孫光懿，繳 健

(1.天津音樂(lè)學(xué)院 網(wǎng)絡(luò)安全和信息化辦公室，天津市 300171；2.天津市教育委員會(huì)教育綜合服務(wù)中心，天津市 300191)

0 引言

隨著一系列互聯(lián)網(wǎng)應(yīng)用的普及，IPv4(Internet Protocol Version 4)網(wǎng)絡(luò)地址空間日益匱乏的問(wèn)題也越發(fā)顯現(xiàn).針對(duì)這一問(wèn)題，一方面網(wǎng)絡(luò)技術(shù)人員可將現(xiàn)有IPv4網(wǎng)絡(luò)升級(jí)為IPv6網(wǎng)絡(luò)來(lái)解決(IPv4網(wǎng)絡(luò)地址長(zhǎng)度只有32位，而IPv6網(wǎng)絡(luò)地址長(zhǎng)度為128位，這樣就可擁有巨大的網(wǎng)絡(luò)地址空間)；另一方面網(wǎng)絡(luò)技術(shù)人員還可通過(guò)IPv4網(wǎng)絡(luò)中使用網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)[1-5]技術(shù)來(lái)解決.借助該技術(shù)，網(wǎng)絡(luò)技術(shù)人員只需擁有一個(gè)或少量合法公網(wǎng)IP地址，就可實(shí)現(xiàn)內(nèi)部私有IP地址主機(jī)共享Internet連接.換句話說(shuō)，工作在網(wǎng)絡(luò)層的NAT技術(shù)是一種將內(nèi)部私有IP地址(該類(lèi)地址不能被路由轉(zhuǎn)發(fā))，轉(zhuǎn)換為合法公網(wǎng)IP地址的網(wǎng)絡(luò)技術(shù).它不僅可以有效緩解IPv4網(wǎng)絡(luò)地址空間的不足，而且還可以隱藏內(nèi)部真實(shí)網(wǎng)絡(luò)(內(nèi)部網(wǎng)絡(luò)設(shè)備對(duì)公網(wǎng)來(lái)說(shuō)為不可見(jiàn))，從而避免來(lái)自外網(wǎng)的攻擊.通常來(lái)講NAT技術(shù)共有以下三種轉(zhuǎn)換類(lèi)型：①靜態(tài)NAT轉(zhuǎn)換.靜態(tài)NAT轉(zhuǎn)換又可進(jìn)一步細(xì)分為內(nèi)部地址靜態(tài)NAT轉(zhuǎn)換和外部地址靜態(tài)NAT轉(zhuǎn)換.內(nèi)部地址靜態(tài)NAT轉(zhuǎn)換多用來(lái)實(shí)現(xiàn)對(duì)外部網(wǎng)絡(luò)發(fā)布內(nèi)部服務(wù)器或少數(shù)內(nèi)部主機(jī)通過(guò)共享內(nèi)部全局地址來(lái)訪問(wèn)互聯(lián)網(wǎng).而外部地址靜態(tài)NAT轉(zhuǎn)換多用來(lái)實(shí)現(xiàn)外部網(wǎng)絡(luò)用戶對(duì)內(nèi)部設(shè)備的特定訪問(wèn).②動(dòng)態(tài)NAT轉(zhuǎn)換.該類(lèi)型NAT總是以隨機(jī)的方式，將內(nèi)部私有IP地址轉(zhuǎn)換為合法公網(wǎng)IP地址(當(dāng)ISP提供的合法公網(wǎng)IP地址數(shù)量略少于內(nèi)部私有IP地址數(shù)量時(shí)，可選擇此種類(lèi)型NAT).③端口地址轉(zhuǎn)換(Port address Translation,PAT).該類(lèi)型NAT通過(guò)對(duì)外出數(shù)據(jù)包的源端口進(jìn)行端口轉(zhuǎn)換，來(lái)最大限度地節(jié)省IP地址資源.與動(dòng)態(tài)NAT不同，它可將內(nèi)部多個(gè)本地地址都映射到同一個(gè)內(nèi)部全局地址上，并且在該地址上加上NAT設(shè)備隨機(jī)分配的端口號(hào).這一點(diǎn)需要注意，在華為、華三等國(guó)內(nèi)網(wǎng)絡(luò)設(shè)備廠商稱該轉(zhuǎn)換類(lèi)型的NAT為NAPT.

