NAT技术在校园网中的应用

［摘要］本文阐述了 NAT（网络地址转换）技术的概念、

基本原理和实现方式 ,以台州市椒江区教育教学发展中心网 络设计与实践研究为例，由浅入深地介绍了利用

NAT技术实

现校园网部分应用的方法和技巧 ，并且分析了使用 NAT过程 中可能存在的一些潜在问题 ,给出了相应的解决方案。

［关键词］校园网NAT技术应用

一、NAT技术简介 （一 ）NAT的概念

NAT（Network Address Translation,网络地址转换）,是一个 IETF标准,是一种将一个IP地址域映射到另一个IP地址域的 技术 ,允许一个整体机构以一个公用地址

IP 出现在 Internet

（A

上,为终端主机提供透明路由①。它将局域网的私有地址 类的 10.0.0.0 — 10.255.255.255、B 类的 172.16.0.0 —

172.31.255.255、C 类的 192.168.0.0 —192.168.255.255）解释成 合法的全局IP地址，以实现与Internet的连接。NAT技术能够 很好地解决校园网中IP短缺的问题，提供一种允许在多个内 部子网中使用相同地址范围的

IP解决方案,可以减少校园网

对全局IP地址的需求量，是目前校园网中解决IP地址短缺的 普

遍方法。NAT的实现方式有三种：静态转换、动态转换和端 口多路复用。

(二) NAT的工作原理

如图1所示,NAT路由设置在内部网络与 Internet之间， 当私有网主机和公共网主机通信的

IP包经过NAT路由器时，

将IP包中的源IP或目的IP在私有IP和公共IP之间进行转换。

其具体工作过程如图 2所示。NAT路由有2个网络端口， 其中公共网络端口的IP地址是统一分配的公共

IP为

60.191.183.75;私有网络端口的IP地址是保留地址，为

192.168.1.1。私有网中的主机 192.168.1.2要访问公网中的一 个服务器 122.224.194.190,它先向服务器 122.224.194.190 发 送一个 IP 包(Des=122.224.194.190,Src=192.168.1.2)。当 IP 包 经过NAT路由时,NAT会将IP包的源IP转换为NAT的公共IP 并转发到公共网 ,此时 IP 包

(Des=122.224.194.190,Src=60.191.183.75)中已经不含任何私 有网IP的信息。由于IP包的源IP已经被转换成NAT的公共 IP相应的 IP包(Des=60.191.183.75,Src=122.224.194.190)将被 发送到NAT。这时,NAT会将IP包的目的IP转换成私有网中 主机的 IP然后将 IP 包(Des=192.168.1.2,Src=122.224.194.190) 转发到私有网。 对于通信双方而言 ,这种地址的转换过程是完 全透明的。

二、NAT技术的校园网应用实例

（一）椒江区教育教学发展中心网络拓扑结构及分析 我中心网络采用 10Mbps 光纤 ,以城域网方式接入 Internet, 如图 3 所示。路由器选用拥有 2 个 10/100Mbps 自适 应端口的Cisco3640。内部网络根据职能分成若干子网

，服务

器子网对外提供 Web服务、FTP服务和E-mail服务,使用的IP 地址段为192.168.20.1〜192.168.20.254;机房、多媒体教室等 教学计算机划分到子网Ian1,使用的IP地址段为 192.168.30.1〜192.168.30.254;教师办公室计算机划分到子网 lan2,使用的 IP 地址段为 192.168.40.1 〜192.168.40.254。我中 心申请到4个合法的公网IP地址,范围为60.191.183.72〜 60.191.183.75,广域网接口 Serial0/0 的 IP地址为 60.191.183.75, 子网掩码为 255.255.255.0。路由器内网端口 FastEthernet0/0 的IP地址为192.168.10.1,子网掩码为 255.255.255.0。使用 NAT技术可以实现我中心对外提供

Web服务、FTP服务和

E-mail 服务 ,并且所有计算机均可访问 Internet 。

路由器地址分配如表 1 所示。 NAT地址转换类型对应关系如表 （二）NAT配置过程与步骤

Step 1:配置路由器端口 ,选择 fastethernet0/0 作为内部接 口 ,选择 serial0/0 作为外部接口。

interface fastethernet0/0

ip address 192.168.10.1 255.255.255.0

2所示。

no shut ip nat inside interface serial0/0

ip address 60.191.183.75 255.255.255.0 no shut ip nat outside

Step 2:为子网 lan1 配置地址池 lan1

ip nat pool lan1 60.191.183.73 60.191.183.74 netmask 255.255.255.0

Step 3:定义访问控制列表

access-list 1 permit 192.168.30.0 0.0.0.255 access-list 2 permit 192.168.40.0 0.0.0.255

