基于Nat公网客户端访问私网Server实现分析.docVIP

基于Nat公网客户端访问私网Server实现分析 　　摘要：本文讲述了什么是Nat技术、Nat技术的分类及实现原理，为了实现在没有私网主机主动触发连接公网主机的情况下公网主机可以成功访问私网主机，引入了Nat Server技术，就公网客户端访问私网主机以Telnet做作为案例进行实现。 　　关键词：Nat；Nat Server；地址转换；Telnet 　　0背景 　　南昌工程学院网络实验室，因实验访问Internet需要分配无需客户端登录的网段的私有A类IP地址。该网段的IP经过NAT技术转换为学校申请到的公网IP访问Internet。为了满足学生NAT转换实训教学和其它教学业务的需求进行实现。 　　1什么是Nat技术 　　随着接入Internet的计算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘。为了解决IPv4地址短缺的问题，IETF提出了NAT（Network Address Translation, 网络地址转换）解决方案。IP地址分为公有地址和私有地址，公有由IANA统一分配，用于Internet通讯；私有地址可以自由分配，用于私有网络内部。NAT技术的主要作用是将私有地址转换成公有地址，使私有网络中的主机可以通过共享少量公有地址访问Internet。在ISP那里，即使是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。 　　借助于NAT，私有（保留）地址的“内部”网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。 　　Nat是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。虽然NAT可以借助代理服务器来实现，但考虑到实验室实现现状，我们以在路由器上接入来进行实现分析的。与NAT相关的标准有RFC2663、RFC3022、RFC3027等，其中RFC3022是关于传统NAT的标注，它详细描述了传统NAT的分类和实现机制。 　　2Nat分类 　　Nat有三种实现方式，分别是静态转换（Basic Nat ）、网络地址端口转换（NAPT）、基于接口地址转换（EASY IP）??? 　　2.1Basic Nat它只对数据包的IP层参数进行转换 　　配置Basic NAT时，首先需要配置一个公网地址池，为私网用户动态分配公网地址。地址池是一些连续的公网IP地址集合。地址池配置由nat address- 　　group命令完成。 　　地址池配置：nat address-grou group-number star 　　t-addr end-addr 　　如果地址的起始IP地址start-addr与结束IP地址end-addr相同，则表示地址池只有一个地址。 　　然后需要配置一个ACL，用于匹配需要被NAT转换的报文。ACL的配置与用于包过滤的ACL没有区别。被ACL允许（permit）的报文将被进行NAT转换；被拒绝（deny）的报文不会被转换。 　　2.2NAPT 　　在Basic NAT中，内部地址与外部地址存在一对一的关系，即同一个外部地址在同一个时刻只能分配给一个内部地址。它只是解决了公私网通信的问题，并没有解决公网IP不足的问题。NAPT（网络地址端口转换）对数据包的IP地址、协议类型、传输层端口号同时进行转换，可以显著提高公网地址的复用的能力，从而节约了公网地址。 　　其配置方法与Basic NAT基本相同。只是在网络地址转换操作命令: 　　nat outbound acl-number address-goup group-nu 　　mber no-pat 　　取消掉关键字no-pat。no-pat表示只做一对一的地址转换，且只转换地址数据包的地址而不转换端口。 　　2.3EASY IP 　　无论是在Basic NAT、NAPT配置中都需要创建公网地址池，也就是必须预先得到确定的公网IP。而在拨号接入网中，公网IP是由运营商动态分配的，无法事先确定。解决这个问题，就要引入Easy IP特性。 　　Easy IP也成为基于接口的地址，工作原理同NAPT相同。但是Easy IP直接使用相应公网接口的IP地址作为转换后的源地址。Easy IP适用于拨号接入等动态获得公网IP地址的场合。 　　3Nat Server引入 　　从Basic Nat和NAPT的工作原理可知，私网主机主动访问公网主机才能触发建立连接。公网主机不