基于校園內(nèi)網(wǎng)實訓環(huán)境的NAT技術(shù)仿真實訓教學

趙秀麗

摘 要 介紹地址轉(zhuǎn)換技術(shù)，并在此基礎(chǔ)上探討在現(xiàn)有仿真實訓軟件和真實設(shè)備實驗環(huán)境下，在教學設(shè)計中如何引出該技術(shù)、搭建實驗拓撲圖、設(shè)置問題引導(dǎo)學生思考、實驗配置及整個教學中的注意事項。通過師生共同分析項目、共同嘗試完成項目、學生模仿、能力提升等教學環(huán)節(jié)，讓學生真正地掌握NAT技術(shù)。

關(guān)鍵詞 仿真實訓；網(wǎng)絡(luò)專業(yè)；NAT

中圖分類號：TP391.9 文獻標識碼：B

文章編號：1671-489X（2017）10-0054-03

1 引言

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，越來越多的用戶加入到互聯(lián)網(wǎng)中進行辦公、娛樂等，而互聯(lián)網(wǎng)中的任何兩臺計算機通信需要全球唯一的IP地址，這就出現(xiàn)IP地址不足的問題。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT技術(shù)）的出現(xiàn)不僅解決了IP地址不足的問題，而且有效地避免了來自網(wǎng)絡(luò)外部的攻擊，隱藏并且保護了網(wǎng)絡(luò)內(nèi)部的計算機。

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)是組建局域網(wǎng)、實現(xiàn)上互聯(lián)網(wǎng)的重要技術(shù)，是局域網(wǎng)搭建這門課教學的重點和難點。如何有效利用目前的模擬軟件和真實設(shè)備開展好此項實驗，切實提高職業(yè)院校學生的實踐技能，值得高職院校承擔網(wǎng)絡(luò)專業(yè)課程教學的教師深思。

2 NAT技術(shù)介紹

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，Network Address Translation）屬接入廣域網(wǎng)（WAN）技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型互聯(lián)網(wǎng)接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了IP地址不足的問題，而且能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。

NAT的實現(xiàn)方式有四種：靜態(tài)NAT、靜態(tài)NAPT、動態(tài)NAT和動態(tài)NAPT。

靜態(tài)NAT是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。靜態(tài)NAPT實現(xiàn)局域網(wǎng)內(nèi)部主機訪問外網(wǎng)的轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備（如服務(wù)器）的訪問。靜態(tài)NAT局限是配置完成后，即使這個主機的本機地址不進行轉(zhuǎn)換，其他主機也不能使用公有地址，在一定程度上浪費了地址資源。

動態(tài)NAT和NAPT也是實現(xiàn)將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址。動態(tài)NAT實現(xiàn)轉(zhuǎn)換的公有IP地址是不確定的，是隨機的，所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。這就要求內(nèi)部主機數(shù)和公有地址數(shù)相同。動態(tài)NAPT實現(xiàn)內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址，實現(xiàn)對Internet的訪問，也就是要求內(nèi)部主機數(shù)可以大于公有地址數(shù)，從而可以最大限度地節(jié)約IP地址資源。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是動態(tài)NAPT。

靜態(tài)NAPT和動態(tài)NAPT在目前網(wǎng)絡(luò)中應(yīng)用廣泛，在此對這兩種NAT進行介紹。

靜態(tài)NAPT的配置命令主要分為定義地址轉(zhuǎn)換關(guān)系、定義內(nèi)部端口和定義外部端口等。

定義轉(zhuǎn)換關(guān)系：

Router（config）#IP nat inside source static 需要轉(zhuǎn)換的本地主機的私有地址 端口號 轉(zhuǎn)換成的共有地址 端口號

定義端口類型：

Router（config-if）#IP nat inside //定義端口為內(nèi)部端口

Router（config-if）#IP nat outside //定義端口為外部端口

動態(tài)NAPT配置包括定義內(nèi)部端口、定義外部端口、定義地址池、定義訪問控制列表和定義轉(zhuǎn)換關(guān)系等。

定義端口類型：

Router（config-if）#IP nat inside //定義端口為內(nèi)部端口

Router（config-if）#IP nat outside //定義端口為外部端口

定義全局地址池：

Router（config）#IP nat pool 地址池名字 起始地址 結(jié)束地址 netmask 子網(wǎng)掩碼 //定義公有地址的范圍

定義訪問控制列表：

access-list 訪問列表序號 permit 私有地址的所在網(wǎng)段 反子網(wǎng)掩碼

定義轉(zhuǎn)換關(guān)系：

Router（config）#IP nat inside source list 訪問列表序列號 pool 地址池名字 overload

3 探討銳捷設(shè)備NAT技術(shù)的仿真實訓

仿真實訓是模擬實際工作場所的那種環(huán)境和設(shè)備進行演練，為了鞏固教學效果，目的是讓學生真正掌握知識技能及分析問題和解決問題的能力，而開設(shè)的一項重要實踐教學環(huán)節(jié)。

