雙向NAT原理以及應(yīng)用專題研究

精品文檔精品文檔 1歡迎下載歡迎下載 雙向 NAT 原理以及典型應(yīng)用研究 精品文檔精品文檔 2歡迎下載歡迎下載 目 錄 1 1 前言 前言 3 3 2 2 NATNAT 簡介 簡介 3 3 3 3 NATNAT 的幾個概念 的幾個概念 4 4 4 4 幾種 幾種 NATNAT 命令的比較 命令的比較 5 5 5 5 雙向 雙向 NATNAT 6 6 6 6 典型應(yīng)用舉例 典型應(yīng)用舉例 7 7 1 1 APNAPN 7 7 2 2 與其它網(wǎng)絡(luò)互聯(lián) 與其它網(wǎng)絡(luò)互聯(lián) 8 8 精品文檔精品文檔 3歡迎下載歡迎下載 1 前言 隨著業(yè)務(wù)的發(fā)展 移動網(wǎng)絡(luò)與其它運(yùn)營商或者客戶網(wǎng)絡(luò)進(jìn)行互 聯(lián) 很多情況下會使用 NAT 技術(shù)達(dá)到隱藏內(nèi)部地址與網(wǎng)絡(luò)結(jié)構(gòu)的目 的 下面就雙向 NAT 技術(shù)以及典型應(yīng)用展開探討 2 NAT 簡介 NAT 英文全稱是 Network Address Translation 中文意思是 網(wǎng)絡(luò)地址轉(zhuǎn)換 它是一個 IETF 標(biāo)準(zhǔn) 允許一個整體機(jī)構(gòu)以一個公 用 IP 地址出現(xiàn)在 Internet 上 顧名思義 它是一種把內(nèi)部私有網(wǎng) 絡(luò)地址 IP 地址 翻譯成合法網(wǎng)絡(luò) IP 地址的技術(shù) 如圖 NAT 技術(shù)類型 NAT 有三種類型 靜態(tài) NAT Static NAT 動態(tài)地址 NAT Pooled NAT 網(wǎng)絡(luò)地址端口轉(zhuǎn)換 NAPT Port Level NAT 3 NAT 的幾個概念 精品文檔精品文檔 4歡迎下載歡迎下載 inside local 即內(nèi)部局部地址 為在內(nèi)部網(wǎng)絡(luò)上的一個主機(jī)地 址 Inside Global 即內(nèi)部全局地址 為一個合法的外網(wǎng)地址 為 內(nèi)部地址在外部網(wǎng)絡(luò)的顯現(xiàn) Outside Local 即為外部局部地址 出現(xiàn)在內(nèi)部網(wǎng)絡(luò)的一個外 部主機(jī)地址 Outside Global 即為外部全局地址 主機(jī)在外部網(wǎng)絡(luò)獲得的地 址 4 幾種 NAT 命令的比較 ip NAT inside source 將內(nèi)部局部地址翻譯成為內(nèi)部全局地址 觸發(fā)發(fā)生在內(nèi)口 具 體過程為數(shù)據(jù)包從外部傳輸?shù)絻?nèi)部時 先進(jìn)行轉(zhuǎn)換 轉(zhuǎn)換數(shù)據(jù)包的 目標(biāo)地址 將然后檢查目的地的路由表 當(dāng)數(shù)據(jù)包從內(nèi)部傳輸?shù)酵?部時 先檢查目的地的路由表 然后進(jìn)行轉(zhuǎn)換 轉(zhuǎn)換數(shù)據(jù)包的源地 址 ip nat inside destination 精品文檔精品文檔 5歡迎下載歡迎下載 將 inside global 翻譯成為 inside local 觸發(fā)發(fā)生在 outside 外口 具體過程為數(shù)據(jù)包從外部傳輸?shù)絻?nèi)部時 先進(jìn)行 轉(zhuǎn)換 轉(zhuǎn)換數(shù)據(jù)包的目標(biāo)地址 將然后檢查目的地的路由表 當(dāng)數(shù) 據(jù)包從內(nèi)部傳輸?shù)酵獠繒r 先檢查目的地的路由表 然后進(jìn)行轉(zhuǎn)換 轉(zhuǎn)換數(shù)據(jù)包的源地址 ip nat outside source 將 Outside Global 外部全局 翻 譯為 Outside Local 外部局部 具體過程為數(shù)據(jù)包從外部傳輸 到內(nèi)部時 先進(jìn)行轉(zhuǎn)換 轉(zhuǎn)換數(shù)據(jù)包的源地址 將然后檢查目的地 的路由表 當(dāng)數(shù)據(jù)包從內(nèi)部傳輸?shù)酵獠繒r 先檢查目的地的路由表 然后進(jìn)行轉(zhuǎn)換 轉(zhuǎn)換數(shù)據(jù)包的目標(biāo)地址 所有 NAT 的過程的共同點(diǎn)是數(shù)據(jù)包從外部傳輸?shù)絻?nèi)部時 