双向NAT技术的实现
2021-02-23
来源:易榕旅网
第26卷第1期 电脑开发与应 文章编号:1003—5850(2013)01-0051-03 双向NAT技术的实现 郭 慧 (山西大学商务学院信息学院,太原030031) 摘要:公网主机访问私网服务器时,为了避免在服务器上配置到公网地址的路由,同时隐藏报文的源IP地址,引 入反向地址转换技术。分析了正向地址转换和反向地址转换的原理,通过实验证明双向NAT的可行性,对NAT技术的 实际应川具有一定的借鉴意义。 关键词:网络地址转换,舣向,公网地址,私网地址 中图分类号:TP393 文献标识码:A Implementation of Bidirectional NAT CU0 Huj (Business College of Shanxi University, “洲030031,China) Abstract:In order to avoid deploying the route to the public network on the private server and hide the source address,introduce the reversed network address translation.Analyze the principie of forward address translation and reverse address translation.Prove the feasibility of bidirectional NAT through the experiment.It has a certain referential signiifcance to practical application of NAT technology. Key words:network address translation,bidirectional,public address,private address 引 言 务器端需要配置到该公网地址的路由。这样做会使服 务器的私网地址暴露在公网上,同时还增加了配置。 网络地址转换(Network Address Translation, 为了避免在服务器上配置到公网地址的路由,隐藏主 NAT)是一种将内部私有网络地址转换为合法的外部 机访问的源IP地址,从公网地址到私网地址的转换 网络地址的技术…。在实际应用中,NAT主要用于实 技术应运而生。 现私有网络访问公共网络的功能。这种通过使用少 量的公有IP地址代表较多的私有IP地址的方式,有 1 双向NAT技术 助于减缓可用IP地址空间的枯竭。RFC 1918为私有 双向NAT技术【。要完成以下两方面的转换: 网络预留出了3个IP地址块,如下: (1)正向NAT把私有网络发出报文的源IP地址 A类:10.0.0.0~10.255.255.255 和端口号转换为该私有网络对应的公网IP地址和端 B类:172.16.0.0 172.31.255.255 口号。 C类:192.168.0.0~192.168.255.255 (2)反向NAT把公有网络发出报文的目的IP地 这3类地址不会在因特网上被分配,因此可以在 址和端口号转换为私有网络内部主机的IP地址和端 公司或企业内部使用l2I。 口号。 当公网用户访问私网服务器的公网地址时,会将 1.1正向NAT工作原理分析 报文的目的地址转换为服务器的私网地址,但是在服 当ISP提供的合法IP地址略少于网络内部的计 收稿日期:2012—11-1l,修回日期:2012—12—10 料 作者简介:郭慧,女,1980年生,硕士,研究方向:网络与信息安全。 ・52・ (总0052) 双向NAT技术的实现 2013年第1期 算机数量时。可以采用动态转换的方式。这是正向 NAT的主要工作方式之一,其组网如图l所示。 P('A SERVER 图1正向NAT典型组J碉图 当Pc A发送报文到SERVER时,其源地址为 l0.35.66.2,目的地址为220.35.66.2。此报文经过防火 墙时,防火墙就去查找网络地址转换表,根据转换表, 从地址池中选择地址来替换源地址141。那么转换后, 源地址为220.35.66-3,目的地址为220.35.66.2。此转 换后的报文到达SERVER时,SERVER回复此报文。 当回复的报文到防火墙,防火墙义进行相应转换,在 转换过程中地址池中的地址可以复用。 1-2反向NAT工作原理分析 反向NAT应用在公网主机访问内部服务器上, 组网如图2所示。 图2反向NAT典型组I碉艮l 当PC A发送报文到SERVER时,其源地址为 220.35.3.2,目的地址为220.35.3.1。此报文经过防火 墙时,防火墙就去查找NAT转换表,根据转换表,从 地址池中选择地址来替换源地址,同时将服务器 SERVER的外部地址变为内部地址。那么转换后,源 地址为l0.35.3.3,目的地址为l0.35.3.2。此转换后的 报文到达SERVER时,SERVER回复此报文。当回复 的报文到防火墙,防火墙又进行相应转换。在转换过 程中地址池中的地址可以复用。这样做,省去了在内 部服务器上配置到公网地址的路由,同时隐藏了报文 的源IP地址。 2双向NAT技术实验 2.1 实验环境 H3C防火墙l台,PC机4台,网线若干。 2.2实验组网图 实验组网图如图3所示。PC A处于防火墙的 Trust域,SERVER B处于防火墙的DMZ域,SERVER A和PC B处于防火墙的Untrust域。提供的访问公网 地址的范围为220.35.66.3—220.35.66.5。 ! SI .R, ̄ I R 一 图3实验组网罔 2.3实验目的 实验目的如下: (1)PC A可以通过正向NAT转换访问公网服务 器SERVERA。 (2)PC B可以通过反向NAT转换访问内网服务 器SERVER B。 