王崇+陳燕

摘要：為了解決IP地址緊缺以及局域網(wǎng)安全的問(wèn)題，提出一種NAPT網(wǎng)絡(luò)設(shè)計(jì)。公司總部和分公司的內(nèi)部網(wǎng)絡(luò)分別通過(guò)一個(gè)映射到公網(wǎng)的IP地址實(shí)現(xiàn)網(wǎng)絡(luò)通信。公司的私網(wǎng)通常會(huì)有一些服務(wù)器需要提供給公網(wǎng)用戶訪問(wèn)。但網(wǎng)絡(luò)部署時(shí)，服務(wù)器地址一般都會(huì)被配置成私網(wǎng)地址，這樣服務(wù)器就不能直接使用自身的地址來(lái)提供服務(wù)了。因此在路由器上配置NAT Server，通過(guò)公布到公網(wǎng)的IP地址來(lái)訪問(wèn)內(nèi)部的服務(wù)器。此實(shí)現(xiàn)方案，為相關(guān)網(wǎng)絡(luò)實(shí)踐提供了有益的參考。

關(guān)鍵詞：NAPT；NAT Server；轉(zhuǎn)換；ENSP

引言

計(jì)算機(jī)網(wǎng)絡(luò)的組建是一項(xiàng)系統(tǒng)工程，同時(shí)用戶環(huán)境和用戶需求通常具有復(fù)雜性，使得網(wǎng)絡(luò)也變得形式多樣，更具復(fù)雜性。網(wǎng)絡(luò)組建的實(shí)踐證明，在組建實(shí)際的網(wǎng)絡(luò)之前先使用計(jì)算機(jī)網(wǎng)絡(luò)仿真軟件進(jìn)行網(wǎng)絡(luò)仿真，使得網(wǎng)絡(luò)能滿足用戶的最終需求，可以避免實(shí)際網(wǎng)絡(luò)組建過(guò)程中可能會(huì)發(fā)生的一些錯(cuò)誤決策和資源浪費(fèi)，有效的保證實(shí)際網(wǎng)絡(luò)組建目標(biāo)的實(shí)現(xiàn)。

ENSP（Enterprise Network Simulation Platform）是一款由華為公司提供的免費(fèi)、可擴(kuò)展、圖形化操作界面的網(wǎng)絡(luò)仿真平臺(tái)，可以支持華為AR系列路由器（AR201、AR1220、AR2220、AR2240、AR3260等）、華為s系列交換機(jī)（S3700、S5700）、華為無(wú)線設(shè)備（AC6005、AC6605、AP6010）、華為防火墻（USG5500）、終端設(shè)備（PC、MCS、Client、Server、STA、Cell-phone等）以及各種連接鏈路，最新版本為ENSP1.2.00.380，該版本在支持上述網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上還支持CE6800云數(shù)據(jù)中心交換機(jī)設(shè)備，有著完整的網(wǎng)絡(luò)應(yīng)用環(huán)境支持體系，完美呈現(xiàn)真實(shí)設(shè)備實(shí)景，支持大型網(wǎng)絡(luò)模擬環(huán)境。

比起思科的Cisco Packet Tracer軟件，ENSP支持高級(jí)網(wǎng)絡(luò)的配置命令更多。Packet Tracer對(duì)網(wǎng)絡(luò)組建各種硬件設(shè)備進(jìn)行仿真，圖形化的很形象的模擬了PC機(jī)、服務(wù)器、交換機(jī)、路由器等的配置過(guò)程。但是Packet Tracer主要模擬CCNA和CCNP的實(shí)驗(yàn)，對(duì)于一些高級(jí)網(wǎng)絡(luò)環(huán)境模擬不足。ENSP能夠模擬豐富的網(wǎng)絡(luò)環(huán)境，支持高級(jí)防火墻的配置、組播配置、MPLS配置、交換機(jī)堆疊配置、交換機(jī)集群配置、VPN配置、NAPT配置、VRRP配置、路由策略配置、VOIP配置、QOS配置、幀中繼配置、無(wú)線漫游配置等，還支持通過(guò)橋接真機(jī)后與思科設(shè)備混合聯(lián)網(wǎng)?；贓NSP開(kāi)展實(shí)驗(yàn)研究的模式，操作簡(jiǎn)單、方便、直觀、容易理解、效果更好、配置文件小、容易保存。對(duì)于廣大技術(shù)人員調(diào)試網(wǎng)絡(luò)、學(xué)生學(xué)習(xí)網(wǎng)絡(luò)組建、教師的網(wǎng)絡(luò)課程教學(xué)或網(wǎng)絡(luò)實(shí)驗(yàn)研究，這種模式值得借鑒。

