| 1 引言 网络地址转换(NAT)技术是目前广泛采用的连接私有网络至公网的一种地址转换技术。NAT 技术可以隐藏内网地址和内网结构,避免了真实内网IP 地址的泄露,提高了网络的安全性。 内网服务器对公网开放通常采用的方法是将内网服务器使用的内网IP 地址与一个公网IP 地址进行静态绑定。但是常规的方式必须要求内网服务器设置缺省路由。为了简化网络的路由设置问题,我们提出可以采用双向网络地址转换技术来实现内网服务器不设置缺省路由,也能将响应数据包发送回外网主机的功能。 2 双向NAT转换原理 防火墙设备实现双向NAT 技术的原理如图1 所示。在图1 中,公网用户需要访问内网服务器,发出目的地址为202.20.1.5 的报文。报文到达防火墙之后,根据转换表将此报文的目的地址202.20.1.5 转换为私有地址192.168.1.5,这种转换被称为NAT Server 转换。当配置NAT Server 时,服务器需要配置到公网地址的路由才可正常发送回应报文。如果要简化配置,则可以对外网用户的源IP 地址也进行转换,转换后的源IP 地址与服务器的私网地址在同一网段。这样内部服务器会缺省将回应报文发给防火墙设备,由防火墙来转发回应报文。因此来自公网的数据包除了需要进行由公网目的地址到私有目的地址的转换外,也需要将数据包的公网源地址转换为私有源地址,即在图1 中将公网源地址2.2.2.5 转换为私有源地址192.168.1.1。这种NAT 转换被称为NAT Inbound 转换。因此双向NAT 转换就是NAT Server+ NAT Inbound 转换。 3 实验验证 我们的实验验证采用华为eNSP 仿真模拟软件。我们在防火墙上的主要配置指令如下: 4 结论 通过以上的仿真实验,可以发现公网主机发出的HTTP 和FTP 报文和回应报文在穿越防火墙的时候,源地址和目的地址均进行了转换。采用双向NAT 技术,可以避免内网服务器设置直接到达公网的缺省路由。从而简化了内网路由配置,同时也提高了内网服务器的安全性。 参考文献 [1] 李长春. 网络地址转换技术及其应用[J].电脑知识与技术,2009,6:4376-4377. [2] 赵永驰, 吴坚, 陈波. 网络地址转换技术在防火墙中的应用[J]. 兵工自动化,2005,1:35-35. [3] 姜贵平, 姜贵君, 张松等. 网络地址转换技术实验的设计与实现[J]. 实验科学与技术,2008,6:54-58. [4] 华为技术有限公司.HCDA 华为认证工程师培训[M].2013:183-237. [5] 华为技术有限公司.HCDA 实验指导书[M].2013:51-60. 作者单位 重庆电子工程职业学院 通信工程学院 重庆市 401331__ |
| 在线咨询: |
|
| 联系电话: | 18602588568 |
| 投稿邮箱: | bosslunwen@126.com |
| ★诚信★专业★权威★快速★ | |
