5千万个地址能够给设备使用。大量的报告显示,在地球上大约有65亿人,超 过10%的人连接到了 Inteineto这些统计数据让我们注意到一个令人担忧的现实情 况:按照IPv4的容量,地球上的每个人甚至不能拥有一台计算机,IPv4正在面临 着地址枯竭的危机。针对这个问题,人们在IP地址的分配和保留IP地址方面做了
5、许多工作和努力, 来缓解日益恶化的地址缺乏问题。1.2现存解决方案最常见动态解决的方法是,当合法用户需要接入Internet中时,ISP为他分配 一个可用的IP地址,使他可以访问网络,当用户断开连接后,之前分配的IP地址, 再由ISP收回,留待其他用户接入时,再把之前的IP地址分配给其他用户。另一 个常见的动态解决方法是,通过DHCP服务器动态地为需要使用网络服务的主机 提供自动的TCP/IP配置,在使用完后便把IP地址回收到地址池中,为其他需要的 主机提供分配。其他技术可以针对IP地址和子网掩码来提供解决方案。如可以使用可变长子 网掩码(VLSM)技术,更好地利用IP地址中的每一个二进位,划
6、分出包含更少 主机位的子网络,高效分配IP地址(较少浪费),比有类IP地址提供了更多的灵 活性。无类域间路由(CIDR)伴随着VLSM而使用,将从VLSM产生的无类的 IP地址集中起来,汇聚为一个代表较大范围的单一路由表项,减少了路由器中路 由表的条目,从而减轻路由器的负担。CIDR可看作子网划分的逆过程。子网划分 时,从主机号部分借位,将其合并进网络部分;而在CIDR的超网中,则是将网络 号部分的某些位合并进主机号部分。IPv6的提出,让人们看到的希望,最称为是最终解决方案。IPv6提供了丰富 的地址空间(3.4*1。38) 4,实际上是IPv4地址长度的4倍,IPv6的优点还有其安 全性、
7、扩展性和高可用性。可惜的是,直到现今,要用户终端上IPv6还没能普及, 这迫使人们寻找更实际的、针对IPv4的技术。NAT技术的使用,是我们至今在互联网上没有使用完合法IPv4地址的真实原 因。NAT包括三种类型,分别是静态NAT、动态NAT和端口复用NAT (即PAT)。 它主要思想是把本地的私有IP地址映射到公网的合法IP地址,以缓解可用IP地 址空间的消耗。虽然,它没有像IPv6那种从根本上解决问题,但在IPv6没有得到 普及的今天,成为了事实上广泛使用的解决方法。第二章NAT技术分析2. 1 NAT类型NAT,全称网络地址转换,分为三种类型:静态NAT、动态NAT和端口复用 NAT (
8、称 PAT)5】。静态NAT,是为了在私有IP地址和公网的合法IP地址之间允许一对一映射 而设计的。这种类型需要网络中的每台主机都拥有一个真实的Liteinet IP地址,适 合内网中的服务器使用,因为服务器要向外部网络提供网络服务,IP地址不能总 是动态地改变。动态NAT可以实现映射一个私有IP地址到公网合法IP地址池中的其中一个 IPo这种类型不必像静态NAT那样,在路由器上静态映射内部到外部的地址,但 是必须保证拥有足够的真实IP,保证每个在Internet中收发包的用户都有真实的IP 地址可用。端口复用NAE 乂称PAT,是最流行NAT配置类型。复用实际上是动态NAT 的一种形式,它映
9、射多个私有IP地址到单独一个公网合法IP地址,形成多对一的 关系,实现方式便是通过使用不同的端口。因此,它乂被称为端口地址映射(PAT)o 通过使用PAT,可实现上千个用户仅通过一个真实的公网IP地址连接到Internet, 而也因为这个原因,使用PAT是人们至今在互联网上没有使用完公网合法IP地址 的真实原因。2.2 NAT术语在NAT转换之前的地址叫做本地地址。因此,内部本地地址实际上是指尝试 连接到hitemet的主机的私有IP地址,而外部本地地址则是目标主机的地址。目 标主机通常是服务器或网页的公网IP地址。在NAT转换之后使用的地址叫做全局 地址。它们通常是使用公网合法IP地址,但如
