NAT方式

NAT方式（精选7篇）

NAT方式 篇1

摘要：由于互联网用户的迅猛发展, IP地址越来越不够用, 网络地址转换 (NAT) 的出现解决了这一问题。本文通过实例着重阐述了NAT的三种网络地址转换方式及地址的转换过程。

关键词：NAT,静态转换,动态转换,端口多路复用

由于互联网用户的迅猛发展, IP地址越来越不够用, 怎么办呢?网络地址转换 (NAT) 的出现解决了这一问题。NAT提供了局域网共享上网的简单方案, 内部网络用户连接互联网时, NAT将用户的内部IP地址转换成一个外部公共IP地址, 反之, 数据从外部返回时, NAT反向将目标地址替换成初始的内部用户的地址。简言之, NAT的作用就是把内网的私有地址, 转化成外网的公有地址, 使得内部网络上的 (被设置为私有IP地址的) 主机可以访问Internet。

那么NAT有哪些方式可以实现网络地址的转换呢?怎么实现?

在配置网络地址转换的过程之前, 首先必须搞清楚内部接口和外部接口, 以及在哪个外部接口上启用NAT。通常情况下, 连接到用户内部网络的接口是NAT内部接口, 而连接到外部网络 (如Interne t) 的接口是NAT外部接口。NAT的实现方式有三种, 即静态转换Static Nat、动态转换Dynam ic Nat和端口多路复用Ove r Load。

(1) 静态转换是指将内部网络的私有IP地址转换为公有IP地址时, IP地址是一对一的, 是一成不变的, 某个私有IP地址只转换为某个公有IP地址。借助于静态转换, 可以实现外部网络对内部网络中某些特定设备 (如服务器) 的访问。

实例分析:

假设内部局域网使用的l P地址段为192.168.0.1——192.168.0.254, 路由器局域网端 (即默认网关) 的IP地址为192.168.0.1, 子网掩码为255.255.255.0。网络分配的合法IP地址范围为66.158.68.128——66.158.68.135, 路由器在广域网中的IP地址为66.158.68.129, 子网掩码为255.255.255.248可用于转换的IP地址范围为66.158.68.130——66.158.68.134。要求将内部网址192.168.0.2——192.168.0.6分别转换为合法IP地址66.158.68.130——66.158.68.134。

第一步, 设置外部端口。

inte rface serial 0

ip address 66.158.68.129 255.255.255.248

ip nat outs ide

第二步, 设置内部端口。

interface ethernet 0

ip address 192.168.0.1 255.255.255.0

ip nat ins ide

第三步, 在内部本地与外部合法地址之间建立静态地址转换。

ip nat ins ide s ource s tatic内部本地地址内部合法地址。

示例:

ip nat ins ide s ource s tatic 192.168.0.2 66.158.68.130 (将内部网络地址192.168.0.2转换为合法IP地址66.158.68.130)

同理可将内部网络地址192.168.0.3转换为合法IP地址66.158.68.131;192.168.0.4转换为合法IP地址66.158.68.132;……;192.168.0.6转换为合法IP地址66.158.68.134

这样, 静态地址转换配置就完成了。

(2) 动态转换是指将内部网络的私有IP地址转换为公用IP地址时, IP地址是不确定的, 是随机的, 所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说, 只要指定哪些内部地址可以进行转换, 以及用哪些合法地址作为外部地址时, 就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

实例分析:

假设内部网络使用的IP地址段为188.18.100.1——188.18.100.254, 路由器局域网端口 (即默认网关) 的IP地址为188.18.100.1, 子网掩码为255.255.255.0。网络分配的合法IP地址范围为66.158.68.128——66.158.68.191, 路由器在广域网中的IP地址为66.158.68.129, 子网掩码为255.255.255.192, 可用于转换的IP地址范围为66.158.68.130——66.158.68.190。要求将内部网址188.18.100.1——188.18.100.254动态转换为合法IP地址66.158.68.130——66.158.68.190。

第一步, 设置外部端口。

命令语法如下:

ip nat outs ide

如:interface serial 0 (进入串行端口serial 0)

ip addre s s 66.158.68.129 255.255.255.192 (将其IP地址指定为66.158.68.129, 子网掩码为255.255.255.192)

ip nat outside (将串行口s e rial 0设置为外网端口)

注意, 可以定义多个外部端口。

第二步, 设置内部端口。

命令语法如下:

ip nat ins ide

如:interface ethernet 0 (进入以太网端口Ethernet 0)

ip address 188.18.100.1 255.255.255.0 (将其IP地址指定为188.18.100.1, 子网掩码为255.255.255.0)

ip nat inside (将Ethe rnet 0设置为内网端口。)

注意, 可以定义多个内部端口。

第三步, 定义合法IP地址池。

命令语法如下:

ip nat pool地址池名称起始IP地址终止IP地址子网掩码

其中, 地址池名字可以任意设定。

如:ip nat pool chinanet 66.158.68.130 66.158.68.190 netm as k 255.255.255.192 (指明地址缓冲池的名称为chinane t, IP地址范围为66.158.68.130——66.158.68.190, 子网掩码为255.255.255.192) 。需要注意的是, 即使掩码为255.255.255.0, 也会由起始IP地址和终止IP地址对IP地址池进行限制。

注意, 如果有多个合法IP地址范围, 可以分别添加。例如, 如果还有一段合法IP地址范围为"211.82.216.1——211.82.216.254", 那么, 可以再通过下述命令将其添加至缓冲池中。

第四步, 定义内部网络中允许访问Internet的访问列表。

命令语法如下:

acce s s-lis t标号permit源地址通配符 (其中, 标号为1——99之间的整数)

acce s s-list 1 permit 188.18.100.0 0.0.0.255 (允许访问Inte rne t的网段为188.18.100.0——188.18.100.255, 反掩码为0.0.0.255) 。需要注意的是, 在这里采用的是反掩码, 而非子网掩码。反掩码与子网掩码的关系为:反掩码+子网掩码=255.255.255.255。例如, 子网掩码为255.255.0.0, 则反掩码为0.0.255.255。

另外, 如果想将多个IP地址段转换为合法IP地址, 可以添加多个访问列表。例如, 当欲将188.18.98.0——188.18.98.255和188.18.99.0——188.18.99.255转换为合法IP地址时, 应当添加下述命令:

