淺析中大型企業(yè)網(wǎng)的互聯(lián)網(wǎng)架構(gòu)

唐國光

摘要：由于互聯(lián)網(wǎng)上分配的IP地址日益短缺，申請得到多個IP地址都是很困難的事情，申請一個專線上網(wǎng)只能得1到2個的IP地址，但是按照傳統(tǒng)的上網(wǎng)技術來看，1到2個IP地址最多同時只能2個用戶訪問互聯(lián)網(wǎng)，如果本地用戶較多，如10～100人的企業(yè)或上百個用戶的網(wǎng)吧，這么多的用戶如何解決同時上網(wǎng)。網(wǎng)絡地址轉(zhuǎn)換（NAT）技術就是針對這樣的情況產(chǎn)生的。

關鍵詞：NAT；PAT ；互聯(lián)網(wǎng)接入

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）34-0271-02

1 NAT技術的相關介紹

1.1 NAT技術的概述

NAT（Network Address Translation）網(wǎng)絡地址轉(zhuǎn)換，可以將使用私有地址的企業(yè)網(wǎng)、家庭網(wǎng)，通過地址轉(zhuǎn)換功能，與互聯(lián)網(wǎng)通信。在內(nèi)網(wǎng)絡中，計算機之間通過私有IP地址進行通訊。而當內(nèi)網(wǎng)計算機要與互聯(lián)網(wǎng)進行通訊時，利用具有NAT功能的設備（比如：路由器、軟路由RouterOS以及網(wǎng)絡操作系統(tǒng)），將其內(nèi)部私有IP地址轉(zhuǎn)換為全局IP地址（即電信運營商分配的IP地址）進行通信。

1.2NAT的工作過程

1.3 NAT技術的優(yōu)勢和不足

1.3.1 NAT的優(yōu)勢

（1） 內(nèi)網(wǎng)使用私有地址，不使用公網(wǎng)地址，有效解決IP地址短缺的問題。

（2） 提高了內(nèi)網(wǎng)的安全性，使用NAT的網(wǎng)絡，在大多數(shù)情況下，通信是由內(nèi)部網(wǎng)絡發(fā)起，外網(wǎng)無法主動向內(nèi)網(wǎng)發(fā)起遠程攻擊。

（3） 可以使用PAT功能，有效隱藏內(nèi)部服務器開放端口。

1.3.2 NAT的不足

（1） NAT會使網(wǎng)絡延遲增大。每個數(shù)據(jù)包都要進行地址轉(zhuǎn)換，要改變IP或TCP包頭信息，增大了網(wǎng)絡傳輸時間。

（2） 失去了終端到服務器的端到端連接。由于外部用戶看到的地址是內(nèi)部全局地址，看不到內(nèi)部局部地址，由NAT進行轉(zhuǎn)換后實現(xiàn)跳板式通信。

1.4 NAT的設置方法

1.4.1 靜態(tài)地址轉(zhuǎn)換

靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進行一對一的轉(zhuǎn)換。

內(nèi)網(wǎng)中如有需要向外提供的服務器，靜態(tài)地址轉(zhuǎn)換可以為外部用戶提供地址映射服務。

1.4.2 PAT

PAT轉(zhuǎn)換也是一種動態(tài)地址轉(zhuǎn)換，它允許多個內(nèi)部本地地址通過端口號共用一個內(nèi)部全局地址。用最少的公網(wǎng)IP地址，為更對的內(nèi)網(wǎng)地址提供轉(zhuǎn)換服務，極大的減少了公網(wǎng)地址的占用。

在全局設置模式下，設置在內(nèi)部的本地地址與內(nèi)部全球IP地址間建立復用動態(tài)地址轉(zhuǎn)換。

2 NAT 技術應用

2.1 網(wǎng)絡環(huán)境

互聯(lián)網(wǎng)服務提供商分配5個公網(wǎng)IP地址給該公司，IP地址分別是：58.241.218.178-58.241.218.182子網(wǎng)掩碼長度28。網(wǎng)絡管理員可以通過NAT（網(wǎng)絡地址轉(zhuǎn)換）技術，通過這幾個公網(wǎng)IP地址提供整個企業(yè)網(wǎng)的互聯(lián)網(wǎng)接入服務、為了確保財務處的網(wǎng)絡安全，不允許財務處所在的網(wǎng)絡（172.16.12.0）接入公網(wǎng)。

2.2 拓撲圖

S7交換機用于連接總經(jīng)理辦公室、副經(jīng)理辦公室1、副經(jīng)理辦公室2和財務處的終端接入，S8交換機用于連接客服中心和信息中心的終端接入。S7和S8交換機匯總到S2交換機。

S5交換機用于連接倉庫管理中心的終端設備，S6交換機用于連接主營業(yè)廳的終端設備。S5和S6交換機匯總到S3交換機，其中S6和S3核心交換間使用雙鏈路連接，可以保證數(shù)據(jù)可靠性。

S2和S3核心交換機連接到S1交換機中心交換機。S4交換機用連接內(nèi)部服務器區(qū)計算機，并且連接到S1交換機。

S1交換機連接到R1出口路由器，R1出口路由器開啟NAT功能，提供互聯(lián)網(wǎng)接入服務。

2.3 NAT路由器配置

步驟1：配置連接外網(wǎng)端口（FA0/0）。

步驟2：確定fa0/1接口為連接內(nèi)網(wǎng)端口。

步驟3：配置訪問控制列表，實現(xiàn)只禁止財務處聯(lián)入互聯(lián)網(wǎng)。

步驟4：啟用PAT功能，并引用access-list 1訪問控制列表。

步驟5：在NAT路由器（R1）中配置默認路由。

步驟6：在R1路由器中向OSPF網(wǎng)絡注入默認路由。

3 結(jié)束語

NAT的地址轉(zhuǎn)換使一個局域網(wǎng)僅使用較少公網(wǎng)IP地址，就能獲得互聯(lián)網(wǎng)接入的能力，有效地緩解了地址不足的問題，同時提供了一定的安全性。在內(nèi)部網(wǎng)絡通過NAT訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。外部網(wǎng)絡回應包傳回NAT路由器時，根據(jù)映射關系轉(zhuǎn)換為內(nèi)網(wǎng)地址，完成通信。增加網(wǎng)絡可靠性。

參考文獻：

[1] 蔡立軍，李立明，李峰.計算機網(wǎng)絡安全技術[M].中國水利水電出版社，2004.endprint