基于GNS3的NAT技術(shù)仿真設(shè)計與實現(xiàn)

孫光懿，繳 健

(1.天津音樂學(xué)院 網(wǎng)絡(luò)安全和信息化辦公室，天津市 300171；2.天津市教育委員會教育綜合服務(wù)中心，天津市 300191)

0 引言

隨著一系列互聯(lián)網(wǎng)應(yīng)用的普及，IPv4(Internet Protocol Version 4)網(wǎng)絡(luò)地址空間日益匱乏的問題也越發(fā)顯現(xiàn).針對這一問題，一方面網(wǎng)絡(luò)技術(shù)人員可將現(xiàn)有IPv4網(wǎng)絡(luò)升級為IPv6網(wǎng)絡(luò)來解決(IPv4網(wǎng)絡(luò)地址長度只有32位，而IPv6網(wǎng)絡(luò)地址長度為128位，這樣就可擁有巨大的網(wǎng)絡(luò)地址空間)；另一方面網(wǎng)絡(luò)技術(shù)人員還可通過IPv4網(wǎng)絡(luò)中使用網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)[1-5]技術(shù)來解決.借助該技術(shù)，網(wǎng)絡(luò)技術(shù)人員只需擁有一個或少量合法公網(wǎng)IP地址，就可實現(xiàn)內(nèi)部私有IP地址主機共享Internet連接.換句話說，工作在網(wǎng)絡(luò)層的NAT技術(shù)是一種將內(nèi)部私有IP地址(該類地址不能被路由轉(zhuǎn)發(fā))，轉(zhuǎn)換為合法公網(wǎng)IP地址的網(wǎng)絡(luò)技術(shù).它不僅可以有效緩解IPv4網(wǎng)絡(luò)地址空間的不足，而且還可以隱藏內(nèi)部真實網(wǎng)絡(luò)(內(nèi)部網(wǎng)絡(luò)設(shè)備對公網(wǎng)來說為不可見)，從而避免來自外網(wǎng)的攻擊.通常來講NAT技術(shù)共有以下三種轉(zhuǎn)換類型：①靜態(tài)NAT轉(zhuǎn)換.靜態(tài)NAT轉(zhuǎn)換又可進一步細(xì)分為內(nèi)部地址靜態(tài)NAT轉(zhuǎn)換和外部地址靜態(tài)NAT轉(zhuǎn)換.內(nèi)部地址靜態(tài)NAT轉(zhuǎn)換多用來實現(xiàn)對外部網(wǎng)絡(luò)發(fā)布內(nèi)部服務(wù)器或少數(shù)內(nèi)部主機通過共享內(nèi)部全局地址來訪問互聯(lián)網(wǎng).而外部地址靜態(tài)NAT轉(zhuǎn)換多用來實現(xiàn)外部網(wǎng)絡(luò)用戶對內(nèi)部設(shè)備的特定訪問.②動態(tài)NAT轉(zhuǎn)換.該類型NAT總是以隨機的方式，將內(nèi)部私有IP地址轉(zhuǎn)換為合法公網(wǎng)IP地址(當(dāng)ISP提供的合法公網(wǎng)IP地址數(shù)量略少于內(nèi)部私有IP地址數(shù)量時，可選擇此種類型NAT).③端口地址轉(zhuǎn)換(Port address Translation,PAT).該類型NAT通過對外出數(shù)據(jù)包的源端口進行端口轉(zhuǎn)換，來最大限度地節(jié)省IP地址資源.與動態(tài)NAT不同，它可將內(nèi)部多個本地地址都映射到同一個內(nèi)部全局地址上，并且在該地址上加上NAT設(shè)備隨機分配的端口號.這一點需要注意，在華為、華三等國內(nèi)網(wǎng)絡(luò)設(shè)備廠商稱該轉(zhuǎn)換類型的NAT為NAPT.

