计算机网络技术毕业论文NAT技术在局域网中的应用.doc

《计算机网络技术毕业论文NAT技术在局域网中的应用.doc》由会员分享，可在线阅读，更多相关《计算机网络技术毕业论文NAT技术在局域网中的应用.doc（16页珍藏版）》请在三一办公上搜索。

1、NAT技术在局域网中的应用作 者 班 级 09计算机网络技术(2)班 专 业 计算机网络技术 教 学 系 信息工程系 指导老师 焦小平 刘训星 完成时间 2011 年 10 月 9 日至 2011 年 11 月 20日目 录摘要2关键词2前言2第一章 NAT概述3 1.1NAT的概念3 1.2NAT的相关术语3 1.3NAT的工作原理4第二章NAT的分类5 2.1静态地址转换5 2.2动态地址转换5 2.3复用端口转换5 2.4网络地址转换的实现6 2.5 NAT的部署10第三章NAT技术实现原理11 31 一对一地址转换11 32多对多地址转换12 33多对一地址转换12 34内部服务器上1

2、3第四章NAT的工作过程13 41 在客户机上13 42 NAT设备上的输出数据包13 43 在服务器上14 44 NAT设备上的输入数据包14第五章NAT在局域网中的实例155.1实例15结束语20参考文献21NAT技术在局域网中的应用 摘要随着互联网的普及，越来越多的公司、企业拥有了自己的网络，如何使用NAT技术让自己的局域网能够安全的访问互联网这事很多人都关心的问题，NAT技术是将专用IP地址映射为公用IP的士的标准方法，但在局域网中应用的研究文献并不多见。通过局域网中主机之间的互相通信和对外网Web页面的访问以及查看路由表信息，对应用NAT技术的结果进行了测试，并在实际的网络设备上进行

3、了试验验证。关键词 ：局域网、NAT技术、地址映射、工作原理 、工作过程 前言：随着计算机网络技术的发展,网络地址日益紧缺,已经被视为是一种宝贵的网络资源。为了解决这个问题,网络地址转换(networkaddresstranslation,NAT)技术被人们广泛使用,它将网络地址从一个地址域映射到另一个地址域。IPv4地址日益不足是经常部署NAT的一个主要原因。随着网络技术的发展，安全需求的提升，NAT逐渐演变为隔离内外网络、保障网络安全的基本手段，而且采用这种技术，无须额外投资，单纯利用现有网络设备，即可轻松达到安全目的。因此一般用于企业，学校，网吧，小区等与互联网的通信。NAT的最典型应用

4、是：在一个局域网内，只需要一台路由器（计算机）连接上Internet，就可以利用NAT共享Internet连接，使局域网内其他计算机也可以上网。请注意使用NAT协议，局域网内的计算机可以访问Internet上的计算机，但Internet上的计算机无法访问局域网内的计算机。使用NAT可以让多人同时通过NAT来上网，而且只需要使用一个公网IP，支持内部多个局域网同时通过NAT上网，支持DHCP的功能，用来自动分配IP地址给局域网内的计算机，支持DNS代理的功能，用来替局域网内的计算机查询IP地址，支持TCP/UDP端口映射的功能，让外界的用户可以访问内部的网站、邮件服务等，支持多个公网IP与地址映

5、射的功能，以便让外界的特殊应用软件可以通过NAT来与网络内部的应用程序通信。第一章 NAT概述1.1 NAT的概念NAT的含义有多种，涉及省略词，和部分影星的姓名缩写。最为著名的是自然（Nature）的缩写以及第83届奥斯卡最佳女演员的得主娜塔丽波特曼（Natalie Portman）的名字缩写。另一个含义是：NAT（Network Address Translation，网络地址转换）是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中，NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用IP

6、 地址空间的枯竭。说明： 私有 IP 地址是指内部网络或主机的IP 地址，公有IP 地址是指在因特网上全球唯一的IP 地址。 RFC 1918 为私有网络预留出了三个IP 地址块，如下： A 类：10.0.0.010.255.255.255 B 类：172.16.0.0172.31.255.255 C 类：192.168.0.0192.168.255.255 上述三个范围内的地址不会在因特网上被分配，因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。1.2 NAT的相关术语（1） 内部网络(Inside)：指内部的局域网络，它与边界路由器上被定义为inside的网络接口相连。（2