1 GNS3簡(jiǎn)介

GNS3是一款可以運(yùn)行在WINDOWS、LINUX及蘋(píng)果系統(tǒng)中的圖形化網(wǎng)絡(luò)仿真軟件, 目前最新版本為GNS3-2.2.11.相比其他網(wǎng)絡(luò)仿真軟件而言, GNS3由多款軟件整合而成并且是開(kāi)源的, 可以實(shí)現(xiàn)的功能更多.它不僅支持多種型號(hào)的思科交換機(jī)、路由器以及防火墻等設(shè)備的模擬仿真,還可以與現(xiàn)實(shí)中網(wǎng)絡(luò)環(huán)境進(jìn)行深度對(duì)接, 具有免費(fèi)、真實(shí)可信、用戶操作性強(qiáng)等特點(diǎn), 適用于模擬各類(lèi)型復(fù)雜網(wǎng)絡(luò)環(huán)境.

2 NAT工作原理

NAT工作原理[6-9]：當(dāng)內(nèi)部私有IP主機(jī)與外部主機(jī)相互通信的IP數(shù)據(jù)包經(jīng)過(guò)NAT設(shè)備時(shí)，IP數(shù)據(jù)包的源地址或目的地址在私有IP和合法公網(wǎng)IP之間轉(zhuǎn)換.通常在啟用NAT技術(shù)的網(wǎng)絡(luò)設(shè)備上，至少存在一個(gè)內(nèi)部(Inside)接口和一個(gè)外部(Outside)接口(內(nèi)部接口負(fù)責(zé)連接內(nèi)部網(wǎng)絡(luò)，外部接口負(fù)責(zé)連接外部網(wǎng)絡(luò)).當(dāng)內(nèi)部網(wǎng)絡(luò)主機(jī)訪問(wèn)外部網(wǎng)絡(luò)時(shí)，IP地址轉(zhuǎn)換方向是從內(nèi)部網(wǎng)絡(luò)一側(cè)向外部網(wǎng)絡(luò)一側(cè)進(jìn)行的.NAT設(shè)備在收到內(nèi)部主機(jī)發(fā)往外部網(wǎng)絡(luò)的數(shù)據(jù)包時(shí)，源地址(SA)和目的地址(DA)分別為內(nèi)部本地地址和外部本地地址.該數(shù)據(jù)包被轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)后，其源地址被轉(zhuǎn)換為內(nèi)部全局地址，目的地址被轉(zhuǎn)換為外部全局地址.IP地址轉(zhuǎn)換過(guò)程如圖1所示.而當(dāng)外部主機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)，IP地址轉(zhuǎn)換方向則從外部網(wǎng)絡(luò)一側(cè)向內(nèi)部網(wǎng)絡(luò)一側(cè)進(jìn)行.NAT設(shè)備在收到外部主機(jī)發(fā)往內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包時(shí)，源地址(SA)和目的地址(DA)分別為外部全局地址和內(nèi)部全局地址.該數(shù)據(jù)包被轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)后，其源地址被轉(zhuǎn)換為外部本地地址，目的地址被轉(zhuǎn)換為內(nèi)部本地地址.IP地址轉(zhuǎn)換過(guò)程如圖2所示.從圖1、圖2我們可以清楚地看到，圖1中的源地址和目的地址的轉(zhuǎn)換過(guò)程，恰好是圖2中目的地址和源地址轉(zhuǎn)換的反過(guò)程.總的來(lái)說(shuō)，NAT地址轉(zhuǎn)換是在本地地址和全局地址之間進(jìn)行的，無(wú)論數(shù)據(jù)通信方向如何.