第五步, 实现网络地址转换。

在全局设置模式下, 将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。命令语法如下:

ip nat ins ide s ource lis t访问列表标号pool内部合法地址池名字

如果有多个内部访问列表, 可以一一添加, 以实现网络地址转换, 如

如果有多个地址池, 也可以一一添加, 以增加合法地址池范围, 如

这样, 动态地址转换设置就完成了。

(3) 端口多路复用 (Port address Translation, PAT) 是指改变外出数据包的源端口并进行端口转换, 即端口地址转换 (PAT, Port Addre s s Trans lation) 。采用端口多路复用方式, 内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问, 从而可以最大限度地节约IP地址资源。同时, 又可隐藏网络内部的所有主机, 有效避免来自internet的攻击。因此, 目前网络中应用最多的就是端口多路复用方式。

实例分析:

假设内部网络使用的IP地址段为8.108.108.1——8.108.108.254, 路由器局域网端口 (即默认网关) 的IP地址为8.108.108.1, 子网掩码为255.255.255.0。网络分配的合法IP地址范围为208.88.168.0——208.88.168.3, 路由器广域网中的IP地址为208.88.168.1, 子网掩码为255.255.255.252, 可用于转换的IP地址为208.88.168.2。要求将内部网址8.108.108.1——8.108.108.254转换为合法IP地址208.88.168.2。

第一步, 设置外部端口。

ip nat outs ide

第二步, 设置内部端口。

ip nat ins ide

第三步, 定义合法IP地址池。

ip nat pool onlyone 208.88.168.2 208.88.168.2 ne tmask255.255.255.252 (指明地址缓冲池的名称为onlyone, IP地址范围为208.88.168.2, 子网掩码为255.255.255.252。由于本例只有一个IP地址可用, 所以, 起始IP地址与终止IP地址均为208.88.168.2。如果有多个IP地址, 则应当分别键入起止的IP地址。)

第四步, 定义内部访问列。

acce s s-lis t 1 pe rm it 8.108.108.0 0.0.0.255 (允许访问Inte rne tr的网段为8.108.108.0——8.108.108.255, 子网掩码为255.255.255.0。需要注意的是, 在这里子网掩码的顺序跟平常所写的顺序相反, 即0.255.255.255。)

第五步, 设置复用动态地址转换。

在全局设置模式下, 设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。命令语法如下:

ip nat ins ide s ource lis t访问列表号pool内部合法地址池名字overload

如:ip nat inside source list1 pool onlyone overload (以端口复用方式, 将访问列表1中的私有IP地址转换为onlyone IP地址池中定义的合法IP地址。)

注意:overload是复用动态地址转换的关键词。

这样, 端口复用动态地址转换配置就完成了。

当然, NAT不只解决IP地址不足的问题, 它还有更多的应用, 如实现负载均衡、针对UDP的穿透等等, 这里就不再说了。

参考文献

[1]思科网络技术学院教程.Allan Reid著.人民邮电出版社 (2008-02出版) .

NAT方式 篇2

合肥铁通互联网业务主要以固网宽带方式提供互联网接入服务。截止2008年12月用户数为21000户,占当地固网宽带互联网市场份额约为10%。

合肥铁通城域互联网业务出口前期主要经安徽铁通省干互联网通过中国铁通互联网(CRNET)骨干网疏通。中国铁通骨干网在广州、上海、北京三地与中国电信互联网(CHINANET)、中国联通互联网(UNICOMNET)实现动态BGP互联。

此种互联方式在工信部(原信产部)不对称的结算政策和互联网内容基本在主导运营商电信、联通网内的大前提下,形成合肥铁通每月每用户仅支付给固网主导运营商流量费用高达30元。使得合肥铁通互联网业务运营处于亏损状态,且用户愈多亏损愈大。

严峻的成本状况迫使合肥铁通采用集团用户常用的NAT(Network Address Translator网络地址转换)技术,以求较低成本在本地经过第三方直接与固网主导运营商电信、联通的网络互联。此种互联方式成本约为动态BGP互联的30%,使得合肥铁通企业效益经营目标得以实现。

2 使用NAT的可行方案及比选

NAT(网络地址转换)是改变IP报文中的源或目的地址的一种处理方式。

NAT技术为了解决Internet上合法的IP地址--公网地址空间匮乏的问题,产生的一种最常用能够进行地址复用的技术。

2.1 NAT基本工作方式

NAT基本工作方式有以下三种:

1)NAT方式

在出方向上只转换IP报文头中的源IP地址,而不对端口进行转换。在私有网络地址和外部公网网络地址之间建立一对一映射,实现比较简单

2)PAT方式

PAT(Port Address Translation)方式的地址转换利用了TCP/UDP协议的端口号,进行地址转换。PAT方式的地址转换是采用了“地址+端口”的映射方式,因此可以使内部局域网的许多主机共享一个IP地址访问Internet。在私有网络地址和外部网络地址之间建立多对一映射。

3)NPAT(Nat&Port Address Translation)方式的地址转换也是利用了TCP/UDP协议的端口号,进行地址转换。私网地址和公网地址之间建立了多对多的映射关系。NPAT方式也是采用“地址+端口”的映射关系,因此可以使内部局域网的多个主机共享多个IP地址访问Internet。

上述方式一的NAT方式,未进行地址复用,只适用于一些特定环境要求组网。在2万用户规模的城域互联网网部署一对一映射是不可行的。目前,各大主流数据通信设备供应商也都没有满足如此大的NAT一对一映射应用的设备。

方式二是使用一个公网IP地址,而单个IP地址端口数为65536个,除去常用端口外,都可提供给多个用户使用。但单个用户上网时占用端口数平均为30-40,随着P2P类应用的飞速增长,占用端口数同步快速增长。更有P2P类应用软件修改操作系统默认允许占用端口最大数,更加剧单个用户上网时占用端口数增加。此方式也不能满足合肥铁通组网需求。

因此,在方式三下,为NAT应用建立地址池,给地址池配置一批地址,满足大量的端口需求是唯一可行的方案。

2.2 NAT前提下城域互联网的地址规划

NAT的典型应用是私网地址对公网地址的转换、复用。但如果有足够的公网地址满足城域网用户上网时分配,也可以利用NAT技术实现公网地址对公网地址的转换—即不同运营商之间公网地址的转换。这种公网对公网NAT方式是一种与NAT技术初衷相违背,是一种NAT的非典型应用,但在合肥铁通城域互联网网却有其应用的环境和必要性。