先進(jìn) 行轉(zhuǎn)換 然后檢查目的地的路由表 當(dāng)數(shù)據(jù)包從內(nèi)部傳輸?shù)酵獠繒r 先檢查目的地的路由表 然后進(jìn)行轉(zhuǎn)換 因此一定要根據(jù)具體要 求 確定如何定義 NAT 接口 內(nèi)部或外部 以及路由表在轉(zhuǎn)換之 前或之后應(yīng)該包含哪些路由 特別注意 當(dāng)配置 ip nat outside source 時候 一定要注意 到從內(nèi)口到外口時先檢查路由表 一定要將轉(zhuǎn)換的 outside local 的路由加到外口 cisco 中提供了 add route 參數(shù) 例 ip NAT outside source list 1 pool test add route 非 cisco 路由器也 可以直接加路由加至外口 5 雙向 NAT 精品文檔精品文檔 6歡迎下載歡迎下載 雙向 NAT 是指即由內(nèi)向外翻譯 同時又將外部全部地址翻譯為 本地全局地址 為將內(nèi)部局部地址翻譯為內(nèi)部全局地址 并將外部 全局翻譯為內(nèi)部全局地址 如內(nèi)部本地地址為 1 1 1 1 外部全局地址為 2 2 2 2 翻譯后 內(nèi)部全局地址為 1 1 10 1 外部局部地址為 4 4 4 4 轉(zhuǎn)換時流程 為 數(shù)據(jù)包從 1 1 1 1 發(fā)給 4 4 4 4 先檢查路由表 到 4 4 4 4 主機(jī)的路由指向外口 進(jìn)行源地址和目標(biāo)地址的同時轉(zhuǎn)換 將源地 址轉(zhuǎn)換成為 1 1 10 1 將目標(biāo)地址轉(zhuǎn)換成為 2 2 2 2 數(shù)據(jù)包回來 后將先行數(shù)據(jù)包轉(zhuǎn)換 將目標(biāo)地址 1 1 10 1 轉(zhuǎn)換成為 1 1 1 1 源 地址 2 2 2 2 轉(zhuǎn)換成為 1 1 1 1 實(shí)現(xiàn)數(shù)據(jù)包的通信 6 典型應(yīng)用舉例 1 APN 網(wǎng)絡(luò)拓?fù)淙缦聢D GGSNGGSN 移動路由器移動路由器 用戶路由器用戶路由器 GREGRE 隧道隧道 精品文檔精品文檔 7歡迎下載歡迎下載 APN 過程為用戶終端統(tǒng)一分配一段私網(wǎng)地址 用戶服務(wù)器分配 一段地址 實(shí)現(xiàn)從終端到服務(wù)器的通信 一般情況下用戶將服務(wù)器 放在防火墻 DMZ 實(shí)現(xiàn)與用戶內(nèi)網(wǎng)以及終端的通信 或者通過雙網(wǎng) 卡服務(wù)器的方法解決 但是有些情況下 終端還需訪問用戶內(nèi)網(wǎng)的 其它服務(wù)器 如這些服務(wù)器位置 地址都已經(jīng)固定 不可變更 這 時就需要采用雙向 NAT 技術(shù) 如某 APN 用戶 終端分配網(wǎng)段 10 132 10 0 24 服務(wù)器 10 144 156 128 28 終端除了要和本地服務(wù)器通信外 用戶還需要 將 APN 數(shù)據(jù)直接送至其省公司服務(wù)器 172 16 1 101 這時就需要采 用雙向 NAT 的方法解決 在用戶路由器上將與用戶網(wǎng)絡(luò)互聯(lián)口設(shè)置成為外口 將終端地 址 10 132 10 0 24 轉(zhuǎn)換為用戶本地網(wǎng)段與其省公司服務(wù)器進(jìn)行通信 但是由于終端只能路由到 10 144 156 128 28 的網(wǎng)段 因此必須將 省公司服務(wù)器 172 16 1 101 映射成為服務(wù)器網(wǎng)段的地址 10 144 156 129 這樣就較好的解決了用戶的需求 2 與其它網(wǎng)絡(luò)互聯(lián) 精品文檔精品文檔 8歡迎下載歡迎下載 移動網(wǎng)絡(luò)移動網(wǎng)絡(luò)鐵通網(wǎng)絡(luò)鐵通網(wǎng)絡(luò)移動路由器移動路由器 outsideoutsideInsideInside 例 以與鐵通營業(yè)廳互聯(lián)為例 鐵通需連接到移動內(nèi)網(wǎng)實(shí)現(xiàn)營 業(yè)功能 但是移動網(wǎng)絡(luò)為一個私密度較高的網(wǎng)絡(luò) 不可能和鐵通直 接加路由互通 而且移動的服務(wù)器地址以及內(nèi)部網(wǎng)絡(luò)也需要對鐵通 保密 這時需要采用雙向 nat 技術(shù) 一方面將鐵通地址轉(zhuǎn)換為移動 地址連接到省公司服務(wù)器 另一方面將移動 BOSS 主機(jī)的地址映射為