网络地址转换技术的实现

2020-03-24 01:53郭慧

山西电子技术 2020年1期

郭慧

(山西大学商务学院信息学院，山西太原 030031)

0 引言

网络地址转换技术(Network address translation，NAT)是采用少量的合法公网地址代替局域网中的多台主机来访问外部资源的一种方法[1-3]。一方面，起到了对局域网内部地址的安全保护作用；另一方面，在一定程度上解决了IPv4地址空间不足的问题[4-6]。

1 基本概念

1) 公网地址和私网地址：公网地址是因特网上的IP地址，要求是全球唯一的地址，是局域网的外部地址。私网地址是局域网内部的主机地址，主要有以下三类地址[7]：

10.0.0.0/8网络

172.16.0.0-172.31.255.255

192.168.0.0/16网络

2) 地址池：地址池是由一些外部地址组合而成的。在配置了NAT转换的边界设备上，会将自己的内部地址转换为地址池中的某个地址，提高了内部主机访问外部网络的能力[8]。

3) 访问控制列表：访问控制列表是一系列的规则，可以控制内部主机对外部网络的访问，提高网络的安全性[9]。

2 问题求解

以思科路由器和华为防火墙上的配置说明NAT技术在不同设备上的实现。

2.1 NAT在防火墙上的实现

防火墙采用Eudemon 500防火墙，组网图如图1所示。对应关系为：

员工工作网络所在的网段为10.35.0.0/16，处于Trust安全区域。

需求如下：

要求该公司Trust安全区域的10.35.64.0/24网段用户可以访问Internet，该安全区域其它网段的用户不能访问。提供的访问外部网络的IP范围为218.26.110.93～218.26.110.96。因为分配的公有地址有限，需要通过NAT进行地址转换。

图1 在防火墙上配置NAT的组网图

实验步骤如下[10]：

1) 配置防火墙接口E1/0/0、E2/0/0的IP地址，将以太网接口1/0/0加入trust区域，将2/0/0加入untrust区域。

2) 配置NAT address-group

nat address-group 0 220.35.66.3 220.35.66.5

3) 配置ACL规则

acl 3000

rule permit ip source 10.35.66.0 0.0.0.255

4) 在防火墙的trust域和untrust域间应用NAT规则

firewall interzone trust untrust

nat outbound 3000 address-group 0

防火墙上的运行结果如图2所示。

图2 NAT在防火墙上的实现

其中，InsiderAddr为内部主机地址，以10.35.64.250为例，DestAddr为目的主机地址122.228.199.67，在访问时内部主机地址进行了NAT地址转换，转换后的地址为地址池中的地址，用GlobalAddr表示，具体为218.26.110.93。

2.2 NAT在路由器上的实现

一个公司的员工通过交换机连接在边界路由器上的FastEthernet 0/0端口，路由器的FastEthernet 0/1端口连接外部的服务器。被分配的公网IP地址范围为：202.201.1.3～202.201.1.4。要求该公司10.35.64.0/24网段的用户可以访问外网。由于公网IP地址不多，需要采用网络地址转换技术。

在Cisco Packet Tracer模拟器上进行了实现，组网图如图3所示。其中，PC0的地址为10.35.64.2/24，FE0/0的地址为10.35.1.1/8，FE0/1的地址为202.201.1.1/24，外部服务器的地址为202.201.1.2/24。

实验步骤如下：

1) 配置路由器接口FE0/0、FE0/1、PC0、Server 0的IP地址。

2) 配置ACL规则，确定NAT转换前的地址。Access-list number 可以自定义为1。

access-list 1 permit 10.35.64.0 0.0.0.255

3) 配置NAT pool，确定NAT转换后的地址。nat pool name可以自定义为p1。

ip nat pool p1 202.201.1.3 202.201.1.4 netmask 255.255.255.0

4) 将ACL规则和NAT pool关联起来。

ip nat inside source list 1 pool p1

5) 将FE0/0设置为内网连接口，将FE0/1设置为外网连接口。

interface fastethernet 0/0

ip nat inside

interface fastethernet 0/1

ip nat outside

最后，打开路由器的debug开关。

配置完成后，在PC0上ping服务器，在路由器上得到的结果如图4所示。

图4 NAT在路由器上的实现

其中s代表源地址，也就是PC0的地址：10.35.64.2。d代表目的地址，也就是服务器的地址202.201.1.2。从图中可以看到，源地址发生了NAT转换，由10.35.64.2转换成了NAT地址池中的地址202.201.1.3。

3 结语

实践证明，NAT技术在不同设备上的具体配置命令虽然不同，但是配置思路基本相同，具体如下：

1) 配制访问控制列表，说明哪些私网地址可以进行NAT转换。

2) 配制NAT地址池，说明私网地址可以转换成哪些公网地址。

3) 将访问控制列表和NAT地址池绑定起来。

通过在不同设备上进行NAT配置，并对配置结果进行分析，总结了NAT配置思路，使得NAT问题求解更加清晰，具有一定的应用价值。