1)合肥铁通作为固网运营商有足够的公网IP地址,目前已核配的IP地址有100个等效C类地址段,合计2560个公网IP地址,甚至可满足每个用户分配一个。

2)铁通城域互联网网出口使用NAT目的是解决至固网主导运营商电信、联通互联费用高昂的问题。经统计这2部分月占出口总流量的70%,尚有30%流量目的是中国铁通网内或经中国铁通骨干网疏通至国际和国内对等免费互联的运营及非运营互联网络,这30%流量可不经NAT直接使用铁通合法公网IP源地址疏通。减少对NAT资源占用及维护。

3)可以灵活针对源地址部署路由策略,细分用户需求,选择性控制分类用户是否参与NAT,并保证其无论是否参与NAT都能实现基本上网业务。

4)对用户访问电信、联通网目的地址,经NAT后业务无法实现问题,可以通过针对目的地址部署路由策略,将这部分流量经铁通骨干网疏通的办法予以解决。此时用户获取的必须是公网IP源地址,采用私网IP源地址则会被骨干公网路由器滤去而无法实现业务。

基于上述原因在合肥铁通城域互联网采用公网地址对公网地址的NAT方式是一种可行的技术方案。

那么,在NPAT方式下,根据不同城域互联网的地址规划方法可以得到3种可行具体实施方案:私网地址;公网地址;公私网地址混合使用。各种方案各有优缺点,从用户满意度、维护成本、单用户成本、部署成本等7个方面对上述3种方案评价结果具体见表1。

通过上表的简单比较,不难得出采用全公网地址规划的NPAT方式的NAT技术方案为综合最佳方案。

3 方案的实施及总结

根据上述技术方案确定使用NAT互联具体实现组网方式见图1。

合肥铁通地市核心路由器采用的华为NE40高端路由器,在此通过部署基于源地址和目的路由策略,同时通过路由组织,根据细分客户后规划好的地址范围,分离为需要NAT和不需要NAT的两部分流量并分别指向铁通骨干网和合肥出口路由器。核心路由器不进行NAT处理。

出口专用路由器采用华为NE80高端路由器,该路由器为第五代全分布式结构,NAT通过为专用NAT板硬件实现,不占用系统CPU和内存资源。在此路由器根据2大固网主导运营商电信、联通的目的地址范围,制作详细的规则。再根据不同规则分别转换成第三方提供的电信、联通业务地址,定向至电信、联通网内。同时必须对合肥铁通城域互联网公网地址提供回程路由。

NAT技术的相关应用 篇3

NAT (Network Address Translation) 网络地址转换。其使用环境通常是两个不同网段的网络, 它们之间需要实现访问, 那么就可以通过NAT进行地址转换实现访问。例如现在普遍使用最多的情况就是内网中有多台主机, 但只能通过一个合法外网IP地址访问外网资源, 使用NAT技术就可以解决。当然如果外网要访问内网中的资源, 也可以通过相应的NAT技术来实现。

NAT的作用主要就是:一就是安全方面, 通过NAT转换后不让外网用户了解掌握到内部网络的结构、地址等情况, 起到防范作用。二就是公网IP地址资源方面, 当内网主机较多时, 如果一台主机一个公网IP就显得浪费, 通过NAT技术可实现多台内网主机共用一个外网IP地址就可以访问INTERNET, 以缓解当前公网IP地址短缺的情况。

2 实现NAT的方法

在路由中实现NAT常见有:静态NAT、动态地址NAT和复用动态 (端口多路复用) 地址转换三种技术方法, 具体要分析网络与使用环境而选择。

2.1 静态NAT

静态NAT是一对一的IP地址转换方式。就是将内网中某一台主机的IP地址转换成外网中某一个固定的IP地址。使用这种方法当多台内网主机要访问外网时, 就要一对一做转换, 需要内网IP地址与外网IP数量相同才能实现。

如图1所示, 静态NAT就是将内网中具体IP地址为192.168.0.1转换成外网中IP地址202.16.100.11, 它们之间是一对一的转换关系。例如, 内网中IP地址为192.168.0.1主机中建立了Web服务器、E-mail服务器、FTP服务器等, 如果这些服务也想对外网用户进行开放, 则就可以通过静态NAT实现, 当外网用户访问202.16.100.11地址时等同于直接访问内网中的主机。

以下就以神州数码DCR-2626按图1中参数列出关键配置, 实现NAT的静态转换。

如果内网是一台WEB服务器, 要实现外网也可以访问内网中的网站, 就需要将上述的一行配置内容换成下列一行就可。

这样配置生效后, 外网用户访问HTTP://202.16.100.11就可以使用内网192.168.0.1主机WEB服务器的资源了。如果内网中还存在多个WEB网站, 但只有一个合法的外网IP地址, 则可以通过改变端口号来处理, 如下配置:

通过上行配置, 可以实现内部网络中其他WEB服务NAT转换。外网用户HTTP://202.16.100.11:8080就可以使用内网192.168.0.2主机WEB服务器的资源了。

2.2 动态NAT

动态NAT是多对多的转换方式, 与静态NAT不同就是具有多个外网IP地址可提供给内网转换。它先将一些可供转换的外网IP组织起来, 也就是建立地址池, 然后当某台内网主机需要访问外网时就从地址池中选择一个还没有被占用的外网IP进行转换, 当内网主机访问完成后就归还该外网IP, 接下来如果有其他内网主机要使用时就可以再次使用此外网IP。这种方法允许合法IP地址数少于主机数。

如图2所示, 当IP地址为192.168.0.22的内网主机要访问外网时, 先从地址池中选择还没有被使用的外网IP地址202.16.100.11, 再通过NAT实现转换。从上述原理中, 其实动态NAT也可以理解成是内网IP地址与合法外网IP地址进行一对一的转换, 但是动态NAT是从地址池中动态地选择一个未使用的地址对内网IP地址进行转换。该方法也可以节省一定的合法IP地址, 所以该方法常常被使用。

以下就以神州数码DCR-2626为例, 以图2的连接实现动态NAT, 列出关键配置。

2.3 复用动态NAT (PNAT)

