NAT技术及应用

·网络通讯与安全····电脑知识与技术NAT技术及应用田祥宏(金陵科技学院信息技术学院,江苏南京21000)摘要:随着 Internet技术的飞速发展,使越来越多的用户加入到互联网,任何两台主机间通信都必须拥有全球惟的P地址,而不久P地址将会用完,为解决P地址即将耗尽,可以使用NAT技术来节省IP地址关键词:NA;地址;静态地址转換;动态地址转换;端口地址转换(PAT)中图分类号:TP393文献标识码:ANAT Technology and its Application(inling Institute of Technology, Nanjing 210001, China)Abstract: More and more users join in Internet by Internet technology spreading very quickly. In Internet, Two hoststhat can communicate must get a unique IP address. But IP address resource will run out of. Thus, For solving the problem, We can save IP address resource by using NAT technologyKey words: NAT; IP address; SAT; DAT; PAT( Port Address Translation随着 Internet技术的飞速发展,使越来越多的用户NAT的功能,就是指在一个局域网内部,根据需要加入到互联网,任何两台主机间通信都必须拥有全球可以随意使用自定义的P地址(必须是用于内部网络惟一的P地址,到目前为止,lpw4近43亿个P地址已的私有P地址),而不需要经过申请。在网络内部,各经被用去了一大半,并且每年都以8000万个甚至更快计算机间通过内部的P地址进行通讯。而当内部的计的速度被消耗,相信在不久的将来,P地址将会用完算机要与外部 Internet网络进行通讯时,具有NAT功(有专家预计在2008年将会用完),为解决P地址即将能的设备(比如:路由器)负责将其内部的P地址转换耗尽的问题,人们可以采很多技术来节省PP地址的使为合法的P地址(即经过申请的IP地址)进行通信用,其中NAT技术就是其中的一种2NAT的应用环境1NAT基本原理2.1一个企业不想让外部网络用户知道自己的网网络地址转换( Network Address Translation,NAT)络内部结构,可以通过NAT将内部网络与外部 Internet是用于将一个地址域(如企业内部网 Intranet)映射到另隔离开,则外部用户根本不知道通过NAT设置的内部个地址域(如国际互联网 Internet)的标准方法IP地址。socket或者其他可能的各种类型ARP欺骗工具来重定时间向通信(4)伪造ISA攻击下面是简单的说明有关OSPF的4种拒绝服务的这个攻击主要是gled守护程序的错误引起的,需攻击方法要所有 gated进程停止并重新启动来清除伪造的不正I) Max age attack攻击确的LSA,导致拒绝服务的产生。这个攻击相似对硬件SA的最大age为一小时(3600),攻击者发送带有的路由器不影响并且对于新版本的 gated也没有效最大 Maxage设置的ISA信息包,这样,最开始的路由age项中的突然改变值的竞争。如果攻击者持续的突然2× nemesis--ospf能对OsPF协议产生上述攻击,但是器通过产生刷新信息来发送这个LSA,而后就引起在ospf太多的选项和需要对OsPF有详细插入最大值到信息包给整个路由器群将会导致网络混深刻的了解,所以一般的攻击耆和管理人员难于实现乱和导致拒绝服务攻击这些攻击。并且也听说 nemesIs-ospf也不是一直正常正(2 Sequence+攻击确的工作,就更限制了这个工具的使用价值即攻击者持续插入比较大的 LSA sequence(序列)OSPF认证需要KEY的交换,每次路由器必须来回号信息包,根据OsPF的RFC介绍因为 LS seque传递这个KEY来认证自己和尝试传递OSPF消息,路lumber(序列号)栏是被用来判断旧的或者是否同样的由器的 HELLO信息包在默认配置下是每10秒在路由LSA,比较大的序列号表示这个ISA越是新近的。所以器之间传递,这样就给攻击者比较的大机会来窃听这到攻击者持续插入比较大的 LSA seqμ uence(序列)号信个KEY,如果攻击者能窃听网络并获得这个KEY的息包时候,最开始的路由器就会产生发送自己更新的话,OSFF信息包就可能被伪造,更严重的会盲目重定LSA序列号来超过攻击者序列号的竞争,这样就导致向这些被伪造的OSPF信息包了网络不稳定并导致拒绝服务攻击参考文献(3)最大序列号攻击[1http://www.3our,com/pconline/network/infosort/1_1就是攻击者把最大的序列号0x7 FFFFFFF插入。