圖1 數(shù)據(jù)包從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)時(shí)的IP地址轉(zhuǎn)換過(guò)程

圖2 數(shù)據(jù)包從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)時(shí)的IP地址轉(zhuǎn)換過(guò)程

需要明確：①內(nèi)部網(wǎng)絡(luò)中的主機(jī)和外部網(wǎng)絡(luò)中的主機(jī)所使用的真實(shí)IP地址，分別被稱為內(nèi)部本地地址和外部本地地址.②當(dāng)內(nèi)部網(wǎng)絡(luò)主機(jī)訪問(wèn)外部網(wǎng)絡(luò)時(shí)，對(duì)外所呈現(xiàn)出的IP地址則被稱為內(nèi)部全局地址.通常該地址為互聯(lián)網(wǎng)運(yùn)營(yíng)商分配給內(nèi)部網(wǎng)絡(luò)用戶的合法公有IP地址，位于外部網(wǎng)絡(luò)一側(cè).③對(duì)內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，外部主機(jī)所呈現(xiàn)的IP地址則被稱為外部全局地址.通常該地址為互聯(lián)網(wǎng)運(yùn)營(yíng)商分配給外部主機(jī)的合法公有IP地址.④NAT路由器的內(nèi)部接口與外部接口是固定的，不會(huì)隨著通信方向的變化而發(fā)生改變.

3 NAT技術(shù)典型配置

3.1 內(nèi)部源地址靜態(tài)NAT轉(zhuǎn)換

內(nèi)部源地址靜態(tài)NAT轉(zhuǎn)換是在內(nèi)部本地地址(內(nèi)網(wǎng)IP地址)和內(nèi)部全局地址(合法公網(wǎng)IP)之間進(jìn)行的一對(duì)一轉(zhuǎn)換，這種一對(duì)一的轉(zhuǎn)換關(guān)系是固定的.也就是說(shuō)即使當(dāng)前內(nèi)部用戶無(wú)訪問(wèn)互聯(lián)網(wǎng)的需求，其租用的內(nèi)部全局地址也不會(huì)再被其他用戶所租用.

為使讀者能夠清楚理解內(nèi)部源地址靜態(tài)NAT的工作原理并掌握其配置方法，可利用GNS3思科網(wǎng)絡(luò)仿真平臺(tái)搭建一個(gè)由2臺(tái)思科3700路由器R1、R2和2臺(tái)思科2950二層交換機(jī)SW1、SW2構(gòu)成的小型網(wǎng)絡(luò)(該網(wǎng)絡(luò)共劃分為兩個(gè)網(wǎng)段，既服務(wù)器區(qū)所在的VLAN13網(wǎng)段和辦公區(qū)所在的VLAN14網(wǎng)段).其中，R1為公司邊界路由器，用來(lái)與互聯(lián)網(wǎng)運(yùn)營(yíng)商中國(guó)聯(lián)通邊界路由器R2互聯(lián)(該網(wǎng)絡(luò)運(yùn)營(yíng)商為公司共分配了四個(gè)合法公網(wǎng)IP地址.地址范圍從202.99.96.31～202.99.96.34).SW1為公司內(nèi)部二層交換機(jī)，負(fù)責(zé)連接服務(wù)器區(qū)(VLAN13網(wǎng)段)和辦公區(qū)(VLAN14網(wǎng)段)終端設(shè)備.SERVER1(在TCP 8080端口上進(jìn)行監(jiān)聽(tīng)通信，其隸屬于VLAN13網(wǎng)段，IP地址為：192.168.13.2/24)為公司W(wǎng)EB服務(wù)器，用來(lái)為外部用戶提供訪問(wèn).PC1(隸屬于VLAN14網(wǎng)段，IP地址為：192.168.14.2/24)為公司辦公區(qū)終端計(jì)算機(jī)，用來(lái)為公司員工提供互聯(lián)網(wǎng)檢索服務(wù).PC2(IP地址為：211.67.201.20)為外部用戶終端計(jì)算機(jī).網(wǎng)絡(luò)拓?fù)淙鐖D3所示.由于公司內(nèi)部網(wǎng)段均使用私有IP地址且SERVER1和PC1存在與互聯(lián)網(wǎng)通信的需求，因此我們有必要在路由器R1中啟用內(nèi)部地址靜態(tài)NAT轉(zhuǎn)換技術(shù)，為上述設(shè)備配置從內(nèi)部本地地址到內(nèi)部全局地址的靜態(tài)映射.相關(guān)具體配置過(guò)程如下.

