李 剛,刁成海

(朝陽師范高等專科學(xué)校 信息技術(shù)中心,遼寧 朝陽 122000)

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和普及,各大高校為廣大師生提供了海量的數(shù)字資源,助力本校的科研和創(chuàng)新,然而,內(nèi)網(wǎng)用戶的HTTP數(shù)據(jù)請求經(jīng)常會(huì)出現(xiàn)經(jīng)過邊界防火墻時(shí)耗費(fèi)大量路由代價(jià)又重新返回邊界防火墻造成目標(biāo)地址不一致,數(shù)據(jù)請求直接被丟棄的情況,從而無法通過域名或公網(wǎng)IP訪問內(nèi)網(wǎng)資源[1-2].本文重點(diǎn)討論NAT 靜態(tài)回流技術(shù)的原理以及通過在校園網(wǎng)絡(luò)邊界防火墻上挖掘并開啟NAT 回流功能,解決校內(nèi)用戶無法像校外用戶一樣通過域名或公網(wǎng)IP訪問獲取校內(nèi)數(shù)字資源的問題,提升校園內(nèi)網(wǎng)用戶訪問本校數(shù)字資源的體驗(yàn).

1 NAT靜態(tài)回流技術(shù)

1.1 NAT 回流拓?fù)?/h3>

典型的NAT 回流拓?fù)浣Y(jié)構(gòu)如圖1所示,啟用NAT 功能的防火墻部署在校園網(wǎng)和互聯(lián)網(wǎng)的邊界處.

拓?fù)湔f明:

Client1為內(nèi)網(wǎng)用戶,IP地址配置為:10.10.50.40/24.

Server1為內(nèi)網(wǎng)服務(wù)器,IP地址配置為:10.10.50.41/24,為校內(nèi)和校外用戶提HTTP服務(wù).

ge0/0配置為內(nèi)網(wǎng)用戶和服務(wù)器出口(Trust區(qū)),網(wǎng)關(guān)IP地址為:172.172.2.253/24.

Client2模擬外網(wǎng)用戶,IP地址配置為:192.168.2.81/16.

ge0/1模擬公網(wǎng)網(wǎng)口(Untrust區(qū)),公網(wǎng)IP配置為:218.90.16.252.

1.2 NAT 回流技術(shù)原理

未配置NAT 回流功能數(shù)據(jù)包請求響應(yīng)過程如圖2所示,整個(gè)過程導(dǎo)致了客戶端請求的目標(biāo)地址為公網(wǎng)地址:218.90.16.252,而Web服務(wù)器響應(yīng)請求的源地址為:10.10.50.41,致使本次會(huì)話直接中斷,數(shù)據(jù)包被丟棄.

配置NAT 回流功能數(shù)據(jù)包請求響應(yīng)過程如圖3所示,整個(gè)過程數(shù)據(jù)包到達(dá)防火墻后,防火墻進(jìn)行DNAT 轉(zhuǎn)換,此時(shí)數(shù)據(jù)包的源地址為:218.90.16.252,目標(biāo)地址:10.10.50.40,數(shù)據(jù)包到達(dá)客戶端后,客戶端發(fā)現(xiàn)數(shù)據(jù)包源地址為自己目標(biāo)地址,最終數(shù)據(jù)交互完成.

2 NAT靜態(tài)回流技術(shù)在網(wǎng)絡(luò)中的應(yīng)用

NAT 靜態(tài)回流技術(shù)是NAT 技術(shù)的一個(gè)特殊應(yīng)用,所以要實(shí)現(xiàn)NAT 回流功能,必須先通過防火墻的NAT 技術(shù)實(shí)現(xiàn)正常的源NAT 和目的NAT 功能,然后在此基礎(chǔ)上進(jìn)行NAT 回流配置[3-4].本文以神州數(shù)碼DCFW-1800防火墻為例,對NAT 靜態(tài)回流技術(shù)在網(wǎng)絡(luò)中應(yīng)用的關(guān)鍵步驟進(jìn)行介紹:

配置NAT 回流的具體方法:

(1)配置防火墻公網(wǎng)地址,并設(shè)置區(qū)域?yàn)閁ntrust.

(2)設(shè)置防火墻內(nèi)網(wǎng)口地址,并設(shè)置區(qū)域?yàn)門rust.

(3)設(shè)置防火墻安全策略.

(4)設(shè)置目的NAT.

(5)設(shè)置源NAT.

(6)設(shè)置NAT 回流.

3 配置NAT回流實(shí)例

3.1 朝陽師范高等專科學(xué)校網(wǎng)絡(luò)環(huán)境簡介

朝陽師范高等?？茖W(xué)校校園網(wǎng)采用大三層架構(gòu),為全校師生的教學(xué)、科研、學(xué)習(xí)和生活提供安全、可靠、高效的網(wǎng)絡(luò)運(yùn)行環(huán)境.同時(shí),根據(jù)該校不同部門的需求,通過邊界防火墻為不同服務(wù)器及不同端口進(jìn)行相應(yīng)的地址及端口映射.在做NAT 回流之前,為了方便內(nèi)網(wǎng)用戶使用域名或公網(wǎng)IP地址訪問該校門戶網(wǎng)站,在內(nèi)網(wǎng)部署1臺DNS域名解析服務(wù)器,由于部署的域名解析服務(wù)器性能一般、解析迭代速度慢,用戶普遍反映上網(wǎng)體驗(yàn)差.

3.2 配置實(shí)例

該校門戶網(wǎng)站NAT 回流功能具體配置如下(其他非關(guān)鍵信息省略):

NAT 回流關(guān)鍵配置:

經(jīng)過在朝陽師范高等?？茖W(xué)校校園網(wǎng)邊界防火墻上實(shí)施NAT 回流功能,提升了內(nèi)網(wǎng)用戶使用PC端和移動(dòng)端通過域名或公網(wǎng)IP訪問校內(nèi)網(wǎng)站或內(nèi)網(wǎng)資源的效率,網(wǎng)絡(luò)訪問更快捷、管理更規(guī)范,用戶體驗(yàn)更流暢.

4 結(jié)語

通過挖掘NAT 地址轉(zhuǎn)換的功能,使用NAT 回流技術(shù)不但有效地解決了校園網(wǎng)內(nèi)網(wǎng)用戶通過公網(wǎng)IP地址或域名直接訪問校園門戶網(wǎng)站和內(nèi)網(wǎng)各大資源平臺時(shí)出現(xiàn)的響應(yīng)不及時(shí)、效率低等問題,同時(shí)提升了內(nèi)網(wǎng)資源的安全性和校內(nèi)用戶的上網(wǎng)體驗(yàn).隨著高校信息化進(jìn)程的不斷推進(jìn),此種技術(shù)必將得到更加廣泛的應(yīng)用.