李 刚,刁成海

(朝阳师范高等专科学校 信息技术中心,辽宁 朝阳 122000)

0 引言

随着互联网技术的飞速发展和普及,各大高校为广大师生提供了海量的数字资源,助力本校的科研和创新,然而,内网用户的HTTP数据请求经常会出现经过边界防火墙时耗费大量路由代价又重新返回边界防火墙造成目标地址不一致,数据请求直接被丢弃的情况,从而无法通过域名或公网IP访问内网资源[1-2].本文重点讨论NAT 静态回流技术的原理以及通过在校园网络边界防火墙上挖掘并开启NAT 回流功能,解决校内用户无法像校外用户一样通过域名或公网IP访问获取校内数字资源的问题,提升校园内网用户访问本校数字资源的体验.

1 NAT静态回流技术

1.1 NAT 回流拓扑

典型的NAT 回流拓扑结构如图1所示,启用NAT 功能的防火墙部署在校园网和互联网的边界处.

拓扑说明:

Client1为内网用户,IP地址配置为:10.10.50.40/24.

Server1为内网服务器,IP地址配置为:10.10.50.41/24,为校内和校外用户提HTTP服务.

ge0/0配置为内网用户和服务器出口(Trust区),网关IP地址为:172.172.2.253/24.

Client2模拟外网用户,IP地址配置为:192.168.2.81/16.

ge0/1模拟公网网口(Untrust区),公网IP配置为:218.90.16.252.

1.2 NAT 回流技术原理

未配置NAT 回流功能数据包请求响应过程如图2所示,整个过程导致了客户端请求的目标地址为公网地址:218.90.16.252,而Web服务器响应请求的源地址为:10.10.50.41,致使本次会话直接中断,数据包被丢弃.

配置NAT 回流功能数据包请求响应过程如图3所示,整个过程数据包到达防火墙后,防火墙进行DNAT 转换,此时数据包的源地址为:218.90.16.252,目标地址:10.10.50.40,数据包到达客户端后,客户端发现数据包源地址为自己目标地址,最终数据交互完成.

2 NAT静态回流技术在网络中的应用

NAT 静态回流技术是NAT 技术的一个特殊应用,所以要实现NAT 回流功能,必须先通过防火墙的NAT 技术实现正常的源NAT 和目的NAT 功能,然后在此基础上进行NAT 回流配置[3-4].本文以神州数码DCFW-1800防火墙为例,对NAT 静态回流技术在网络中应用的关键步骤进行介绍:

配置NAT 回流的具体方法:

(1)配置防火墙公网地址,并设置区域为Untrust.

(2)设置防火墙内网口地址,并设置区域为Trust.

(3)设置防火墙安全策略.

(4)设置目的NAT.

(5)设置源NAT.

(6)设置NAT 回流.

3 配置NAT回流实例

3.1 朝阳师范高等专科学校网络环境简介

朝阳师范高等专科学校校园网采用大三层架构,为全校师生的教学、科研、学习和生活提供安全、可靠、高效的网络运行环境.同时,根据该校不同部门的需求,通过边界防火墙为不同服务器及不同端口进行相应的地址及端口映射.在做NAT 回流之前,为了方便内网用户使用域名或公网IP地址访问该校门户网站,在内网部署1台DNS域名解析服务器,由于部署的域名解析服务器性能一般、解析迭代速度慢,用户普遍反映上网体验差.

3.2 配置实例

该校门户网站NAT 回流功能具体配置如下(其他非关键信息省略):

NAT 回流关键配置:

经过在朝阳师范高等专科学校校园网边界防火墙上实施NAT 回流功能,提升了内网用户使用PC端和移动端通过域名或公网IP访问校内网站或内网资源的效率,网络访问更快捷、管理更规范,用户体验更流畅.

4 结语

通过挖掘NAT 地址转换的功能,使用NAT 回流技术不但有效地解决了校园网内网用户通过公网IP地址或域名直接访问校园门户网站和内网各大资源平台时出现的响应不及时、效率低等问题,同时提升了内网资源的安全性和校内用户的上网体验.随着高校信息化进程的不断推进,此种技术必将得到更加广泛的应用.