复用动态NAT又称端口多路复用技术, 也称为PNAT, 可以理解成是一种多对一的转换方式。PNAT技术是通过改变外出数据包的源端口并进行端口转换, 它可将多个内网IP地址映射为一个外网IP地址, 使用不同的端口来区分所对应的各个不同的内网IP地址。这种方法可以实现全部内网主机通过共享一个外网IP地址就可以实现外网资源访问, 大大节省外网IP地址资源, 但此方法有可能引起信道一定拥塞。

如图3所示, 内网192.168.0.0/24网段中, 任何主机如果要访问外网资源, PNAT可以实现都将这些内网IP都转换成202.16.100.11外网IP访问外网资源。

以下就以神州数码DCR-2626为例, 按图3的拓扑, 列出关键配置, 实现PNAT。

3 验证NAT转换

配置好相对应的NAT后, 可以通过下列方法对NAT进行验证:

3.1 查看协议状态

显示出转换后的IP信息, 也就是显示当前的NAT转换统计的情况。不过要注意, 在查看之前请先让内网用户与外网进行通信, 以保证有数据通过而进行转换, 才能正确验证出相关NAT转换有没有正常工作。

3.2 查看当前存在的转换

如果能显示出内网IP与外网IP的转换, 就证明NAT转换成功。

3.3 调试NAT

debug ip nat

通过信息可以看到转换的包信息, 如果可以显示出内网与外网数据包的转换情况, 则证实NAT工作正常。

摘要：分析NAT技术中静态NAT、动态地址NAT和复用动态地址转换三种技术基本知识。利用实际例子分析三种NAT的使用, 并给出具体操作方法。给出验证NAT是否成功的方法。

关键词：NAT,静态NAT,动态NAT,复用动态NAT,验证NAT

参考文献

[1]朱红星.计算机网络管理员 (技师) [M].广州:广东科技出版社, 2011.

[2]蒲卫, 吴豪.网络组建与管理[M].北京:清华大学出版社, 2011.

NAT技术的研究与应用 篇4

随着Internet的迅猛发展,连接到Internet的主机数量呈几何趋势增长。由于最初设计Internet的时候并没有考虑到会发展到如此的规模,所以作为网络中主机唯一身份的IP(Internet Protocol)地址短缺已成为目前Internet发展面临的最大问题之一,为了解决IP地址短缺的问题,人们提出了很多的解决方案,在众多的解决方案中,网络地址转换NAT技术提供了一种完全将私有网和公共网隔离的方法,从而得到了广泛的应用。

NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force,Internet工程任务组)标准,允许一个整体机构以一个公用IP地址出现在Internet上。它是一种把内部私有网络地址进行转换从而超越地址限制,合理地安排融合网络中的公有IP地址和私有IP地址的混合使用[1]。

2 NAT基本原理与类型

2.1 NAT技术的基本原理

NAT技术能帮助解决令人头痛的IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。它解决问题的办法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址在Internet上使用,其具体的做法是把IP包内的地址域用合法的IP地址来替换[2]。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址,发往下一级,这意味着给处理器带来了一定的负担。但对于一般的网络来说,这种负担是微不足道的[3]。

2.2 NAT技术的基本类型

NAT有三种类型:静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT(Port-Level NAT)。其中静态NAT设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,三种NAT方案各利弊。

动态地址NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后,动态地址NAT就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。[5]

网络地址端口转换NAPT(Network Address Port Translation)是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。[6]NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。

在Internet中使用NAPT时,所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过NAPT接入Internet。实际上,许多SOHO远程访问设备支持基于PPP的动态IP地址。这样,ISP甚至不需要支持NAPT,就可以做到多个内部IP地址共用一个外部IP地址上Internet,虽然这样会导致信道的一定拥塞,但考虑到节省的ISP上网费用和易管理的特点,用NAPT还算是比较合理的一个选择。[7]

3 典型NAT配置实例

例如某高校有两个实验楼,每一个实验楼都是一个独立的局域网,为了区分它们,分别称为A楼和B楼,A楼所采用的网络地址为192.168.*.*,B楼所用的IP地址为172.16.*.*～172.31.*.*,ISP为学校提供的IP地址为202.118.212.*/24,现有两台路由器R1和R2,它们的E0口分别连接A楼和B楼的局域网,由于工作的需要,A楼和B楼需要互相访问,并且都能够访问外网。于是,做如下的仿真实验,将它们的S0端口配置为外网IP相互连接。具体如图1所示.

网络设备和主机的网络地址如表1所示:

3.1 静态NAT地址转换

静态内部源地址转换是将一个未注册的,内部的地址(内网地址)转换为全局的唯一的外部地址(公网地址)如图1所示,路由器将把内部源地址192.168.1.2转换为全局唯一的地址202.118.212.12"具体配置如下所示:

3.2 动态NAT地址转换

动态转换是在一组内部本地地址与一个全局地址池之间建立一种映射关系,这种转换在有很多没有注册的主机想访问离线服务时非常有用,动态内部地址转换用一个预定义的地址池动态地将没注册的地址转换为注册过的地址,这种关系是一对一的,当有一外部连接请求时,从池中取出一个地址用,而一旦连接断开,取出的全局地址将重新放入池中,以供其他的连接使用动态转换效率是非常高的,因为一个注册过的地址可以让多个不同的端站点使用多次,相反前面定义的静态转换,只能让一个特定的端站点使用[8],具体配置如下所示:

4 结束语

通过仿真实验可以得到以下经验:配置动态IP地址池不能使用已经使用在接口上的IP,最好选择其它同一网段的IP,配置NAT的原则是让内网可以访问外网,保护内网,所以与内网连接的端口为inside,与外网连接的端口为outside,培植访问控制类表的时候,permit的是内网的IP地址,而非外网的地址,配置静态NAT的时候,是一一映射的关系,即一个公网IP对应一个内网主机,使用此方式需要保证有足够的公网IP地址,配置PAT方式,在应用NAT语句结尾打上OVERLOAD,路由器会立刻开启过载功能,使用端口转发的方式进行内外网址互相转换。

摘要：NAT技术在很大的程度上缓解了网络地址不足的现状,提供了一种将私有网络地址接入公共网络的一种的工程方案,本文在论述NAT的基本原理和实现方法的同时,给出NAT普遍应用的一个实例。

关键词：地址转换,动态池,映射

参考文献

[1]张永平.VPN网络中IPSec穿越NAT的研究[J].计算机应用与软件.2008,(1):22-25.