2.4实验步骤 实验步骤如下: (1)配置防火墙接口E1/一 0/0、El/O/1、E4/O/O、 E4/0/1的lP地址。 (2)将接口加入相应的安全区域。 #将以太网接口1/0/1加入dmz区域 ifrewall zone dmz add interface ethernet 1/0/1 #将以太网接口1/0/0加入trust区域 ifrewall zone turst add interface ethernet 1/0/0 #将以太网接口4/0/0和4/0/1加入untrust区域 ifrewall zone unturst add interface ethernet 4/0/0 add interface ethernet 4fcln (3)配置NAT地址池。 #配置私网地址到公网地址转换的地址池 nat address-group 0 220.35.66.3 220.35.66.5 #配置公网地址到私网地址转换的地址池 nat address—group 1 10.35.3.3 l0_35-3.5 (4)配置NAT Server。 #配置内网服务器的公网地址 nat server global 220.35.3.1 inside 10.35_3.2 (5)配置与NAT绑定的ACL规则。 acl 3000 urle permit ip source 10.35.66.0 0.0.0.255 acl 3001 urle permit ip source 220.35.3.0 0.0.0.255 (6)在防火墙的安全区域之间应用NAT规则。 #在防火墙的turst域和unturst域间应用正向 第26卷第1期 电脑开发与应用 (总0053) ・53・ NAT规则 display ifrewall session table ifrewall interzone trust untrust 正向NAT的实验结果如表1所示。 nat outbound 3000 address-group 0 反向NAT的实验结果如表2所示。 #在防火墙的dmz域和untrust域间应用反向 NAT规则 4 总 结 ifrewall interzone dmz untrust 双向NAT技术有效界定了用户所在网络的范围, nat inbound 300 1 address—group l 保证了用户访问内网服务器的最佳快速访问路由走 3 结果与分析 向,同时可以隐藏报文的源地址,使得内网服务器回 应数据包也能按照最快速的路由到达客户端。双向 配置完毕后,用Pc A pingSERVER A,能够ping NAT为内网主机访问外网服务器以及外网主机访问 通,用PC B ping SERVER B,能够ping通。在防火墙 内网服务器提供了有效的技术支持,对NAT技术的 上运行以下命令检查配置结果。 实际应用具有一定的借鉴作用。 表l正向NAT实验结果 参考文献 私网客户端请求IP包 经过NAT转换后的IP包 源地址 目的地址 源地址 目的地址 【1】刘泽阳,徐武平.P2P应用中一种多层NAT穿透解决方案 的设计与实现【JJ.计算机应用,201 1,(31)7:1980—1983. 10-35.66.2 220.35.66.2 220-35.66.3 220-35.66.2 『2 I21ETF RFC2663.IP Network Address Translator(NAT) 表2反向NAT实验结果 Terminology and Considerations IsI.1999. 【3】曹科,张海盛.一种改进的NAT双向访问模型【JJ.计算机 公网客户端请求IP包 经过NAT转换后的IP包 应用,2004,24(12):18-20. 『41赵永驰,吴坚,陈波.网络地址转换技术在防火墙中的 源地址 目的地址 源地址 目的地址 应用『J】.兵_r自动化,2005,24(1):35—36. 【5】陈松,战学刚.基于双向NAT和智能DNS内网服务器安全陕 220.35.3.2 22035.3.1 l0_35_3.3 lO.35-3.2 速访问策啪J1.计算机T程与设计,2009,3o(12):2941—2945. (上接第50页) 究小组创造的一个短语,它也被称为机对机通信,是 餐馆不在他当天的日程安排之内,但是他可以在当天 指提供其周围环境和活动相关信息的普通非手机对 稍后在附近的位置时路过检查一下这个情况,但是在 象之间在互联网上进行的通信,人也可以成为其中的 访问云中的公司日程数据库时,他发现Mauricio会更 一部分。在本例中,您的智能手机和功能手机变得像 接近于那个餐馆,因此他与她协作处理问题。这个例 传感器一样,向互联网传递您提供的有关您的周围环 子说明了移动云计算如何运作,显然这是一个新技 境和活动信息。针对物联网的另一术语是Web 4.0,或 术,有望随着移动设备、云技术和使能技术的增长快 者说是Symbiotic Web,一位作家将该现象描述为在线 速发展,但是云计算与其说是一种新技术,不如说是 功能到现实对象的迁移,比如运行您家里的Google搜索 一种交付现有服务的新方式,特别是一种交付由智 来找到Tv远程遥控器,该现象的存在不能算是一种使 能手机和平板电脑等新技术需求驱动的现有服务的 能技术,因为它在驱动移动云计算技术。 新方式。 4 结束语 参考文献: 在目前和未来,移动云计算将在技术行业中扮演 非常重要的角色,最终会将lT作为服务提供给使用 …1雷万云.云计算:技术、平台及应用案例【M】.北京:清华大学H{ 者。在我们的虚构示例中,当该人收到花叶万年青 版社,201 1:100—103. tweet之后,他检查了他的日程安排,这在他早上访问 【2】朱近之.智慧的云计算:物联网的平 M】.北京:电子T业出 过日程安排之后本地缓存在他的iPhone中,他看到 版社,2011:88—90.