10、果不需要连接Internet,则不一定需 要公网IP地址了。在转换之后,内部本地地址变成了内部全局地址。表3-1列出 了这些术语的清晰含义:表3-1 NAT术语名字含义内部本地转换之前的内部源地址外部本地转换之前的目标地址内部全局转换之后的内部源地址外部全局转换之后的目标地址2.3 NATT作原理下面通过例子说明NAT详细工作原理。如图3-1所示,主机10.1.1.1需要访 问外部网络Internet中的服务器,它发送一个数据包到边界路由器,该数据包的源 地址为10.1.1.1。NAT转换发生在边界路由器中,该路由器识别出此数据包中的源 地址为内部本地IP地址,目标是外部网络,它便把内部本地地
11、址转换为内部全局 地址172.168.2.2,并把转换结果记录到NAT表中。这个数据包使用转换后的新的 源地址被发送到路由器的外出接口,然后被送达服务器。当外部的服务器产生响 应数据包并回送到路由器时,路由器再使用NAT转换表,把内部全局地址转换为 内部本地地址,然后再修改数据包的目的IP地址,然后送回发出请求的源主机内部木地 IP弛址内部全局 IP地址SA10.1.1.110.1.1 310.1.1 210.1.1 1170.168.2.4170.168.2.3170.16S.2.2_U图3-1基本的NAT转换示例而在PAT转换中,情况有些复杂,因为使用到了端口号,而所谓复用,是全 部的内部
12、主机被转换成一个单独的IP地址。如图3-2所示,边界路由器同样把内 部本地地址转换为内部全局地址,所不同的是每个转换都带上了端口号。端口号 作用于传输层,加上端口号便可帮助路由器识别哪一台主机接收返回的流量。内 部主机10.1.1.1请求夕卜部服务器63.40.7.3的资源,发送的请求数据包在路由器处 被修改,转换成一个公网IP与随机端口号的组合,并纪录在NAT转换表中。当外 部服务器返回响应数据包到路由器时,虽然内部全局IP地址都相同,但可以根据 所分配的端口号来识别源主机,从而把返回的流量送往请求服务的源内部主机。 静态与动态NAT都是使用IP地址识别源主机,由于PAT允许使用传输层的端口
13、 号来识别主机,便可以更加节省公网的合法IP地址。10.1.1.2SA10.1.1.1协议10.1.1.1内部本地IP弛址,端口内部全局IP弛址,端口外部全局IP地址,端口TCP10.1.1.3.1723170 168.2.2.149263.41.7.3:23TCP10 1 1 21723170 168.2.2172363 41.7 3:23TCP10.1 1.1 1024170 168.2.2 102463 40 .7 3 23图3-2 PAT转换示例第三章NAT的应用实例3.1实例描述GNS 3是一款优秀的开源的具有图形化界面的网络模拟软件,适用于多种操 作系统。它可以用于运行Cisco的
14、网络操作系统IOS,或者是检验将要在真实的路 由器上部署实施的相关配置。同时它也可以仿真一个网络的性能。简单说来它是 Dynanups的一个图形前端,而Dynamips则是直接运行IOS来模拟Cisco的路由器, 通过利用本地网卡,可虚拟出多个虚拟网上来模拟PC等设备的网络连接。故本课 程设计使用GNS 3来模拟一个NAT的应用实例,使用Cisco的3600系列路由器 来进行NAT转换。实例在GNS3软件中的网络拓扑图如图4-1所示,加上了适当 的备注。F2/0: 10.0.0.200/24内部务器10.0.0. 1外部,eb限务器Internet202.0.0. 1202.0. 1. 1图4
15、-1实例网络拓扑图本实例中内网中在主机pci、pc2和内部Web服务器,需要达到的目标是pci 和pc2需要通过hiternet访问外部Web服务器,而外部主机则需要访问内网中的内 部Web服务器。而现有的ISP分配的可用地址只有两个:202.100.100.1/24和 202.100.100.2/24o3.2实例的设计方案内网中使用的是A类的私有IP地址,而私有IP地址是不能在公网是被路由 的,所以要达到实例的预期目标,必须在边界路由器处对私有IP地址进行NAT转 换,方可获取网络服务。然而NAT有三种类型,下一步就应该确定所使用NAT 的类型。pci和pc2只需要访问外部Web服务器,无其
