基于Packet Tracer的NAT实验教学设计

刘金明，刘桂阳，于成江

(黑龙江八一农垦大学 信息技术学院，黑龙江 大庆 163319)

基于Packet Tracer的NAT实验教学设计

刘金明，刘桂阳，于成江

(黑龙江八一农垦大学 信息技术学院，黑龙江 大庆 163319)

针对当前网络实验教学的要求和特点，提出运用Packet Tracer软件提供的虚拟平台进行仿真实验教学设计，解决当前网络实验室建设中的重要问题。介绍了网络地址转换（Network Address Translation，NAT）的工作原理和分类，重点探讨基于Packet Tracer的NAT实验教学的设计过程。

网络地址转换；Packet Tracer模拟软件；实验教学；教学设计

网络地址转换[1](Network Address Translation，NAT)属于接入广域网的技术，是一种将私有(保留)IP地址转化为合法IP地址的转换技术，被广泛应用于各种类型Internet接入方式或各种类型的网络中。究其原因，在于NAT不仅完美地解决了IP地址不足的问题，而且能够隐藏内部网络结构，有效降低内部网络受到攻击的风险[2]。NAT作为网络原理及网络工程相关课程的核心内容，理论与实践结合紧密。传统实验环境中开展NAT配置实验需要路由器、交换机、计算机、网线等多种硬件，实验环境搭建繁琐。而且由于硬件条件与经费的不足常常制约了实验的开展，现实中也是多人组成一个小组进行，人均实验时间得不到保证，学生对实验的理解不够透彻，对实验效果有一定的影响[3]。

Packet Tracer、Boson Netsim等模拟软件[4_5]可以帮助我们解决这类问题，使实验者从硬件设备的桎梏中走出来。模拟软件可以仿真出真实的网络工程项目，帮助学生独立完成整个网络工程的分析、设计、配置、测试以及运行等过程，达到很好的教学效果。

Packet Tracer[6]是由Cisco公司针对CCNA认证考试开发的一个用来设计、配置和排除网络故障的模拟软件。使用者可以在软件的图形用户界面上直接拖曳物件建立网络拓扑，并可在仿真的设备上进行网络的配置，最终可验证整个网络工程项目配置的正确性。软件还提供一个分组传输模拟功能，让用户观察分组在网络中的传输过程，使用户进一步理解网络设备的工作原理。本文主要探讨了基于Packet Tracer配置NAT的实验教学设计过程。

1 NAT的基本原理与分类

1.1 NAT的基本原理

NAT是一个IETF(Internet Engineer Task Force)标准，可以有效解决IP地址短缺的问题，如图1所示。在内部网络中使用内部私有IP地址，通过NAT技术把内部私有IP地址转换成合法的公有IP地址在Internet上使用[7]。具体做法是把IP包内的地址用合法的IP地址来替换;同时，发往内部网络的数据包在NAT设备中被转换成正确的IP地址。

NAT功能通常被集成到路由器、防火墙等设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。

图1 NAT技术示意图

1.2 NAT的分类

NAT技术的实现有三种类型[8]：静态NAT (Static NAT)、动态NAT(Pooled NAT)和网络地址端口转换NAPT(Network Address Port Translation)。

1.2.1 静态NAT

其设置最简单、最容易实现，是指内部网络中的某个特定主机被永久映射成外部网络中的某个合法的地址。一般对内网中的各种为外网提供公共访问服务的服务器配置静态NAT。

1.2.2 动态NAT

在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。它只是转换IP地址，为每一个内部的IP地址分配一个临时的外部IP地址。这种技术主要应用于拨号上网，对于频繁的远程连接也可以采用动态NAT。

1.2.3 网络地址端口转换NAPT

把内部地址映射到外部网络的一个IP地址的不同端口上。NAPT能使多个内部地址映射到一个全球地址，也可称作“多对一”NAT。NAPT普遍应用于接入设备中，可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备指定的TCP/UDP端口号。

NAPT经常与一个NAT地址池的动态映射一起使用，实现用多个合法的公网IP地址支持大量内网私有IP地址访问Internet。

2 NAT配置实验

本文将针对上述三种典型的NAT技术进行实验方案的设计，重点对静态NAT、动态NAT、动态NAPT、静态NAPT的配置方法和相关配置命令进行详细的讲解。

2.1 绘制网络拓扑结构图

首先，在Packet Tracer的工作区域绘制仿真实验的网络拓扑结构图，如图2所示。

图2 网络拓扑结构图

R1和R3分别为两个局域网LAN1和LAN2的出口路由器，R2为Internet中的路由器，PC1、PC2、PC3、PC5为内网私有IP地址，PC4为外网公有IP地址。需注意的是，PC1和PC2是添加的两台服务器，在其上可以搭建FTP、Web等各种网络服务。

