課程設(shè)計論文計算機網(wǎng)絡(luò)NAT和NAPT原理研究畢業(yè)論文

1、 .計算機網(wǎng)絡(luò)課程設(shè)計論文NAT/NAPT原理研究系 別專 業(yè)班級學(xué)號姓 名指導(dǎo)教師 2010年07月16日10 / 13NAT/NAPT原理研究摘 要隨著計算機技術(shù)的發(fā)展，優(yōu)越來越多的計算機被接入到Internet中，這中情況導(dǎo)致了IP地址資源的短缺。這促使了NAT/NAPT技術(shù)的產(chǎn)生。NAT技術(shù)的產(chǎn)生使得私有網(wǎng)絡(luò)中的多臺計算機可以通過一個或幾個IP地址來訪問外部的Internet網(wǎng)絡(luò)。NAT將自動修改IP報文的源IP地址和目的IP地址，IP地址校驗則在NAT處理過程中自動完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報文的數(shù)據(jù)部分中，所以還需要同時對報文進行修改，以匹配IP頭中已經(jīng)修改過的源IP

2、地址。NAT技術(shù)有基本的四種實現(xiàn)類型：靜態(tài)NAT，動態(tài)NAT，靜態(tài)NAPT，動態(tài)NAPT。其中經(jīng)常使用的是第一種實現(xiàn)類型和第四種實現(xiàn)類型。在Cisco packet tracer 模擬器中實現(xiàn)對于NAT/NAPT技術(shù)的模擬，更深一部認(rèn)識NAT/NAPT的工作原理和實現(xiàn)方法。關(guān)鍵詞：NAT、NAPT、IP地址轉(zhuǎn)換。       1緒論1.1 NAT/NAPT概述當(dāng)IPV4中的網(wǎng)絡(luò)地址的耗盡，IPV6的推行又受到很多實際因素的限制。NAT/NAPT技術(shù)就成了一個選擇。NAT的英文全稱是Network Address Transl

3、ation，屬接入廣域網(wǎng)技術(shù),是一種將私有地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT是一個IETF標(biāo)準(zhǔn)。NAPT（Network Address Port Translation），即網(wǎng)絡(luò)端口地址轉(zhuǎn)換，就是將多個部地址映射為一個合法公網(wǎng)地址，但以不同的協(xié)議端口號與不同的部地址相對應(yīng)。也就是<部地址+部端口>與<外部地址+外部端口>之間的轉(zhuǎn)換。NAPT普遍用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)隱藏在一個合法的IP地址后面。NAPT也稱"多對一"的NAT,PAT,NPAT,地址超載。NAT/N

4、APT都是以網(wǎng)絡(luò)地址的轉(zhuǎn)換為基礎(chǔ)，將部網(wǎng)絡(luò)的私有地址轉(zhuǎn)換為外部網(wǎng)絡(luò)的公用地址。這樣我們就可以將部的多臺設(shè)備通過一個外部的IP地址來訪問外部的網(wǎng)絡(luò)，也可以來發(fā)布自己的消息。部設(shè)備在和外部通信的時候，地址的轉(zhuǎn)換可以用軟件實現(xiàn)也可以在路由器中實現(xiàn)，由于用軟件實現(xiàn)較貴，故一般都在路由器中實現(xiàn)網(wǎng)絡(luò)地址的轉(zhuǎn)換。1.2論文構(gòu)成與研究容論文一共分為五部分，第一部分為緒論；第二部分闡述了NAT/NAPT的基本原理以與意義；第三部分為NAT/NAPT的仿真實現(xiàn)和網(wǎng)絡(luò)地址轉(zhuǎn)換的實際應(yīng)用；第四部分對整篇文章進行了歸納和總結(jié)。以上四部分都是圍繞著NAT/NAPT的原理以與實驗仿真進行的。2 NAT/NAPT的基本原理2

5、.1 NAT/NAPT原理NAT/NAPT設(shè)計的最初目的是為了增加私有組織機構(gòu)的可用地址空間，也為了解決網(wǎng)絡(luò)地址資源的匱乏，解決TCP/IP連接到互聯(lián)網(wǎng)上的問題。NAT/NAPT原理是將部的地址轉(zhuǎn)換為公網(wǎng)的合法的IP地址，從而達(dá)到一個組織機構(gòu)以極少的IP地址訪問公網(wǎng)的目的。NAT/NAPT原理如下圖（1）所示：內(nèi)部網(wǎng)絡(luò)NAT合法IP地址 翻譯Internet或外部合法網(wǎng)絡(luò)圖（1） NAT/NAPT原理NAT/NAPT是在局域網(wǎng)部網(wǎng)絡(luò)中使用部地址，而當(dāng)部設(shè)備要與外部網(wǎng)絡(luò)進行通訊時，就在網(wǎng)關(guān)處將部地址替換成公用地址，從而在外部公網(wǎng)上正常使用，NAT可以使多臺計算機共享Internet連接，這一功能

