2015年第1期 文章编号:1009—2552(2015)01—0195—03 一种基于静态路由和NAT的局域网架构设计 龚文涛 (中国石油大学(华东)网络及教育技术中心,山东青岛266555) 摘要:随着信息技术迅猛发展,特别是IPv4的地址已消耗殆尽,公网IP资源对小型局域网更 是稀缺,提出一种基于静态路由的局域网的网络架构,且在出口部分应用访问控制列表和NAT 将内网地址转换为公网IP,节省了网络构建的成本,且由于NAT技术,外网不能访问内网,增 强了局域网的安全性。 关键词:局域网;ACL;安全 中图分类号:TP393 文献标识码:A A kind of area network based on static routing and NAT GONG Wen—tao (Internet and Education Technology Center,China University of Petroleum(East China), Qingdao 266555,Shandong Province,China) Abstract:With the development of information technology,the IPv4 address becomes less,the Intemet for the IP due to the local area network becomes much more needs,the paper proposes a kind of area network based on static routing and NAT,the outbound NAT can change the inside IP address into Internat IP,which can reduce the cost and make sure of security. Key words:local area network;ACL;security 0 引言 随着网络技术…的迅猛发展,使得网络设备变 得更加丰富多样,网络规模日益庞大。网络中主机 255.255.255.255结束,B类地址是从128.0.0.0开 始,到191.255.255.255结束,C类IP地址是从 192.0.0.0开始,到223.255.255.255结束,D类IP 地址是从224.0.0.0开始,到239.255.255.255结 束,E类的IP地址从240.0.0.0开始,到255.255. 255.255结束。随着网络规模的日益扩大,IPv4地 址逐渐变为一种稀缺资源,特别是IPv4地址,按照 要通信,需要IP地址互相通信。IP地址(Internet Protocol Address)是一种在互联网中给主机编址的 方式,也称为网际协议地址。常见的IP地址,分为 IPv4与IPv6两大类,目前中小型企业在互联网应用 的地址多是IPv4地址 。 在IPv4地址中,网络给每个连接在互联网上的 A、B、c、D、E类的分配已殆尽,对于局域的小企业和 小公司,是无法负担高昂的IP地址申请和维护成本 的。针对这个问题,相关网络专家提出NAT解决方 案,通过NAT将A类的私网(从10.0.0.0开始,到 主机(主机包括台式电脑、笔记本、手机等移动终 端)终端分配和设定的一个32位bit长度的IP地 址,而IP地址均用二进制中0和1代码表示,规定每 10.255.255.255结束)、B类的私网(从172.16.0.0 开始,到172.31.255.255结束)、C类的私网(从 个IPv4的地址均为32bit长,而由比特换算成字节, 即4个字节的长度,为标示方便,在TCP/IP协议中又 以点分十进制规定来规定,比如10.1.1.1来标示一 192.168.0.0开始,到192.168.255.255结束)装换 成公网IP。 收稿日期:2014—03—28 个IP地址,这样比32bit长度的要更加方便记忆。 IPv4地址按照实际可用的情况对其做了划分, 其中A类的IP地址是从1.0.0.0开始,到126. 作者简介:龚文涛(1984一),男,工程师,工学硕士,研究方向为访 问控制和网络安全。 NAT技术作为一种对网络地址转换的技术,可 以将私网地址转化为公网地址,节省了网络地址的 开销。 中小型局域网内部因为布局复杂,业务多样性 也导致其网络接口丰富,有以太网协议的,也有基于 点对点Ppp协议的。本文针对这个问题,研究了在 局域网如何在丰富多样的网络协议中通信,如何在 Ppp与以太网结合通信_3 J。