圖3 內(nèi)部地址靜態(tài)NAT轉(zhuǎn)換

配置路由器R1

R1(config)#int f0/0.1

R1(config-if)#ip nat inside//將該子接口設(shè)置為NAT內(nèi)部接口

R1(config)#int f0/0.2

R1(config-if)#ip nat inside

R1(config)#int e0/0

R1(config-if)#ip add 202.99.96.31 255.255.255.0

R1(config-if)#ip nat outside //將該接口設(shè)置為NAT外部接口

R1(config)#ip nat inside sourcestatic tcp 192.168.13.2 8080 202.99.96.32 80 //

為了保證公司W(wǎng)EB服務(wù)器能夠監(jiān)聽(tīng)到外部用戶的訪問(wèn)，網(wǎng)絡(luò)技術(shù)人員必須把外部用戶對(duì)內(nèi)部全局地址202.99.96.32 80端口的訪問(wèn)，重定向到192.168.13.2 WEB服務(wù)器的8080端口上.配置完成后，當(dāng)路由器R1的外部接口收到目的地址為202.99.96.32：80的訪問(wèn)數(shù)據(jù)包時(shí)，該數(shù)據(jù)包的目的地址將轉(zhuǎn)換為192.168.13.2：80.

R1(config)#ip nat inside source static 192.168.14.2 202.99.96.33 //將內(nèi)部源地址192.168.14.2轉(zhuǎn)換為202.99.96.33

R1(config)#ip route 0.0.0.0 0.0.0.0 202.99.96.35 //配置默認(rèn)路由

上述配置完成后，我們以公司內(nèi)部終端計(jì)算機(jī)PC1為例，使用Ping命令測(cè)試其與外部主機(jī)PC2的連通性(如圖4所示).測(cè)試后可以看到，二者之間是可以相互通信的.

圖4 使用Ping命令測(cè)試PC1與PC2的連通性

與此同時(shí)，我們通過(guò)Wireshark軟件分別對(duì)終端計(jì)算機(jī)PC1、PC2進(jìn)行抓包分析(如圖5、圖6所示).

圖5 抓取的PC1數(shù)據(jù)包

圖6 抓取的PC2數(shù)據(jù)包

在對(duì)抓取后的PC1數(shù)據(jù)包進(jìn)行分析后我們不難發(fā)現(xiàn)，PC1發(fā)往PC2的數(shù)據(jù)包(例如圖5中編號(hào)為50的數(shù)據(jù)包)和PC2發(fā)往PC1響應(yīng)數(shù)據(jù)包(例如圖5中編號(hào)為51的數(shù)據(jù)包)，與配置內(nèi)部源地址靜態(tài)NAT轉(zhuǎn)換前完全相同，即PC1發(fā)往PC2數(shù)據(jù)包的源地址為PC1內(nèi)部本地地址192.168.14.2/24，目的地址為PC2的內(nèi)部本地地址211.67.201 20/24.PC2發(fā)往PC1響應(yīng)數(shù)據(jù)包的源地址為PC2的內(nèi)部本地地址211.67.201 20/24，目的地址為PC1內(nèi)部本地地址192.168.14.2/24.

在對(duì)抓取后的PC2數(shù)據(jù)包進(jìn)行分析后發(fā)現(xiàn)：①?gòu)腜C1發(fā)來(lái)的數(shù)據(jù)包(例如圖6中編號(hào)為8的數(shù)據(jù)包)源地址經(jīng)NAT轉(zhuǎn)換后[10-12]，已由其內(nèi)部本地地址變?yōu)榱藘?nèi)部全局地址(即公網(wǎng)地址202.99.96.33/24)，而該數(shù)據(jù)包的目的地址未發(fā)生改變，依舊為PC2的內(nèi)部本地地址211.67.201 20/24.②從PC2發(fā)往PC1響應(yīng)數(shù)據(jù)包的源地址未發(fā)生改變，只是該數(shù)據(jù)包的目的地址已由PC1的內(nèi)部本地地址192.168.14.2/24變?yōu)槠鋬?nèi)部全局地址211.67.201 20/24.這充分說(shuō)明此次配置的基于內(nèi)部源地址靜態(tài)NAT轉(zhuǎn)換是成功的.