16、他特别要求,三种类型都能适 合要求,然而内部Web服务器的要求则不一样。外部主机需要可以访问到内部Web 服务器,这就决定了内部Web服务器必须随时拥有一个公网的合法IP,才能使外 部主机可以随时访问。若内部Web服务器使用动态NAT和PAT来配置,在任意 一个时刻内,外部主机根本无法知道内部Web服务器使用的地址与端口号,也就 无法进行访问了。因此,内部Web服务器需要使用静态NAT的转换,来保证任意 时刻都能为外部主机提供服务。内部Web服务器的静态NAT转换需要分配一个公 网IP地址,不妨就定为202.100.100.2/24,现在只剩下一个公网IP地址可用了。 若pci和pc2只使用动
17、态NAT,在任意一个时刻,只有其中一台主机可访问外部 网络服务,但如果使用PAT,便可以令两台主机同时访问外部网络而不想到干扰。 综上所述,内部Web服务器应该使用静态NAT配置,而pel和pc2则使用PAT配 置,两个公网IP地址202.100.100.1/24和202.100.100.2/24刚好都被利用到。3.3实例的配置重点上面己经分析与设计出实例的配置方案,下面需要做的则是在模拟器上进行 配置与运行,测试设计方案是否可行。在路由器上的各端口的IP地址规划与NAT端口角色如下:(1) F1/0 是内部端口: 10.0.1.100/24。(2) F2/0 是内部端口: 10.0.0.20
18、0/24。(3) F0/0 是外部端口: 202.100.100.1/24o在本规划中,路由器的出口 F0/0必须配置成公网IP地址,原因是,内部地址 在路由器中被转换成公网IP地址,而外部的服务器与主机根本不知道这一过程, 它们只知道与自己通信的源IP地址为202.100.100.1/24和202.100.100.2/24,若不 在F0/0上配置两个公网IP地址,外部服务器和外部主机所发的数据包无法到达路 由器,也就无法达到实例的通信目标。首先进行静态NAT的相关配置。在模拟器中登入路由器的控制台,可进行所 有功能配置。第一步对内部端口 F2/0进行相关的配置如图4-2所示:Routertt
19、conf tEnter configuration commands, one per line. End with CNTL/Z.Routerttint 2/0RouterCconfig-if#ip add 10.0.0.200 255.255.255.0Router#ip nat insideRouterttno shutRoutertt图4-2端口 F2/0的配置第二步在全局配置模式下建立静态NAT的映射,如图4-3所示:RouterCconf igttRouterttip nat inside source static 10.0.0.1 202.100.100.2Routertt图4
20、-3建立静态NAT映射第三步便要对外部端口 F0/0进行相关的配置,如图4-4所示:Router#Routerttint f0/0Routerttip add 202.100.100.1 255.255.255.0Routerttip nat outsideRouterttno shutRouterttRoutertt图4-4端口 F0/0的配置然后进行PAT的配置。第一步先对内部端口 F1/0进行相关的配置如图4.5所BouterttBouterttint f1/0Router#ip add 10.0.1.100 255.255.255.0Routerttip nat insideRoute
21、rttno shutBouterCconfig-ifBouterconf ig-iftt.图4-5端口 Fl/0的配置第二步全局配置模式下建立PAT的映射,这与建立静态NAT的映射不一样,需要 建立一个访问控制列表(ACL)、一个地址池(尽管只有一个IP地址),并把两者 联系起来,如图4-6所刀Routerttaccess-list 1 permit 10.0.1.1 0.0.0.0 Routerttaccess-list 1 permit 10.0.1.2 0.0.0.0 RouterCconf igtt RouterconfRouter#ip nat pool pcs 202.100.10