根据OSPF的RFC介绍,当想超过最大序列号的时候2 Hang Liu OSPF -TE ESupport ofLSA就必须从路由 domain(域)中刷新,有 InitialSequerShared Mesh restoration 2004-02reNumber初始化序列号。这样如果攻击者的路由器序列号被插入最大序列号,并即将被初始化,理论上就会版社200中国煤化工北京邮电大学出马上导致最开始的路由器的竞争。但在实践中, JiNaoCNMHGeA发现在某些情况下,拥有最大 MaxSeq(序列号)的ISA收稿口并没有被清除而是在连接状态数据库中保持一小时的电脑知识与技术·网络通讯与安全22一个企业申请的合法 Internet IP地址很少,而hostname 2501内部网络用户很多。可以通过NAT功能实现多个用户ip nat inside source static 10.1.1.2 192.1.1.2同时共用一个合法P与外部 Internet进行通信ip nat inside source static 10. 1. 1.3 192.1 1.33设置NAT所需路由器的硬件配置和软ip nat inside source static 10. 1. 1.4 192.1 1.4件配置erne设置NAT功能的路由器至少要有一个内部端口ip address10.1.1.1255.25255.0( Inside),一个外部端口( Outside)。内部端囗连接的网ip nat inside络用户使用的是内部IP地址私IP地址内部端口可以为任意一个路由器端口。外部端口ip address I92.1.1.1255.25255.0连接的是外部的网络,如 Internet。外部端口可以为路由ip nat outsIde器上的任意端口no ip mroute-cachebandwidth 2000设置NAT功能的路由器的IOS应支持NAT功能本文事例所用路由器为Cico2501,其IOS为11.2版clockrate 2000000本以上支持NAT功能)terface Serial4关于NAT的几个概念no ip address内部本地地址( Inside local address):分配给内部网络中的计算机的内部PP地址(即私有IP地址)。内部合法地址( Inside global address):对外进入PPip route 0.0.0.0 0.0.0.0 Serial0通信时,代表一个或多个内部本地地址的合法IP地址。line con o需要申请才可取得的IP地址。line aux o5NAT的类型及设置方法line vty o 4NAT设置可以分为静态地址转换、动态地址转换ord cisco端囗地址转换(PA配置完成后可以用以下语句进行查看:5.1静态地址转换静态地址转换将内部本地地址与内部合法地址进show ip nat translations行一对一的转换,且需要指定和哪个合法地址进行转52动态地址转换换。如果内部网络有E-mai服务器或FTP服务器等可动态地址转换也是将本地地址与内部合法地址以为外部用户提供的服务,这些服务器的P地址必须对一的转换,但是动态地址转换是从内部合法地址池采用静态地址转换,以便外部用户可以使用这些服中动态地选择一个末使用的地址对内部本地地址进行转换。静态地址转换基本配置步骤动态地址转换基本配置步骤在内部本地地址与内部合法地址之间建立静态(1)在全局设置模式下,定义内部合法地址池地址转换。在全局设置状态下输入Ip nat inside source static内部本地地址内部合法子网 nat pool地址池名称起始P地址终止P地址地址其中地址池名称可以任意设定。(2)指定连接网络的内部端囗在端囗设置状态下输(2)在全局设置模式下,定义一个标准的 access--h规则以允许哪些内部地址可以进行动态地址转换。ip nat insideAccess-list标号 permit源地址通配符(3)指定连接外部网络的外部端口在端口设置状态其中标号为1-99之间的整数(标号在1-99是因下输入为使用的是标准ACL)(3)在全局设置模式下,将由 access-list指定的内部注:可以根据实际需要定义多个内部端口及多个本地地址与指定的内部合法地址池进行地址转换。外部端囗ip nat inside source list访问列表标号pool内部合实例1法地址池名字本实例实现静态NAT地址转换功能。将2501的以(4)指定与内部网络相连的内部端口在端囗设置状太口作为内部端口,同步端口0作为外部端口。其中10.1.1.2,10.1.1.3,10.1.1.4的内部本地地址采用静态地址转换。其内部合法地址分别对应为192.1.1.2)指定与外部网络相连的外部端口192.1.1.3.192.1.1.4路由器2501的配置:Ip nat outside实例2本实例中硬件配置同上,运用了动态NAT地址转version 11.3换功能。将2501的以太口作为内部端口,同步端口0no service password-encryption作为外部端口。