实验要求在R1上配置静态NAT(为PC1指定内网全局地址)，静态NAPT(为PC2指定内网全局地址和访问端口)和动态NAPT(为PC3所在网络提供接入Internet支持)，在R3上配置动态NAT(为PC5所在网络提供接入Internet支持)。

2.2 网络基本参数设置

网络拓扑结构图绘制完成后，在Packet Tracer各配置终端中，分别对相应网络设备进行基本网络参数的配置。各PC机、路由器各接口的IP地址和子网掩码如图2所示，其中各PC机的默认网关为其所连接的路由器接口的IP地址。同时，在出口路由器R1和R3上配置默认路由如表1所示。

表1 出口路由器默认路由配置

在完成网络基本参数配置后，在各主机之间用ping命令测试连通性，发现PC1、PC2、PC3相互之间可以通信，且他们都能与路由器R1通信，PC5可以与R3通信，PC4可以与路由器R1、R2、R3通信，但PC4和PC1、PC2、PC3无法通信，PC4和PC5之间也无法通信，PC1、PC2、PC3与PC5之间也不可以通信。即LAN1和LAN2内部的私有IP地址无法与Internet上的公网IP地址进行通信，通过后续NAT实验的配置能够实现内网私有IP地址按需接入Internet。

2.3 NAT实验配置实现

2.3.1 动态NAT

在R3上配置动态NAT，使PC5可以与PC4通信。在配置前后在PC5上用ping命令测试其是否能与PC4通信。R3主要配置命令如下：

R3#conf t

R3(config)#access-list 1 permit 10.0.0.0 0.0.0.255

//设置标准访问控制列表，指定哪些内部主机地址可以使用动态NAT。

R3(config)#ip nat pool pool_210 210.46.195.101 210.46.195.200 netmask 255.255.255.0

//指定公网地址池，命名为pool_210，用于将内部主机映射到该地址池中的公网地址。

R3(config)#ip nat inside source list 1 pool pool _210

//声明动态NAT，满足访问控制列表1的内部主机地址映射到地址池pool_210中的公网地址，由公网地址代替内网地址访问外网。

R3(config)#int f0/0

R3(config-if)#ip nat outside

//声明外网出口

R3(config-if)#int f0/1

R3(config-if)#ip nat inside

//声明内网接口

2.3.2 静态NAT

在R1上配置静态NAT，为FTP服务器PC1指定内网全局地址202.97.224.100，使PC4和PC5可以通过内网全局地址202.97.224.100访问FTP服务器PC1。在配置前后在PC5和PC4上用ping命令测试其是否能与202.97.224.100通信，也可以在PC4和PC5的命令行方式下用ftp 202.97.224.100登录PC1上搭建的FTP服务器进行验证，用户名和密码默认都是cisco(可在PC1的配置选项卡对FTP服务器的相关参数进行设置)。另外，因为使用的是静态NAT(IP地址对IP地址的一对一映射)，因此，PC1上搭建的其他服务(如Web服务)同样允许PC4和PC5的访问。R1主要配置命令如下：

R1#conf t

R1(config)#ip nat inside source static 10.0.0.3 202.97.224.100

//配置静态NAT，内网地址为10.0.0.3，外网地址为202.97.224.100，实现所有发往202.97.224.100的数据包转发给内网主机10.0.0.3。

R1(config)#int s0/0/0

R1(config-if)#ip nat outside

R1(config-if)#int f0/0

R1(config-if)#ip nat inside

2.3.3 动态NAPT

在R1上配置动态NAPT，使PC3可以与PC4通信。在配置前后在PC3上用ping命令测试其是否能与PC4通信。R1主要配置命令如下：

R1#conf t

R1(config)#access-list 2 permit 192.168.1.0 0.0.0.255

R1(config)#ip nat pool pool_202 202.97.224.200 202.97.224.250 netmask 255.255.255.0

R1(config)#ip nat inside source list 2 pool pool _202 overload

//声明动态NAPT，内网满足访问控制列表2的所有主机以网络地址端口转换的形式映射到地址池pool_202中的公网地址和相应端口。

R1(config)#int f0/1

R1(config-if)#ip nat inside

2.3.4 静态NAPT

静态NAPT即静态的端口映射，就是在NAT设备上开放一个固定的端口，然后设定此端口收到的数据要转发给内网某个私有IP地址和特定端口。不管有没有连接，这个映射关系都会一直存在，用以支持Internet上的主机访问内网的特定服务器。

