NAT技术在校园网中的应用

NAT技术在校园网中的应用

作者/乐新、刘海燕，北京信息职业技术学院

基金项目：北京市教育委员会2015年度北京高等学校教育教学改革立项项目（N〇.2015-ms212)资助

摘要：NAT技术是一种将私有地址转化为合法公网IP地址的转换技术，被广泛应用于各种类型Internet接入方式和网络中。NAT不仅完美地 解决了目前IP地址空间不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。本文从应用的角度，说 明了如何利用NAT技术实现校园网主机的互联网接入，解决内网学生上互联网的需求。

关键词：校园网；NAT技术；应用

引言

随着网络技术的发展，信息化管理的需要，各企事业单 位纷纷组建了自己的局域网络，学校也不例外.本人在工作 中遇到过这样_个案例，某职校的校园网采用思科的网络设 备，建设时，基于安全的考虑，按照功能区域不同，将整体 网络设计为两大子网络，将教职员工的主机规划在_起形成 办公网络，教室机房等供学生学习、教学使用的设备规划为 教学网，两部分主机分属两个不同的子网，通a不同权限的 设置保证内部访问的安全，同时只允许办公网的主机能够上 互联网，方便办公的需求，教学网只允许使用内部资源，避 免学生上网分心。

的公网地址；另一种方法是在不影响办公网使用的前提下， 修改边界路由器的配置，将教学网主机地址转换为现有公网 的接入地址接入因特网。经过评估，为尽快地解决学生上网 需求，我们选择了后者。下面模拟示意其配置过程。

3.实现方法

■ 3.1 NAT的工作原理

如下图1所示，PCI与Internet中的主机USER1通 信，PC1发源地址为192.168.10.1目的地址为201.16.58.2 的IP报文，IP报文将被路由到边界路由器RA上，RA路由 器收到这个IP报文后将源地址改为公有地址201.16.58.1, 并记录私有地址192.168.10.1与公有地址201.16.58.1间 的地址映射存入映射表中，然后发出修改后的IP报文， 当USER1主机收到报文后，回复报文到达路由器后，路由 器再根据地址映射表中地址的对应关系把目的地址转换为

1.问题的提出

近几年来，随着职业教育教学改革的推进，课程教学模 式发生了很大变化，课堂教学不再以教师为主，而以学生自 主学习为主体，教师成为了学习的引导者，课堂教学中会经 常需要学生自己上网查资料，学习消化知识，课后作业也需

PC1的地址，这样就完成了私有地址主机与Internet主机

的通信。

192.168,1,

FC1

图1 NAT工作原理

202.16, 58. 1 16-

Rb

■ 3.2 NAT的类型

192. 168. 10.

USEK1

要找资料撰写论文。学生对互联网资源的需求越来越迫切， 解决教学网主机接入互联网，为学生提供互联网访问的途 径，成为了网络管理员亟待解决的问题。

NAT主要有三种类型的应用：

1) _对_的静态NAT转换

内部私有地址与给定的公有地址的进行一对一的映射 转换，并且为双向的转换。这种类型的NAT可应用于防火 墙DMZ接口或路由器内部的服务器区中的对外提供服务 的服务器，如WEB、DNS、FTP等。例如：WEB服务器 内部私有IP地址为192.168.2.1 _对一的静态NAT转换为 200丄 1.2 等。

2) 多对多的动态NAT地址池转换

在企业网络接入互联网中般都可以从ISP获取一个 连续的公网IP地址段。如200.1丄0/29,其中可用的主机 公网IP地址为200.1.1.1-200.1.1.6,这其中一个为ISP的

2•解决办法

由于接入因特网的主机必须有唯一确定的ip地址，因特 网ip ±也址的匮乏，我们不可能为每一台局域网主机设置一个 公网驢。所以解决上述问题，一般采用的方法就NAT 技术，把局域网私有IP主机系统的地址转换为公有IP。

经过对该校园网使用情况的调研，本案中解决教学网主 机接入因特网的办法可考虑以下两种，一种增加投入，为教 学网新申请_个网络出口，将教学网私有地址转换为新出口

www.elel69.com 丨 63

计算傾学

网关地址（如200丄1.6), —个配置给企业路由器或防火 墙的外网接口的公网IP地址（如200丄1.1),公网IP可 用于地址池200.1.1.3-200.1丄4,可以用于对内部的多台主 机进行多对多的转换。如：192.168.3.1-192.168.3.254对 应转换为地址池200.1.1.3-200.1.1.4中的公网地址。由于 企业网部的主机的数量往往多于地址池，不能保证所有内部 主机同时访问公网。所以动态NAT地址池转换多与后面的

指定内部和外部NAT接口：

R0(config)#interface serial 0/0 R0(config-if)#ip nat outside R0(config-if)#interface fa0/0 R0(config-if)#ip nat inside

4)利用地址池配置动态NAT 定义全局地址池：

PAT进行结合实现对地址池的充分利用。

3)基于端口的越载或重载的NAT转换：也称为PAT这种方式下多个私有地址对应公网一个IP地址。多个 内部私有地址变换为统一的外部公有地址，为了同时通信， 对公有地址动态配罝不同的端口号与多个内部私有地址进 行映射。这种应用在公有IP数少时使用（1个公网IP地址 可以对应64512 (65536-1024)个连接可能性），这也是在 防火墙和路由器上应用最多的NAT类型，也称为PAT。

R0(config)#ip nat pool P00L1 200.1.1.3 200.1.1.4 netmask 255.255.255.248

创建标准访问控制列表，以便确定需要转换的内部地址：

R0(config)#access-list 1 permit 192.168.2.0

0.0.0.255

R0(config)#access-list 1 permit 192.168.3.0

0.0.0.255

R0(config)#access-list 1 permit 192.168.4.0

0.0.0.255

将地址池与访问控制列表绑定，建立动 态源地址转换：

R0(config)#ip nat inside source list 1 pool POOL1 overload

指定内部和外部NAT接口：

R0(config)#iinterface serial 0/0 R0(config-if)#ip nat outside R0(config-if)#iinterface fa0/0 R0(config-if)#ip nat inside

经过将原来校园网路由器配置的修改， 主要是路由器的nat技术的应用，案例中所 述问题得到了很好的解决，教学网中的所有

图2校园网示意图

主机顺利的接入了互联网，同时学生们也可

以通过外网访问到校园网的服务器。但随着校园网规模的圹 大，出口带宽可能会逐渐影响到师生们使用，多个出口分流 的方案也许会更适合。

■ 3.3 NAT的配置

R0路由器的配置：（按照图2中所示地址，假设云图 ISP的接入地址IP为200.1.1.6/29)

1) 在路由器R0上配置rip协议，勿通告200丄1.0网络。

R0(config)#router rip

RO(config-router)#network 192.168.1.0

2)

4•总结

随着NAT技术的深入研究，它的应用领域也在逐步扩

展，但NAT技术对_些管理和安全机制的潜在威胁仍在。 为了能访问外网，在路由器R0上配置默认路由，以

或许随着IPV6技术发展的相当成熟时，NAT技术应用也可 能会逐渐消失，但也可能会开辟新的应用从而延续下去。

下一跳IP地址作为参数。

R0(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.6

3)

配罝静态NAT,使Web服务器的内部本地地址

参考文献

氺[1]迟恩宇主编《网络安全与防护》电子工业出版社2009.8

192.168.2.1育g够转换为全局地址200.1.1.2。

R0(config)#ip nat inside source static 192.168.2.1

200.1.1.2

64

丨电子制作

2017年4月