雙向NAT原理以及應用專題研究

精品文檔精品文檔 1歡迎下載歡迎下載 雙向 NAT 原理以及典型應用研究 精品文檔精品文檔 2歡迎下載歡迎下載 目 錄 1 1 前言 前言 3 3 2 2 NATNAT 簡介 簡介 3 3 3 3 NATNAT 的幾個概念 的幾個概念 4 4 4 4 幾種 幾種 NATNAT 命令的比較 命令的比較 5 5 5 5 雙向 雙向 NATNAT 6 6 6 6 典型應用舉例 典型應用舉例 7 7 1 1 APNAPN 7 7 2 2 與其它網(wǎng)絡互聯(lián) 與其它網(wǎng)絡互聯(lián) 8 8 精品文檔精品文檔 3歡迎下載歡迎下載 1 前言 隨著業(yè)務的發(fā)展 移動網(wǎng)絡與其它運營商或者客戶網(wǎng)絡進行互 聯(lián) 很多情況下會使用 NAT 技術達到隱藏內(nèi)部地址與網(wǎng)絡結構的目 的 下面就雙向 NAT 技術以及典型應用展開探討 2 NAT 簡介 NAT 英文全稱是 Network Address Translation 中文意思是 網(wǎng)絡地址轉換 它是一個 IETF 標準 允許一個整體機構以一個公 用 IP 地址出現(xiàn)在 Internet 上 顧名思義 它是一種把內(nèi)部私有網(wǎng) 絡地址 IP 地址 翻譯成合法網(wǎng)絡 IP 地址的技術 如圖 NAT 技術類型 NAT 有三種類型 靜態(tài) NAT Static NAT 動態(tài)地址 NAT Pooled NAT 網(wǎng)絡地址端口轉換 NAPT Port Level NAT 3 NAT 的幾個概念 精品文檔精品文檔 4歡迎下載歡迎下載 inside local 即內(nèi)部局部地址 為在內(nèi)部網(wǎng)絡上的一個主機地 址 Inside Global 即內(nèi)部全局地址 為一個合法的外網(wǎng)地址 為 內(nèi)部地址在外部網(wǎng)絡的顯現(xiàn) Outside Local 即為外部局部地址 出現(xiàn)在內(nèi)部網(wǎng)絡的一個外 部主機地址 Outside Global 即為外部全局地址 主機在外部網(wǎng)絡獲得的地 址 4 幾種 NAT 命令的比較 ip NAT inside source 將內(nèi)部局部地址翻譯成為內(nèi)部全局地址 觸發(fā)發(fā)生在內(nèi)口 具 體過程為數(shù)據(jù)包從外部傳輸?shù)絻?nèi)部時 先進行轉換 轉換數(shù)據(jù)包的 目標地址 將然后檢查目的地的路由表 當數(shù)據(jù)包從內(nèi)部傳輸?shù)酵?部時 先檢查目的地的路由表 然后進行轉換 轉換數(shù)據(jù)包的源地 址 ip nat inside destination 精品文檔精品文檔 5歡迎下載歡迎下載 將 inside global 翻譯成為 inside local 觸發(fā)發(fā)生在 outside 外口 具體過程為數(shù)據(jù)包從外部傳輸?shù)絻?nèi)部時 先進行 轉換 轉換數(shù)據(jù)包的目標地址 將然后檢查目的地的路由表 當數(shù) 據(jù)包從內(nèi)部傳輸?shù)酵獠繒r 先檢查目的地的路由表 然后進行轉換 轉換數(shù)據(jù)包的源地址 ip nat outside source 將 Outside Global 外部全局 翻 譯為 Outside Local 外部局部 具體過程為數(shù)據(jù)包從外部傳輸 到內(nèi)部時 先進行轉換 轉換數(shù)據(jù)包的源地址 將然后檢查目的地 的路由表 當數(shù)據(jù)包從內(nèi)部傳輸?shù)酵獠繒r 先檢查目的地的路由表 然后進行轉換 轉換數(shù)據(jù)包的目標地址 所有 NAT 的過程的共同點是數(shù)據(jù)包從外部傳輸?shù)絻?nèi)部時 先進 行轉換 然后檢查目的地的路由表 