1 NAPT

針對(duì)當(dāng)今愈發(fā)嚴(yán)重的IP地址短缺問(wèn)題，NAT地址轉(zhuǎn)換是一種普遍采用的解決方案。由于NAT實(shí)現(xiàn)的是一個(gè)本地IP地址對(duì)應(yīng)一個(gè)全局IP地址，是私有IP和NAT的公共IP之間的轉(zhuǎn)換，那么，私有網(wǎng)中同時(shí)與公共網(wǎng)進(jìn)行通信的主機(jī)數(shù)量就受到NAT的公共IP地址數(shù)量的限制。為了克服這種限制，NAT被進(jìn)一步擴(kuò)展到在進(jìn)行IP地址轉(zhuǎn)換的同時(shí)進(jìn)行Port的轉(zhuǎn)換，這就是網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）技術(shù)。

NAPT將多個(gè)內(nèi)部地址映射為一個(gè)合法公網(wǎng)地址，也就是<內(nèi)部地址+內(nèi)部端口>與<外部地址+外部端口>之間的轉(zhuǎn)換，使多個(gè)私網(wǎng)用戶可共用一個(gè)公網(wǎng)IP地址訪問(wèn)外網(wǎng)，因此是地址轉(zhuǎn)換實(shí)現(xiàn)的主要形式。這種方式較好地解決了公網(wǎng)地址不足的問(wèn)題。

2 NAT Server

出于私有網(wǎng)絡(luò)安全的考慮，大部分私網(wǎng)主機(jī)通常并不希望被公網(wǎng)用戶訪問(wèn)。但是在某些實(shí)際應(yīng)用中，需要給公網(wǎng)用戶提供一個(gè)訪問(wèn)私網(wǎng)服務(wù)器的機(jī)會(huì)。而在一對(duì)一NAT或多對(duì)一NAT方式下，由于由公網(wǎng)用戶發(fā)起的訪問(wèn)無(wú)法動(dòng)態(tài)建立NAT表項(xiàng)，因此公網(wǎng)用戶無(wú)法訪問(wèn)私網(wǎng)主機(jī)。NAT Server（NAT內(nèi)部服務(wù)器）方式可以解決這個(gè)問(wèn)題，其主要思想是通過(guò)靜態(tài)配置“公網(wǎng)IP地址+端口號(hào)”與“私網(wǎng)IP地址+端口號(hào)”間的映射關(guān)系將公網(wǎng)地址“反向”轉(zhuǎn)換成私網(wǎng)地址。

3 NAPT和NAT Server的實(shí)現(xiàn)

3.1組網(wǎng)背景

隨著現(xiàn)代企業(yè)的發(fā)展，分支機(jī)構(gòu)的建立，遠(yuǎn)程客戶的形成，越來(lái)越多的用戶需要建立與企業(yè)內(nèi)部網(wǎng)的連接。某企業(yè)有?？诳偣竞蜕虾７止?，需要組建企業(yè)總部到分公司的網(wǎng)絡(luò)?？偛亢头止靖髯該碛幸粋€(gè)公網(wǎng)IP地址并通過(guò)該公網(wǎng)IP與因特網(wǎng)通信，考慮到IP地址緊缺以及局域網(wǎng)安全的問(wèn)題，需要配置NAPT；企業(yè)總部和分公司的服務(wù)器給公網(wǎng)用戶提供FTP和WWW服務(wù)，需要在R1和R2上配置NAT服務(wù)器。

3.2網(wǎng)絡(luò)拓?fù)?/p>

為了實(shí)現(xiàn)預(yù)定目標(biāo)，設(shè)計(jì)了如圖1所示的網(wǎng)絡(luò)拓?fù)鋱D。采用2臺(tái)AR2220路由器，3臺(tái)S3700交換機(jī)，2臺(tái)Server，1臺(tái)PC機(jī)和4臺(tái)Client終端。R1是?？诠究偛康穆酚善鳎琑2是上海分公司路由器。用Client1、Client2、PCI、Server1模擬R1的內(nèi)網(wǎng)，Client3、Client4、Server2模擬R2的內(nèi)網(wǎng)。R1與R2之間模擬公網(wǎng)，用R2的Loopback 0接口IP地址模擬其他外部網(wǎng)絡(luò)。R1的G0/0/1和G0/0/2本別連接企業(yè)總部的兩個(gè)內(nèi)部網(wǎng)段，R2的G0/0/1連接企業(yè)分公司的私網(wǎng)。

