基于RT3050和TD―SCDMA网络的路由器NAT模块设计.docVIP

基于RT3050和TD―SCDMA网络的路由器NAT模块设计 　　【摘要】RT3050是产品开发平台，TD-SCDMA网络是目前中国移动的3G连接模式，路由器是产品，本文主要研究在基于RT3050开发平台下TD模式下路由器产品中的地址转换模块设计。NAT是Network Address Transfer的简写，就是将要传送出去的封包进行IP转换的动作。由TCP封包的架构图，我们可以发现TCP封包里头有来源与目的地的IP及port之信息在Header里面。直接使用iptables就可以将这个header的内容改变，它可以帮助我们将打包过后的TCP封包上面的header进行修改的动作，即是用iptables实现地址转换功能。 　　【关键词】iptables;NAT;路由器 　　一、设计思路 　　Linux是因特网时代的神话，在Linux系统中各种Internet的软件、工具应有尽有也就不足为奇了。Linux内核中有一个功能强大的联网子系统filter子系统提供了有状态的或无状态的分组过滤，还提供了NAT和IP伪装服务。在计算机网络中，网络地址转换（Network Address Translation）或简称NAT，也叫做网络掩蔽或者IP掩蔽，是一种在IP封包通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。 　　在一个典型的配置中，一个本地网络使用一个专有网络的指定子网（比如192.168.x.x或10.x.x.x）和连在这个网络上的一个路由器。这个路由器占有这个网络地址空间的一个专有地址（比如），同时它还通过一个或多个因特网服务提供的公有的IP地址（叫做“过载”NAT）连接到因特网上。当信息由本地网络向因特网传递时，源地址被立即从专有地址转换为公用地址。由路由器跟踪每个连接上的基本数据，主要是目的地址和端口。当有回复返回路由器时，它通过输出阶段记录的连接跟踪数据来决定该转发给内部网的哪个主机;如果有多个公用地址可用，当数据包返回时，TCP或UDP客户机的端口号可以用来分解数据包。对于因特网上的一个系统，路由器本身充当通信的源和目的地址。 　　二、NAT原理及工作流程介绍 　　1.原理 　　Linux内核中有一个功能强大的联网子系统filter子系统提供了有状态的或无状态的分组过滤，还提供了NAT和IP伪装服务。在计算机网络中，网络地址转换（Network Address Translation或简称NAT，也叫做网络掩蔽或者IP掩蔽，是一种在IP封包通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。 　　图1 无NAT网络 　　在一个典型的配置中，一个本地网络使用一个专有网络的指定子网（比如192.168.x.x或10.x.x.x）和连在这个网络上的一个路由器。这个路由器占有这个网络地址空间的一个专有地址（比如），同时它还通过一个或多个因特网服务提供的公有的IP地址（叫做“过载”NAT）连接到因特网上。当信息由本地网络向因特网传递时，源地址被立即从专有地址转换为公用地址。由路由器跟踪每个连接上的基本数据，主要是目的地址和端口。当有回复返回路由器时，它通过输出阶段记录的连接跟踪数据来决定该转发给内部网的哪个主机;如果有多个公用地址可用，当数据包返回时，TCP或UDP客户机的端口号可以用来分解数据包。对于因特网上的一个系统，路由器本身充当通信的源和目的地址。 　　图2 带NAT网络 　　2.NAT的必要性 　　（1）假设有一家ISP提供园区Internet接入服务，为了方便管理，该ISP分配给园区用户的IP地址都是伪IP，但是部分用户要求建立自己的WWW服务器对外发布信息，这时候我们就可以通过NAT来提供这种服务了。我们可以在防火墙的外部网卡上绑定多个合法IP地址，然后通过NAT技术使发给其中某一个IP地址的包转发至内部某一用户的WWW服务器上，然后再将该内部WWW服务器响应包伪装成该合法IP发出的包。 　　（2）若是使用拨号上网的网吧，因为只有一个合法的IP地址，必须采用某种手段让其他机器也可以上网，通常是采用代理服务器的方式，但是代理服务器，尤其是应用层代理服务器，只能支持有限的协议，如果过了一段时间后又有新的服务出来，则只能等待代理服务器支持该新应用的升级版本。如果采用NAT来解决这个问题，因为是在应用层以下进行处理，NAT不但可以获得很高的访问速度，而且可以无缝的支持任何新的服务和应用。 　　还有一个方面的应用就是重定向，也就是当接收到一个包后，不是转发这个包，而是将其重定向到系统上的某一个应用程序。最常见的应用