1 GNS3簡介

GNS3是一款可以運行在WINDOWS、LINUX及蘋果系統(tǒng)中的圖形化網(wǎng)絡(luò)仿真軟件, 目前最新版本為GNS3-2.2.11.相比其他網(wǎng)絡(luò)仿真軟件而言, GNS3由多款軟件整合而成并且是開源的, 可以實現(xiàn)的功能更多.它不僅支持多種型號的思科交換機、路由器以及防火墻等設(shè)備的模擬仿真,還可以與現(xiàn)實中網(wǎng)絡(luò)環(huán)境進行深度對接, 具有免費、真實可信、用戶操作性強等特點, 適用于模擬各類型復(fù)雜網(wǎng)絡(luò)環(huán)境.

2 NAT工作原理

NAT工作原理[6-9]：當(dāng)內(nèi)部私有IP主機與外部主機相互通信的IP數(shù)據(jù)包經(jīng)過NAT設(shè)備時，IP數(shù)據(jù)包的源地址或目的地址在私有IP和合法公網(wǎng)IP之間轉(zhuǎn)換.通常在啟用NAT技術(shù)的網(wǎng)絡(luò)設(shè)備上，至少存在一個內(nèi)部(Inside)接口和一個外部(Outside)接口(內(nèi)部接口負(fù)責(zé)連接內(nèi)部網(wǎng)絡(luò)，外部接口負(fù)責(zé)連接外部網(wǎng)絡(luò)).當(dāng)內(nèi)部網(wǎng)絡(luò)主機訪問外部網(wǎng)絡(luò)時，IP地址轉(zhuǎn)換方向是從內(nèi)部網(wǎng)絡(luò)一側(cè)向外部網(wǎng)絡(luò)一側(cè)進行的.NAT設(shè)備在收到內(nèi)部主機發(fā)往外部網(wǎng)絡(luò)的數(shù)據(jù)包時，源地址(SA)和目的地址(DA)分別為內(nèi)部本地地址和外部本地地址.該數(shù)據(jù)包被轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)后，其源地址被轉(zhuǎn)換為內(nèi)部全局地址，目的地址被轉(zhuǎn)換為外部全局地址.IP地址轉(zhuǎn)換過程如圖1所示.而當(dāng)外部主機訪問內(nèi)部網(wǎng)絡(luò)時，IP地址轉(zhuǎn)換方向則從外部網(wǎng)絡(luò)一側(cè)向內(nèi)部網(wǎng)絡(luò)一側(cè)進行.NAT設(shè)備在收到外部主機發(fā)往內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包時，源地址(SA)和目的地址(DA)分別為外部全局地址和內(nèi)部全局地址.該數(shù)據(jù)包被轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)后，其源地址被轉(zhuǎn)換為外部本地地址，目的地址被轉(zhuǎn)換為內(nèi)部本地地址.IP地址轉(zhuǎn)換過程如圖2所示.從圖1、圖2我們可以清楚地看到，圖1中的源地址和目的地址的轉(zhuǎn)換過程，恰好是圖2中目的地址和源地址轉(zhuǎn)換的反過程.總的來說，NAT地址轉(zhuǎn)換是在本地地址和全局地址之間進行的，無論數(shù)據(jù)通信方向如何.

圖1 數(shù)據(jù)包從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)時的IP地址轉(zhuǎn)換過程

圖2 數(shù)據(jù)包從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)時的IP地址轉(zhuǎn)換過程

需要明確：①內(nèi)部網(wǎng)絡(luò)中的主機和外部網(wǎng)絡(luò)中的主機所使用的真實IP地址，分別被稱為內(nèi)部本地地址和外部本地地址.②當(dāng)內(nèi)部網(wǎng)絡(luò)主機訪問外部網(wǎng)絡(luò)時，對外所呈現(xiàn)出的IP地址則被稱為內(nèi)部全局地址.通常該地址為互聯(lián)網(wǎng)運營商分配給內(nèi)部網(wǎng)絡(luò)用戶的合法公有IP地址，位于外部網(wǎng)絡(luò)一側(cè).③對內(nèi)部網(wǎng)絡(luò)來說，外部主機所呈現(xiàn)的IP地址則被稱為外部全局地址.通常該地址為互聯(lián)網(wǎng)運營商分配給外部主機的合法公有IP地址.④NAT路由器的內(nèi)部接口與外部接口是固定的，不會隨著通信方向的變化而發(fā)生改變.

