李战国， 刘建粉， 王寅川

(1.平顶山学院，河南 平顶山 467002; 2.平顶山市工业学校，河南 平顶山 467000)

0 引 言

网络地址转换(Network Address Translation, NAT)技术既可以缓解IP地址短缺的问题，又可以隐藏内部网络地址，实现内网与外网的隔离[1-8]，但是在实践中我们通过追踪命令发现部分内部网络地址出现在追踪IP地址列表中，并且在NAT实验中我们确实发现了这样的问题。本文设计的NAT实验主要论述了NAT中内网暴露问题，并通过相应的技术手段解决了这个问题，实现了内网拓扑隐藏及内外网间的安全隔离，加深了对NAT技术的理解与应用。

1 NAT下的内部网络暴露问题

在NAT配置实验中，不论使用PING还是Tracert对NAT内部网络进行追踪通信都发现了内部网络暴露问题。本节使用实验的方式说明这种问题的存在。

1.1 实验环境及拓扑图

在实验环境上，我们已经在主流的路由器上(如思科、华为、锐捷等厂商产品)及模拟器上实现了该实验功能。为了简化实验条件，我们以思科模拟器Cisco Packet Tracer为实验环境实现该功能。实验网络拓扑如图1所示。

图1 NAT实验网络拓扑图

为了验证在穿越NAT内部网络时的内部网络暴露问题，图中使用192.168.1.0/24作为NAT内部网段，两边的都是外部网络。为了实现这一功能，首先使用动态路由协议RIP实现全网通信，检查内部网络与外部网络通信正常。并且配置Router1及Router2的Fa0/0接口为内网接口，Router1及Router2的Fa0/1接口为外网接口。

1.2 开启NAT后的内网隔离情况

在开启NAT并声明NAT内部及外部接口后，在没有进行静态及动态NAT配置的情况下使用PING及Tracert命令检查内部网络与外部网络的通信及隐藏情况[9-12]。

1.2.1使用PING命令验证网络通信情况

按照NAT可以隔离内部网络的说法，只要开启NAT转换功能，在没有配置转换之前外网是没法访问内部网络的。但是实验结果说明这种认识是错误的。在外网Server1不仅可以PING通内网Server2，而且可以穿越内网PING通另一侧的外网Server0，结果如图2所示。说明在这种情况下NAT没有隔离内网的功能。

图2 只开启NAT时外网PING内网及外网结果图

1.2.2使用Tracert命令验证网络通信情况

为了验证内部IP地址可能暴露给外网，我们使用Tracert命令进行路由追踪，结果截图如图3所示。

图3 只开启NAT内网IP地址暴露结果图

图中可以看出，在左边Server0上使用Tracert命令追踪右边Server1时，不仅穿越了NAT的内部网络，而且把内部网络IP地址192.168.1.1也暴露在路由追踪表中。这就是为什么在广域网中可能出现内部私有IP地址的原因之一。

1.3 开启静态及动态NAT转换后的内网暴露情况

为了验证在配置静态及动态NAT下内部网络的包暴露情况，在Router1上配置了内部服务器的基于端口的静态Web转换及基于接口的动态PAT转换。在Router2上配置了基于地址池的动态NAT及基于IP的静态NAT转换。其配置代码如下：

Router1：

ip nat inside source list 10 interface FastEthernet0/1 overload

ip nat inside source static tcp 192.168.1.4 80 201.0.0.11 80

Router2：

ip nat pool abc 202.0.0.3 202.0.0.4 netmask 255.255.255.0

ip nat inside source list 10 pool abc

ip nat inside source static 192.168.1.3 202.0.0.22

1.3.1在Server0上追踪内网及外网

在Server0上追踪内部网络服务器Server3及右边外部网络服务器Server1情况，主要验证内部端口静态转换及外部Overload转换时的内网隔离情况，其结果如图4所示。

由图4可以看出，在PING命令下内网IP地址及穿过内网的另一个网段外网均可以PING通。只是在使用Tracert命令追踪时内网IP地址192.168.1.1超时，但是其后的所有外网地址均可以看到。也就是说虽然内网地址看不到了，但是可以穿越内部网络。

1.3.2在Server1上追踪内网及外网

在Server1上追踪内部网络服务器Server4及左边外部网络服务器Server0情况，主要验证内部静态IP转换及外部地址池转换时的内网隔离情况，其结果如图5所示。