6、很好地解決了公共 IP地址緊缺的問題。通過這種方法，可以只申請一個合法IP地址，就把整個局域網(wǎng)中的計算機接入Internet中。 NAT可以動態(tài)改變通過路由器的IP報文的容，使源目的地址的IP和目的地址的IP不同，從而達(dá)到網(wǎng)絡(luò)地址轉(zhuǎn)換的目的。安全方面，NAT在一定程度上屏蔽了部網(wǎng)絡(luò)，所有部網(wǎng)絡(luò)設(shè)備對于公共網(wǎng)絡(luò)來說是不可見的，而部網(wǎng)絡(luò)計算機用戶通常不會意識到NAT的存在。部網(wǎng)絡(luò)的私有地址為規(guī)定為：10.0.0.0-10.255.255.255和172.16.0.0-172.16.255.255，以與 192.168.0.0-192.168.255.255。NAT將這些無法在互聯(lián)網(wǎng)上使用的保留IP

7、地址翻譯成可以在互聯(lián)網(wǎng)上使用的合法IP地址。外部合法的是全球唯一的IP地址。NAT/NAPT功能通常在路由器中實現(xiàn)。2.2 NAT/NAPT的現(xiàn)狀與意義由于IP地址已經(jīng)成為中國的互聯(lián)網(wǎng)和通信行業(yè)發(fā)展的瓶頸。IPV4中IP地址的短缺，而IPV6中IP地址在國推行又受到了很多因素的制約，IP網(wǎng)中實時業(yè)務(wù)的開放，特別是實時對稱業(yè)務(wù)的永遠(yuǎn)"在線"要求，更使得IP地址問題雪上加霜。所以NAT/NAPT的技術(shù)也有很多的應(yīng)用。NAT/NAPT技術(shù)的應(yīng)用可以提高現(xiàn)有的IP地址的利用率，部網(wǎng)絡(luò)私有地址可以UDP上采用不同的端口號進行網(wǎng)絡(luò)地址的轉(zhuǎn)換來實現(xiàn)NAT/NAPT技術(shù)。3NAT/NAPT

8、的仿真實現(xiàn)與應(yīng)用3.1 NAT/NAPT的仿真實現(xiàn)3.1.1NAT的類型NAT分三種類型，即靜態(tài)轉(zhuǎn)換（Static Nat）、動態(tài)轉(zhuǎn)換（Dynamic Nat）和 端口多路復(fù)用（OverLoad）。 靜態(tài)轉(zhuǎn)換是指將部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。 動態(tài)轉(zhuǎn)換是指將部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些部

9、地址可以進行轉(zhuǎn)換，以與用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。 端口多路復(fù)用(Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，Port Address Translation).采用端口多路復(fù)用方式。部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡(luò)部的所有主機，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最

10、多的就是端口多路復(fù)用方式。3.1.2 NAT、NAPT的聯(lián)系與區(qū)別由于NAT實現(xiàn)是私有IP和NAT的公共IP之間的轉(zhuǎn)換，那么，私有網(wǎng)中同時與公共網(wǎng)進行通信的主機數(shù)量就受到NAT的公共IP地址數(shù)量的限制。為了克服這種限制，NAT被進一步擴展到在進行IP地址轉(zhuǎn)換的同時進行Port的轉(zhuǎn)換，這就是網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）技術(shù)。   NAPT與NAT的區(qū)別在于，NAPT不僅轉(zhuǎn)換IP包中的IP地址，還對IP包中TCP和UDP的Port進行轉(zhuǎn)換。這使得多臺私有網(wǎng)主機利用1個NAT公共IP就可以同時和公共網(wǎng)進行通

11、信。3.2 Packet Tracer中的NAT/NAPT仿真3.2.1Packet Tracer軟件的認(rèn)識Packet Tracer軟件是Cisco公司提供給CCNA考試的一款模擬軟件，該軟件并不提供所有的仿真實驗，所以只能提供一些簡單的仿真實驗。在本次仿真中，使用了Packet Tracer軟件來進行NAT的仿真實驗。軟件的界面如下圖（2）所示： 圖（2） Packet Tracer界面 Packet Tracer軟件中在本次的仿真中經(jīng)常使用的為工作區(qū)，網(wǎng)絡(luò)設(shè)備選擇區(qū)域以與具體網(wǎng)絡(luò)設(shè)備選擇區(qū)域。3.2.2NAT/NAPT仿真過程（1）在Packet Tracer中實現(xiàn)拓?fù)鋱D。確定仿真所用的