3 NAT技術(shù)典型配置

3.1 內(nèi)部源地址靜態(tài)NAT轉(zhuǎn)換

內(nèi)部源地址靜態(tài)NAT轉(zhuǎn)換是在內(nèi)部本地地址(內(nèi)網(wǎng)IP地址)和內(nèi)部全局地址(合法公網(wǎng)IP)之間進行的一對一轉(zhuǎn)換，這種一對一的轉(zhuǎn)換關(guān)系是固定的.也就是說即使當(dāng)前內(nèi)部用戶無訪問互聯(lián)網(wǎng)的需求，其租用的內(nèi)部全局地址也不會再被其他用戶所租用.

為使讀者能夠清楚理解內(nèi)部源地址靜態(tài)NAT的工作原理并掌握其配置方法，可利用GNS3思科網(wǎng)絡(luò)仿真平臺搭建一個由2臺思科3700路由器R1、R2和2臺思科2950二層交換機SW1、SW2構(gòu)成的小型網(wǎng)絡(luò)(該網(wǎng)絡(luò)共劃分為兩個網(wǎng)段，既服務(wù)器區(qū)所在的VLAN13網(wǎng)段和辦公區(qū)所在的VLAN14網(wǎng)段).其中，R1為公司邊界路由器，用來與互聯(lián)網(wǎng)運營商中國聯(lián)通邊界路由器R2互聯(lián)(該網(wǎng)絡(luò)運營商為公司共分配了四個合法公網(wǎng)IP地址.地址范圍從202.99.96.31～202.99.96.34).SW1為公司內(nèi)部二層交換機，負(fù)責(zé)連接服務(wù)器區(qū)(VLAN13網(wǎng)段)和辦公區(qū)(VLAN14網(wǎng)段)終端設(shè)備.SERVER1(在TCP 8080端口上進行監(jiān)聽通信，其隸屬于VLAN13網(wǎng)段，IP地址為：192.168.13.2/24)為公司W(wǎng)EB服務(wù)器，用來為外部用戶提供訪問.PC1(隸屬于VLAN14網(wǎng)段，IP地址為：192.168.14.2/24)為公司辦公區(qū)終端計算機，用來為公司員工提供互聯(lián)網(wǎng)檢索服務(wù).PC2(IP地址為：211.67.201.20)為外部用戶終端計算機.網(wǎng)絡(luò)拓?fù)淙鐖D3所示.由于公司內(nèi)部網(wǎng)段均使用私有IP地址且SERVER1和PC1存在與互聯(lián)網(wǎng)通信的需求，因此我們有必要在路由器R1中啟用內(nèi)部地址靜態(tài)NAT轉(zhuǎn)換技術(shù)，為上述設(shè)備配置從內(nèi)部本地地址到內(nèi)部全局地址的靜態(tài)映射.相關(guān)具體配置過程如下.

圖3 內(nèi)部地址靜態(tài)NAT轉(zhuǎn)換

配置路由器R1

R1(config)#int f0/0.1

R1(config-if)#ip nat inside//將該子接口設(shè)置為NAT內(nèi)部接口

R1(config)#int f0/0.2

R1(config-if)#ip nat inside

R1(config)#int e0/0

R1(config-if)#ip add 202.99.96.31 255.255.255.0

R1(config-if)#ip nat outside //將該接口設(shè)置為NAT外部接口

R1(config)#ip nat inside sourcestatic tcp 192.168.13.2 8080 202.99.96.32 80 //

為了保證公司W(wǎng)EB服務(wù)器能夠監(jiān)聽到外部用戶的訪問，網(wǎng)絡(luò)技術(shù)人員必須把外部用戶對內(nèi)部全局地址202.99.96.32 80端口的訪問，重定向到192.168.13.2 WEB服務(wù)器的8080端口上.配置完成后，當(dāng)路由器R1的外部接口收到目的地址為202.99.96.32：80的訪問數(shù)據(jù)包時，該數(shù)據(jù)包的目的地址將轉(zhuǎn)換為192.168.13.2：80.