目前高職院校教育現(xiàn)狀是學生多，實驗設(shè)備少，有的學校甚至沒有相關(guān)的網(wǎng)絡(luò)設(shè)備，為此可以選擇模擬軟件實現(xiàn)?？梢赃x用Cisco Packet Tracer和北京潤尼爾網(wǎng)絡(luò)科技有限公司研制的計算機網(wǎng)絡(luò)技能訓練系統(tǒng)。Cisco Packet Tracer特點是操作簡單，仿真效果不如計算機網(wǎng)絡(luò)技能訓練系統(tǒng)。模擬軟件選好了，重點就是教學設(shè)計。目前較為提倡的教學方法是項目教學法、任務(wù)驅(qū)動教學法、引導(dǎo)法和小組合作法。在此提倡采用項目教學法提出問題，引導(dǎo)學生思考，容易讓他們真正體會這門技術(shù)的實際應(yīng)用。

以動態(tài)NAPT為例，任務(wù)描述：某公司局域網(wǎng)使用私有地址為192.168.12.0/24網(wǎng)絡(luò)，通過路由器Router與Internet連接；公司申請公有地址為200.1.1.1～200.1.

1.5，現(xiàn)需要在路由器上做適當?shù)呐渲?，實現(xiàn)局域網(wǎng)主機訪問Internet。拓撲結(jié)構(gòu)圖如圖1所示。

這個拓撲結(jié)構(gòu)的設(shè)計也很重要，要模擬真實的Internetendprint

的特點，有的教師會選擇網(wǎng)絡(luò)中只有一個路由器而沒有Internet的路由器，這樣容易導(dǎo)致學生對Internet的特點理解不準確。在此基礎(chǔ)上講解NAPT的相關(guān)理論知識，講完后，教師和學生共同再次分析此項目。分析完成后，教師引導(dǎo)學生共同在實訓軟件上完成相關(guān)的配置并測試。引導(dǎo)及演示教學過程具體如下。

教師引導(dǎo)學生分析此項目是要求實現(xiàn)局域網(wǎng)內(nèi)部主機的私有地址轉(zhuǎn)換成公有地址，且是多對一的關(guān)系，根據(jù)所學知識，在出口路由器上配置動態(tài)NAPT。教師引導(dǎo)的問題可以設(shè)置為：本拓撲結(jié)構(gòu)圖需要做動態(tài)NAPT的是哪個路由器？具體配置分為幾步？哪一個是定義內(nèi)部端口？哪一個定義為外部端口？在出口路由器上用不用做默認路由？引導(dǎo)學生回答完這些問題后，就開始配置本項目。

第一步，配置內(nèi)網(wǎng)。先看本拓撲結(jié)構(gòu)的Router0左邊是局域網(wǎng)的內(nèi)網(wǎng)，這個配置以前做過，很簡單，只需要激活左邊的端口配置IP地址即可，學生和教師共同完成。

第二步，配置電腦IP地址并測試，測試左邊的所有主機可以互相通信。

第三步，配置外網(wǎng)。在此只有兩個路由器Router1、Router0和Web服務(wù)器，在Router1上基本配置激活配置IP地址，在Router0上激活端口f0/1配置IP地址就可以了。

第四步，配置服務(wù)器IP地址，并測試內(nèi)網(wǎng)的主機是否可以訪問Web服務(wù)器。（答案：不能）

第五步，出口路由器的默認路由和動態(tài)NAPT配置。對具體的開展過程，教師引導(dǎo)學生回答前面課程中講到Inter-

net不認識私有IP地址，為了實現(xiàn)局域網(wǎng)內(nèi)部的主機訪問Internet，數(shù)據(jù)包的正常轉(zhuǎn)發(fā)需要在出口路由器上設(shè)置什么？（答案：靜態(tài)路由）接下來就是動態(tài)NAPT的配置。

第六步，測試?？梢栽趦?nèi)網(wǎng)的主機上訪問到Web服務(wù)器網(wǎng)頁，通過兩次測試，讓學生深刻地理解動態(tài)NAPT實現(xiàn)的功能。

具體配置過程如下。

第一步：內(nèi)網(wǎng)配置。

Router0（config）#int f0/0

Router0（config-if）#no shutdown

Router0（config-if）#IP address 192.168.12.254 255.255.