[2]ARIHUTTUMEN.UDP encapsulate of IPsec packets[Z].Internet draft,draft-ietf-ipsec-udp-encaps txt.2001

[3]祝芝梅.支持NAT的VPN网关的研究与实现[D]华中科技大学,2004

[4]何永龙,林浒,雷为民.一种SIP NAT应用网关的设计与实现[J]小型微型计算机系统,2002,(8):142-148.

[5]王华伟.图书馆计算机网络的NAT解决方案[J].现代图书情报技术,2001,(5):135-138

[6]吴绍兴,刘德春,尹应鹏.路由器下NAT技术的实现[J].计算机与现代化,2004,(2):65-68

[7]任智.移动Ad Hoc网络路由算法及协议研究[D]电子科技大学,2005.

NAT方式 篇5

1 概述

网络地址转换 (NAT, Network Address Translation) 属接入广域网 (WAN) 技术, 是一种将私有 (保留) 地址转化为合法IP地址的转换技术, 被广泛应用于各种类型Internet接入方式和各种类型的网络中。当内部的计算机与外部internet进行通讯时, 具有NAT功能的设备 (如:路由器) 负责将其内部的IP地址转换为合法的IP地址进行通信。

因此, NAT性能的好坏就成为网络出口产品 (如:路由器) 的一个重要指标。特别是在网吧这类应用场景中, 对NAT性能要求高, 流处理能力不均衡的设备是无法胜任的。

Netiq Choriat是业界著名的多功能网络业务测试软件, 业界广泛应用Choriat软件进行网络设备的性能测试。Choriat测试不象Smartbits测试那样是测试UDP“包”, 而是数据“流”。对于测试网吧路由器的流处理能力, 利用Netiq Choriat可以更准确地获得其NAT性能。

2 地址转换 (NAT) 原理

借助于NAT技术, 私有 (保留) 地址的“内部”网络通过路由器发送数据包时, 私有地址被转换成合法的I P地址, 一个局域网只需使用少量IP地址 (甚至是1个) 即可实现私有地址网络内所有计算机与Internet的通信需求。

NAT将自动修改IP报文的源IP地址和目的IP地址, IP地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中, 所以还需要同时对报文进行修改, 以匹配IP头中已经修改过的源IP地址。否则, 在报文数据都分别嵌入IP地址的应用程序就不能正常工作。

在这里, 引入端口地址转换PAT (Port Address Translation) 的概念, 采用PAT技术, 可以真正做到许多的局域网内的, 采用局域网内部多个拥有私有IP地址的主机复用一个或者少数的几个全局I P地址, 达到节约IP地址的目的。

下图1说明了使用PAT技术的原理。WWW服务的端口号为80, 所以两台主机都对WEB服务器发起WWW服务请求, 也就是向1 9 7.1.1.2的W E B主机的80端口发起连接请求, 而本地的端口则一般是随机的生成, 假设主机A的源端口为1500, 而主机B的源端口为1300, TCP数据报文到达路由器上时, 路由器判断配置了地址转换, 则按照一定的规则, 将主机A的TCP报文中的源地址由1 0.1.1.1改成全局地址197.1.1.1, 源端口由1500改成5000, 将主机B的TCP报文中的源地址由10.1.1.2改成全局地址197.1.1.1, 源端口由1300改成5001, (这里的1500、1300、5000、5001端口都仅仅是为说明方便而随意设置的) , 同时在路由器内建立一个对应关系的数据结构节点, 将这些对应关系记录下来。这写由内部局部I P地址的数据包经过路由器的地址转换后, 变成了全局I P地址, 传输给了WEB服务器, WEB服务器分别将应答报文发送到1 9 7.1.1.1的5 0 0 0和5001端口上, 路由器查找记录的对应关系表, 又分别将目的地址和目的端口改成1 0.1.1.1的1 5 0 0端口上, 和1 0.1.1.2的1300端口上, 这样便完成了全局地址复用目的。

由于提出地址转换技术的根本原因就是因为I P地址短缺问题, 因此, 现在P A T方式的地址转换是主要的地址转换形式。

3 NAT测试方法

对于NAT的测试, 可分为静态测试和动态测试。我们关注于设备NAT的性能, 因此这里主要介绍动态测试中的黑盒测试用例设计。

NAT宽带路由器其LAN接口连接许多设备, 将源于多个内网IP设备的TCP/UDP报文采用NAT技术根据源IP地址和源端口、目标IP目标端口生成一张NAT索引表, 对此表的操作主要是添加、查询、定期删除三种操作。

经过我们对长期网吧领域的分析研究, NAT索引表 (Entry表) 的容量;NAT索引表 (Entry表) 查询的速度;NAT索引表 (Entry表) 新建和删除的速度;设备同时处理多个流时, 每个流的时延最大值、最小值、平均值是影响路由器的转发性能的关键因素。其中NAT索引表 (Entry表) 的容量是由设备内存分配来决定的, NAT索引表 (Entry表) 查询的速度、NAT索引表 (Entry表) 新建和删除的速度、设备同时处理多个流时, 每个流的时延最大值、最小值、平均值则取决于软件架构上对Entry表的管理的设计。

在了解了NAT实现上的关键技术点后, 我们就可以有针对性的设计出相应的用例得到所需要的指标性能。比如在网吧路由器产品中, 有两个最能反映产品的性能, 一个参数是包转发能力 (throughput) , 它反映产品的数据处理能力;另一个是最大连接数, 它反映产品的带机量。

4 基于Netiq Choriat的NAT测试方法

4.1 Netiq Choriat介绍

Netiq Choriat测试软件由Console与Endpoint两个部分组成, Endpoint根据网络中位置的不同又分为E1与E2, 由Console发送测试脚本及控制信息等给E1, E1发送给E2, 控制连接、测试连接均建立在Windows API的基础上, 发送报文的源地址、路由均由系统决定。

Neti Q运行在PC上, 收到PC性能的限制, 在不同报文长度时性能不尽相同。因此在对被测设备进行测试前, 必须先在交换机上直连测试基准吞吐率A, 再插入被测设备测试吞吐率B。仅当B小于A时, 其数据才能算有效测试。

4.2 基于Netiq Choriat的NAT测试

Netiq Chariot测试则是用两台服务器, 一台接路由器W A N口, 一台接L A N口, 通过统计一个预定长度和格式的脚本文件无差错地从一台服务器传送到另一台服务器的时间来计算出路由器的Throughput。建立的连接数越多, 对路由器软件的性能要求越高, 软件写得差的, 在连接数增加时, 其Throughput会直线下降, 甚至导致无法连接;而软件写得好的路由器则很平稳, 甚至会随连接数的增加反而略有上扬。