图5 动态及静态NAT内网IP地址暴露结果图

由图5可以看出，在PING命令下内网IP地址及穿过内网的另一个网段外网均可以PING通。只是在使用Tracert命令追踪时内网IP地址192.168.1.1变为被动态映射后的内部全局IP地址202.0.0.3，但是其后的所有外网地址均可以看到。也就是说虽然内网IP地址看不到了，但是可以穿越内部网络。

2 NAT下的内部网络隐藏技术

通过上面的实验结果看出，在现有的NAT网络结构下其内网可以被访问，没法进行隐藏。为了加强内部网络的安全，本文提出使用访问控制列表(Address Control List, ACL)技术及路由技术实现内外网的隔离[13-16]，以达到内部网络的隔离与安全。

2.1 使用ACL技术实现内网IP的隐藏

在边界路由器Router1与Router2的外网接口F0/1使用下列ACL列表：

Router(config)#access-list 100 deny ip any 192.168.1.0 0.0.0.255

Router(config)#access-list 100 permit ip any any

Router(config)#int f0/1

Router(config-if)#ip access-group 100 in

其主要功能为在外网接口的入方向拒绝对内部本地IP地址网段192.168.1.0/24进行访问，而内网对外网的所有访问没有任何影响。图6是对内网及外网的PING及Tracert追踪情况。

图6 使用ACL隐藏内网IP地址结果图

从图中可以看出，所有内部本地地址的通信都是不可达的，但是对于穿过内部网络的追踪命令是可以通过的，这就隐藏了所有的内部本地地址。它不仅隐藏了内部网络地址，而且可以穿过内部网络实现到其他网络的通信。由于是基于IP的过滤，对于所有IP的数据包都可以实现过滤功能，这样就实现了内部网络的安全。

2.2 使用路由技术实现内网IP的隐藏

如前所述，在NAT转换网络实验中，首先使用动态路由协议RIP实现全网通信， Router1路由器为路由表如下：

C 192.168.1.0/24 is directly connected, FastEthernet0/0

R 200.0.0.0/24 [120/1] via 201.0.0.2, 00:00:15, FastEthernet0/1

C 201.0.0.0/24 is directly connected, FastEthernet0/1

R 202.0.0.0/24 [120/1] via 192.168.1.1, 00:00:16, FastEthernet0/0

R 203.0.0.0/24 [120/2] via 192.168.1.1, 00:00:16, FastEthernet0/0

由于内网网段192.168.1.0/24在路由表中，因此在通信的时候在路由器中查路由表而得到内网的IP地址，从而暴露了NAT内网网段。如果在配置路由的时候不声明内网网段就没法与内网通信，从而隐藏了NAT内部网络。下面的路由信息是经过240 s的路由刷新后Router1路由器的路由表：

C 192.168.1.0/24 is directly connected, FastEthernet0/0

R 200.0.0.0/24 [120/1] via 201.0.0.2, 00:00:03, FastEthernet0/1

C 201.0.0.0/24 is directly connected, FastEthernet0/1

Router2路由器的路由表如下：

C 192.168.1.0/24 is directly connected, FastEthernet0/0

C 202.0.0.0/24 is directly connected, FastEthernet0/1

R 203.0.0.0/24 [120/1] via 202.0.0.1, 00:00:10, FastEthernet0/1

从路由表中可以看到，在路由器上只看到NAT本端内外网的路由信息，已经看不到对端的路由信息了。那么还能否访问到NAT内部网络吗？图7为左端外网对内网及对端外网服务器的PING结果。

图7 使用路由协议隐藏内网IP地址外网访问内网结果图

从图7结果可以看出，不论内网还是对端外网其PING结果都是无法通信。并且，Tracert结果也止于左端的外网网段，其它网段都不通。这样就达到了隐藏内网的作用。如果需要与对端通信可以通过其他路由通信，在此不再赘述。

对于内网是否可以与外网通信呢？将内网服务器Server2与Server3的默认路由指向Router2及Router1的内部接口，这时都可以实现与本端外网服务器通信。图8为Server3与Server0的通信结果。

从图8可以看出，内网中的服务器Server3由于配置了指向Router1的默认网关可以与本端外网服务器Server0进行PING及Tracert等方式通信。同理，另一端的内网中的服务器Server2由于配置了指向Router2的默认网关也可以与本端外网服务器Server1进行PING及Tracert等方式通信。

图8 使用路由协议隐藏内网IP地址内网访问外网结果图

3 结 语

通过本文的讨论，使我们更加明白了NAT的工作原理与过程，并且对使用ACL及路由技术隐藏NAT内网以加强NAT内网的安全有了进一步的认识，为建立安全的NAT内网技术进行了有益的探索。

[1] IETF RFC 1631, The IP Network Address Translator (NAT) [S]. May 1994.

