NAT技术在网络中的应用与实现

编号 商丘科技职业学院 毕业论文 题题 目 目 NAT 技术在网络中的应用与实现 系 别 计算机科学系 专 业 学生姓名 成 绩 指导教师 2011 年 4 月 商丘科技职业学院毕业论文 I 摘 要 随着互联网的普及 IP 地址缺乏问题日益恶化 为了缓解问题 在 IP 地址分配和保 留 IP 地址方面提出了许多办法 甚至提出新一代的 IPv6 技术从根本上解决地址空间问题 但由于多方面的原因 NAT 成为了事实上广泛使用的解决方法 是我们至今在互联网上 没有使用完合法 IPv4 地址的真实原因 它主要思想是把本地的私有 IP 地址映射到公网的 合法 IP 地址 以缓解可用 IP 地址空间的消耗 本课程设计主要对 NAT 技术进行系统分 析 并举出一个应用实例 在网络模拟器中将其具体实现 深入了解其工作原理与数据 包每次被修改的情况 了解技术存在的缺点 关键词 IP 地址分配 保留 IP 地址 NAT NAT 技术在网络中的应用与实现 II 目 录 绪 论 1 第 1 章 背景简述 2 1 1 IP 地址现状 2 1 2 现存解决方案 2 第二章 NAT 技术分析 3 2 1 NAT 类型 3 2 2 NAT 术语 4 2 3 NAT 工作原理 4 第三章 NAT 的应用实例 6 3 1 实例描述 6 3 2 实例的设计方案 7 3 3 实例的配置重点 8 3 4 实例的分析 10 结束语 12 参考文献 13 商丘科技职业学院毕业论文 1 绪 论 随着互联网的普及 接入网络的计算机数量增长非常迅速 目前使用的 IPv4 地址空间有 限 可用的公网合法 IP 非常短缺 人们为了缓解日益恶化的地址缺乏问题 在 IP 地址的分 配和保留 IP 地址方面采取了许多办法 现存的解决办法包括 ISP 方面对公网地址的动态分配 与回收 使用 DHCP 动态分配与回收 可变长子网掩码 VLSM 1 技术 无类域间路由 CIDR 技术 甚至提出新一代的 IPv6 3 技术从根本上解决地址空间问题 但由于多方面的 原因 IPv6 到目前还没有得到普及 而网络地址转换 NAT 2 技术的使用 是我们至今在 互联网上没有使用完合法 IPv4 地址的真实原因 它主要思想是把本地的私有 IP 地址映射到 公网的合法 IP 地址 以缓解可用 IP 地址空间的消耗 虽然 它没有像 IPv6 那种从根本上解 决问题 但在 IPv6 没有得到普及的今天 成为了事实上广泛使用的解决方法 NAT 技术在网络中的应用与实现 2 第 1 章 背景简述 1 1 IP 地址现状 众所周知 在电话通信中 电话用户是靠电话号码来识别的 同样 在网络 中为了区别不同的计算机 也需要给计算机指定一个号码 这个号码就是 IP 地 址 随着互联网的普及 一个明显的事实是 连接到网络中的人员和设备数量 每时每刻都在增加 理论上说 IPv4 的可用地址只有大约 232个 实际上只有大 约 2 亿 5 千万个地址能够给设备使用 大量的报告显示 在地球上大约有 65 亿 人 超过 10 的人连接到了 Internet 这些统计数据让我们注意到一个令人担忧 的现实情况 按照 IPv4 的容量 地球上的每个人甚至不能拥有一台计算机 IPv4 正在面临着地址枯竭的危机 针对这个问题 人们在 IP 地址的分配和保留 IP 地址方面做了许多工作和努 力 来缓解日益恶化的地址缺乏问题 1 2 现存解决方案 最常见动态解决的方法是 当合法用户需要接入 Internet 中时 ISP 为他分配 一个可用的 IP 地址 使他可以访问网络 当用户断开连接后 之前分配的 IP 地 址 再由 ISP 收回 留待其他用户接入时 再把之前的 IP 地址分配给其他用户 另一个常见的动态解决方法是 通过 DHCP 服务器动态地为需要使用网络服务的 主机提供自动的 TCP IP 配置 在使用完后便把 IP 地址回收到地址池中 为其他 需要的主机提供分配 其他技术可以针对 IP 地址和子网掩码来提供解决方案 如可以使用可变长子 网掩码 VLSM 技术 更好地利用 IP 地址中的每一个二进位 划分出包含更少 主机位的子网络 高效分配 IP 地址 较少浪费 比有类 IP 地址提供了更多的灵 活性 无类域间路由 CIDR 伴随着 VLSM 而使用 将从 VLSM 