3.2 內(nèi)部源地址動(dòng)態(tài)NAT轉(zhuǎn)換

與靜態(tài)NAT不同，動(dòng)態(tài)NAT[13-14]是通過(guò)數(shù)據(jù)流觸發(fā)的方式來(lái)建立內(nèi)部本地地址和內(nèi)部全局地址的映射關(guān)系(路由器最初的NAT表中沒(méi)有任何數(shù)據(jù))，并且這種映射關(guān)系也不是一成不變的.這是因?yàn)閯?dòng)態(tài)NAT存在一種與DHCP協(xié)議相類(lèi)似的IP地址租約制度，即當(dāng)內(nèi)部主機(jī)不與外部網(wǎng)絡(luò)通信時(shí)，與之映射的內(nèi)部全局地址就會(huì)被重新放回地址池中，以供其他內(nèi)部主機(jī)訪問(wèn)外部網(wǎng)絡(luò)時(shí)使用.但需要注意幾點(diǎn)：①在配置動(dòng)態(tài)NAT前，網(wǎng)絡(luò)管理者必須預(yù)先建立一個(gè)內(nèi)部全局地址池.②動(dòng)態(tài)NAT映射表中的 NAT地址轉(zhuǎn)換條目均存在一個(gè)生存時(shí)間.如果超過(guò)了該時(shí)間，那么該條條目就會(huì)被自動(dòng)刪除.在默認(rèn)情況下，一對(duì)一動(dòng)態(tài)NAT條目的生存時(shí)間為600秒，而基于端口的動(dòng)態(tài)NAT條目的生存時(shí)間只有60秒.

公司內(nèi)只允許終端計(jì)算機(jī)PC1至PC3可對(duì)互聯(lián)網(wǎng)資源進(jìn)行訪問(wèn)，且公司擁有中國(guó)聯(lián)通分配的十個(gè)合法公網(wǎng)IP地址.地址范圍從202.99.96.31～202.99.96.40.網(wǎng)絡(luò)拓?fù)浼跋嚓P(guān)設(shè)備IP地址如圖7所示.相關(guān)核心配置過(guò)程如下.

圖7 網(wǎng)絡(luò)拓?fù)浼跋嚓P(guān)設(shè)備IP地址

配置路由器R1

R1(config)#ip nat pool cb 202.99.96.31 202.99.96.40 prefix-length 24 //定義名為“cb”的內(nèi)部全局地址池

R1(config)#access-list 82 permit host 192.168.14.2//定義公司內(nèi)允許訪問(wèn)互聯(lián)網(wǎng)資源的終端計(jì)算機(jī)

R1(config)#access-list 82 permit host 192.168.14.3

R1(config)#access-list 82 permit host 192.168.14.4

R1(config)#ip nat inside source list 82 pool cb//將公司內(nèi)部本地地址和地址池中的內(nèi)部全局地址相關(guān)聯(lián)

上述配置完成后，以公司內(nèi)部終端計(jì)算機(jī)PC2為例，使用Ping命令測(cè)試其與中國(guó)電信資源服務(wù)器Server1的連通性.然后再在路由器R1的特權(quán)模式下分別使用Show ip nat trans命令和Debug ip nat命令，查看路由器R1的NAT表和NAT地址轉(zhuǎn)換的詳細(xì)過(guò)程(如圖8、圖9所示).測(cè)試證明，此次所配置的基于內(nèi)部源地址動(dòng)態(tài)NAT轉(zhuǎn)換是成功的，公司內(nèi)部終端計(jì)算機(jī)PC3與中國(guó)電信資源服務(wù)器Server1之間可以正常通信.