[2] IETF RFC 2766, Network Address Translation-Protocol Translation (NAT-PT)[S]. February 2000.

[3] IETF RFC 2993, Architectural Implications of NAT[S]. February 2002.

[4] IETF RFC 3027, Protocol Complications with the IP Network Address Translator[S]. January 2001.

[5] IETF RFC 3235, Network Address Translator(NAT) —Friendly Application Design Guidelines [S]. January 2002.

[6] 刘向东,李志洁. NAT原理实验的设计与实现[J].实验室研究与探索,2012,31(1)：58-62.

LIU Xiang-dong, LI Zhi-jie. Design and Implementation of NAT Principle Experiment[J]. Research and Exploration in Laboratory,2012,31(1)：58-62.

[7] Cisco System著,颜凯,杨宁等译. CCNP2远程接入[M].2版.北京：人民邮电出版社,2005.

[8] 刘向东,李志洁. 网络地址转换原理实验的设计与实现[J].实验科学与技术,2012,10(4)：106-109，164.

LIU Xiang-dong, LI Zhi-jie. Design and Implementation of Network AddressTranslation Principle Experiment [J]. Experiment Science and Technology,2012,10(4)：106-109，164.

[9] 唐灯平. 整合HSRP 和NAT 实现网络出口多组负载均衡[J].实验室研究与探索,2012,31(5)：66-69.

TANG Deng-ping. Integration of HSRP and NAT to Realize Network Load Balancing with Export Group [J]. Research and Exploration in Laboratory, 2012,31(5)：66-69.

[10] 孙卫喜. Symmetric NAT的穿越问题研究[J]. 计算技术与自动化,2013,32(2)：119-122.

SUN Wei-xi. Symmetric NAT Passes Through the Abstract of Research of Problem[J]. Computing Technology and Automation, 2013,32(2)：119-122.

[11] 孙卫喜,席少龙. 对等网联下NAT穿越问题的研究[J].电子技术应用,2013,39(5)：132-134.

SUN Wei-xi, Xi Shao-long. The NAT Traversal Research in the peer-to-peer Network Linking[J]. Computer Technology and Its Applications, 2013,39(5)：132-134.

[12] 孙名松,段志鸣,王湛昱. 混合式P2P网络UDP下NAT穿越方案的研究与设计[J].计算机与数字工程, 2010, 38(4)：104-107.

Sun Ming-song, Duan Zhi-ming, Wang Zhan-yu. Research and Design of NAT Travsering Scheme Based on Composite P2P Network on UDP[J]. Computer & Digital Engineering, 2010, 38(4)：104-107.

[13] 邹 航,李 梁. 整合ACL和NAT的网络安全实验设计[J].实验室研究与探索,2011,30(4)：61-65.

ZOU Hang, LI Liang. Design of Integrated Network Security ACL and NAT Experiment[J]. Research and Exploration in Laboratory, 2011, 30(4)：61-65.

[14] 孙旭东,卢建军,任 敏.基于NAT跳转与ACL控制技术的安全策略研究[J].煤炭技术,2010,29(8)：147-149.

SUN Xu-dong, LU Jian-jun, REN Min. Research on Security Strategy Control Technology Based on Jump NAT and ACL[J]. Coal Technology, 2010,29(8)：147-149.

[15] 褚建立,邵慧莹,李 军，等.交换机/路由器配置与管理项目教程[M].北京：人民邮电出版社,2011.

[16] 李战国,刘向东,王兴伟.基于301重定向技术的DNS动态管理实验[J].实验室研究与探索,2013,32(2)：60-65.

LI Zhan-guo, LIU Xiang-dong, WANG Xing-wei. Dynamic DNS Management Experiments Based on 301 Redirection Technology[J]. Research and Exploration in Laboratory, 2013,32(2)：60-65.