R1(config)#ip nat inside source static 192.168.14.2 202.99.96.33 //將內(nèi)部源地址192.168.14.2轉(zhuǎn)換為202.99.96.33

R1(config)#ip route 0.0.0.0 0.0.0.0 202.99.96.35 //配置默認(rèn)路由

上述配置完成后，我們以公司內(nèi)部終端計算機PC1為例，使用Ping命令測試其與外部主機PC2的連通性(如圖4所示).測試后可以看到，二者之間是可以相互通信的.

圖4 使用Ping命令測試PC1與PC2的連通性

與此同時，我們通過Wireshark軟件分別對終端計算機PC1、PC2進行抓包分析(如圖5、圖6所示).

圖5 抓取的PC1數(shù)據(jù)包

圖6 抓取的PC2數(shù)據(jù)包

在對抓取后的PC1數(shù)據(jù)包進行分析后我們不難發(fā)現(xiàn)，PC1發(fā)往PC2的數(shù)據(jù)包(例如圖5中編號為50的數(shù)據(jù)包)和PC2發(fā)往PC1響應(yīng)數(shù)據(jù)包(例如圖5中編號為51的數(shù)據(jù)包)，與配置內(nèi)部源地址靜態(tài)NAT轉(zhuǎn)換前完全相同，即PC1發(fā)往PC2數(shù)據(jù)包的源地址為PC1內(nèi)部本地地址192.168.14.2/24，目的地址為PC2的內(nèi)部本地地址211.67.201 20/24.PC2發(fā)往PC1響應(yīng)數(shù)據(jù)包的源地址為PC2的內(nèi)部本地地址211.67.201 20/24，目的地址為PC1內(nèi)部本地地址192.168.14.2/24.

在對抓取后的PC2數(shù)據(jù)包進行分析后發(fā)現(xiàn)：①從PC1發(fā)來的數(shù)據(jù)包(例如圖6中編號為8的數(shù)據(jù)包)源地址經(jīng)NAT轉(zhuǎn)換后[10-12]，已由其內(nèi)部本地地址變?yōu)榱藘?nèi)部全局地址(即公網(wǎng)地址202.99.96.33/24)，而該數(shù)據(jù)包的目的地址未發(fā)生改變，依舊為PC2的內(nèi)部本地地址211.67.201 20/24.②從PC2發(fā)往PC1響應(yīng)數(shù)據(jù)包的源地址未發(fā)生改變，只是該數(shù)據(jù)包的目的地址已由PC1的內(nèi)部本地地址192.168.14.2/24變?yōu)槠鋬?nèi)部全局地址211.67.201 20/24.這充分說明此次配置的基于內(nèi)部源地址靜態(tài)NAT轉(zhuǎn)換是成功的.

3.2 內(nèi)部源地址動態(tài)NAT轉(zhuǎn)換

與靜態(tài)NAT不同，動態(tài)NAT[13-14]是通過數(shù)據(jù)流觸發(fā)的方式來建立內(nèi)部本地地址和內(nèi)部全局地址的映射關(guān)系(路由器最初的NAT表中沒有任何數(shù)據(jù))，并且這種映射關(guān)系也不是一成不變的.這是因為動態(tài)NAT存在一種與DHCP協(xié)議相類似的IP地址租約制度，即當(dāng)內(nèi)部主機不與外部網(wǎng)絡(luò)通信時，與之映射的內(nèi)部全局地址就會被重新放回地址池中，以供其他內(nèi)部主機訪問外部網(wǎng)絡(luò)時使用.但需要注意幾點：①在配置動態(tài)NAT前，網(wǎng)絡(luò)管理者必須預(yù)先建立一個內(nèi)部全局地址池.②動態(tài)NAT映射表中的 NAT地址轉(zhuǎn)換條目均存在一個生存時間.如果超過了該時間，那么該條條目就會被自動刪除.在默認(rèn)情況下，一對一動態(tài)NAT條目的生存時間為600秒，而基于端口的動態(tài)NAT條目的生存時間只有60秒.

公司內(nèi)只允許終端計算機PC1至PC3可對互聯(lián)網(wǎng)資源進行訪問，且公司擁有中國聯(lián)通分配的十個合法公網(wǎng)IP地址.地址范圍從202.99.96.31～202.99.96.40.網(wǎng)絡(luò)拓?fù)浼跋嚓P(guān)設(shè)備IP地址如圖7所示.相關(guān)核心配置過程如下.

