端口映射NAT網(wǎng)絡方案分析范文
本站小編為你精心準備了端口映射NAT網(wǎng)絡方案分析參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
《軟件工程師雜志》2015年第三期
1NAT的分類和分析(TheclsificationandanalysisofNAT)
NAT技術(shù)可以分為三類,分別是靜態(tài)轉(zhuǎn)換StaticNat、動態(tài)轉(zhuǎn)換DynamicNat和端口多路復用OverLoad[4]。靜態(tài)NAT是指將局域網(wǎng)的某個特定的私有IP地址映射為某個特定的公有IP地址。IP地址的映射是一對一的,而且是固定匹配的。某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。靜態(tài)NAT技術(shù),通常使用在局域網(wǎng)中的某個服務器需要對外服務,例如局域網(wǎng)的WEB服務器等。動態(tài)轉(zhuǎn)換NAT是指將局域網(wǎng)的私有IP地址轉(zhuǎn)換為公用IP地址時,IP地址是不確定的,是隨機的。即局域網(wǎng)的任意一個內(nèi)部主機出去訪問Internet時,隨機被轉(zhuǎn)換為某一個公網(wǎng)地址池的地址。通常,需要定義內(nèi)部IP地址的范圍和外部IP地址的地址池,就可以進行動態(tài)NAT轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法全局地址集。當ISP提供的合法IP地址略少于網(wǎng)絡內(nèi)部的計算機數(shù)量時。可以采用動態(tài)轉(zhuǎn)換的方式。端口多路復用(PortAddressTranslation,PAT)是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換,即端口地址轉(zhuǎn)換。采用端口多路復用NAT,可以最大限度地節(jié)約IP地址資源,幾百個內(nèi)部IP可以共用一個外部地址出去訪問Internet[5]。端口地址轉(zhuǎn)換NAT,使用了端口映射轉(zhuǎn)換,可以隱藏局域網(wǎng)內(nèi)部的所有主機,讓Internet的用戶看不到內(nèi)部網(wǎng)絡。這樣,可以有效避免來自internet的攻擊。因此,目前網(wǎng)絡中應用最多的就是端口多路復用方式[6]。該方式不僅能解決了lP地址不足的問題,而且還能夠有效地避免來自網(wǎng)絡外部的攻擊,隱藏并保護網(wǎng)絡內(nèi)部的計算機。
2nat方案規(guī)劃和實現(xiàn)(PlanningandImplementationofNATProgram)
2.1方案建設(shè)原則本項目以多NAT技術(shù)為核心,解決局域網(wǎng)內(nèi)部各個主機訪問外網(wǎng)的問題;應用NAT保護內(nèi)網(wǎng)的安全性,解決隱藏內(nèi)部主機暴露在Internet的問題;以路由器環(huán)回口代表一個網(wǎng)段,解決路由器的出口IP地址和申請到的ISP地址不在同一個網(wǎng)段的問題,有效提升NAT轉(zhuǎn)換地址的能力。
2.2方案的總體規(guī)劃本系統(tǒng)分為內(nèi)部網(wǎng)和外網(wǎng),R1為內(nèi)部網(wǎng)的出口路由器,R2為ISP的路由器,他們之間廣域網(wǎng)線路所在的網(wǎng)段為201.1.1.0/24。R1和R2之間運行OSPF協(xié)議,工作在area0區(qū)域,要求內(nèi)部網(wǎng)的主機對外網(wǎng)是隱藏的。內(nèi)部網(wǎng)的IP網(wǎng)段是192.168.1.0,外網(wǎng)服務器的IP是210.1.1.2,內(nèi)部網(wǎng)出口路由器R1向ISP申請的公網(wǎng)IP地址是198.26.112.1—198.26.112.10/24,NAT使用類型為端口多路復用。最后,讓內(nèi)部網(wǎng)的主機可以通過NAT訪問外網(wǎng)的服務器Server0,外網(wǎng)的用戶不能訪問內(nèi)部網(wǎng)主機。
2.3方案的實現(xiàn)(1)先配置各個接口IP地址。如圖2所示,配置R1的IP地址,這里注意R1除了配置局域網(wǎng)口和廣域網(wǎng)口的IP,還需要配置一個環(huán)回口loopback0,將其IP設(shè)置為申請的ISP公用地址網(wǎng)段198.26.112.1/24。R2的接口IP配置和R1類似,配置局域網(wǎng)口和廣域網(wǎng)口IP。(2)配置OSPF協(xié)議。在R1上啟用OSPF協(xié)議,注意在使用network命令通告網(wǎng)段的時候,不需要通告192.168.1.0,因為將內(nèi)部網(wǎng)段對外隱藏。具體配置如圖3所示。(3)PAT的配置。PAT的配置可以讓內(nèi)部網(wǎng)的多臺主機共用一個外部全局IP訪問Internet。先設(shè)置公用IP地址池,再設(shè)置內(nèi)部IP地址訪問列表,再設(shè)置他們的映射關(guān)系,最后設(shè)置NAT的出口類型。具體配置如圖4所示。(4)系統(tǒng)測試結(jié)果。最后,設(shè)置內(nèi)部網(wǎng)PC機的IP地址為192.168.1.1默認網(wǎng)關(guān)為192.168.1.254。打開PC機的DOS窗口,使用ping命令測試內(nèi)部網(wǎng)到外網(wǎng)的連通性,發(fā)出四個數(shù)據(jù)包,收到四個數(shù)據(jù)包,數(shù)據(jù)通信正常,如圖5所示。表明內(nèi)部網(wǎng)主機出去訪問Internet時,轉(zhuǎn)換了公用地址池的IP地址。如圖6所示,運行PAT功能的路由器的地址映射表。
3結(jié)論(Conclusion)
系統(tǒng)主要集成了基于端口映射的NAT技術(shù)、環(huán)回口代表地址池技術(shù)、路由協(xié)議隱藏內(nèi)部網(wǎng)段技術(shù)。NAT技術(shù)分類較多,本文重點論述了應用較多的PAT技術(shù),并且討論了當ISP分配的公用IP地址池和路由器的廣域網(wǎng)口IP不在同一網(wǎng)段的情況下,應該如何處理。最后,系統(tǒng)成功讓內(nèi)部網(wǎng)用戶通過PAT轉(zhuǎn)換為公用IP地址池的地址,訪問Internet。
作者:張波萬麗單位:湖北省當陽市第一高級中學信息技術(shù)學科