双向NAT原理以及应用专题研究

精品文档精品文档 1欢迎下载欢迎下载 双向 NAT 原理以及典型应用研究 精品文档精品文档 2欢迎下载欢迎下载 目 录 1 1 前言 前言 3 3 2 2 NATNAT 简介 简介 3 3 3 3 NATNAT 的几个概念 的几个概念 4 4 4 4 几种 几种 NATNAT 命令的比较 命令的比较 5 5 5 5 双向 双向 NATNAT 6 6 6 6 典型应用举例 典型应用举例 7 7 1 1 APNAPN 7 7 2 2 与其它网络互联 与其它网络互联 8 8 精品文档精品文档 3欢迎下载欢迎下载 1 前言 随着业务的发展 移动网络与其它运营商或者客户网络进行互 联 很多情况下会使用 NAT 技术达到隐藏内部地址与网络结构的目 的 下面就双向 NAT 技术以及典型应用展开探讨 2 NAT 简介 NAT 英文全称是 Network Address Translation 中文意思是 网络地址转换 它是一个 IETF 标准 允许一个整体机构以一个公 用 IP 地址出现在 Internet 上 顾名思义 它是一种把内部私有网 络地址 IP 地址 翻译成合法网络 IP 地址的技术 如图 NAT 技术类型 NAT 有三种类型 静态 NAT Static NAT 动态地址 NAT Pooled NAT 网络地址端口转换 NAPT Port Level NAT 3 NAT 的几个概念 精品文档精品文档 4欢迎下载欢迎下载 inside local 即内部局部地址 为在内部网络上的一个主机地 址 Inside Global 即内部全局地址 为一个合法的外网地址 为 内部地址在外部网络的显现 Outside Local 即为外部局部地址 出现在内部网络的一个外 部主机地址 Outside Global 即为外部全局地址 主机在外部网络获得的地 址 4 几种 NAT 命令的比较 ip NAT inside source 将内部局部地址翻译成为内部全局地址 触发发生在内口 具 体过程为数据包从外部传输到内部时 先进行转换 转换数据包的 目标地址 将然后检查目的地的路由表 当数据包从内部传输到外 部时 先检查目的地的路由表 然后进行转换 转换数据包的源地 址 ip nat inside destination 精品文档精品文档 5欢迎下载欢迎下载 将 inside global 翻译成为 inside local 触发发生在 outside 外口 具体过程为数据包从外部传输到内部时 先进行 转换 转换数据包的目标地址 将然后检查目的地的路由表 当数 据包从内部传输到外部时 先检查目的地的路由表 然后进行转换 转换数据包的源地址 ip nat outside source 将 Outside Global 外部全局 翻 译为 Outside Local 外部局部 具体过程为数据包从外部传输 到内部时 先进行转换 转换数据包的源地址 将然后检查目的地 的路由表 当数据包从内部传输到外部时 先检查目的地的路由表 然后进行转换 转换数据包的目标地址 所有 NAT 的过程的共同点是数据包从外部传输到内部时 先进 行转换 然后检查目的地的路由表 当数据包从内部传输到外部时 先检查目的地的路由表 然后进行转换 因此一定要根据具体要 求 确定如何定义 NAT 接口 内部或外部 以及路由表在转换之 前或之后应该包含哪些路由 特别注意 当配置 ip nat outside source 时候 一定要注意 到从内口到外口时先检查路由表 一定要将转换的 outside local 的路由加到外口 cisco 中提供了 add route 参数 例 ip NAT outside source list 1 pool test add route 非 cisco 路由器也 可以直接加路由加至外口 5 双向 NAT 精品文档精品文档 6欢迎下载欢迎下载 双向 NAT 是指即由内向外翻译 同时又将外部全部地址翻译为 本地全局地址 为将内部局部地址翻译为内部全局地址 并将外部 全局翻译为内部全局地址 如内部本地地址为 1 1 1 1 外部全局地址为 2 2 2 2 翻译后 内部全局地址为 1 1 10 1 外部局部地址为 4 4 4 4 转换时流程 为 数据包从 1 1 1 1 发给 4 4 4 4 先检查路由表 到 4 4 4 4 主机的路由指向外口 进行源地址和目标地址的同时转换 将源地 址转换成为 1 1 10 1 将目标地址转换成为 2 2 2 2 数据包回来 后将先行数据包转换 将目标地址 1 1 10 1 转换成为 1 1 1 1 源 地址 2 2 2 2 转换成为 1 1 1 1 实现数据包的通信 6 典型应用举例 1 APN 网络拓扑如下图 GGSNGGSN 移动路由器移动路由器 用户路由器用户路由器 GREGRE 隧道隧道 精品文档精品文档 7欢迎下载欢迎下载 APN 过程为用户终端统一分配一段私网地址 用户服务器分配 一段地址 实现从终端到服务器的通信 一般情况下用户将服务器 放在防火墙 DMZ 实现与用户内网以及终端的通信 或者通过双网 卡服务器的方法解决 但是有些情况下 终端还需访问用户内网的 其它服务器 如这些服务器位置 地址都已经固定 不可变更 这 时就需要采用双向 NAT 技术 如某 APN 用户 终端分配网段 10 132 10 0 24 服务器 10 144 156 128 28 终端除了要和本地服务器通信外 用户还需要 将 APN 数据直接送至其省公司服务器 172 16 1 101 这时就需要采 用双向 NAT 的方法解决 在用户路由器上将与用户网络互联口设置成为外口 将终端地 址 10 132 10 0 24 转换为用户本地网段与其省公司服务器进行通信 但是由于终端只能路由到 10 144 156 128 28 的网段 因此必须将 省公司服务器 172 16 1 101 映射成为服务器网段的地址 10 144 156 129 这样就较好的解决了用户的需求 2 与其它网络互联 精品文档精品文档 8欢迎下载欢迎下载 移动网络移动网络铁通网络铁通网络移动路由器移动路由器 outsideoutsideInsideInside 例 以与铁通营业厅互联为例 铁通需连接到移动内网实现营 业功能 但是移动网络为一个私密度较高的网络 不可能和铁通直 接加路由互通 而且移动的服务器地址以及内部网络也需要对铁通 保密 这时需要采用双向 nat 技术 一方面将铁通地址转换为移动 地址连接到省公司服务器 另一方面将移动 BOSS 主机的地址映射为