圖7 網(wǎng)絡(luò)拓?fù)浼跋嚓P(guān)設(shè)備IP地址

配置路由器R1

R1(config)#ip nat pool cb 202.99.96.31 202.99.96.40 prefix-length 24 //定義名為“cb”的內(nèi)部全局地址池

R1(config)#access-list 82 permit host 192.168.14.2//定義公司內(nèi)允許訪問互聯(lián)網(wǎng)資源的終端計算機

R1(config)#access-list 82 permit host 192.168.14.3

R1(config)#access-list 82 permit host 192.168.14.4

R1(config)#ip nat inside source list 82 pool cb//將公司內(nèi)部本地地址和地址池中的內(nèi)部全局地址相關(guān)聯(lián)

上述配置完成后，以公司內(nèi)部終端計算機PC2為例，使用Ping命令測試其與中國電信資源服務(wù)器Server1的連通性.然后再在路由器R1的特權(quán)模式下分別使用Show ip nat trans命令和Debug ip nat命令，查看路由器R1的NAT表和NAT地址轉(zhuǎn)換的詳細(xì)過程(如圖8、圖9所示).測試證明，此次所配置的基于內(nèi)部源地址動態(tài)NAT轉(zhuǎn)換是成功的，公司內(nèi)部終端計算機PC3與中國電信資源服務(wù)器Server1之間可以正常通信.

圖8 路由器R1的NAT表

圖9 NAT地址轉(zhuǎn)換的詳細(xì)過程

從圖8中發(fā)現(xiàn)：①路由器R1的NAT表中存在一條協(xié)議類型為“---”的NAT地址轉(zhuǎn)換條目，該條目對所有協(xié)議的動態(tài)地址轉(zhuǎn)換均有效.②在終端計算機PC3中使用Ping命令后，路由器R1的NAT表中出現(xiàn)了三條協(xié)議類型為“icmp”的NAT地址轉(zhuǎn)換條目，且每條NAT地址轉(zhuǎn)換條目中的內(nèi)部本地地址和內(nèi)部全局地址分別為192.168.14.3(該地址為icmp數(shù)據(jù)包的源地址，即終端計算機PC3的IP地址)和202.99.96.32.需要特別注意的是：上述NAT地址轉(zhuǎn)換條目中，外部本地地址和外部全局地址為同一地址211.67.201.20(該地址為icmp數(shù)據(jù)包的目的地址，即Server1的IP地址).之所以出現(xiàn)這種情況，是未配置外部網(wǎng)絡(luò)的本地地址和全局地址NAT轉(zhuǎn)換所造成的.

從圖9中不難發(fā)現(xiàn)：①每條NAT會話都包含符號“*”.這說明NAT地址轉(zhuǎn)換過程發(fā)生在快速交換路徑.②整個NAT地址轉(zhuǎn)換過程是在內(nèi)部本地地址和內(nèi)部全局地址之間進行的.當(dāng)數(shù)據(jù)包由內(nèi)部網(wǎng)絡(luò)發(fā)往外部網(wǎng)絡(luò)時(PC3發(fā)往Server1的ICMP數(shù)據(jù)包)，只有數(shù)據(jù)包的源地址在經(jīng)過路由器R1后發(fā)生改變(即由內(nèi)部本地地址192.168.14.3，轉(zhuǎn)換為內(nèi)部全局地址202.99.96.32).目的地址(211.67.201.20)不變.而從外部網(wǎng)絡(luò)發(fā)往內(nèi)部網(wǎng)絡(luò)的響應(yīng)數(shù)據(jù)包，只有其目的地址在經(jīng)過路由器R1后發(fā)生改變(即由內(nèi)部全局地址202.99.96.32，轉(zhuǎn)換為內(nèi)部本地地址192.168.14.3)，源地址不變(211.67.201.20).