7、） 外部网络（Outside）：指除了内部网络之外的所有网络，通常指因特网，它与边界路由器上被定义为outside的网络接口相连。（3） 内部本地地址（Inside Local Address）:指内部局域网中主机所使用的IP地址。这些地址通常为私网地址。（4） 内部全局地址（Inside Global Address）:指内部局域网中的部分主机所使用的公网IP地址。如放在局域网中的服务器，服务器所使用的合法公网IP地址。（5） 外部本地地址（Outside Local Address）:外部网络中的主机所使用的IP地址，这些IP地址不一定是公网地址。（6） 外部全局地址（Outside Gl

8、obal Address）:外部网络中的主机所使用的IP地址，这些IP地址是全局可路由的合法公网IP地址。（7） 地址池（Address Pool）:指可用来供NAT转换使用的多个合法公网IP地址。1.3 NAT的工作原理以下图来讲原理：1.3.1 NAT工作原理拓扑图首先，我们要清楚，在局域网内部的私有地址是不能访问外网的，必须通过转换城公有地址才可以访问Internet ，以上所图，是两个公司的Inter网络互相交流，下面来谈谈它的工作原理。192.168.1.0网络的PCI想要访问192.168.10.0网络的User1。1、PC1向RA（网关）发送请求，告诉自己的私有IP地址和MAC地

9、址，并且要求自己要到达192.168.10.0网络的User1主机。2、RA收到请求后，把PC1的源IP地址进行转换，变成内部全局地址，即公有地址202.16.58.1，并且为PC1指定一个随即产生的端口号（来识别某台主机），发送到Inter网。3、Inter网络受到了内部全局IP地址的请求，之间进行路由选择，被RB接收，RB通过查看RA发送过来的内部全局IP地址和端口号等信息，直接发送给192.168.10.0网络的网关。4、网关路由器RB受到了信息，根据对方发过来的目标主机信息，把数据传输给192.168.10.0网络的User1主机。5、根据ICMP协议，user1主机需要回应，对数据进

10、行想应的处理，把数据封装后发送给网关。6、网关把user1的私有IP地址转换层外部局部IP地址，即公有地址202.16.58.2，通过这个公有地址，转发到路由器RA中。7、RA收到数据包，查看自己缓存里的对应的主机和端口，并对192.168.1.0网络的IP1进行转发。第二章 NAT的分类2.1静态地址转换静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 2.2动态地址转换动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP

11、地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。2.3端口多路复用端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实

12、现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式2.4网络地址转换(NAT)的实现 在配置网络地址转换的过程之前，首先必须搞清楚内部接口和外部接口，以及在哪个外部接口上启用NAT。通常情况下，连接到用户内部网络的接口是NAT内部接口，而连接到外部网络(如Internet)的接口是NAT外部接口。 2.4.1 静态地址转换的实现 假设内部局域网使用的lP地址段为192.168.0.1192.168.0.254，路由器局域网端(即默认网关)的IP地址为192.168.

13、0.1，子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.12861.159.62.135，路由器在广域网中的IP地址为61.159.62.129，子网掩码为255.255.255.248可用于转换的IP地址范围为61.159.62.13061.159.62.134。要求将内部网址192.168.0.2192.168.0.6分别转换为合法IP地址61.159.62.13061.159.62.134。 第一步，设置外部端口。 interface serial 0 /进入S端口 ip address 61.159.62.129 255.255.255.248 /

14、配置IP地址 ip nat outside /配置NAT IP地址第二步，设置内部端口。 interface ethernet 0 /进入EO端口 ip address 192.168.0.1 255.255.255.0 /配置IP地址网关 ip nat inside /配置NAT内部IP地址 第三步，在内部本地与外部合法地址之间建立静态地址转换。 ip nat inside source static 内部本地地址内部合法地址。 示例： ip nat inside source static 192.168.0.2 61.159.62.130 /将内部网络地址192.168.0.2转换为合法

15、IP地址61.159.62.130 ip nat inside source static 192.168.0.3 61.159.62.131 /将内部网络地址192.168.0.3转换为合法IP地址61.159.62.131 ip nat inside source static 192.168.0.4 61.159.62.132 /将内部网络地址192.168.0.4转换为合法IP地址61.159.62.132 ip nat inside source static 192.168.0.5 61.159.62.133 /将内部网络地址192.168.0.5转换为合法IP地址61.159.6

