公网-内网IP分配及NAT地址转换协议

1、公网/内网IP分配及NAT地址转换协议 公网/内网IP分配及NAT地址转换协议（转自ReTurn er.D's blog）上一篇/下一篇2008-10-2010:43:13 /个人分类：无线通信查看（150 ） /评论（0 ） /评分（0 / 0 ） 公网IP/内网IP :在TCP/IP协议中，专门保留了三个 IP地址区域作为私有地址，其地址范围如下：/8 : 55/12 : 55/16 :

2、55使用保留地址的网络只能在内部进行通信，而不能与其它网络互连。因为本网络中的地址同样也可能被其它网络使用，如果进行网络互连，那么寻找路由时就会因为地址的不唯一而出现问题。但是这些使用保 留地址的网络可以通过将本网络内的保留地址翻译转换成公共地址的方式实现与外部网络的互连。这也是 保证网络安全的重要方法之一。但是有一些宽带运营商尽管也使用了非私有地址分配给用户使用，但是由于路由设置的原因，Internet上的其它用户并不能访问到这些IP。我们将这两种情况下应用的IP称为内网IP。如果自己机器上网络接口的IP地址落在上述保留地址范围内，则可以肯定自己处于内网模式下。内网IP对Internet的访

3、问必须通过代理的方式，NAT（Network Address Translation）技术是基于 TCP层面的代理，能够相当好地使用于各种IP服务应用，因此被广泛应用。之所以说是相当好，是因为NAT要求整个服务的连接是从内网向外网主动发起的，而外网用户则无法直接（主动）向内网内网的服务发起连接请求，除非在NAT的（所有）网关上针对服务的端口作了端口映射。NAT转换的类型：有四种NAT转换模型可以涵盖当前NAT的基本应用。1、静态转换（Static NAT）在路由器上手工配置私有IP地址和公网IP地址的对应关系，一经配置，转换表永久存在。明显的例子NAT路由器上，分是NAT路由器上配置外网用户访

4、问内网的服务器：内网服务器依然使用私网地址，在 配一个公网地址并配置私网地址 /公网地址的转换表，对外提供公网 IP 地址给外部网络用户访问。NAT 转换表： 0 8080 -> 0 80 (www)2 、动态转换( Dynamic NAT )路由器上保留一个合法地址列表，每当有转换需求的时候，从列表中选择一个进行转换。注意：动态转 换依然是一对一的。1)由于从列表中选择，每次转换采用的 IP 地址并不一定是同一个； 2)合法地址被采用后，其他的转换需求不能再使用这个合法IP。3 、复用转换( Overloading NAT )在动态转换中，

5、每个合法的 IP 地址只能在转换表中使用一次，在内部网络主机访问外部需求增多的情 况下，合法地址列表中的 IP 地址会很快不够用。这时，可以利用上层协议标识，例如利用传输层 TCP/UD P 的端口号字段来协助建立 NAT 转换表项( ICMP 报文的 ICMP 头中的 Identifier 字段也可以用来实现与端 口号类似的功能)。这样，多个私有地址可以通过一个合法地址进行转换，这种类型的 NAT 转换也可以称 为 PAT (端口地址转换)。转换表项例子：10010010110102202

6、.110.10.1102理论上，1个公网地址可以提供的转换表项为2X6=65535个(尚未扣除知名端口数量)。这是 INTERNET 上 NAT 的典型应用。通过复用转换，还可以实现服务器负载分担的功能。4、重叠转换( Overlapping NAT )内部网使用的地址跟外部网重叠，这时需要把跟外部重叠的IP地址进行变换。在 NAT路由器上，将外部网的重叠 IP 重新映射成不重叠的 IP 地址。 这个方案可以解决使用相同私网网段的企业网络的合并问题。InsideOutsidePacket_lSource 10.1040.1Destination168.19240,1P3cket_lSoLirc