本文借助路由器支持多 接口的优点可以将不通网络连接起来,将不同地域 的不同接口类型的局域网最终打通,通过配置静态 路由让每个网段互相可达,达到局域可通的目的,而 在局域网汇聚交换机上,再将其业务网的私网以 NAT方式转换为公网 J,通过配置好局域网的路由 规则后,则局域网和公网中的若干IP地址即可 通信。 l 基于静态路由协议的局域网架构设计 局域网内部,依靠静态路由协议将各个网段互 动可达,在外网出口的汇聚路由器上面,配置合理的 静态路由,和NAT转换 j,这样内网中业务机器可 以到达外网的公网地址,且可以多个地址对应一个 地址,节省网络公网IP地址。 而在外网的交换机设备上面,将连接在交换机 上的服务器端的IP地址的访问控制权限打开,使得 内网的IP段的网络可以通过NAT访问,且在外网 的交换机上,配置合理的静态路由,使得其可以将数 据包信息发回给局域网。 1.1 基于静态路由协议的网络架构 静态路由是一种路由协议,其配置简单,适合在 小型的局域网中由网络管理员配置,能够将网络规 模和流量按照局域网设计者和管理者的意愿流动。 基于静态路由的局域网规划如图1所示。 RTB 图1 基于静态路由的局域网规划 在基于静态路由协议的局域网里,每台路由器 需均配置静态路由,这样才能够全部局域网可达。 在全局网络中,将局域的各个网段信息要添加 到路由表中,指明下一跳地址的接口IP地址。 在点对点的广域网中,基于帧中继的网络中,其要 配置可达的网络FIR值,且要设定好dee端和dct端。 一196— 1.2基于Ppp认证 Ppp认证中,其认证方式有PAP认证和CHAP 认证。其中CHAP认证和PAP认证可分为单向认 证和双向认证 。 具体认证流程如图2所示有以下三步。 第一步:主验证方主动向被验证方发送请求,此 时,主验证方发送一个随机的数字,并同时将主验证 方的本端用户们一起发送。 第二步:被验证方收到主验证方的验证请求后, 检查本地用户的密码,如果配置了CHAP认证密码 后,如果没有配置默认的CHAP密码,则被验证方依 据的用户名和密码查找本地的用户名和密码,然后 将其利用MD5算法对报文和密码以及随机数生成 一个摘要信息发送回主验证方。 第三步:主验证方依靠MD5算法对报文和本地 的密码以及验证方式生成一个摘要,并且将其与收 到的摘要值比较。如果相同,通过验证,否则拒绝 认证。 PppCHAP RTA 认证 RTB 主验证方 被验证方 主机名+随机报文 ・● ----———-——----————一 主机名+加密后报文 通过/拒绝 图2 Ppp CHAP认证流程 1.3 NAT的规划 在NAT中,有三种比较流行的实现方法,有 Basic NAT、NAPT、Easy IP等方法。 其通过ACL访问控制列表选中要转换的地址 段,将其在出口的汇聚路由器上声明,且声明其选择 的NAT类型,对其执行NAT转换。 2 基于静态路由协议的局域网架构 实施 本文就网络的具体的IP地址段,具体网络端 口,具体的端口的核心配置做扼要说明。 2.1 网络架构和地址规划 网络架构中,一共有4台路由器,其中,RT做汇 聚,其上联的是公网,通过NAT转换将其局域内的 私网IP地址转化为公网IP,且要有对公网的访问 权限,如图3所示。 其中业务网段的IP信息如下: SWA上面的VLAN2,其网关是192.168.6.1, 掩码是24位;SWB上面的VLAN2,其网关是192. 168.7.1,掩码是24位;Swc上面的VLAN2,其网关 是192.168.8.1,掩码是24位;SWD上面的 窨j/S \ VLAN2:1921。^192. .矾2.2j 130\ 懈 ………。 船一。。: v£ 3.1詈、92.1 虬日6. 0“ ‘168.7.1/2 I 图3基于静态路由的局域网IP段拓扑图 VLAN2,其网关是192.168.8.1,掩码是24位。 需要将这些业务VLAN转换NAT,且其公网的 NAT地址是203.1.1.1到203.1.1.10,要求这些业 务的网段能访问公网服务器网段,其网关是50.1. 2.1,掩码是24位。 2.2静态路由协议配置 所有的路由器和交换机均需要配置静态路由, 使得其所有的网络可达,其中汇聚中的静态默认路 由是直接将默认路由信息发送给公网交换机,而公 网交换机需要将公网的IP地址的默认路由指向汇 聚路由器。 针对图3中的数据,对所有的交换机和路由器 进行静态路由的配置。 交换机SWA的静态路由信息配置如下: lp route—static 0.0.0.0 0.0.0.0 192.168.2.1 交换机SWB的静态路由信息配置如下: l。