16、2.133 ip nat inside source static 192.168.0.6 61.159.62.134 /将内部网络地址192.168.0.6转换为合法IP地址61.159.62.134 至此，静态地址转换配置完毕。 2.4 NAT的部署如图2.1所示，NAT功能一般部署在nat功能的路由器上，也可以是防火墙或代理服务器。NAT设备维护一个状态表，用来把非法的IP地址映射到和合法的IP地址上去。每个包在NAT设备中都被翻译城正确的IP地址，发往下一级，这以为着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。图2.1 NAT放在边界路由器第三章 NAT技术实

17、现原理NAT技术的基本思想是将数据报首部中的IP地址、端口号转换为另外一个IP地址、端口号。NAT通常在边界路由器或者安全王观众实现。根据实现机理的不同，可以非为一对一、多对多和多对一地址转换。3.1 一对一地址转换一对一地址转换的原理如图3.1所示。图中路由器处于内部网络和外部网络的边界处，作为NAT服务器。但内部IP（10.1.1.15）想外部服务器（35.7.6.8）法从请求报文1是，数据报将经过NAT服务器。NAT进程查看报头内容，发现该数据报是发往外网的，于是将数据报1转换为数据报2，即将数据报1中的源地址字段的局部地址10.1.1.15替换成全局地址200.16.1.2，最后将数据

18、报2发送给外部服务器，同时在NAT转换表中记录这一映射。当外部服务器给内部PC发现哦那个应答报文3时，由于其目的地址为100.16.1.2，因此NAT服务器将收到此报文NAT进程查看报头内容，然后根据当前NAT转换表的映射关系，将数据报3转换为数据报4，即将数据报3中的目的地址字段的全局地址100.16.1.2替换成局部地址10.1.1.15，最后将数据报4发送给内部PC。图3.1 一对一NAT原理图3.2多对多地址转换多对多地址转换的原理与多对一的类似，不同的是多对一转换只使用一个全局地址，而多对多转换使用的是一组全局地址，通常将这一组全局地址成为NAT地址池。多对多地址转换的原理如图4.2

19、所示，可见多对多转换的本质是将一个大的内部网地址空间映射到一个小的NAT地址池空间。此时，NAT服务器的NAT转换表中可有若干条映射记录，记录的最大值为地址池空间的IP地址数，显然该数值决定了内网中可同时与外网主机通信的数量。图3.2 多对多NAT原理图3.3 多对一地址转换多对一地址转换，有时也称为网络地址端口转换NAPT（Network SddressPort Translation），NAPT允许多个局部地址映射到同一个全局地址。NAPT的转换原理如图3.3所示，可见其本质是在【局部地址+端口】与【全局地址+端口】之间进行转换。与之对用的NAT转换表中的每行记录需要5个字段，这些字段共同

20、决定了内外网间的不同通信连接。由于端口的数量为65536个，因此理论上一个全局地址最多可满足65536个内部主机同好似访问外网（若全局地址为n个，则最大数为65536 X n）,但实际应用时会远小于此数，不过这已经可以满足要求了。图3.3 多对一的原理图3.4内部服务器前面讨论的三种地址转换技术均具有以下两个特点：3.4.1只要NAT服务器的资源允许，任何从内网向外网的连接请求都可以得到相应；若在NAT转换表中没有对用的映射记录，则动态添加；否则直接利用它建立连接。3.4.2从外网访问内网主机是有条件的，即在NAT转换表中必须已存在该主机的映射。上述特点说明NAT隐藏了内部网络的结构，具有屏蔽

21、内部主机的作用。但是在实际应用中，有时却需要提供给外网可以主动访问内网逐句的机会，比如对外的公共服务器。图3.4.1 内部服务器通过NAT技术，也可以方便地实现内网的服务器被外网的主句访问，其基本原理是在NAT转换表中静态地添加一条与服务器对应的映射记录。这样，当外部网络的用户访问内部服务器是，NAT进程根据转换表可以将请求报文首部的目的地址转换成内部服务器的局部地址；当内部服务器发送应答报文时,NAT进程将应答报文的源地址转换成全局地址。第四章 NAT的工作过程4.1 在客户机上当应用程序想同服务器通信时，它将打开与源IP地址、源端口、目标IP地址、目标端口机网络协议相关联的套接字。这样可以