Netiq Chorait测试前需定义好测试脚本, 系统中自带了很多的脚本, 可以模拟出各种系统、应用的数据流, 如FTP、Mail、W e b、L o t u s、I P T V、R e a l A u d i o、Active Directory、Microsoft SQL等等, 由于脚本及测试流均模仿真实的网络应用, 因此这个软件是可以说是站在用户的角度上衡量网络性能的;另外, 测试流中大部分为TCP报文, TCP的滑动窗口、重传退避机制是有效的, 也就是说, Netiq不关心网络是否丢包, 只关心应用流的实际传送速度及响应时间。Netiq Chorait性能测试是基于字节的, 测试项目是Throuput、Transaction Rate、Response Time, 某些脚本的测试中还含有Lost Data项。 (如表1)

此项测试采用E1向E2单向成功发送100Kbye数据后增加一个Timing Records来评估吞吐能力, 报文的大小为默认, 速率不限, 从实际抓包的角度看全部为大报文, 我们知道衡量一台网络设备性能的关键是小报文的转发能力 (小报文可以产生更多的报文数目) , 而此脚本对TCP应用程序的响应时间并不是太关心, 这和我们测试NAT宽带设备 (特别是针对网吧应用的产品) 初衷不符合, 网吧应用中特别是网络游戏、QQ视频、语音都以200字节以下的小报文为主, 对端到端的应用程序响应时间特别敏感, 因此不建议采用该脚本测试。 (如图2)

此项测试采用双向发送154字节长度报文的方法衡量吞吐能力, E1向E2发送一个报文、E2收到后回送一个报文, 重复50次后增加Timing Record, 并记录此Timing Record的时间, 以时间差和已知的数据量计算出吞吐率, 这种方式和网吧应用特别是游戏对应用程序响应时间敏感的特性非常符合!测试中为了更加精确和延长测试时间, 将transactions_per_record值由默认的50更改为200。在前面的测试中采用了300个Session (即pair) , 最终在300个TCP连接建立后进行数据的传输, 而后得出结果, 数据传送过程中不创建新的TCP连接 (NAT测试中的NAT Entry) 。 (如表2图3)

这项测试模拟E1为FTP客户端、E2为FTP服务器, E1不断向E2 Get文件, 在脚本中可以看到, 每一个Pair都会不断进行新建TCP连接、传送数据、关闭连接、新建TCP连接这样一个循环。实际报文捕获中发现该脚本可以产生各种大小的报文, 且很够产生大量的NAT Entry, 符合网吧应用中多Socket连接应用种类丰富的特点, 因此使用该脚本进行NAT测试, 一方面可以测试NAT设备创建NAT Entry的速度;另一方面还可以测试FTP Get的速率。由于Netiq测试依靠微机CPU、内存速度、PCI总线速度、网卡速度, 而不依赖磁盘性能, 相比我们平常用两台微机进行FTP下载, 这种方法测试强度更大。

5 结论

地址转换技术在解决I P地址短缺问题方面, 十分合适在小型办公局域网、网吧、校园网、城域网、宽带小区建设等等场合。

基于Netiq Choriat的NAT测试, 能够很直观地反映出设备的NAT性能。Netiq Choriat采用图形曲线的方式能够表达出整个测试过程中每一个流的吞吐率和响应情况, 吞吐率与响应时间其实是呈反比例关系, 因此关注流均衡性只需要看Response Time曲线, 吞吐率能力只需关注Thoughput Average值。理想情况下Response Time曲线集中呈一直线、纵坐标值越小越好, 在此前提下Thoughput Average越大越好。

摘要：随着Internet的高速发展, IP地址资源严重匮乏。在IPV6正式使用之前, NAT地址转换 (Network Address Translation) 技术便是解决IP地址短缺问题的最主要的技术手段。

关键词：网络地址转换,原理,测试方法

参考文献

[1]葛学诗.地址转换解决城域网/局域网公网IP地址短缺问题[J].内将科技, 2004 (5) .

NAT方式 篇6

1 网络地址转换技术的定义

NAT是Network Address Translation的简写, 中文意思是“网络地址转换”, 它是一个IETF (国际互联网工程任务组, 一个公开性质的大型民间国际团体) 标准, 可以将一个内部网络转换为一个公有IP地址出现在网络上。这样外界就无法直接访问内部网络设备, 从而保护内部网络的安全。同时, 它也变相的扩展了网络地址, 合理安排网络中的公有地址和私有IP地址的使用。

2 NAT技术的基本原理

NAT技术特别有效的解决IP地址紧缺的问题, 而且可以做到内部网络和外部网络的隔离, 从而保障了网络的安全。当以内部网络的私有地址向外部网络 (Internet) 发送数据包的时候, NAT通过修改IP包头将内部私有IP地址转换成合法的公有IP地址, 一次也就不需要大幅度修改内部网络的私有地址的分配, 这样就满足内网设备和外网通信的需求。由于内部IP地址被NAT替换成了公网IP地址, 设备对于外网用户来说就显得“不透明”, 可以保证设备安全性。另外内部私有地址和外部公有地址是相互对应的, 使得我们可以只使用少量的公网IP地址实现私有地址网络内所有计算机与外部网络的通信需求。NAT功能大多会被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个用来把非法的IP地址映射到合法的IP地址上去的状态表。

3 NAT技术的类型

NAT技术常见的三种类型:静态转换NAT (Static NAT) 、动态转换NAT (Pooled NAT) 、网络地址端口转换NAPT (PAT) 。

3.1 静态转换NAT

将每个拥有内部地址的计算机都映射成外部网络中的一个合法的IP地址, 其中的IP地址是一对一的一成不变的, 由管理员指定私有IP地址和公有IP地址的对应关系, 实现了外部网络对内部网络中特定设备的访问, 这样就可以将中小型的内部网络隐藏在一个合法的IP地址后面。

3.2 动态地址NAT

在外部网络中定义了一些合法地址, 它们是采用动态分配的方法将地址映射到内部网络, IP地址是随机的, 不是一一对应的。所有被允许授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。当然必须指定的内部地址和外部地址, 才能进行转换。动态地址NAT只是转换IP地址, 为每个内部的IP地址分配一个临时的外部IP地址。