产生的无类的 IP 地址集中起来 汇聚为一个代表较大范围的单一路由表项 减少了路由器中路 由表的条目 从而减轻路由器的负担 CIDR 可看作子网划分的逆过程 子网划 商丘科技职业学院毕业论文 3 分时 从主机号部分借位 将其合并进网络部分 而在 CIDR 的超网中 则是将 网络号部分的某些位合并进主机号部分 IPv6 的提出 让人们看到的希望 最称为是最终解决方案 IPv6 提供了丰富 的地址空间 3 4 1038 4 实际上是 IPv4 地址长度的 4 倍 IPv6 的优点还有其 安全性 扩展性和高可用性 可惜的是 直到现今 要用户终端上 IPv6 还没能普 及 这迫使人们寻找更实际的 针对 IPv4 的技术 NAT 技术的使用 是我们至今在互联网上没有使用完合法 IPv4 地址的真实 原因 NAT 包括三种类型 分别是静态 NAT 动态 NAT 和端口复用 NAT 即 PAT 它主要思想是把本地的私有 IP 地址映射到公网的合法 IP 地址 以缓解可 用 IP 地址空间的消耗 虽然 它没有像 IPv6 那种从根本上解决问题 但在 IPv6 没有得到普及的今天 成为了事实上广泛使用的解决方法 第二章 NAT 技术分析 2 1 NAT 类型 NAT 全称网络地址转换 分为三种类型 静态 NAT 动态 NAT 和端口复 用 NAT 称 PAT 5 静态 NAT 是为了在私有 IP 地址和公网的合法 IP 地址之间允许一对一映射 而设计的 这种类型需要网络中的每台主机都拥有一个真实的 Internet IP 地址 适合内网中的服务器使用 因为服务器要向外部网络提供网络服务 IP 地址不能 总是动态地改变 动态 NAT 可以实现映射一个私有 IP 地址到公网合法 IP 地址池中的其中一个 IP 这种类型不必像静态 NAT 那样 在路由器上静态映射内部到外部的地址 但是必须保证拥有足够的真实 IP 保证每个在 Internet 中收发包的用户都有真实 的 IP 地址可用 端口复用 NAT 又称 PAT 是最流行 NAT 配置类型 复用实际上是动态 NAT 的一种形式 它映射多个私有 IP 地址到单独一个公网合法 IP 地址 形成多 对一的关系 实现方式便是通过使用不同的端口 因此 它又被称为端口地址映 NAT 技术在网络中的应用与实现 4 射 PAT 通过使用 PAT 可实现上千个用户仅通过一个真实的公网 IP 地址连 接到 Internet 而也因为这个原因 使用 PAT 是人们至今在互联网上没有使用完 公网合法 IP 地址的真实原因 2 2 NAT 术语 在 NAT 转换之前的地址叫做本地地址 因此 内部本地地址实际上是指尝 试连接到 Internet 的主机的私有 IP 地址 而外部本地地址则是目标主机的地址 目标主机通常是服务器或网页的公网 IP 地址 在 NAT 转换之后使用的地址叫做 全局地址 它们通常是使用公网合法 IP 地址 但如果不需要连接 Internet 则不 一定需要公网 IP 地址了 在转换之后 内部本地地址变成了内部全局地址 表 3 1 列出了这些术语的清晰含义 表 3 1 NAT 术语 名字含义 内部本地转换之前的内部源地址 外部本地转换之前的目标地址 内部全局转换之后的内部源地址 外部全局转换之后的目标地址 2 3 NAT 工作原理 下面通过例子说明 NAT 详细工作原理 如图 3 1 所示 主机 10 1 1 1 需要访 问外部网络 Internet 中的服务器 它发送一个数据包到边界路由器 该数据包的 源地址为 10 1 1 1 NAT 转换发生在边界路由器中 该路由器识别出此数据包中 的源地址为内部本地 IP 地址 目标是外部网络 它便把内部本地地址转换为内部 全局地址 172 168 2 2 并把转换结果记录到 NAT 表中 这个数据包使用转换后 的新的源地址被发送到路由器的外出接口 然后被送达服务器 当外部的服务器 产生响应数据包并回送到路由器时 路由器再使用 NAT 转换表 把内部全局地 址转换为内部本地地址 然后再修改数据包的目的 IP 地址 然后送回发出请求的 商丘科技职业学院毕业论文 5 源主机 10 1 1 1 Internet SA 172 168 2 2 DA 10 1 1 1 10 1 1 3 10 1 1 2 10 1 1 1 SA 