在R1上配置静态NAPT，为Web服务器PC2指定内网全局地址202.97.224.150，指定访问端口为80，使PC4和PC5可以通过内网全局地址202.97.224.150访问Web服务器PC2。在配置前后，在PC5和PC4上用Web浏览器测试其是否能访问202.97.224.150上的Web页面。在静态NAPT配置完成后，若在PC5和PC4的命令行方式下尝试用ftp 202.97.224.150连接PC2上的FTP服务器(在PC1和PC3上直接用ftp 10.0.0.2可以访问)，会发现连接不上，因为在R1上配置的是NAPT(IP地址：端口对IP地址：端口的一对一静态端口映射)，只允许对80端口的访问。R1主要配置命令如下：

R1#conf t

R1(config)#ip nat inside source static tcp 10.0.0.2 80 202.97.224.150 80

//配置静态NAPT，实现所有发往公网IP地址202.97.224.150的80端口的TCPWeb请求转发给内网主机10.0.0.2的80端口。

R1(config)#int f0/1

R1(config-if)#ip nat inside

2.4 实验结果测试与分析

在完成相关NAT实验配置实现后，可以在相应PC机上使用ping命令进行联通性测试，也可通过访问特定服务器的特定服务验证配置是否生效，还可以通过在相应路由器上使用相应命令查看NAT的状态信息，相关命令如下：

Router#show ip nat translations

//查看NAT地址转换信息，即查看NAT Session。

Router#show ip nat statistics

//查看NAT统计信息

在测试过程中，可以由Cisco Packet Tracer模拟器的实时模式切换到模拟模式下，进行数据包的捕获，并查看数据包的源IP地址和目的IP地址及相应的端口号，来验证NAT配置是否生效。

3 结束语

网络地址转换是《计算机网络》《组网技术》《网络管理》等网络工程专业相关课程的核心内容，也是学生难以深入理解的知识点之一。通过对接近实际的网络环境的模拟，基于Packet Tracer模拟软件实现了各种典型NAT技术的配置和测试，对于NAT的理解和掌握具有很大的帮助。而在计算机网络实验教学中利用Packet Tracer模拟软件进行仿真实验，既能降低网络设备的投资成本，又能提高学生做实验的效率，具有很好的推广价值。

[1]刘风华，丁贺龙，张永平.关于NAT技术的研究与应用[J].计算机工程与设计，2006，27(6)：1814_ 1817.

[2]邹航，李梁，王柯柯，等.整合ACL和NAT的网络安全实验设计[J].实验室研究与探索，2011，30(4)：61_65.

[3]陈建锐.基于Boson Netsim的网络地址转换实验教学设计[J].实验室研究与探索，2010，29(4)：59_62.

[4]薛琴.基于Packet Tracer的计算机网络仿真实验教学[J].实验室研究与探索，2010，29(2)：57_59.

[5]谢慧，聂峰.基于Boson Netsim的计算机网络仿真实验教学研究[J].实验技术与管理，2007，24(5)：89 _91.

[6]仲光苹，刘金明.基于Packet Tracer的IPSec VPN实验教学设计[J].实验科学与技术，2012，10(3)：51 _53.

[7]刘向东，李志洁，王德高，等.网络地址转换原理实验的设计与实现[J].实验科学与技术，2012，10(4)：106_109.

[8]刘向东，李志洁，王德高，等.NAT原理实验的设计与实现[J].实验室研究与探索，2012，31(1)：58_ 62.

Design of NAT EXperimental Teaching Based on Packet Tracer

LIU Jinming，LIU Guiyang，YU Chengjiang
(College of Information Technology，Heilongjiang Bayi Agricultural University，Daqing 163319，China)

According to the requirements and characteristics of networking experimental teaching，using the Packet Tracer software and a virtual platform，this paper proposed the design of simulation experimental teaching to resolve the vital problem in current laboratory construction.This paper introduced the working principle and classification of NAT，focused on the design of NAT experimental teaching based on Packet Tracer.

network address translation;Packet Tracer simulation software;experimental teaching;teaching design

TP393

A

10.3969/j.issn.1672_4550.2014.01.015

2012_11_06

黑龙江八一农垦大学2012年校级教研课题。

刘金明（1981_），男，硕士，讲师，研究方向：虚拟现实与网络教学。