3.3終端IP地址規(guī)劃

Clientl、Server1、Client2、PC1、Client3、Client4、Server2的IP地址分別是222.18.244.1/24、222.18.244.2/24、222.18.245.2/24、222.18.245.3/24、192.168.1.1/24、192.168.1.2/24、192.168.1.3/24，網(wǎng)關(guān)分別是222.18.244.254、222.18.244.254、222.18.245.254、222.18.245.254、192.168.1.254、192.168.1.254、192.168.1.254。開(kāi)啟Server1和Server2的FTP服務(wù)和HTTP服務(wù)。

3.4配置路由器

3.5驗(yàn)證結(jié)果

ENSP軟件的終端很全面，在驗(yàn)證實(shí)驗(yàn)結(jié)果方面有得天獨(dú)厚的優(yōu)勢(shì)。登錄服務(wù)器后，分別在R1、R2上，再次命名并查看NATP的轉(zhuǎn)換情況，結(jié)果如圖2和圖3所示。然后到R1和R2上查看NAT Server的轉(zhuǎn)換情況，結(jié)果如圖4和圖5所示。配置完NATServer后，公網(wǎng)用戶和分公司用戶可以通過(guò)Server1映射到公網(wǎng)的IP地址124.225.62.51訪問(wèn)Server1，公網(wǎng)用戶和總部用戶可以通過(guò)Server2映射到公網(wǎng)的IP地址124.225.62.52訪問(wèn)Server2。例如，訪問(wèn)Server1的FTP可以在分公司客戶端輸入目標(biāo)主機(jī)的IP地址是124.225.62.51。此時(shí)，NAT Server用于外網(wǎng)用戶需要使用固定公網(wǎng)IP地址訪問(wèn)內(nèi)部服務(wù)器的情形?？偛亢头止緝?nèi)網(wǎng)訪問(wèn)各自的服務(wù)器時(shí)，還是使用服務(wù)器內(nèi)網(wǎng)的IP地址。如果不想讓內(nèi)網(wǎng)用戶知道服務(wù)器IP地址，需要內(nèi)網(wǎng)用戶也是通過(guò)公網(wǎng)地址訪問(wèn)局域網(wǎng)內(nèi)的服務(wù)器，就用同樣方法在內(nèi)網(wǎng)數(shù)據(jù)輸入方向的路由器接口上配置NAPT和NATServer就可以了，不再贅述。

4結(jié)束語(yǔ)

文獻(xiàn)闡述了NAPT技術(shù)的特點(diǎn)、轉(zhuǎn)換原理、基于思科設(shè)備的實(shí)現(xiàn)過(guò)程，但是沒(méi)有提出如何從公網(wǎng)訪問(wèn)內(nèi)網(wǎng)服務(wù)器。本案例模擬一個(gè)現(xiàn)實(shí)的網(wǎng)絡(luò)，提出一種并非基于思科設(shè)備而是基于華為設(shè)備的NAPT和NAT Server，解決了內(nèi)網(wǎng)服務(wù)器IP地址直接暴露給內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的問(wèn)題。經(jīng)測(cè)試，此網(wǎng)絡(luò)運(yùn)行穩(wěn)定，實(shí)現(xiàn)內(nèi)網(wǎng)所有主機(jī)多對(duì)一轉(zhuǎn)換（NAPT）為一個(gè)公網(wǎng)地址連入公網(wǎng)；同時(shí)實(shí)現(xiàn)了內(nèi)網(wǎng)服務(wù)器給非內(nèi)網(wǎng)用戶提供FTP和WWW服務(wù)，無(wú)論是企業(yè)總部或分公司或公網(wǎng)用戶都可以通過(guò)公網(wǎng)IP地址與內(nèi)網(wǎng)服務(wù)器建立可靠的TCP連接。該案例加強(qiáng)了內(nèi)網(wǎng)用戶的安全性和服務(wù)器的可靠性，步驟清晰并且給出具體實(shí)現(xiàn)的網(wǎng)絡(luò)配置代碼，為相關(guān)網(wǎng)絡(luò)實(shí)踐提供了有益的參考。