12、拓?fù)鋱D，如下圖（3）所示：圖（3） NAT/NAPT拓?fù)鋱D（2）主要配置過程如下：第一步，配置所需的拓?fù)鋱D。配置拓?fù)鋱D的時候應(yīng)注意路由器的型號的選擇，記住在連接路由器的時候連接的端口號這樣在以后的配置中配置起來比較方便，不用再從新看是哪個端口連接交換機和計算機，哪個串口連接另一個路由的串口。計算機和交換機之間是直連線，交換機和路由器之間也是直連線，計算機和路由器之間是雙絞線，路由器和路由器之間是DCE線，注意路由器通常是DTE然后DCE再DTE的方式連接，且注意路由器時鐘頻率的配置。第二步，配置各個計算機的IP地址，配置各個路由器接口的IP地址。注意有三個段是規(guī)定的私有地址，不要將其配置成公有

13、地址。配置IP地址時可以通過設(shè)備中的窗口直接配置，也可以通過指令進行配置，下面以Router 0的fastethernet0/0端口為例說明，具體指令如下：Int fa 0/0 /進入0/0端口Ip add 192.168.0.1 255.255.255.0No shut /開啟端口配置好的各個設(shè)備的IP地址具體如下圖（4）所示：圖（4） 拓?fù)鋱D各設(shè)備的IP地址第三步，配置部端口，以router0的fastetnernet0/0端口為例進行說明，具體的指令如下:Int fa 0/0 /進入0/0端口Ip add 192.168.0.1 255.255.255.0Ip nat inside /將

14、其設(shè)為部端口第四步，配置外部端口，以router0的串口serial0/0端口為例進行說明，具體的指令如下:Int s 2/0 /進入2/0端口Ip add 200.0.1.1 255.255.255.0Ip nat outside /將其設(shè)為外部端口第五步，配置在部本地與外部合法地址之間建立靜態(tài)地址轉(zhuǎn)換或是進行地址池的建立進行網(wǎng)絡(luò)地址的復(fù)用。建立靜態(tài)地址的轉(zhuǎn)換的具體指令如下圖（5）所示：圖（5） 靜態(tài)地址轉(zhuǎn)換指令至此，建立了部私有地址192.168.0.2和外部公有地址200.0.1.3之間的靜態(tài)地址轉(zhuǎn)換。下面我們進行查看，看我們是否建立了二個IP地址之間的靜態(tài)地址轉(zhuǎn)換，查看的結(jié)果是已經(jīng)成功

15、的建立了轉(zhuǎn)換，如下圖（6）所示：圖（6） 靜態(tài)地址轉(zhuǎn)換第六步，我們進行測試一下，看我們建立的地址轉(zhuǎn)換是否成功。利用Ping命令和在客戶機端的瀏覽器中進行查看，Ping命令如下圖（7）所示：圖（7） Ping進行測試客戶機端的瀏覽器進行測試如下圖（8）所示：圖（8） 瀏覽器測試最終，我們通過五步配置，并進行測試，保證了靜態(tài)地址轉(zhuǎn)換的配置成功。3.3 端口復(fù)用動態(tài)地址轉(zhuǎn)換端口復(fù)用動態(tài)地址轉(zhuǎn)換的前四步和靜態(tài)地址轉(zhuǎn)換是一樣的，從第五步開始，端口復(fù)用動態(tài)地址轉(zhuǎn)換是通過定義地址池和部的地址列表來訪問外部網(wǎng)絡(luò)的。定義合法IP地址池。 ip nat pool youli 200.0.2.2 200.0.2.3

16、 netmask 255.255.255.0定義部訪問列。 access-list 1 permit 200.0.2.0 0.255.255.255.0允許訪問Internet的網(wǎng)段為200.0.2.0200.0.2.255，子網(wǎng)掩碼為255.255.255.0。需要注意的是，在這里子網(wǎng)掩碼的順序跟平常所寫的順序相反，即0.255.255.255。設(shè)置復(fù)用動態(tài)地址轉(zhuǎn)換。 在全局設(shè)置模式下，設(shè)置在部的本地地址與部合法IP地址間建立復(fù)用動態(tài)地址轉(zhuǎn)換。命令語法如下： ip nat inside source list訪問列表號pool部合法地址池名字overload 至此，端口復(fù)用動態(tài)地址轉(zhuǎn)換完成。4 NAT/NAPT原理研究的總結(jié)NAT/NAPT能解決IPV4地址空間不足的問題。它解決問題的辦法是：在部網(wǎng)絡(luò)中使用部地址，通過NAT把部地址翻譯成合法的IP地址，在Internet上使用。其具體的做法是把IP包的地址域用合法的IP地址來替換。 地址轉(zhuǎn)換功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設(shè)備中。但是由于單獨實現(xiàn)這一轉(zhuǎn)換叫困難，我們一般在路由器中實現(xiàn)。除非網(wǎng)絡(luò)中有很多的大型主機實現(xiàn)起來比較慢，否則一般都是通過路由器實現(xiàn)。 在安全方面NAT并不是一種有安全保證的方案，它只是簡單的把部的私有地址轉(zhuǎn)換為外部的公有地址。這樣黑客很容易通過轉(zhuǎn)換規(guī)則通過路由表來竊取資料。這