浅析NAT转发技术.docVIP

网络工程课程设计实验报告 姓名:XXX 班级:信计112 学号:2011113142XX 浅析NAT转发技术 在个人的学习过程中，接触到了java web，其过程中不免碰到许多关于其的困难，如50X系列的服务器端的问题、web应用部署的问题及线程安全和信息安全等问题。 但这些问题的存在并不是这学习过程中遇到的最大问题，因为这些问题都还是在个人能力不扎实的前提下体现出来的，终究还是可以通过进一步的学习解决的。在解决完这些问题之时，便出现了一个以本机作为服务器可在本机上及局域网内访问的web应用，于是乎，如何才能让外网的用户也访问这个web应用又成了一个新的问题。 首先想到，要使得外网用户能够访问到自己，首先自己必须具备一个固定的ip；经过在路由器上的一番倒腾，了解到在路由器DHCP服务目录下的静态地址分配让自己拥有了一个静态的内网ip 192.168.1.xxx；与此同时，了解到要想局域网中的机器让外界访问到，需做端口映射，亦即将私有地址中的任意一个IP端口映射成为公网IP中的端口，如在私有地址为192.168.1.xxx的端口80做了端口映射，当访问外网ip的80端口时，即可访问该ip所对应的机器。因而在DHCP服务和虚拟服务器的配合下，理论上是可以访问到访问到我配置的的机器上的。但问题还是出现了，外网用户仍不能通过外网ip访问到映射好的机器上；一番的百度发现，宿舍所使用的互通，并不能让自己具有一个固定的ip，外网的用户很难通过一个固定的ip访问到本机上的web应用。 想法一：购买个空间并将其放上去，但这想法很快就夭折；原因有二个：其一，廉价的空间无法搭载java web应用，多为仅支持PHP及ASP之类的；其二，能够搭载的空间，其价格不是我所能承担的。 想法二：利用花生壳免费提供的二级域名做动态域名解析，用户即可通过此域名来访问到本机；原理大致为花生壳客户端实时监控ip的变化并与所提供的二级域名动态进行绑定，从而通过二级域名可动态的解析到变化的外网ip上，进而在通过路由器上的DHCP服务和虚拟服务器映射到指定机器的特定端口上，但前提是客户端必须处于登录状态。 经过上述的折腾，感觉路由已不是什么神奇的东西了，顿时觉得成功就在前方，但是问题还是出现了，花生壳解析的ip不正确。还是一番的查阅，获知花生壳解析的ip不正确，原因有下：1 线路NAT转发了 2 小区宽带 或光纤 3 校园网 4 大部分铁通，一部分网通，甚至电信无猫直接插线的线路 问题的出现导致了求知的欲望，这也才开始了本文的真正目的——浅析NAT转发技术 需求分析 2011年2月4日农历大年初二，大家可能留意到这么一则新闻：全球顶级IP地址分配机构IANA分配完最后5个A级地址块，由此IANA宣告IPv4地址告罄。理论上，迁移到IPv6网络是一劳永逸的解决方案，但是IPv6在设计上并没有考虑与现有的IPv4网络的兼容的问题，二者基本上属于各自独立的状态，而现前所有的应用都部署在现有的IPv4网络里，无论是宽带用户还是应用服务器迁移到IPv6网络里都不是一朝一夕可以完成的，尤其是在IPv6建设相对薄弱而网民众多的中国，实现难度就更不言而喻了。IP地址耗尽促成了CIDR的开发，但CIDR开发的主要目的是为而有效的使用现有的IP地址。同时根据RFC 1631(IP Network Address Translator)开发的NAT却可以再多重的Internet子网中使用相同的IP，用来减少注册IP地址的使用，如有以前给每个宽带用户分配公网IP的方式，改为分配私网IP给每一个用户，统一在运营商一端部署NAT设备。除此之外，NAT技术还为服务器集群提供负载均衡的手段和隐藏内部网络地址以避免黑客的直接攻击等。 NAT概述 NAT(Network Address Translation) ，网络地址转换，是指互联网络中的中继设备在转发分组时改变分组的网络层地址、甚至上层地址，为TCP、UDP以及ICMP数据包提供透明转发的一种方法，同时TCP的load distribution技术基于round-robin机制，将外部进来的新连接定向到的主机上除了REDIRECT，ICMP报文中的Identifier域做映射。ICMP Identifier由Query生成，Response方Identifier作为区别不同ICMP报文。