22、识别通信所需的两个端点。当应用程序利用该套接字传输信息时，客户机的专用IP地址（源IP地址）和端口（源端口）将被插入数据包的源字段中。数据包的目标字段将包含服务器的IP地址（远程主机-目标IP地址）和端口。由于该数据包的目的地是该专用网络之外的某个位置，因此客户机将把该数据包抓发给默认的网关。这种情况下的默认网关就是NAT设备。4.2 NAT设备上的输出数据包NAT设备将截获该输出数据包。然后利用目标IP地址（服务器）、目标端口、NAT设备的外部IP地址、外部端口、网络协议即可户机的内部IP地址和端口来创建端口映射。NAT设备将维护这些映射组成的表，并将该端口的映射存储在表中。外部IP地址和端

23、口就是该数据通信用于取代内部客户机IP地址和端口的公共IP地址和端口。NAT设备随即将来自客户机庄泳内部IP弟子和端口的数据包的源字段转换为NAT设备的公共IP地址和端口，从而对这些数据包进行转换。然后，数据包将通过外部网络发送出去，并最终到达目标服务器。4.3 服务器上当服务器接受到数据包时，他认为自己是在和一台具有可全球路由IP地址的计算机进行通信。它会利用自己源字段中的IP地址和端口将响应数据包定向到NAT设备的外部IP地址和端口。4.4 NAT设备上的输入数据包NAT从服务器那接受到这些数据包，然后将数据包与其端口映射表进行比较。如果MAT发现某个端口映射的远程主机IP地址、远程端口、

24、外部端口即网络协议与输入数据包的源IP地址、源端口、目标端口和网络写实匹配，NAT就会进行反响转换。NAT将把数据包目标字段中的外部IP地址和外部端口替换为客户据的专用IP地址和内部端口。然后，NAT见内部网络上的数据包发送给客户机。然而，如果NAT找不到对应的端口映射，它就会丢弃输入数据包并中断连接。第五章 NAT在局域网中的实例一、实验目的通过配置可以通信，PC1和PC2能和PC3的网关通信。二、实验条件 网络综合实验室：路由器4个、三层交换机1个、两层交换机3个、PC机若干台、网线若干根。三、实验要求1、合理规划IP地址；2、实现全网段互通；3、VLAN之间能够通信；4、在RT3上实现N

25、AT地址转换；5、PC1和PC2能够Ping通PC3的网关，但不能与PC3通信。四、实验图形路由器交换机互联图形五、实验过程及步骤1.首先为自己实验的设备各个端口分配好IP地址和端口类型：H3Csys /进入系统H3Csysname switch /命名为switch switchint e1/0/1 /进入端口E1/0/1switchport link-mode route /指定端口可以从这个口级联swtichip add 192.168.13.2 24 /指定端口IP地址RT1H3Csys /进入系统H3Csysname rt1 /命名为rt1 rt1int s0/0 /进入串口s0/0

26、rt1ip add 192.168.12.1 24 /指定s0/0端口IP地址rt1int e0/0 /进入端口e0/0rt1ip add 192.168.17.1 24 /指定e0/0端口IP地址RT2rt2sys /进入系统rt2sysname rt2 /命名rt2 rt2int s0/0 /进入串口s0/0 rt2ip add 192.168.12.2 24 /指定s0/0端口IP地址rt2int e0/0 /进入端口rt2ip add 192.168.14.1 24 /指定e0/0端口IP地址 rt2int e0/1 /进入端口 rt2port link-mode route /指定端

27、口可以从这个口级联rt2ip add 192.168.13.1 24 /指定e0/1端口IP地址RT3rt3sys /进入系统rt3sysname rt3 /命名rt3rt3int e0/0 /进入e0/0端口rt3ip add 192.168.14.2 24 /指定e0/0端口IP地址rt3int s0/0 /进入串口S0/0端口rt3ip add 202.102.101.1 24 /指定S0/0端口IP地址RT4rt4sys /进入系统rt4sysname rt4 /命名rt4rt4int s0/0 /进入串口S0/0端口rt4ip add 202.102.101.2/24 /指定S0/0