其中10.1.1.0网段采用动态地址转换1RFC1918为私有、内部使用保留了A类(范围对应内部合法地址为192.1.1.2~192.1.1.1010.0.0.0-10.255255.255)、B类(范围172160中国煤化工17231.25525)和C类(范围192.168.00192.16825255)地址,这些地址不能在 Internet上被路CNMHG由·网络通讯与安全····电脑知识与技术ip nat pool aaa 192.1 1.2 192.1.1 10 netmask501的配置255.255.255.0Current configurationip nat inside source list 1 pool aaaversion 1 1.3erface Ethernet0no serviceord-encryptionp address 10.1.1.1255.2552550hostname 2501ip nat pool bbb 192.1.1 1 192. 1. 1. 1 netmaskinterface Serial5.255.255.0ip address1921.11255.255.2550ip nat inside source list I pool bbb overloadip nat outsidenterface Ethernetno ip mroute-cachip address I0.1.1.1255.255.2550bandwidth 2000ip nat insideno fair-qinterface Serial0clockrate 2000000ip address 192.1.1.1255.255.255.0interface Serialbandwidth 2000ip route 0.0.0.0 0.0.0.0 Serial0clockrate 2000000access-list 1 permit 10.1.1.0 0.0.0.255line con oline aux oline vty 0 4no ip classlessip route 0.0.0.0 0.0.0.0 Serial5.3端口地址转换端囗地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址只申请到少量PP地址但却经常同时有多于合法地址个password cisco数的用户上外部网络的情况,这种转换极为有用以上三种NAT类型是比较常见的,它们各有自己通过路由器内部利用上层的如TCP或UDP端口号等的优缺点,静态地址转换适合比较简单的转换,这种转唯一标识某台计算机换并不能节省P地址,只是起到保护内部网络的作用端口地址转换配置步骤动态地址转换只是转换IP地址,它为每一个内部的IP在全局设置模式下,定义内部合地址池地址分配一个临时的外部PP地址,主要应用于拨号,对子网ntpo地址池名字起始P地址终止P地址于频繁的远程连接也可以采用动态地址转换,不过这种方式也并不节省P地址;PAT(端口地址转换)是人其中地址池名字可以任意设定们比较熟悉的一种转换方式,普遍应用于接入设备中在全局设置模式下,定义一个标准的 access-list规它可以将中小型的网络隐藏在一个合法的P地址上则以允许哪些内部本地地址可以进行动态地址转换。它将内部连接映射到外部网络中的一个单独的PP地址list标号源地址通配符上,同时在该地址上加上一个NAT设备选定的TCP端其中标号为1-99之间的整数口号,而在 Internet中使用PAT时,所有不同的TCP和在全局设置模式下,设置在内部的本地地址与内UDP信息流看起来好像来源于同一个IP地址。以上三部合法P地址间建立复用动态地址转换种都是从内向外转换,NAT还有一种类型,就是TCPp nat inside source list访问列表标号pol内部合负载均衡,这种类型是由外到内的翻译,这里不再赘法地址池名字 overload述,有兴趣的读者可以查询《 Cisco路由器手册》。在端口设置状态下,指定与内部网络相连的内部6结束语端囗尽管使用PAT可以实现多个内部P地址共用个外部P地址上 Internet,可以节省部分外部P地址在端口设置状态下,指定与外部网络相连的外部但如果内部的P地址过多,而共享的外部P地址太少,就会导致信道的阻塞。使用PAT技术来节省外部PIp地址只是一个临时性的办法,解决I地址缺乏的最终实例3:应用了端口动态NAT地址转换功能。将办法是尽快将当前的lpy4升级到Ipv6,因为lp6采用25o1的以太口作为内部端口,同步端口0作为外部端128位的P地址,其地址资源非常丰富。口。10.1.1.0网段采用端口动态地址转换。假设企业只参考文献申请了一个合法的P地址1921.1.1。蔡学军,梁广民,王隆杰,张立娟网络互联技术M]高等教育出版社20042ACL( Access Control List,访问控制列表)是应用2中国煤化工wne130com在路由器接口的指令列表。ACL指令列表是用来告诉3JC一配置手册htp!路由器哪些数据包可以转发,哪些数据需要阻塞,起到www.netCNMHG收稿日期:2005-09个过滤网络通信流量的作用。