基于校园网的地址转换的研究

基于校园网的地址映射浙江树人大学邵晨摘要：随着高校在校园网建设中对网络应用服务的要求越来越高，分配到的IP地址资源却越来越紧缺，造成高校对外网络服务的矛盾相当突出。解决此矛盾的一个根本方法，即在路由器上实行不同种类的网络地址转换技术（NAT），以此缓解当前IPv4形式下IP地址资源严重不足的问题。关键词：校园网；IP地址；路由器；NAT1．引言随着Internet的爆炸式增长，越来越多的局域网接入Internet，使得IP地址资源极度地紧缺。到目前为止，IPv4地址已经被分配完毕，而IPv6地址的实际应用还遥遥无期。因此，一所高校分配到的IP地址是很有限的。为了解决在有限个数的IP地址下提供尽量多的电脑同时与Internet上的主机通信网络地址转换（NAT）技术被提出。NAT能将在高校局域网中拥有私有IP地址的电脑也能和外部的Internet上的主机通信。很好的缓解了IP地址不足的问题。同时，它还能在外部用户面前隐藏内部网络的结构，对于本地主机而言还有一定的安全性。2．NAT技术2.1基本原理网络地址转换（NAT，NetworkAddressTranslation）技术，是一个IETF（InternetEngineeringTaskForce，Internet工程任务组）标准，它定义在RFC1631文档。图1表示了在路由器上使用NAT技术所实现的功能。图1NAT原理图如图1所示，当内部网络上的一台主机访问局域网上的一台主机时，内部网络主机所发出的数据文的源IP（私有地址）到达路由器后，路由器使用事先设置好的公有地址替换源IP，这样这个数据包的源IP地址就变成了Internet上唯一的共有地址了，然后此数据包经ISP服务被发送到Internet上的目的主机处。目的主机响应后，发回的数据包到达路由器时，路由器再用内部网络主机的源IP替换掉数据包的目的IP地址，然后把这个数据包发送给内部网络主机，这样内部网络主机和Internet上的主机通信完成。以上，NAT技术正是通过在经过路由器的数据包中将公有地址映射到他们的IP地址上，来事先允许内部网络使用私有地址的主机和Internet上使用公有地址主机通信的功能的。使用NAT技术可以使校园内的所有用户通过有限的IP地址访问Internet，从而节省了全球有限的的IPv4地址。2.2NAT的技术分类NAT有3种类型：静态NAT(StaticNAT),动态NAT（PooledNAT）和网络地址端口转换（Port-LevelNAT）。2.2.1静态NAT（StaticNAT）静态NAT是其中最简单，也是最容易实现的一种。静态NAT方式是在路由器上静态的把内部网中的一个私有地址和一个公有地址进行绑定。这种方式适用于内部网中只有一台或少数几台主机需要和互联网通信的情况。通过反向负载分部还能应用在服务器上，使访问服务器的速度加快，起到稳定服务器的应用。2.2.2动态NAT（PooledNAT）动态NAT方式是在路由器上设定一个公有地址池，该地址池中有一个或者多个公有地址。内部网络中的主机和互联网通信时动态地分配到一个临时的公有地址。当用户结束通信时，公有地址就会释放留待以后使用。这种方式在没有足够的公有地址时还能保证多台内部网络的主机同时与Internet通信，是最常用的方式。2.2.3端口级NAT（PortAddressTranslation）这种技术也称为网络地址端口转换NAPT，它是把内部地址映射到外部网络中的一个单独的IP地址上，同时在该地址上加一个由NAT设备选定的TCP端口号。即将内部地址映射到外部网络IP地址的不同端口上。根据不同的需要，以上3种类型的NAT技术各有利弊。2.3NAT技术的实现功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。比如：Cisco路由器中已经加入这一功能，网络管理员只需在路由器的IOS中设置NAT功能，就可以实现对内部网络的屏蔽。以下描述2种常用NAT的配置方法。2.3.1静态NAT的配置方法静态NAT的基本配置步骤如下：Router(config-if)#ipnatinside在连接内部网络的接口上声明该接口是NAT转换的内部网络。Router(config-if)#ipnatoutside在连接外部网络的接口上声明该接口是NAT转换的外部网络。Router(config)#ipnatinsidesourcestaticlocal-IPgobal-IP在全局模式下定义内部私有地址和外部公有地址的映射关系。2.3.2动态NAT的配置方法动态NAT的基本配置步骤如下：Router(config-if)#ipnatinside在连接内部网络的接口上声明该接口是NAT转换的内部网络。Router(config-if)#ipnatoutside在连接外部网络的接口上声明该接口是NAT转换的外部网络。Router(config)#access-listnumberpermitwildmask定义一个访问控制列表，其中包含有允许访问外部网络的全部内部网络主机。（其中标号为整数1-99）Router(config)#ipnatpoolnamestart-IPend-IPnetmask定义一个公有地址池。Router(config)#ipnatinsidesourcelistnumberpoolname[overload]定义内部网络私有地址与外部网络公有地址之间的映射,overload为可选参数，应用此参数表示复用公有地址。2.3.3端口地址转换的配置方法端口级NAT的基本配置步骤如下：Router(config)#ipnatinside在连接内部网络的接口上声明该接口是NAT转换的内部网络。Router(config)#ipnatoutside在连接内部网络的接口上声明该接口是NAT转换的外部网络。