圖8 路由器R1的NAT表

圖9 NAT地址轉(zhuǎn)換的詳細(xì)過(guò)程

從圖8中發(fā)現(xiàn)：①路由器R1的NAT表中存在一條協(xié)議類(lèi)型為“---”的NAT地址轉(zhuǎn)換條目，該條目對(duì)所有協(xié)議的動(dòng)態(tài)地址轉(zhuǎn)換均有效.②在終端計(jì)算機(jī)PC3中使用Ping命令后，路由器R1的NAT表中出現(xiàn)了三條協(xié)議類(lèi)型為“icmp”的NAT地址轉(zhuǎn)換條目，且每條NAT地址轉(zhuǎn)換條目中的內(nèi)部本地地址和內(nèi)部全局地址分別為192.168.14.3(該地址為icmp數(shù)據(jù)包的源地址，即終端計(jì)算機(jī)PC3的IP地址)和202.99.96.32.需要特別注意的是：上述NAT地址轉(zhuǎn)換條目中，外部本地地址和外部全局地址為同一地址211.67.201.20(該地址為icmp數(shù)據(jù)包的目的地址，即Server1的IP地址).之所以出現(xiàn)這種情況，是未配置外部網(wǎng)絡(luò)的本地地址和全局地址NAT轉(zhuǎn)換所造成的.

從圖9中不難發(fā)現(xiàn)：①每條NAT會(huì)話都包含符號(hào)“*”.這說(shuō)明NAT地址轉(zhuǎn)換過(guò)程發(fā)生在快速交換路徑.②整個(gè)NAT地址轉(zhuǎn)換過(guò)程是在內(nèi)部本地地址和內(nèi)部全局地址之間進(jìn)行的.當(dāng)數(shù)據(jù)包由內(nèi)部網(wǎng)絡(luò)發(fā)往外部網(wǎng)絡(luò)時(shí)(PC3發(fā)往Server1的ICMP數(shù)據(jù)包)，只有數(shù)據(jù)包的源地址在經(jīng)過(guò)路由器R1后發(fā)生改變(即由內(nèi)部本地地址192.168.14.3，轉(zhuǎn)換為內(nèi)部全局地址202.99.96.32).目的地址(211.67.201.20)不變.而從外部網(wǎng)絡(luò)發(fā)往內(nèi)部網(wǎng)絡(luò)的響應(yīng)數(shù)據(jù)包，只有其目的地址在經(jīng)過(guò)路由器R1后發(fā)生改變(即由內(nèi)部全局地址202.99.96.32，轉(zhuǎn)換為內(nèi)部本地地址192.168.14.3)，源地址不變(211.67.201.20).

3.3 基于反向NAT實(shí)現(xiàn)服務(wù)器流量負(fù)載均衡

反向NAT技術(shù)[15-16]是通過(guò)對(duì)數(shù)據(jù)包目的地址的不斷循環(huán)轉(zhuǎn)換(傳統(tǒng)NAT技術(shù)是對(duì)數(shù)據(jù)包源地址進(jìn)行轉(zhuǎn)換)，來(lái)實(shí)現(xiàn)服務(wù)器負(fù)載均衡的.利用該技術(shù)可把一臺(tái)虛擬服務(wù)器映射到多臺(tái)真實(shí)服務(wù)器上.每次外部網(wǎng)絡(luò)向虛擬服務(wù)器發(fā)起的TCP連接請(qǐng)求，總會(huì)循環(huán)分發(fā)到內(nèi)部網(wǎng)絡(luò)各臺(tái)真實(shí)服務(wù)器上(通過(guò)目的地址以地址池輪循方式實(shí)現(xiàn)).需要注意幾點(diǎn)：①反向NAT技術(shù)只能對(duì)TCP協(xié)議實(shí)現(xiàn)負(fù)載均衡，這是因?yàn)槠渌麉f(xié)議類(lèi)型的IP數(shù)據(jù)包無(wú)法實(shí)現(xiàn)循環(huán)分發(fā)(其他協(xié)議類(lèi)型的IP數(shù)據(jù)包到達(dá)NAT路由器后，所生成的ARP報(bào)文會(huì)查詢?cè)揑P所對(duì)應(yīng)的MAC地址).②與靜態(tài)NAT和動(dòng)態(tài)NAT不同(配置后即可在NAT表中生成映射關(guān)系).反向NAT只有在TCP連接通過(guò)NAT設(shè)備時(shí)，NAT表中才會(huì)生成映射關(guān)系.③反向NAT服務(wù)器負(fù)載均衡不僅可通過(guò)軟件方式來(lái)實(shí)現(xiàn)，還可通過(guò)硬件方式來(lái)實(shí)現(xiàn).