3.3 基于反向NAT實現(xiàn)服務(wù)器流量負(fù)載均衡

反向NAT技術(shù)[15-16]是通過對數(shù)據(jù)包目的地址的不斷循環(huán)轉(zhuǎn)換(傳統(tǒng)NAT技術(shù)是對數(shù)據(jù)包源地址進行轉(zhuǎn)換)，來實現(xiàn)服務(wù)器負(fù)載均衡的.利用該技術(shù)可把一臺虛擬服務(wù)器映射到多臺真實服務(wù)器上.每次外部網(wǎng)絡(luò)向虛擬服務(wù)器發(fā)起的TCP連接請求，總會循環(huán)分發(fā)到內(nèi)部網(wǎng)絡(luò)各臺真實服務(wù)器上(通過目的地址以地址池輪循方式實現(xiàn)).需要注意幾點：①反向NAT技術(shù)只能對TCP協(xié)議實現(xiàn)負(fù)載均衡，這是因為其他協(xié)議類型的IP數(shù)據(jù)包無法實現(xiàn)循環(huán)分發(fā)(其他協(xié)議類型的IP數(shù)據(jù)包到達NAT路由器后，所生成的ARP報文會查詢該IP所對應(yīng)的MAC地址).②與靜態(tài)NAT和動態(tài)NAT不同(配置后即可在NAT表中生成映射關(guān)系).反向NAT只有在TCP連接通過NAT設(shè)備時，NAT表中才會生成映射關(guān)系.③反向NAT服務(wù)器負(fù)載均衡不僅可通過軟件方式來實現(xiàn)，還可通過硬件方式來實現(xiàn).

3.3.1 仿真實驗

利用GNS3思科網(wǎng)絡(luò)仿真平臺，搭建了一個由四臺思科3700路由器R1(模擬公司內(nèi)部資源服務(wù)器A)、R2(模擬公司內(nèi)部資源服務(wù)器B)、R3(公司邊界路由器) 、R4(模擬外網(wǎng)終端計算機PC1)和一臺三層交換機SW1(主要用于連接公司內(nèi)網(wǎng)服務(wù)器等網(wǎng)絡(luò)設(shè)備)構(gòu)成的小型網(wǎng)絡(luò).網(wǎng)絡(luò)拓?fù)浼跋嚓P(guān)設(shè)備IP地址如圖10所示.為提高外網(wǎng)用戶對公司內(nèi)網(wǎng)資源服務(wù)器的訪問質(zhì)量，解決服務(wù)器訪問量過大、網(wǎng)絡(luò)負(fù)荷過重的問題，也為最大限度地提高內(nèi)網(wǎng)資源服務(wù)器的安全性，制定了在公司邊界路由器R3中應(yīng)用反向NAT技術(shù)，從而實現(xiàn)兩臺內(nèi)網(wǎng)資源服務(wù)器流量負(fù)載均衡的方案，即兩臺資源服務(wù)器A、B在邏輯上組成一臺虛擬服務(wù)器，該虛擬服務(wù)器IP地址即為公司對外發(fā)布的資源服務(wù)器地址.當(dāng)外網(wǎng)用戶首次對公司資源服務(wù)器進行訪問時，路由器R3會將數(shù)據(jù)包的目的地址(虛擬服務(wù)器IP地址)轉(zhuǎn)換為公司內(nèi)部資源服務(wù)器A的IP地址.當(dāng)外網(wǎng)用戶再次對公司資源服務(wù)器進行訪問時，路由器R3則會將數(shù)據(jù)包的目的地址轉(zhuǎn)換為公司內(nèi)部資源服務(wù)器B的IP地址，依次循環(huán)從而實現(xiàn)服務(wù)器的負(fù)載均衡.考慮到文章篇幅，在這里只給出路由器R1、R3的詳細(xì)配置過程，路由器R2、R4的配置過程與路由器R1類似.