3.3 网络地址端口NAT

可以将一个中小型的网络隐藏在一个合法的IP地址后面, 普遍应用于接入设备中。不同与动态地址NAT是它将内部地址映射到外部网络中一个加上了由NAT设备选定的TCP端口号的单独的IP地址上。这样可以达到一个公有地址对应多个私有地址的一对多的转换。内部网络的计算机可共享一个合法的外部IP地址是实现对外部网络的访问, 不同内部主机产生的流量用不同的随机端口进行标示。同时, 又可隐藏网络内部网络, 避免来自外界攻击。

4 应用NAT技术的安全策略

4.1 应用NAT技术的安全问题

应用了NAT技术, 可以将内网数据包中的地址更改成统一的对外地址信息, 外网是直接与NAT通信, 不是与专用网络的主机通信。这个对外地址背后可能连接着成百上千甚至上万拥有专用地址的主机, 这是存在缺陷的。在网络协议和应用中是需要端对端的网络, 需要数据包不加修改的从源地址发送到目的地址。在IP安全架构不能跨NAT设备使用, 因为原始IP源地址的原始包头采用了数字签名。若改变源地址的话, 数字签名就会失效。另外当需要对两个或多个专用网络进行重组合并和收购时, 因为NAT系统不能多层嵌套, 从而造成路由困扰。

4.2 应用NAT技术的安全策略

在许多网络中, NAT机制都是在防火墙上实现的。它的目的是实现防火墙提供对网络访问与地址转换的双重控制功能, 那么NAT技术在系统中我们应采用以下几个策略:

4.2.1 网络地址转换模块

网络地址转换模块是NAT技术核心部分, 只有它与网络层有关, 可对其直接进行修改。本部分可细分为包交换、数据包头替换、规则处理、连接记录与真实地址分配及传输层过滤等几大子模块组成。

4.2.2 集中访问控制模块

本模块可细分为请求认证和连接中继两个子模块。请求认证子模块主要负责和认证交换各种身份鉴别信息, 并根据合法的用户权限进行后续的连接。连接中继子模块主要是为用户建立起一条无中继的连接通道, 可以向内部服务器传送鉴别过的用户身份信息, 完成相关服务协议中所需的鉴别流程。

4.2.3 临时访问端口表

对于流入的数据包, 防火墙只让那些访问控制表许可的或者临时端口使用表 (包含内部主机使用的临时端口、协议类型和内部主机地址等信息的由网关根据接收的数据包动态生成的) 登记的数据包通过。

4.2.4 认证与访问控制系统

它包括用户鉴别和访问控制两大模块, 可以对用户的身份鉴别以及安全策略的控制。用户鉴别模块采用一次性口令认证技术实现远程和当地用户的身份鉴别, 保护和限制用户的访问。根据系统环境的不同需求采用Telnet和WEB两种实现方式。访问控制模块是基于自主型访问控制策略 (DAC) , 采用访问控制列表 (ACL) 的方式, 按照用户 (组) 、地址 (组) 、服务类型、服务时间等访问控制因素决定用户的访问授权。

4.2.5 网络安全监控系统

它负责对接受进入系统的信息进行分析和归类。对可能出现的入侵及时告警, 监控系统还会及时断开非法访问和非法用户的访问连接, 并追踪检查。

4.2.6 基于WEB的防火墙管理系统

主要负责地址转换系统各模块的系统配置和监控。采用基于WEB的管理模式, 因管理系统涉及到用户账户等敏感数据信息, 我们采用JAVA APPLET技术代替CGI技术, 在信息传递过程中采用加密等安全技术保证用户信息的安全性。

摘要：随着网络技术的迅猛发展, 为解决网络地址日益短缺, 局域网内计算机不能拥有合法的IP地址, 内部网络完全暴露在网络中等问题, 出现了一种网络地址转换 (NAT) 技术, 本文介绍了网络地址转换 (NAT) 技术的定义原理及安全策略。

浅析ACL与NAT的执行顺序 篇7

访问控制列表 (Access Control List, ACL) 技术是一种简单的静态包过滤防火墙技术, 它能够通过数据包的源地址、目的地址、源端口号、目的端口号、协议类型等一系列的匹配条件对网络中的流量进行识别并过滤, 从而达到对特定流量进行控制以保护内部网络安全的目的。

网络地址转换 (Network Address Translation, NAT) 技术最初是作为缓解IPv4地址空间紧张的一种解决方案引入的, 其主要作用就是通过将私有IP地址转换为合法公有IP地址, 使私有网络中的主机可以通过共享少量的公有IP地址访问Internet。另外, NAT技术在客观上屏蔽了企业内部网络的真实IP地址, 一定程度上保护了内部网络不受到外部网络的主动攻击。

由于网络一般既会有安全的需求, 又会有节约IP地址的需求, 因此ACL与NAT往往会被同时应用在网络中。而ACL与NAT又都要求应用在企业网络与Internet相连的网络边界上, 应用位置重叠, 这时候就必须要考虑到ACL与NAT的执行顺序关系, 从而确定ACL是对内部本地地址进行约束还是对内部全局地址进行约束。

作为当前两大主流的网络设备生产商, H3C公司的网络设备和CISCO公司的网络设备 (包括锐捷、神州数码等公司的类CISCO设备) 在对ACL与NAT的执行顺序处理上存在较大的差异, 这就要求网络管理人员必须要了解不同厂商设备的处理情况, 从而确保ACL能够在保护合法流量的同时有效的防范来自Internet的恶意流量攻击。

2 H3C路由器上的执行顺序

在进行执行顺序验证之前, 首先需要搭建一个简单的实验网络, 如图1所示。

将内部网络主机PC1和PC2的IP地址分别静态转换到内部全局地址202.207.120.20和202.207.120.30上。具体配置如下:

[H3C]nat static 192.168.1.2 202.207.120.20

[H3C]nat static 192.168.1.3 202.207.120.30

[H3C]interface Ethernet 0/1

[H3C-Ethernet0/1]nat outbound static

配置完成后, 在PC1或PC2上可以PING通PC3, 并且在路由器上使用display nat session命令可以看到内部本地地址192.168.1.2到内部全局地址202.207.120.20、内部本地地址192.168.1.3到内部全局地址202.207.120.30之间的映射关系。