p route—static 0.0.0.0 0.0.0.0 192.168.3.1 交换机SWC的静态路由信息配置如下: l’p route—static 0.0.0.0 0.0.0.0 192.168.4.1 交换机SwD的静态路由信息配置如下: l p route—static 0.0.0.0 0.0.0.0 192.168.5.1 交换机SwE的静态路由信息配置如下: l‘p route—static 203.1.1.1 28 50.1.1.1 路由器RTA的静态路由信息配置如下: l‘p route—static 0.0.0.0 0.0.0.0 192.168.1.2 ip route—static 192.168.6.1 24 192.168.2.2 ip route—static 192.168.7.1 24 192.168.3.2 汇聚路由器RTB的静态路由信息配置如下: l。p route—stati‘c 0.0.0.0 0.0.0.0 50.1.1.1 l‘p route—stati‘c 192.168.6.1 24 192.168.1.1 l。p route—statm‘192.168.7.1 24 192.168.1.1 l’p route—statm‘192.168.2.1 30 192.168.1.1 ip route—statm’192.168.2.2 30 192.168.1.1 l‘p route—stat,‘c 192.168.3.1 30 192.168.1.1 ip route—statm 192.168.3.2 30 192.168.1.1 ip route—statm’192.168.8.1 24 192.168.4.2 l’p route—static 192.168.9.1 24 192.168.5.2 2.3出口NAT配置相关要点 出口NAT是以outbound方式配置在出口路由 器上,需要在路由器上启动防火墙,设置好源头公网 地址,配置相关的源地址,以便其作NAT,最后在其 接口下配置其inbound。 将防火墙功能开启: ifrewall enable 添加公网地址池地址: nat address—group 1 203.1.1.1 203.1.1.10 添加转换公网的IP地址段,其中只允许业务网 段,则只能在ACL列表里面添加业务网段。 acl number 2001 rule 0 permit source 192.168.6.1.0.0.0.255 urle 1 permit source 192.168.7.1.0.0.0.255 urle 2 permit source 192.168.8.1.0.0.0.255 在局域汇聚接口上直接做出向的NAT,为接口 配置相应的IP地址接口地址,且将其选择为带地址 和端口的转换。 interface GigabitEthernet1/3 port link—-mode route description link——to・—swe nat outbound 200 1 address——group 1 ip address 50.1.1.1 255.255.255.252 配置完毕后,可以互相ping通,且只有业务网 段可以ping通公网服务器网段,而公网服务器网段 是无法ping通业务网段,通过NAT后,进一步加强 了安全性。 2.4基于Ppp的认证参数配置流程 基于Ppp的CHAP认证中RTB为服务器端, RTA为客户端,是被验证端。 在RTB上的系统界面上,在本地声明为用户和 密钥,且将其密码设置为简单的simple格式。 local——user rta password simple rt service—’type PPP 在点对点接口的视图下,配置IP地址,且配置 其为认证的服务器端,且其认证模式为PPP authen— tication—mode chap。 在接口下的RTB的相应认证端口配置Ppp认 证信息如下: interface SerialO/1 description link——to——rta link——protocol PPP PPP authentication——mode chap PPP chap user rtb ip address 192.168.1.1 255.255.255.252 在认证端RTA的路由器上配置其相应的本地 账户,其密码一定要和住认证是一致的。 local—user rtb (下转第204页) .---——197.---—— 处理部署流程自动化的脚本化接口能够在每次 执行时提供可重复的结果。如果不得不使用用户界 面一次又一次地做同样的工作,那么即使是最先进 3 结束语 数据库对自动化提出了一个真正的挑战。将数 据库对象变更脚本写进传统的版本控制系统或者使 用“比较&同步”工具,对于自动化而言,这两种理 念要么效率不高,要么是件纯冒险的事,因为它们彼 此之间互不知晓。要以数据库DevOps的形式实现 一的解决方案也会变得繁琐。 