22、0.1 202.100.100.1 netnask 255.255.255$Routerttip nat inside source list 1 pool pcs overloadRouterttRouterconf图4-6建立PAT映射 第三步便要再一次对外部端口 F0/0进行相关的配置,但上面静态NAT转换中己经 做了,所以可以省略。命令 ip nat inside source list 1 pool pcs overload 告诉路由器把匹配 access-list 1 的IP地址转换成名字叫pcs的IP NAT地址池中的地址,而由于地址池中只有一个 地址并在命令末尾带上了 “ove
23、iload”关键字,所以会用相同的IP、不同的端口号 进行网络地址转换。3.4实例的分析下面对实例中的路由器中各端口可能出现的数据包进行分析。当pci和pc2同时(或较短时间间隔)访问或ping外网的Web服务器时,所 发送的数据包会在路由器中被修改源地址,并记录在NAT转换表中,如表4-1所 示:表4-1 PAT转换条目协议类型内部本地IP地址:端口内部全局IP地址:端口目的地址IP地址:端口TCP10.0.1.1:1234202.100.100.1:1024202.0.0.1:80TCP10.0.1.2:1570202.100.100.1:1750202.0.0.1:80当外部的Web服务
24、器对pci和pc2访问作出响应,返回包含服务的数据包时,目 的地址将是202.100.100.lo路由器将返回的数据包对比转换表,根据端口号来识 别pci和pc2,然后根据结果返回相应的内网主机。当外部主机请求内网中的Web服务器的服务时,会使用NAT转换后的合法公 网IP地址,而路由器中会在配置完成后便一直保留一条静态NAT转换的条目,如 表4-2所示:表4-2静态NAT转换条目内部本地IP地址内部全局IP地址10.0.0.1202.100.100.2由于静态条目一直存在,所以每次外部主机访问202.100.100.2这个地址时,都会 被路由器进行转换,然后再转发到内部Web服务器;当内网中
25、的Web服务器对外 部主机的访问作出响应,回发的数据包进入路由器时,被根据静态转换条目修改 源IP地址。这样,在任意时刻都可以对外部主机提供Web服务。至此,实例的NAT设计方案基本上符合通信要求。并且由于每次都由路由器 进行数据包的IP转换,赶到一定的安全保护作用,但这也揭露出NAT技术的缺点。 由于每次都需要路由器对数据包进行转换,而路由器的工作原理是依靠基于CPU 与内存计算的软件,并不像交换机基于硬件芯片那样的高性能,故随着路由器的 负载增加,NAT的转换时间和数据包时延会迅速增大。考虑到这样的情况下,路 由器便成为了网络性能的瓶颈,存在单点失效问题。故实际中使用NAT技术需要 非常注
26、意路由器的性能和转换的条目数量,避免路由器崩溃。结束语掌握到实际网络中NAT技术的一般配置方法,了解到网络IP分配地址相关知 识,也深入认识到NAT的工作原理与使用优缺点。从NAT实例的设计中,使我认 识到一个人的想法很多时候会存在不足与缺点,一个思路成型之前需要反复考虑 与推敲,要全面地考虑各种各样问题,才能作出较全面的解决方案。在基本完成 本设计后,本人反复思考,觉得自己对NAT技术与实例的分析不一定到位,于是 到图书馆和互联网作了资料搜集与知识补充,最后作出了一定的修改。本人的感 想是,不要以解决了小的问题而自满,应该想的更深更远,在思考问题之时,不 应该固步自封,应该先了解别人思考的优
27、点,再结合自身的知识来全面思虑,才 能培养和提高自身的动手实践能力。本课程设计可能因为本人经验欠缺,做得不太出众,但通过课程设计所学习 到的知识与所得到的实践机会令本人受益匪浅,进一步培养了实践结合理论知识 的能力。参考文献1 易建勋.计算机网络设计M.北京:人民邮电出版社,20092 蔡学军,梁广民,王隆杰,张立娟.网络互联技术M.北京:高等教育出版社, 20073 沈海娟.网络互联技术一广域网M.北京:浙江大学出版社,20064 Todd Lanmile.程代伟,徐宏等译.CCNA学习指南M.北京:电子工业出版社, 20085 Doyle Jeff, Canoil J.D.夏俊杰译.TCP/IP路由技术(第二卷)M.北京:人 民邮电出版社,2009