2.1 出站ACL与NAT的执行顺序

在路由器上配置基本ACL并进行应用, 具体配置如下:

[H3C]firewall enable

[H3C]acl number 2000

[H3C-acl-basic-2000]rule deny source 192.168.1.2 0

[H3C-acl-basic-2000]rule permit

[H3C-acl-basic-2000]quit

[H3C]interface Ethernet 0/1

[H3C-Ethernet0/1]firewall packet-filter 2000outbound

从上面的配置可以看出, ACL 2000中的规则rule 0的定义是拒绝源IP地址为内部本地地址192.168.1.2的数据流量, 该ACL被应用在了路由器的Ethernet 0/1接口的outbound方向上。

配置完成后, 在PC1上使用PING命令测试到达PC3的连通性, 会发现无法连通。在路由器上执行命令display acl2000, 显示结果如下:

[H3C]display acl 2000

Basic ACL 2000, named-none-, 2 rules,

ACL's step is 5

rule 0 deny source 192.168.1.2 0 (4 times matched)

rule 5 permit

从显示的结果可以看出, PC1发出的流量命中了规则rule 0, 因而被拒绝。因此我们通过推断可知, 在H3C路由器某个接口上同时存在出站ACL和NAT时, 出站流量应该是先去匹配出站ACL, 然后再进行地址的转换。

2.2 入站ACL与NAT的执行顺序

首先将ACL 2000从路由器上删除掉, 然后配置高级ACL并进行应用, 具体配置如下:

[H3C]acl number 3000

[H3C-acl-adv-3000]rule deny ip destination192.168.1.2 0

[H3C-acl-adv-3000]rule permit ip

[H3C-acl-adv-3000]quit

[H3C]interface Ethernet 0/1

[H3C-Ethernet0/1]undo firewall packet-filter 2000outbound

[H3C-Ethernet0/1]firewall packet-filter 3000inbound

从上面的配置可以看出, ACL 3000中的规则rule 0的定义是拒绝目的IP地址为内部本地地址192.168.1.2的数据流量, 该ACL被应用在了路由器的Ethernet 0/1接口的inbound方向上。

配置完成后, 在PC3上使用命令“ping 202.207.120.20”测试到达PC1的连通性, 会发现无法连通。在路由器上执行命令display acl 3000, 显示结果如下:

[H3C]display acl 3000

Advanced ACL 3000, named-none-, 2 rules,

ACL's step is 5

rule 0 deny ip destination 192.168.1.2 0 (4 times matched)

rule 5 permit ip

从显示的结果可以看出, PC3发出的流量命中了规则rule 0, 因而被拒绝。因此我们通过推断可知, 在H3C路由器某个接口上同时存在入站ACL和NAT时, 入站流量应该是先进行地址的转换, 然后去匹配入站ACL。

3 CISCO路由器上的执行顺序

依然使用图1所示的实验网络, 并进行NAT的配置。

3.1 出站ACL与NAT的执行顺序

在路由器上配置与第2.1节类似的标准ACL, 具体配置如下:

Router (config) #ip access-list standard 1

Router (config-std-nacl) #deny host 192.168.1.2

Router (config-std-nacl) #permit any

Router (config-std-nacl) #exit

Router (config) #interface Fa0/1

Router (config-if) #ip access-group 1 out

配置完成后, 在PC1上使用PING命令测试到达PC3的连通性, 会发现能够连通。而如果将上面标准ACL的第一条规则修改为deny host 202.207.120.20, 即将约束条件从内部本地地址修改为内部全局地址, 再次进行测试, 则PC1将无法连通PC3。

在路由器上执行命令show access-lists 1, 显示结果如下:

Router#show access-lists 1Standard IP access list 1

deny host 202.207.120.20 (4 match (es) )

permit any

从显示的结果可以看出, PC1发出测流量命中了第一条规则, 而该规则是对内部全局地址进行的约束。可见在CISCO路由器某个接口上同时存在出站ACL和NAT时, 出站流量应该是先进行地址的转换, 然后再去匹配出站ACL。

3.2 入站ACL与NAT的执行顺序

首先将access-list 1删除掉, 然后配置与第2.2节类似的扩展ACL, 具体配置如下:

Router (config) #ip access-list extended 100

Router (config-ext-nacl) #deny ip any host192.168.1.2

Router (config-ext-nacl) #permit ip any any

Router (config-ext-nacl) #exit

Router (config) #interface Fa0/1

Router (config-if) #no ip access-group 1 out

Router (config-if) #ip access-group 100 in

配置完成后, 在PC3上使用命令“ping 202.207.120.20”测试到达PC1的连通性, 会发现能够连通。而如果将上面标准ACL的第一条规则修改为deny ip any host202.207.120.20, 即将约束条件从内部本地地址修改为内部全局地址, 再次进行测试, 则PC3将无法连通PC1。

在路由器上执行命令show access-lists 100, 显示结果如下:

Router#show access-lists 100Extended IP access list 100

deny ip any host 202.207.120.20 (4 match (es) )

permit ip any any

从显示的结果可以看出, PC3发出测流量命中了第一条规则, 而该规则是对内部全局地址进行的约束。可见在CISCO路由器某个接口上同时存在入站ACL和NAT时, 入站流量应该是先匹配入站ACL, 然后再进行地址的转换。

4 结束语

通过具体的实验验证可知, H3C设备和CISCO设备在对ACL与NAT的执行顺序处理上完全相反。由于在实际的网络中可能存在来自不同厂商的设备, 因此在进行具体的ACL策略应用前一定要了解具体设备对ACL与NAT的执行顺序, 以确保ACL的有效性。

摘要：ACL和NAT作为常用的两种网络技术, 经常会被同时应用在网络中的同一个位置, 这时就必须要考虑到两者的执行顺序。执行顺序上的差异将直接影响到ACL的配置和应用的有效性。通过对主流的两大设备厂商的设备进行实验测试, 了解不同厂商对ACL和NAT执行顺序处理上的差异, 从而确保网络管理员能够对于不同厂商设备给出正确的ACL约束规则, 保护网络的安全。

关键词：访问控制列表,网络地址转换,内部本地地址,内部全局地址,规则

参考文献

[1]杭州华三通信技术有限公司.路由与交换技术第1卷 (下册) [M].北京:清华大学出版社, 2011.

[2]Cisco Systems公司.思科网络技术学院教程[M].北京:人民邮电出版社, 2010.