10 1 1 1 DA 172 168 2 2 图 3 1 基本的 NAT 转换示例 而在 PAT 转换中 情况有些复杂 因为使用到了端口号 而所谓复用 是全 部的内部主机被转换成一个单独的 IP 地址 如图 3 2 所示 边界路由器同样把内 部本地地址转换为内部全局地址 所不同的是每个转换都带上了端口号 端口号 作用于传输层 加上端口号便可帮助路由器识别哪一台主机接收返回的流量 内 部主机 10 1 1 1 请求外部服务器 63 40 7 3 的资源 发送的请求数据包在路由器处 被修改 转换成一个公网 IP 与随机端口号的组合 并纪录在 NAT 转换表中 当 外部服务器返回响应数据包到路由器时 虽然内部全局 IP 地址都相同 但可以根 据所分配的端口号来识别源主机 从而把返回的流量送往请求服务的源内部主机 静态与动态 NAT 都是使用 IP 地址识别源主机 由于 PAT 允许使用传输层的端口 号来识别主机 便可以更加节省公网的合法 IP 地址 NAT 技术在网络中的应用与实现 6 Internet SA 172 168 2 2 DA 10 1 1 1 10 1 1 3 10 1 1 2 10 1 1 1 SA 10 1 1 1 DA 172 168 2 2 63 41 7 3 63 40 7 3 DA 172 168 2 2 图 3 2 PAT 转换示例 第三章 NAT 的应用实例 3 13 1 实例描述 GNS 3 是一款优秀的开源的具有图形化界面的网络模拟软件 适用于多种操 作系统 它可以用于运行 Cisco 的网络操作系统 IOS 或者是检验将要在真实的 路由器上部署实施的相关配置 同时它也可以仿真一个网络的性能 简单说来它 是 Dynamips 的一个图形前端 而 Dynamips 则是直接运行 IOS 来模拟 Cisco 的路 由器 通过利用本地网卡 可虚拟出多个虚拟网上来模拟 PC 等设备的网络连接 故本课程设计使用 GNS 3 来模拟一个 NAT 的应用实例 使用 Cisco 的 3600 系列 路由器来进行 NAT 转换 实例在 GNS 3 软件中的网络拓扑图如图 4 1 所示 加 上了适当的备注 商丘科技职业学院毕业论文 7 图 4 1 实例网络拓扑图 本实例中内网中在主机 pc1 pc2 和内部 Web 服务器 需要达到的目标是 pc1 和 pc2 需要通过 Internet 访问外部 Web 服务器 而外部主机则需要访问内网 中的内部 Web 服务器 而现有的 ISP 分配的可用地址只有两个 202 100 100 1 24 和 202 100 100 2 24 3 23 2 实例的设计方案 内网中使用的是 A 类的私有 IP 地址 而私有 IP 地址是不能在公网是被路由 的 所以要达到实例的预期目标 必须在边界路由器处对私有 IP 地址进行 NAT 转换 方可获取网络服务 然而 NAT 有三种类型 下一步就应该确定所使用 NAT 的类型 pc1 和 pc2 只需要访问外部 Web 服务器 无其他特别要求 三种类型都能适 合要求 然而内部 Web 服务器的要求则不一样 外部主机需要可以访问到内部 Web 服务器 这就决定了内部 Web 服务器必须随时拥有一个公网的合法 IP 才 能使外部主机可以随时访问 若内部 Web 服务器使用动态 NAT 和 PAT 来配置 在任意一个时刻内 外部主机根本无法知道内部 Web 服务器使用的地址与端口号 也就无法进行访问了 因此 内部 Web 服务器需要使用静态 NAT 的转换 来保 证任意时刻都能为外部主机提供服务 内部 Web 服务器的静态 NAT 转换需要分 配一个公网 IP 地址 不妨就定为 202 100 100 2 24 现在只剩下一个公网 IP 地址 NAT 技术在网络中的应用与实现 8 可用了 若 pc1 和 pc2 只使用动态 NAT 在任意一个时刻 只有其中一台主机可 访问外部网络服务 但如果使用 PAT 便可以令两台主机同时访问外部网络而不 想到干扰 综上所述 内部 Web 服务器应该使用静态 NAT 配置 而 pc1 和 pc2 则使用 PAT 配置 两个公网 IP 地址 202 100 100 1 24 和 202 100 100 2 24 刚好都 被利用到 3 33 3 实例的配置重点 