提供可靠的部署脚本,能够解决冲突、合并代 码、以及与其他团队交叉更新;同时还能忽略错误的 代码覆盖,以及完全集成到版本控制库。 种更好的解决方案。数据库DevOps应该遵循已 动态提供自动生成的开发脚本,处理部署项目 范围内的任意组合,从多模式的大型更新,到基于单 经证明了的变更管理最佳实践,在数据库上强制实 行单一的变更流程,能够解决部署冲突,降低代码覆 盖、交叉更新和代码合并的风险,同时能够插入到发 布流程的其余部分。 参考文献: [1]梁为,凌怀新,张晓刚,等.基于Oracle的日志分析器[J].计算 机应用,2003(7):121—123. 任务的变更及其所依赖的对象。 在变更部署前后,利用“标签”(标记数据库结 构快照和相关内容)作为安全网,这样,随时都可以 简单快速地回滚。 可以完全集成到其它系统(ALM、变更管理/问 题单、构建服务器以及发布管理器)。 实现一种能够应对这些挑战的解决方案,将使 企业能够实行恰当的数据库自动化。数据库自动化 [2]郑祥云,张娟,葛文庚.数据库同步中差异数据捕获方案设计与 实现[J].电脑知识与技术,2009(7):1454—1455. [3]杨鹏.异构数据库同步中间件技术的研究与实现[D].长沙:国 防科学技术大学,2007. 很容易与变更和发布流程的其余部分集成,进而实 现完整的端到端的自动化。 (上接第197页) [4]郑风朝.面向数据集成应用的SQL Server数据库的日志分析研 究[D].广州:暨南大学,2008. 责任编辑:肖滨 要点和难点,以及Ppp认证方式做了分析和研究,就 局域网中配置的要点和难点做了总结。通过本文可 password simple rt service——type PPP 以实现一个小型基于静态路由协议和epp认证的局 域网配置。 参考文献: [1]Cohon A.Cisco lOS for IP Routing[M].3rd ed.,Rocket Science Press,Inc.,2003. 而在RTA认证端上的接口配置如下信息即可: interface Serial0/1 description link——to——rtb link——protocol PPP PPP chap user rta ip address 192.168.1.2 255.255.255.252 【2]Rekhter Y,Li T.RFC1771,A Border Gateway Protocol 4(BGP一 4)[S].1995. [3]Park J,Sandhu R.The UCONABC usage control model[J].ACM Transactions on Information and Systems Security,2004,7(1): 128—174. 这样配置完毕,通过查看链接状态的命令查看 其端口信息为up状态,且能够ping通对端即表示 配置成功。 [4]Hill B.Cisco完全手册[M].北京:电子工业出版社,2002. [5]赵冶东,张东亮,李渊,等.路由交换技术[M].北京:清华大学出 版社,2011. 3 结束语 本文就局域网中静态路由的配置、NAT的配置 (上接第201页) 责任编辑:薛慧心 Meeting of the Satellite Division of the Institute of Navigation,Salt 参考文献: [1]何朝阳,高金萍.基于PCI总线的高速高精度实时数据采集系 统【J].计算机测量与控制,2003,11(5):371—374. [2]郑菁.时间同步系统在电信网的应用研究[J].通信世界,2004 (1):36—37. Lake,2000:2175—2183. [5]王文瑜,基于北斗卫星的授时系统研制[D].北京:北京邮电大 学电子工程学院,2008. [6]陈孟元,凌有铸,王冠凌.北斗卫星导航系统与GPS互备的广播 电视授时单元[J].电视技术,2010,34(6):60—63. [3]关松青,肖昌炎,夏晓荣.IEEE】588协议在工业以太网中的实 [7]杨阳,项力领,胡智慧.基于双模导航定位模块的视频字符叠加 系统[J].吉林大学学报(信息科学版),2013,31(5):501—507. [8]李岩.CDMA手机显示时间和北京时间不一致问题分析[J].硅 谷,201l(13):148. 责任编辑:薛慧心 现[J].计算机工程,2011,37(6):237—238. [4]Sandhoo K,Turner D,Shaw M.Modernization of the Slob ̄positio— ning system[C].Proceedings of the 13th International Technology ---——204...——