论文部分内容阅读
【摘 要】网络地址转换(NAT)技术是路由交换和防火墙技术课程的重点和难点。如何在得到正确实验结果的情况下,更生动的让学生理解转换原理,就成为该课程设计的中心点。通过围绕仿真软件eNSP的课程设计,可以实现将实验结果与实验过程统一,深化学生对于协议原理和工作过程的理解。
【关键词】网络地址转换(NAT) eNSP 实验设计
一、引言
网络地址转换(NAT)技术是目前广泛采用的连接私有网络至公网的一种地址转换技术。NAT技术将内网发送至外网的报文所包含的源主机私有IP地址转换为共享的公网IP地址,从而隐藏内网地址和内网结构,避免了真实内网IP地址的泄露,提高了网络的安全性[1-4]。因此网络地址转换技术都是作为路由和交换以及防火墙技术的重点实验内容。
而在以往的课程实验设计中,往往受到物理设备数量的限制,而必须将学生分组开展实验。这样的设计方式,既难以保证每位学生的实验时间,也难于很好的帮助学生理解相关协议的工作原理和工作方式。针对上述问题,本文提出基于eNSP软件开展NAT转换实验。通过实践测试,表明该方法可以有效的解决以上问题。
二、NAT转换原理
网络地址转换技术的应用方式主要有以下三类:
(1)静态地址转换:将内网私有地址与一个固定的公网地址进行绑定,实现一对一静态转换。这种应用也称为NAT Server转换,用于实现将内网服务器对公网开放的情景。
(2)动态地址转换:将多个内网私有地址转换为一个随机分配的公网地址,连接终止后收回公网地址。
(3)动态地址、端口转换:将多个内网私有地址转换为同一个分配的公网地址,实现公网地址的共享功能。这种应用也称为NAT Outbound转换。
三、eNSP软件的应用
eNSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的、图形化的网络设备仿真平台,主要对企业网路由器、交换机、WLAN、防火墙等设备进行软件仿真。 eNSP有如下的主要特色:
(1)图形化操作;(2)高仿真度;(3)可与真实设备对接;(4)分布式部署;(5)便于演示实验结果。
四、实验验证
我们已NAT Outbound实验为例,讲解eNSP软件如何完成实验仿真以及结果分析的。我们设计如图1所示的拓扑结构图。
图1 NAT Oubound转换
我们的实验验证采用华为eNSP仿真模拟软件。我们在防火墙上的主要配置指令如下:
[USG]policy interzone trust untrust outbound
[USG-policy-interzone-trust-untrust-outbound]policy 0
[USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 255.255.255.0
[USG-policy-interzone-trust-untrust-outbound-0]action permit
[USG]nat-policy interzone trust untrust outbound
[USG-nat-policy-interzone-trust-untrust-outbound]policy 0
[USG-nat-policy-interzone-trust-untrust-outbound-0]policy destination 2.2.2.10 0.0.0.255
[USG-nat-policy-interzone-trust-untrust-outbound-0]address-group 1
[USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.10 0.0.0.255
[USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat
四、結论
通过配置如下指令查看防火墙状态转换表,如下:
[USG]display firewall session table
23:43:43 2014/04/17
Current Total Sessions : 5
icmp VPN:public --> public
192.168.1.10:51190[2.2.2.5:2048]-->2.2.2.10:2048
通过以上转转换表,可知内网报文在进入外网之前,防火墙会将其私有源地址转换为公网地址,保护了用户隐私和网络安全。通过以上实验配置,我们可以看到eNSP仿真软件在实现和演示NAT原理及方面,具有得天独厚的优势。
参考文献:
[1]李长春.网络地址转换技术及其应用[J].电脑知识与技术,2009,6:4376-4377.
[2]赵永驰,吴坚,陈波. 网络地址转换技术在防火墙中的应用[J]. 兵工自动化,2005,1:35-35.
[3] 姜贵平,姜贵君,张松等.网络地址转换技术实验的设计与实现[J]. 实验科学与技术,2008,6:54-58.