上面已经分析与设计出实例的配置方案 下面需要做的则是在模拟器上进行 配置与运行 测试设计方案是否可行 在路由器上的各端口的 IP 地址规划与 NAT 端口角色如下 1 F1 0 是内部端口 10 0 1 100 24 2 F2 0 是内部端口 10 0 0 200 24 3 F0 0 是外部端口 202 100 100 1 24 在本规划中 路由器的出口 F0 0 必须配置成公网 IP 地址 原因是 内部地 址在路由器中被转换成公网 IP 地址 而外部的服务器与主机根本不知道这一过程 它们只知道与自己通信的源 IP 地址为 202 100 100 1 24 和 202 100 100 2 24 若不 在 F0 0 上配置两个公网 IP 地址 外部服务器和外部主机所发的数据包无法到达 路由器 也就无法达到实例的通信目标 首先进行静态 NAT 的相关配置 在模拟器中登入路由器的控制台 可进行 所有功能配置 第一步对内部端口 F2 0 进行相关的配置如图 4 2 所示 图 4 2 端口 F2 0 的配置 商丘科技职业学院毕业论文 9 第二步在全局配置模式下建立静态 NAT 的映射 如图 4 3 所示 图 4 3 建立静态 NAT 映射 第三步便要对外部端口 F0 0 进行相关的配置 如图 4 4 所示 图 4 4 端口 F0 0 的配置 然后进行 PAT 的配置 第一步先对内部端口 F1 0 进行相关的配置如图 4 5 所示 图 4 5 端口 F1 0 的配置 第二步全局配置模式下建立 PAT 的映射 这与建立静态 NAT 的映射不一样 需 要建立一个访问控制列表 ACL 一个地址池 尽管只有一个 IP 地址 并把两 者联系起来 如图 4 6 所示 NAT 技术在网络中的应用与实现 10 图 4 6 建立 PAT 映射 第三步便要再一次对外部端口 F0 0 进行相关的配置 但上面静态 NAT 转换中已 经做了 所以可以省略 命令 ip nat inside source list 1 pool pcs overload 告诉路由器把匹配 access list 1 的 IP 地址转换成名字叫 pcs 的 IP NAT 地址池中的地址 而由于地址池中只有一 个地址并在命令末尾带上了 overload 关键字 所以会用相同的 IP 不同的端 口号进行网络地址转换 3 43 4 实例的分析 下面对实例中的路由器中各端口可能出现的数据包进行分析 当 pc1 和 pc2 同时 或较短时间间隔 访问或 ping 外网的 Web 服务器时 所发送的数据包会在路由器中被修改源地址 并记录在 NAT 转换表中 如表 4 1 所示 表 4 1 PAT 转换条目 协议类型内部本地 IP 地址 端口 内部全局 IP 地址 端口 目的地址 IP 地址 端口 TCP TCP 10 0 1 1 1234 10 0 1 2 1570 202 100 100 1 1024 202 100 100 1 1750 202 0 0 1 80 202 0 0 1 80 当外部的 Web 服务器对 pc1 和 pc2 访问作出响应 返回包含服务的数据包时 目 的地址将是 202 100 100 1 路由器将返回的数据包对比转换表 根据端口号来识 别 pc1 和 pc2 然后根据结果返回相应的内网主机 当外部主机请求内网中的 Web 服务器的服务时 会使用 NAT 转换后的合法 公网 IP 地址 而路由器中会在配置完成后便一直保留一条静态 NAT 转换的条目 如表 4 2 所示 表 4 2 静态 NAT 转换条目 内部本地 IP 地址内部全局 IP 地址 10 0 0 1202 100 100 2 由于静态条目一直存在 所以每次外部主机访问 202 100 100 2 这个地址时 都会 商丘科技职业学院毕业论文 11 被路由器进行转换 然后再转发到内部 Web 服务器 当内网中的 Web 服务器对 外部主机的访问作出响应 回发的数据包进入路由器时 被根据静态转换条目修 改源 IP 地址 这样 在任意时刻都可以对外部主机提供 Web 服务 至此 实例的 NAT 设计方案基本上符合通信要求 并且由于每次都由路由 器进行数据包的 IP 转换 赶到一定的安全保护作用 但这也揭露出 NAT 技术的 缺点 由于每次都需要路由器对数据包进行转换 而路由器的工作原理