28、端口IP地址rt4int e0/0 /进入端口E0/0端口rt4ip add 202.102.111.1 /分配e0/0端口IP地址2.进入三层交换机划分vlan：H3Cvlan 2 /划分VLAN2H3Cport e1/0/2 /指定端口e1/0/2 在VLAN2下H3Cvlan 3 /划分VLAN2H3Cport e1/0/3 /指定端口e1/0/3在VLAN3下H3Cint e1/0/24 /进入e1/0/24端口H3Cprot link-type trunk /指定端口可以从这个口级联H3Cport trunk permit vlan 2 3 /允许VLAN2、3通过H3Cint vl

29、an 2 /进入VLAN2H3Cip add 192.168.16.1 24 /指定VLAN2端口的IP3.将各个设备进行配置连接，并实现实训中的各个要求：H3Crip /进入ripH3Cnetwork 192.168.13.0 /指定可达IPH3Cnetwork 192.168.15.0 /指定可达IPH3Cnetwork 192.168.16.0 /指定可达IPH3Cimport direct /直接进入H3Cimport ospf /指定OSPF路由H3Croute id 3.3.3.3 /路由地址H3Care 0 /路由器划分区域H3Cnetwork 192.168.13.0 0.0.

30、0.255 /指定可达IPH3Cimport direct /直接进入H3Cimport rip /引入RIPRT1rt1rip /RIP路由rt1network 192.168.12.0 /指定可达IPrt1network 192.168.17.0 /指定可达IPRT2rt2rip / RIP路由rt2network 192.168.12.0 /指定可达IPrt2network 192.168.13.0 /指定可达IPrt2network 192.168.14.0 /指定可达IPrt2route id 1.1.1.1 /路由器地址rt2rea 0 /路由器划分区域rt2network 192

31、.168.13.0 0.0.0.255 /指定可达IPrt2area 1 rt2network 192.168.14.0 0.0.0.255 /指定可达IPrt2import direct /直接进入rt2import ospf /引用OSPF路由RT3rt3route id 2.2.2.2 /路由地址rt3ospf rt3area 1 /范围rt3network 192.168.14.0 0.0.0.255 /指定可达IPrt3import direct /引入已知的rt3import static /引入静态路由rt3ip route-static 202.102.111.0 24 202

32、.102.10.2 /静态路由的rt3link-protocol fr /连接协议rt3fr intface-type dce /rt3fr dlci 30 /rt3nat address-group 2 202.102.10.3 202.102.10.6 /地址传换rt3acl number 3001 /ACL序列号3001rt3rule deny ip source any destination 202.102.111.2 0.0.0.0 rt3rule permit ip soure any destination 202.102.111.0 0.0.0.255 rt3int s0/0

33、 /进入S0端口rt3firewall packet-filter 3001 outbound rt3nat acl number 3001 address-group 2 outbound rt3firewall enable RT4rt4link-protocol fr rt4fr interface-type dte rt4fr dlci 30 rt4ip route-static 0.0.0.0 0 202.102.10.1 /缺省路由器IP地址的分配4.命令完成后，使全网段互通vlan间能通信第三个路由器作为NATPC1和PC2能ping通PC2能够ping通PC3那边的网关，但是不

34、能与PC3通信结束语NAT技术通过使用少量的全剧地址代表大量的局部地址的方式，实现了内部网络访问外部网络的功能；同时隐藏了内部网络的结构，具有一定的安全性能。但它主要存在以下三点不足：一是当连接外网的链路带宽低于10Mbit/s速率时，地址转换基本不影响网络性能，但当速率高于10Mbit/s时，地址转换将对路由器性能产生一定影响；二是由于需要对数据报文进行IP地址的转换，因此所涉及的IP数据报的报头不能被加密，在应用协议中，如果报文中有地址或端口需要转换，则报文首部不能被加密；三十网络调试变得更加困难，因为内部网络主机的IP地址被屏蔽了。另外，使用NAT技术解决IP地址紧缺问题是一种短期的解决方案，长期的解决方案是使用IPv6网络协议，由于IPv6的地址空间为2128，因此不存在地址不足的问题。参考文献1.冯昊、黄治虎 交换机/路由器的配置与管理 清华大学出版社2、林国兰、陈显毅 NAT技术在局域网中的应用 科技信息（2009年第一期）3、 Charles Oppermann. Windows 2