圖10 網(wǎng)絡(luò)拓?fù)浼跋嚓P(guān)設(shè)備IP地址

3.3.1.1 配置路由器R1

R1(config)#int f3/0

R1(config-if)#ip add 192.168.70.31 255.255.255.0

R1(config)#enable password zzen //設(shè)置用戶密碼

R1(config)#line vty 0 4 //設(shè)置VTY口令

R1(config-line)#login

R1(config-line)#password chenboo

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.70.1 //設(shè)置默認(rèn)路由

3.3.1.2 配置路由器R3

R3(config)#int f0/0

R3(config-if)#ip add 192.168.70.1 255.255.255.0

R3(config-if)#ip nat inside //設(shè)置NAT內(nèi)部接口

R3(config)#int e1/0

R3(config-if)#ip add 211.67.200.1 255.255.255.0

R3(config-if)#ip nat outside //設(shè)置NAT外部接口

R3(config)#access-list 16 permit host 211.67.200.32 //建立編號為16的標(biāo)準(zhǔn)訪問控制列表，定義需要轉(zhuǎn)換的目標(biāo)地址為虛擬服務(wù)器地址

R3(config)#ip nat pool fwq 192.168.70.31 192.168.70.32 prefix-length 24 type rotary //建立名為fwq的公司內(nèi)部目標(biāo)NAT地址池，并將該地址池設(shè)置為循環(huán)模式

R3(config)#ip nat inside destination list 16 pool fwq //當(dāng)目標(biāo)地址與編號為16的訪問控制列表相匹配時，轉(zhuǎn)換目標(biāo)地址為地址池中的IP地址.

上述配置完成后，我們以外網(wǎng)終端計算機PC1為例，首先使用Telnet命令分兩次遠(yuǎn)程訪問公司虛擬服務(wù)器(IP地址為：211.67.200.32/24) ，以查看公司內(nèi)網(wǎng)資源服務(wù)器A、B之間是否實現(xiàn)流量負(fù)載均衡.其次，使用Show ip nat trans命令，查看路由器R3的NAT表.

1) 使用Telnet命令進行首次測試

R4#telnet 211.67.200.32

Trying 211.67.200.32 ... Open

User Access Verification

Password:

R1>exit //成功登錄路由器R1

[Connection to 211.67.200.32 closed by foreign host]

2) 使用TELNET命令進行再次測試

R4#telnet 211.67.200.32

Trying 211.67.200.32 ... Open

User Access Verification

Password:

R2>exit //成功登錄路由器R2

[Connection to 211.67.200.32 closed by foreign host]

3)路由器R3的NAT表

R3#show ip nat tran

Pro Inside global Inside local Outside local Outside global

tcp 211.67.200.32:23 192.168.70.31:23 211.67.200.3:42343 211.67.200.3:42343

tcp 211.67.200.32:23 192.168.70.32:23 211.67.200.3:27012 211.67.200.3:27012

通過上述測試可以得出以下結(jié)論：在路由器R3中應(yīng)用反向NAT技術(shù)后，成功實現(xiàn)了公司內(nèi)網(wǎng)資源服務(wù)器流量負(fù)載均衡，即當(dāng)外網(wǎng)終端計算機PC1首次遠(yuǎn)程訪問公司虛擬服務(wù)器時，由路由器R1負(fù)責(zé)響應(yīng)PC1的訪問請求(此時從路由器R3的NAT表中可以看到，存在一條協(xié)議類型為“tcp”，內(nèi)部全局地址為虛擬服務(wù)器IP地址，內(nèi)部本地地址為路由器R1地址的NAT地址轉(zhuǎn)換條目).當(dāng)其再次遠(yuǎn)程訪問公司虛擬服務(wù)器時，則由路由器R2負(fù)責(zé)響應(yīng)PC1的訪問請求(此時從路由器R3的NAT表中可以看到，存在一條協(xié)議類型為“tcp”，內(nèi)部全局地址為虛擬服務(wù)器IP地址，內(nèi)部本地地址為路由器R2地址的NAT地址轉(zhuǎn)換條目).

4 結(jié)語

現(xiàn)今NAT技術(shù)在實踐中已廣泛應(yīng)用，它不僅可以解決IPv4地址不足的問題，而且還可以使網(wǎng)絡(luò)設(shè)計更為靈活便捷，有效減少配置過程.但是NAT技術(shù)也并非完美，例如NAT設(shè)備無法處理嵌入式的IP或端口、某些P2P程序在NAT后無法正常工作等不足.因此，網(wǎng)絡(luò)技術(shù)人員在應(yīng)用NAT技術(shù)時一定要深入細(xì)致地做好前期規(guī)劃.