Router(config)#ipnatpoolpoolnamestart-IPend-IPmask定义一个公有地址池Router(config)#access-listnumberpermitwildmask定义一个访问控制列表，其中包含有允许访问外部网络的全部内部网络主机。Router(config)#ipnatinsidesourcelistnumberpoolname[overload]定义内部网络私有地址与外部网络公有地址之间的映射。2.4NAT技术在校园网中的应用结合学校的建设，模拟作出了简易的校园网拓扑图：图2校园简易网络拓扑图现以图书馆5楼的机房为例。5楼有3个网络实验室，3个语音室和1个办公室。因为语音室不用提供上网服务，所有只需连接到LAN就行。而3个网络实验室，平时还提供学生在此付费上网，所以必须保证实验室内大部分的电脑能同时与Internet进行通信。假设每个网络实验室有100台电脑，总共300台电脑，同时教师还在办公室设置了FTP服务器。学校网路中心分配了20个C类IP地址，显然这是远远不够用的。所以，在此用到了NAT技术。在机房中以Cisco2811路由器为平台，实现NAT技术的应用，交换机是Cisco2960型号。假设5楼分配到的20个有效IP地址是：220.0.0.1—220.0.0.20，子网掩码为255.255.255.0。通过路由器接入校园网传输链路层交换机，网络拓扑结构如图3所示：NAT配置过程和步骤：（1）配置路由器端口:给路由器添加一个模板：NM-ESW-161,这样路由器就有0/0,0/1和1/0-15总共17个快速以太网端口。选择其中的F1/0-5作为内部接口，F0/0作为外部接口。Interfacef0/0Ipaddress220.0.0.1255.255.255.0NoshutIpnatoutsideInterfacef1/0Ipaddress192.168.10.1255.255.255.0NoshutIpnatinsideInterfacef1/1Ipaddress192.168.20.1255.255.255.0NoshutIpnatinsideInterfacef1/2Ipaddress192.168.30.1255.255.255.0NoshutIpnatinsideInterfacef1/3Ipaddress192.168.40.1255.255.255.0NoshutIpnatinsideInterfacef1/4Ipaddress192.168.50.1255.255.255.0NoshutIpnatinsideInterfacef1/5Ipaddress192.168.60.1255.255.255.0NoshutIpnatinside（2）IP地址的配量，即给三个机房和办公室配置地址池。Ipnatpoolinternet1220.0.0.1220.0.0.6netmask255.255.255.0Ipnatpoolinternet2220.0.0.7220.0.0.12netmask255.255.255.0Ipnatpoolinternet3220.0.0.12220.0.0.17netmask255.255.255.0Ipnatpoolinternet4220.0.0.18220.0.0.19netmask255.255.255.0（3）控制列表的访问。定义访问列表如下：Access-list1permit192.168.10.00.0.0.255Access-list2permit192.168.20.00.0.0.255Access-list3permit192.168.30.00.0.0.255Access-list4permit192.168.40.00.0.0.255（4）地址映射的建立。将控制列表映射到不同的地址池，建立地址映射。Ipnatinsidesourcelist1poolinternet1Ipnatinsidesourcelist2poolinternet2Ipnatinsidesourcelist3poolinternet3Ipnatinsidesourcelist4poolinternet4overland（5）FTP端口的开放。建立静态地址转换，并开放FTP端口（TCP80）Ipnatinsidesourcestatic192.168.50.280220.0.0.2080（6）设置缺省路由。Iprouter0.0.0.00.0.0.0220.0.0.0经过上述配置后，Internet上的主机可以通过220.0.0.20:80访问内部网中的FTP服务器192.168.50.2；三个机房的计算机被映射到三个NAT地址池Internet1，Internet2，Internet3。这样三个机房的所有计算机就可以同时与互联网通信了。3．对NAT的评价NAT技术虽然在网络中被广泛的应用，但是仍然存在一定的缺点。首先，显而易见的，由于NAT表需要大量的缓存空间，对于那些没有专门NAT缓存的设备，就需要消耗额外的大量内存空间存储NAT的映射信息，使得设备能够缓存的数据包变少；并且由于NAT的操作主要是在NAT的表中查找信息，这种检索比较消耗设备的CPU资源；另外，路由器的NAT操作需要更改每一个数据包的源IP以转换地址，这种操作也十分消耗设备的CPU资源。其次，由于经过了地址转换之后，外部网络中的用户或主机将无法知道内部网络的地址，所以，外部网络中的用户也无法使用ping或trace等命令来验证网络的连通性。最后，使用IPSEC进行加密，则只能把NAT放在受保护的VPN内部，或者使用具有NAT功能的IPSEC设备。因为IPSEC规定IP地址不能被改变，如果改变了IP地址，就会破坏VPN的功能。4．结束语在当今IP资源已经分配完毕，一所高校能分配到的IP个数也极其有限。NAT技术在高校中的应用能很好的实现用少数IP地址让多数内部网络主机与Internet通信，同时可以节省向ISP申请IP的费用。但NAT技术对路由器会造成一定的负担，可以应用高端设备或者配