[4]华为技术有限公司.HCDA华为认证工程师培训[M].2013:183-237.
[5]华为技术有限公司.HCDA实验指导书[M]. 2013:51-60.
【关键词】网络地址转换(NAT) eNSP 实验设计
一、引言
网络地址转换(NAT)技术是目前广泛采用的连接私有网络至公网的一种地址转换技术。NAT技术将内网发送至外网的报文所包含的源主机私有IP地址转换为共享的公网IP地址,从而隐藏内网地址和内网结构,避免了真实内网IP地址的泄露,提高了网络的安全性[1-4]。因此网络地址转换技术都是作为路由和交换以及防火墙技术的重点实验内容。
而在以往的课程实验设计中,往往受到物理设备数量的限制,而必须将学生分组开展实验。这样的设计方式,既难以保证每位学生的实验时间,也难于很好的帮助学生理解相关协议的工作原理和工作方式。针对上述问题,本文提出基于eNSP软件开展NAT转换实验。通过实践测试,表明该方法可以有效的解决以上问题。
二、NAT转换原理
网络地址转换技术的应用方式主要有以下三类:
(1)静态地址转换:将内网私有地址与一个固定的公网地址进行绑定,实现一对一静态转换。这种应用也称为NAT Server转换,用于实现将内网服务器对公网开放的情景。
(2)动态地址转换:将多个内网私有地址转换为一个随机分配的公网地址,连接终止后收回公网地址。
(3)动态地址、端口转换:将多个内网私有地址转换为同一个分配的公网地址,实现公网地址的共享功能。这种应用也称为NAT Outbound转换。
三、eNSP软件的应用
eNSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的、图形化的网络设备仿真平台,主要对企业网路由器、交换机、WLAN、防火墙等设备进行软件仿真。 eNSP有如下的主要特色:
(1)图形化操作;(2)高仿真度;(3)可与真实设备对接;(4)分布式部署;(5)便于演示实验结果。
四、实验验证
我们已NAT Outbound实验为例,讲解eNSP软件如何完成实验仿真以及结果分析的。我们设计如图1所示的拓扑结构图。
图1 NAT Oubound转换
我们的实验验证采用华为eNSP仿真模拟软件。我们在防火墙上的主要配置指令如下:
[USG]policy interzone trust untrust outbound
[USG-policy-interzone-trust-untrust-outbound]policy 0
[USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 255.255.255.0
[USG-policy-interzone-trust-untrust-outbound-0]action permit
[USG]nat-policy interzone trust untrust outbound
[USG-nat-policy-interzone-trust-untrust-outbound]policy 0
[USG-nat-policy-interzone-trust-untrust-outbound-0]policy destination 2.2.2.10 0.0.0.255
[USG-nat-policy-interzone-trust-untrust-outbound-0]address-group 1
[USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.10 0.0.0.255
[USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat
四、結论
通过配置如下指令查看防火墙状态转换表,如下:
[USG]display firewall session table
23:43:43 2014/04/17
Current Total Sessions : 5
icmp VPN:public --> public
192.168.1.10:51190[2.2.2.5:2048]-->2.2.2.10:2048
通过以上转转换表,可知内网报文在进入外网之前,防火墙会将其私有源地址转换为公网地址,保护了用户隐私和网络安全。通过以上实验配置,我们可以看到eNSP仿真软件在实现和演示NAT原理及方面,具有得天独厚的优势。
参考文献:
[1]李长春.网络地址转换技术及其应用[J].电脑知识与技术,2009,6:4376-4377.
[2]赵永驰,吴坚,陈波. 网络地址转换技术在防火墙中的应用[J]. 兵工自动化,2005,1:35-35.
[3] 姜贵平,姜贵君,张松等.网络地址转换技术实验的设计与实现[J]. 实验科学与技术,2008,6:54-58.
[4]华为技术有限公司.HCDA华为认证工程师培训[M].2013:183-237.
[5]华为技术有限公司.HCDA实验指导书[M]. 2013:51-60.