3.3.1 仿真實(shí)驗(yàn)

利用GNS3思科網(wǎng)絡(luò)仿真平臺(tái)，搭建了一個(gè)由四臺(tái)思科3700路由器R1(模擬公司內(nèi)部資源服務(wù)器A)、R2(模擬公司內(nèi)部資源服務(wù)器B)、R3(公司邊界路由器) 、R4(模擬外網(wǎng)終端計(jì)算機(jī)PC1)和一臺(tái)三層交換機(jī)SW1(主要用于連接公司內(nèi)網(wǎng)服務(wù)器等網(wǎng)絡(luò)設(shè)備)構(gòu)成的小型網(wǎng)絡(luò).網(wǎng)絡(luò)拓?fù)浼跋嚓P(guān)設(shè)備IP地址如圖10所示.為提高外網(wǎng)用戶對(duì)公司內(nèi)網(wǎng)資源服務(wù)器的訪問(wèn)質(zhì)量，解決服務(wù)器訪問(wèn)量過(guò)大、網(wǎng)絡(luò)負(fù)荷過(guò)重的問(wèn)題，也為最大限度地提高內(nèi)網(wǎng)資源服務(wù)器的安全性，制定了在公司邊界路由器R3中應(yīng)用反向NAT技術(shù)，從而實(shí)現(xiàn)兩臺(tái)內(nèi)網(wǎng)資源服務(wù)器流量負(fù)載均衡的方案，即兩臺(tái)資源服務(wù)器A、B在邏輯上組成一臺(tái)虛擬服務(wù)器，該虛擬服務(wù)器IP地址即為公司對(duì)外發(fā)布的資源服務(wù)器地址.當(dāng)外網(wǎng)用戶首次對(duì)公司資源服務(wù)器進(jìn)行訪問(wèn)時(shí)，路由器R3會(huì)將數(shù)據(jù)包的目的地址(虛擬服務(wù)器IP地址)轉(zhuǎn)換為公司內(nèi)部資源服務(wù)器A的IP地址.當(dāng)外網(wǎng)用戶再次對(duì)公司資源服務(wù)器進(jìn)行訪問(wèn)時(shí)，路由器R3則會(huì)將數(shù)據(jù)包的目的地址轉(zhuǎn)換為公司內(nèi)部資源服務(wù)器B的IP地址，依次循環(huán)從而實(shí)現(xiàn)服務(wù)器的負(fù)載均衡.考慮到文章篇幅，在這里只給出路由器R1、R3的詳細(xì)配置過(guò)程，路由器R2、R4的配置過(guò)程與路由器R1類(lèi)似.

圖10 網(wǎng)絡(luò)拓?fù)浼跋嚓P(guān)設(shè)備IP地址

3.3.1.1 配置路由器R1

R1(config)#int f3/0

R1(config-if)#ip add 192.168.70.31 255.255.255.0

R1(config)#enable password zzen //設(shè)置用戶密碼

R1(config)#line vty 0 4 //設(shè)置VTY口令

R1(config-line)#login

R1(config-line)#password chenboo

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.70.1 //設(shè)置默認(rèn)路由

3.3.1.2 配置路由器R3

R3(config)#int f0/0

R3(config-if)#ip add 192.168.70.1 255.255.255.0

R3(config-if)#ip nat inside //設(shè)置NAT內(nèi)部接口

R3(config)#int e1/0

R3(config-if)#ip add 211.67.200.1 255.255.255.0

R3(config-if)#ip nat outside //設(shè)置NAT外部接口

R3(config)#access-list 16 permit host 211.67.200.32 //建立編號(hào)為16的標(biāo)準(zhǔn)訪問(wèn)控制列表，定義需要轉(zhuǎn)換的目標(biāo)地址為虛擬服務(wù)器地址