255.0

第二步：配置電腦IP地址。

Pc0：192.168.12.1 255.255.255.0 192.168.12.254

Pc1：192.168.12.2 255.255.255.0 192.168.12.254

Pc2：192.168.12.3 255.255.255.0 192.168.12.254

測試：三臺電腦互通，說明局域網(wǎng)搭建成功。

第三步：外網(wǎng)的配置。

Router0（config）#int f0/1

Router0（config-if）#no shutdown

Router0（config-if）#IP address 200.1.1.6 255.255.255.0

Router1（config）#int f0/0

Router1（config-if）#no shutdown

Router1（config-if）#IP address 200.1.1.7 255.255.255.0

Router1（config）#int f0/1

Router1（config-if）#no shutdown

Router1（config-if）#IP address 200.1.2.1 255.255.255.0

第四步：配置服務(wù)器IP地址，并測試是否可以訪問Web服務(wù)器。

Web服務(wù)器：

200.1.2.2 255.255.255.0 200.1.2.1

測試結(jié)果不可以訪問（圖2）。

第五步：出口路由器的靜態(tài)路由和NAPT配置。

Router0（config）#ip route 0.0.0.0 0.0.0.0 f0/1

Napt配置如下。

定義端口類型：

Router0（config）#int f0/0

Router0（config-if）#IP nat inside

Router0（config）#int f0/1

Router0（config-if）#ip nat outside

定義訪問控制列表：

Router0（config）#access-list 10 permit 192.168.12.0 0.0.

0.255

定義地址池：

Router0（config）#IP nat pool 12 200.1.1.1 200.1.1.5 netmask 255.255.255.0

定義轉(zhuǎn)換關(guān)系：

Router0（config）#IP nat inside list 10 pool 12 overload

第六步：測試。測試可以有兩種方法：一種采用show ip nat translations命令在路由器router0查看轉(zhuǎn)換記錄；第二種直接在電腦上瀏覽器中輸入網(wǎng)站的IP地址200.1.2.2，測試是否可以訪問網(wǎng)頁，分別如圖3、圖4所示。兩種結(jié)果顯示都是測試成功（在此采用思科模擬軟件進行仿真實訓）。

在教師講解引導(dǎo)共同完成此實驗后，就是學生在機房的實訓操作。實訓課重點是培養(yǎng)學生模仿教師利用所學知識解決實際問題的能力及分析問題和解決問題的思路，所以實訓課的項目提出，在理論課上稍作改動，如把私有地址的網(wǎng)絡(luò)改為192.168.1.0/24，公有地址變?yōu)?00.0.0.1～

200.0.0.4。讓學生以小組完成此項目，并測試。

仿真實訓擴展：對于有真實設(shè)備的學校還可以用一個路由器模擬出口路由器，內(nèi)部端口連接一臺電腦，外部端口連接到整個機房連接的交換機上，要求學生在此路由器上做適當?shù)呐渲?，實現(xiàn)這臺電腦能夠訪問互聯(lián)網(wǎng)。

4 NAT仿真實訓中應(yīng)注意的問題

1）很多教師在設(shè)置拓撲結(jié)構(gòu)圖的時候省略了第二個路由器，讓學生很難認識到互聯(lián)網(wǎng)的特點——私有地址不能訪問互聯(lián)網(wǎng)，認為不做NAPT，做了基本配置就能訪問互聯(lián)網(wǎng)服務(wù)器的網(wǎng)頁。

2）注意第四步測試的設(shè)置，很多教師沒有設(shè)置這一步，如果沒有這一步，直接到第六步測試學生，就不能很好地理解NAPT的工作原理和實際應(yīng)用的功能。

3）在第六步測試中，有的學生使用了show ip nat tran-

slations，沒有顯示轉(zhuǎn)換關(guān)系，用show running-config查看命令，發(fā)現(xiàn)自己也配置正確，就是找不到出錯在哪里。為了清楚觀看NAT結(jié)果，在執(zhí)行此命令前，要產(chǎn)生一個需要NAT的數(shù)據(jù)包，這樣才能看到轉(zhuǎn)換關(guān)系。如執(zhí)行ping命令產(chǎn)生發(fā)送數(shù)據(jù)包。

5 結(jié)束語

高職教育的特點是突出職業(yè)技能，重點培養(yǎng)學生實踐操作能力和分析問題、解決問題的能力，其中仿真實訓是有效提高學生用所學知識解決實際問題的有效方法。如何利用仿真實訓軟件設(shè)計教學內(nèi)容顯得尤為重要。仿真是為了模擬真實的工作環(huán)境，所以在模擬過程中一定要將一些實際應(yīng)用的好案例引入教學，設(shè)置恰當?shù)膯栴}引導(dǎo)學生一步步思考、分析，切實提高學生的綜合能力。endprint