网络技术 网络技术 12 网络出口设计.doc

本章主题为网络出口设计，包括以下内容： NAT 策略路由 RFC 3022—Traditional IP Network Address Translator (Traditional NAT) 第十 RFC 3022—Traditional IP Network Address Translator (Traditional NAT) 13.12.1 NAT NAT（Network Address Translation）是将IP报头中的源地址或目的地址进行翻译或转换的一种技术，主要被用来将内部私有地址转换为公有的地址。 NAT的典型应用是将使用私有IP地址（RFC 1918）的园区网络连接到Internet，这样就公司就无需给内部网络中的每个设备都分配公有IP地址，这样既避免了公有地址的浪费，又节省了申请公有IP地址的费用，同时也减缓了IPv4地址空间被耗尽的速度。 NAT的应用背景 IPv4地址即将耗尽是Internet面临的主要问题之一。为了最大限度地利用IPv4地址资源，减缓IPv4地址的耗尽速度，人们开发了进行地址转化的NAT技术，它提供了一种在多个未节网络中使用相同的似私有IP地址空间，从而减少所需公有IP地址数量的解决方案。 NAT让网络管理员能够在组织内部使用私有IP地址空间，同时使用全球惟一的公有地址通过连接到Internet进行通信。对于不同的内部用户组，可以使用不同的公有地址池，这使用得管理互联性更为容易。 对于大多数需要连接到Internet的公司来说，都必须实现NAT，ISP为成百上千的用户提供Internet接入服务，但通常只被分配极少数量的IP地址，因此ISP使用NAT将数百个内部地址映射到分配给公司的几个公网地址。 NAT技术让使用非公共IP地址的私有IP网络能够连接到公共网络，如Internet。通常在位于末节域（内部网络）和公共网络（外部网络）之间的边界路由器上配置NAT，如下图所示。将IP报文发送给外部网络之前，NAT将内部本地地址转换为全局惟一的IP 地址。 图13-12-1网络地址转换（NAT） NAT术语 在NAT中，使用了术语内部网络和外部网络，下表给出了下图中使用的各种术语的定 义。 图13-12-2使用NAT转换内部和外部网络地址 表13-12-1 NAT术语 术语 定义 内部本地IP地址 分配给内部网络中的主机的IP地址，通常这种地址来自RFC 1918指定的私有地址空间。 内部全局IP地址 内部全局IP地址，对外代表一个或多个内部本地IP地址，通常这种地址来自全局惟一的地址空间，通常是ISP提供的。 外部全局IP地址 外部网络中的主机的IP地址，通常来自全局可路由的地址空间。 外部本地IP 地址 在内部网络中看到的外部主机的IP地址，通常来自RFC 1918定义的私有地址空间。 简单转换条目 将一个IP 地址映射到另一个IP 地址（通常被称为网络地址转换）的转换条目。 扩展转换条目 将一个IP 地址和端口对映射到另一个IP地址和端口（通常被称为端口地址转换）对的转换条目。 严格来说，NAT指的就是修改IP报文报头，更换其中的源地址、目标地址的过程，这种处理是由专用的NAT软件或硬件完成的，它可以是路由器、UNIX系统、Windows服务器或其它系统。 NAT设备通常位于末节网络的边界，末节网络通常是这样一种网络，它只有一条到外部世界的连接。末节网络中的主机需要将数据传输给外部主机时，它将报文转发到默认网关。在这里，主机的默认网关就是NAT设备。 运行在路由器上的NAT进程（参见下图）发现需要转换报文的源IP地址，因此将该私有地址替换为全局地址，同时将转换记录添加到NAT转换表中。 当NAT路由器接收到外部主机发送应答时，它查看当前的NAT转换表，将目标地址替换为原来的内部地址。 下面是一些有关NAT的概念： 内部/外部：IP主机相对于NAT设备的物理位置。 本地/全局：用户相对于NAT设备的位置或视角。 NAT转换将会增加延迟，并且不利于进行端到端的IP跟踪和排错。例如，内部全局地址是全局网络中的用户看到的内部网络中的IP主机地址，外部用户使用该地址来与内部网络中的主机通信。 NAT转换将会增加延迟，并且不利于进行端到端的IP跟踪和排错。 图13-12-3 NAT概念 NAT能够让使用私有地址的网络连接到公共网络，如下图所示。使用私有地址的内部网络将报文发送到NAT路由器，后者将私有地址转换为合法的公共IP地址，让报文能够传输到公共网络，如Internet。 图13-12-4 NAT转换 NAT转换包括多种不同类型，并可用于多种目的： 静态NAT：按照一一对应的方式将每个内部IP地址转换为一个外部IP地址，这种方式经常用于企业网的内部设备需