Step 4:启用 lan1 地址池端口复用地址转换 ,将访问控制 列表 list 1 映射到地址池 lan1。

ip nat inside source list 1 pool lan1 overload

Step 5:启用端口复用地址转换 ,并直接采用 fastethernet0/0 的 IP 地址。

ip nat inside source list 2 interface fastethernet0/0 overload Step 6:启用静态地址转换和端口复用地址转换 ,将内网 各服务器的服务端口映射为 60.191.183.72 的对应端口。

ip nat inside source static tcp 192.168.20.1 80

60.191.183.72 80

!--将80端口映射为 60.191.183.72的80端口（Web服务） ip nat inside source static tcp 192.168.20.2 21 60.191.183.72 21

!--将21端口映射为 60.191.183.72的21端口（FTP服务） ip nat inside source static tcp 192.168.20.3 25 60.191.183.7225

!--将 25 端口映射为 60.191.183.72 的 25 端口 （POP3服务）

ip nat inside source static tcp 192.168.20.3 110 60.191.183.72 110

!--将 110 端口映射为 60.191.183.72 的 110 端口（SMTP服 务）

使用NAT技术在配置Cisco路由器时，必须注意以下几个 问题 :

1 .在本地主机 IP 地址属性设置项中 ,将“默认网关” 设置 为“ ip nat inside ”对应的端口地址。

2. 当分配的合法IP地址不连续时，可以定义多个 NAT

地址池 ,也可以定义多个访问控制列表。

3. 动态地址池之间不能有重复的地址。 4. 动态地址池中不能包含网络地址和广播地址

（利用

netmask 部分进行检查 ）。

经过上述配置后 ,Internet 上的主机可以分别通过 60.191.183.72:80 访问到我校内部的 WEB 服务器 ,通过 60.191.183.72:21访问到我中心内部的 FTP服务器，通过 60.191.183.72:25 和 61.191.183.72:110 访问我中心内部的 E-mail服务器，整个中心网络中的计算机都能访问互联网。

（三） NAT与ACL访问控制列表）的关系 上述所定义的标准访问控制列表是用于表明哪些内部

本地地址将作地址转换 ,此列表与相应的地址池相对应。

虽然

通过上述配置 ,隐藏了我中心网络的内部结构 ,但中心网络对 外提供Internet服务（WWW、FTP POP3 SMTP）为使网络更 加安全 ,可以在路由器的每个接口上为每种网络协议配置访 问控制列表 , 以便在接口上过滤进站数据流、 出站数据流或同 时过滤它们 ,或根据需要可屏蔽某些 IP 网段对中心网络的访 问。当我们定义的 ACL要应用到某个端口起包过滤作用时 一定要注意ACL与NAT执行时的逻辑顺序。

（四） 利用NAT实现网络内部WWW服务的负载平衡 若在网络中有 3台内容相同的 WWW 服务器

（192.168.20.4 — 192.168.20.6）,通过 NAT设置使这 3 台 WWW 服务器对外具有相同的地址 ,即从外部看来 ,内部只有一台 WWW服务器，当外部TCP数据包发给 WWW服务器时，路由 器将公用的一个全局IP通过循环方式发给3个服务器的实际 地

，

址 ,从而达到负载均衡的目的。

三、总结与建议

利用NAT技术，校园网内部用户可以透明地访问 Internet, 同时做到对外部网络隐藏内部网络的体系结构。

NAT技术方

案在一定程度上减缓了地址耗尽的周期和路由表规模越来 越大的问题 ,提供了一种非常方便的方案来解决校园网与

Internet的互联问题。然而,NAT技术在校园网应用中也存在 一些有待解决的问题 ,如:效率问题、加密问题、安全问题以 及具体协议涉及到的问题等等。

总的来说,NAT带来了很大的优越性，可以节约地址空间, 可以简化配置使网络规划更灵活。 但是 ,它对网络应用带来了 一定的影响 ,也给网络管理带来了一定的复杂性

,并且会潜在

地影响网络的安全性。因此,在校园网中使用NAT技术时一定 要仔细地规划。

［参考文献 ］

1. 刘辉杨兴明《中小企业网络管理员实用教程》 （ 北

京:科学出版社 2004）

2. Bassam Halabi《因特网的路由选择技术》 ［M］（北京：电

子工业出版社 2000）

［M］

3. 王振川《CCNA实验手册》［M］（北京:人民邮电出版社 2003）

（作者单位 :浙江省台州市椒江区教育教学发展中心 ） 注:本文中所涉及到的图表、注解、公式等内容请以格式阅读原文

PDF