當數(shù)據(jù)包從內(nèi)部傳輸?shù)酵獠繒r 先檢查目的地的路由表 然后進行轉換 因此一定要根據(jù)具體要 求 確定如何定義 NAT 接口 內(nèi)部或外部 以及路由表在轉換之 前或之后應該包含哪些路由 特別注意 當配置 ip nat outside source 時候 一定要注意 到從內(nèi)口到外口時先檢查路由表 一定要將轉換的 outside local 的路由加到外口 cisco 中提供了 add route 參數(shù) 例 ip NAT outside source list 1 pool test add route 非 cisco 路由器也 可以直接加路由加至外口 5 雙向 NAT 精品文檔精品文檔 6歡迎下載歡迎下載 雙向 NAT 是指即由內(nèi)向外翻譯 同時又將外部全部地址翻譯為 本地全局地址 為將內(nèi)部局部地址翻譯為內(nèi)部全局地址 并將外部 全局翻譯為內(nèi)部全局地址 如內(nèi)部本地地址為 1 1 1 1 外部全局地址為 2 2 2 2 翻譯后 內(nèi)部全局地址為 1 1 10 1 外部局部地址為 4 4 4 4 轉換時流程 為 數(shù)據(jù)包從 1 1 1 1 發(fā)給 4 4 4 4 先檢查路由表 到 4 4 4 4 主機的路由指向外口 進行源地址和目標地址的同時轉換 將源地 址轉換成為 1 1 10 1 將目標地址轉換成為 2 2 2 2 數(shù)據(jù)包回來 后將先行數(shù)據(jù)包轉換 將目標地址 1 1 10 1 轉換成為 1 1 1 1 源 地址 2 2 2 2 轉換成為 1 1 1 1 實現(xiàn)數(shù)據(jù)包的通信 6 典型應用舉例 1 APN 網(wǎng)絡拓撲如下圖 GGSNGGSN 移動路由器移動路由器 用戶路由器用戶路由器 GREGRE 隧道隧道 精品文檔精品文檔 7歡迎下載歡迎下載 APN 過程為用戶終端統(tǒng)一分配一段私網(wǎng)地址 用戶服務器分配 一段地址 實現(xiàn)從終端到服務器的通信 一般情況下用戶將服務器 放在防火墻 DMZ 實現(xiàn)與用戶內(nèi)網(wǎng)以及終端的通信 或者通過雙網(wǎng) 卡服務器的方法解決 但是有些情況下 終端還需訪問用戶內(nèi)網(wǎng)的 其它服務器 如這些服務器位置 地址都已經(jīng)固定 不可變更 這 時就需要采用雙向 NAT 技術 如某 APN 用戶 終端分配網(wǎng)段 10 132 10 0 24 服務器 10 144 156 128 28 終端除了要和本地服務器通信外 用戶還需要 將 APN 數(shù)據(jù)直接送至其省公司服務器 172 16 1 101 這時就需要采 用雙向 NAT 的方法解決 在用戶路由器上將與用戶網(wǎng)絡互聯(lián)口設置成為外口 將終端地 址 10 132 10 0 24 轉換為用戶本地網(wǎng)段與其省公司服務器進行通信 但是由于終端只能路由到 10 144 156 128 28 的網(wǎng)段 因此必須將 省公司服務器 172 16 1 101 映射成為服務器網(wǎng)段的地址 10 144 156 129 這樣就較好的解決了用戶的需求 2 與其它網(wǎng)絡互聯(lián) 精品文檔精品文檔 8歡迎下載歡迎下載 移動網(wǎng)絡移動網(wǎng)絡鐵通網(wǎng)絡鐵通網(wǎng)絡移動路由器移動路由器 outsideoutsideInsideInside 例 以與鐵通營業(yè)廳互聯(lián)為例 鐵通需連接到移動內(nèi)網(wǎng)實現(xiàn)營 業(yè)功能 但是移動網(wǎng)絡為一個私密度較高的網(wǎng)絡 不可能和鐵通直 接加路由互通 而且移動的服務器地址以及內(nèi)部網(wǎng)絡也需要對鐵通 保密 這時需要采用雙向 nat 技術 一方面將鐵通地址轉換為移動 地址連接到省公司服務器 另一方面將移動 BOSS 主機的地址映射為