R3(config)#ip nat pool fwq 192.168.70.31 192.168.70.32 prefix-length 24 type rotary //建立名為fwq的公司內(nèi)部目標(biāo)NAT地址池，并將該地址池設(shè)置為循環(huán)模式

R3(config)#ip nat inside destination list 16 pool fwq //當(dāng)目標(biāo)地址與編號(hào)為16的訪問(wèn)控制列表相匹配時(shí)，轉(zhuǎn)換目標(biāo)地址為地址池中的IP地址.

上述配置完成后，我們以外網(wǎng)終端計(jì)算機(jī)PC1為例，首先使用Telnet命令分兩次遠(yuǎn)程訪問(wèn)公司虛擬服務(wù)器(IP地址為：211.67.200.32/24) ，以查看公司內(nèi)網(wǎng)資源服務(wù)器A、B之間是否實(shí)現(xiàn)流量負(fù)載均衡.其次，使用Show ip nat trans命令，查看路由器R3的NAT表.

1) 使用Telnet命令進(jìn)行首次測(cè)試

R4#telnet 211.67.200.32

Trying 211.67.200.32 ... Open

User Access Verification

Password:

R1>exit //成功登錄路由器R1

[Connection to 211.67.200.32 closed by foreign host]

2) 使用TELNET命令進(jìn)行再次測(cè)試

R4#telnet 211.67.200.32

Trying 211.67.200.32 ... Open

User Access Verification

Password:

R2>exit //成功登錄路由器R2

[Connection to 211.67.200.32 closed by foreign host]

3)路由器R3的NAT表

R3#show ip nat tran

Pro Inside global Inside local Outside local Outside global

tcp 211.67.200.32:23 192.168.70.31:23 211.67.200.3:42343 211.67.200.3:42343

tcp 211.67.200.32:23 192.168.70.32:23 211.67.200.3:27012 211.67.200.3:27012

通過(guò)上述測(cè)試可以得出以下結(jié)論：在路由器R3中應(yīng)用反向NAT技術(shù)后，成功實(shí)現(xiàn)了公司內(nèi)網(wǎng)資源服務(wù)器流量負(fù)載均衡，即當(dāng)外網(wǎng)終端計(jì)算機(jī)PC1首次遠(yuǎn)程訪問(wèn)公司虛擬服務(wù)器時(shí)，由路由器R1負(fù)責(zé)響應(yīng)PC1的訪問(wèn)請(qǐng)求(此時(shí)從路由器R3的NAT表中可以看到，存在一條協(xié)議類(lèi)型為“tcp”，內(nèi)部全局地址為虛擬服務(wù)器IP地址，內(nèi)部本地地址為路由器R1地址的NAT地址轉(zhuǎn)換條目).當(dāng)其再次遠(yuǎn)程訪問(wèn)公司虛擬服務(wù)器時(shí)，則由路由器R2負(fù)責(zé)響應(yīng)PC1的訪問(wèn)請(qǐng)求(此時(shí)從路由器R3的NAT表中可以看到，存在一條協(xié)議類(lèi)型為“tcp”，內(nèi)部全局地址為虛擬服務(wù)器IP地址，內(nèi)部本地地址為路由器R2地址的NAT地址轉(zhuǎn)換條目).

4 結(jié)語(yǔ)

現(xiàn)今NAT技術(shù)在實(shí)踐中已廣泛應(yīng)用，它不僅可以解決IPv4地址不足的問(wèn)題，而且還可以使網(wǎng)絡(luò)設(shè)計(jì)更為靈活便捷，有效減少配置過(guò)程.但是NAT技術(shù)也并非完美，例如NAT設(shè)備無(wú)法處理嵌入式的IP或端口、某些P2P程序在NAT后無(wú)法正常工作等不足.因此，網(wǎng)絡(luò)技術(shù)人員在應(yīng)用NAT技術(shù)時(shí)一定要深入細(xì)致地做好前期規(guī)劃.