Linux下多网段Nat实现与应用.doc

精品Linux下多网段Nat实现与应用随着Internet的蓬勃发展，高校校园网络建设的步伐也进一步加快。Internet的快速发展使世界加快进入信息时代，全球的Internet上网用户数呈现爆炸式的增长趋势。随着学校的机房的扩容，co2621路由器作NAT，经常路由器的死机，原有的上网方式已经不能满足需求，为解决学校上网慢的问题，同时为节省资金，考虑使用Liunux服务器作NAT(地址转换)。校区网络为1000兆以太网网络，主干的速度为1000兆，Linux经过10年的发展，日益成熟。并且它具有廉价的价格，稳定的性能和较低的硬件需求。1实现机制1.1网段划分：我们以分10个网段为例学生机房或实验室使用网段192.168.10.0/24192.168.11.0/24192.168.12.0/24192.168.13.0/24192.168.14.0/24192.168.15.0/24192.168.16.0/24教师办公使用网段：192.168.0.0/24192.168.2.0/24192.168.1.2服务器配置Linux服务器采用普通服务器既可，cpu频率大于1000M，内存大于256M的机器完全可以满足需求。配置情况如下：系统使用：REDHAT Linux AS 5安装双网卡：eth0：外网eth1：内网网卡配置如下：外网#vi/etc/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0IPADDR=*.*.*.*NETMASK=255.255.255.248NETWORK=*.*.*.*BROADCAST=*.*.*.*ONBOOT=yesBOOTPROTO=noneUSERCTL=no内网#vi/etc/sysconfig/network-scripts/ifcfg-eth1DEVICE=eth1IPADDR=172.16.10.1NETMASK=255.255.255.248NETWORK=172.16.10.0BROADCAST=172.16.10.7ONBOOT=yesBOOTPROTO=noneUSERCTL=no配置完网卡地址后，要给这台电脑添加静态路由了。1.3添加路由和转发使用NAT先要打开包转发功能以root登陆，通过修改配置文件/etc/sysconfig/network在代写论文这文件中添加：FORWARD_IPV4=“YES”然后要操作系统的路设置添加路由route add-net相应子网netmask子网掩码ev网络接口名route add default gw*.*.*.*(isp提供的网关)默认由。以下是为我们的网络添加的路由，请根据实际情况使用。72.16.10.2是交换机与Linux的内网网卡接口的地址route add-net 172.16.10.0 netmask 255.255.255.248 gw72.16.10.2route add-net 192.168.0.0 netmask 255.255.255.0 gw72.16.10.2route add-net 192.168.2.0 netmask 255.255.255.0 gw72.16.10.2route add-net 192.168.16.0 netmask 255.255.255.0 gw72.16.10.2路由添加完后，如果想永久保存，请将以上的内容写入/etc/c.d/rc.local文件中现在要开启地址转发功能，命令如下：echo 1/proc/sys/net/ipv4/ip_forwardiptables-Fiptables-t nat-Fiptables-t nat-A POSTROUTING-o eth0-s72.16.10.0/29-j SNAT-to*.*.*.*(Linux外网网卡的址)（上接第41页）iptables-t nat-A POSTROUTING-o eth0-s 192.168.0.0/24-j SNAT-to*.*.*.*(Linux外网网卡的地址)iptables-t nat-A POSTROUTING-o eth0-s 192.168.2.0/24-j SNAT-to*.*.*.*(Linux外网网卡的地址)iptables-t nat-A POSTROUTING-o eth0-s 192.168.16.0/24-j SNAT-to*.*.*.*(Linux外网网卡的地址)每个语句的意义如下-t nat表示配置NAT表中的链-A POSTROUTING表示满足规则的数据包发往外网是该变其IP地址-s 192.168.1.0.0/24表示从内网192.168.0.0网段发往的数据包-o eth1表示通过eth1发往外网的数据包（别告诉我你不知道eth1什么意思）-j SNAT表示满足上诉规则是就进行静态NAT地址转换-to-source 100.100.100.100表示数据包转换为100.100.100.100同样，如果不想每次重启计算机都要重新配置的话，也要把上面的内容写入到/etc/rc.d/rc.local中。现在服务器已经配置完成，将服务器的外网网卡接到ISP提供的线路上，内网卡接到核心交换机的输出端口，我内网就可以流畅访问Internet了。通过NAT的网络地址转换，可以实现局域网地址的隐藏，使外部无法直接访问内部网络资源。从而节省IP地址，和更好的保护网络拓扑结构不暴漏。1.4Nat的优缺点Nat的优点：(1)以极少的全局地址实现一个较大型的私有网络与Internet的互联；(2)终端用户可以透明地访问Internet；(3)在实现NAT时候，可以加入一些服务器和包过滤功能，可以获得很好的安全性及其他性能，而不用增加管理开销。Nat的缺点：(1)它隐藏了发送报文的主机的有关信息，使得外部网络难于对他们进行管理，如果内部网络的某台主机违反安全规则，Internet无法查到元凶；(2)它会增加错误寻址的可能性；(3)随着