7、e=172.10.io.iDestination=10,10ddILOL IG10.10.ldPackct_25ource=Destination eg 恥 3 2 Source=168J92J0.1De$tinat>on=r By ReTurner,D建立的转换表项如下: 在NAT路由器上，将外部网的重叠IP重新映射成不重叠的IP地址。这

8、个方案可以解决使用相同私网网段的企业网络的合并问题。4种地址类型分别是：内部局部地址(IL Inside local address)内部全局地址(IG Inside global address)外部局部地址 (OL Outside local address)外部全局地址 (OG Outside global address)NAT 转换表NAT 按照转换表进行数据包的转发。1）转发原则根据数据包的来源是内部还是外部而不同。NAT 重叠转换为例，建立如下转换表：内部局部 内部全局 外部局部 外部全局

9、 左边主机访问右边主机发出的 Packet_1 IP 包到达 NAT 路由器转换后，源 IP 地址将根据转换表项第 1 行 转换为 ，目的 IP 地址将根据转换表项第 2 行转换为 ，反之亦然。2）按照数据驱动的方式建立，有静态，动态两种。静态地址转换类型表项一旦建立，将一直存在。动态地 址表项在需要时动态建立，如果一段时间没有 IP 报文查询利用这个表项，到达老化时间后将自动删除，释 放资源重新使用。从功能上看，主要有以下几种典型的 NAT: 传统 NAT（

10、 基本 NAT,NAPT） 、两次 NAT 、多宿主 NAT 。两次 NAT: 即上文的 “重叠转换 NAT”多宿主 NAT（Multihomed NAT）使用 NAT 会带来很多问题 （RFC2993） 。比如， NAT 设备要为经过它的会话维护状态信息，而一个会 话的请求和响应必须通过同一 NAT 设备做路由， 因此通常要求允许 NAT 末梢域边界路由器必须是惟一的， 所有的 IP 包要么发起，要么终结在该域。但这种配置将 NAT 设备变成了可能的单点故障点。为了让一个内部网络能够在某个 NAT 链路故障的情况下， 也可以保持与外部网络的连通性， 通常希望 内部网络到相同或不同的 ISP

11、具有多条连接 （多宿主的 ） ，希望经过相同或不同的 NAT 设备。又如，多个 NAT 设备或多条链路使用同一 NAT ，共享相同的 NAT 配置能够为相互之间提供故障备份。 在这种情况下， 有必要让备份 NAT 设备交换状态信息，以便当主 NAT 出现故障时， 备份 NAT 能够担负起 透明地保持会话的能力。传统NAT（内部地址，端口）与（内部地址，端口）的映射方式主要有以下几种典型类型：ConeNAT（Full Cone、Restricted Cone 、 Port Restricted Cone 、 ）和对称 NAT 。1.锥形 NAT(ConeNAT)当在（私有IP ,私有端口）与（公

12、开IP.公开端口）已经建立了一个端口映射表后，克隆NAT将为随后从相同的私有地址和端口号发起的呼叫重复使用该映射，条件是只要使用映射（有时业叫绑定）的会话至少有一个继续保持激活状态。从下图可以看出，客户A分别从相同的内部地址和端口号（ : 1234）同时发起两个会话请求到服务器1和服务器2，因为这两个请求来自相同的内部地址和端口，所以克隆NAT将为这两个不同的会话请求分配相同的公开端点号（100.100. 100. 100 : 62000），以保证客户A的身份”能够在经过翻译后仍然保持一致。NAT和防火墙不翻译端口号，因此也是克隆方式的NAT。根据克隆时受到的限制大小，又可以把

13、克隆NAT分为以下三种:/| |:1234:1234*S2(AfjS2):4567:123糾A:123By ReTurner.D(1) 全双工 锥形 (Full Cone)首先，把所有来自相同内部 IP 地址和端口的请求映射到相同的外部 1P 地址和端口。其次，任何一个外部主机通过把一个 TP 包发送给已得到映射的外部 IP 地址的方式，都能够把该包发送给该内部主机。(2) 限制性克隆 (Restricted Cone)把所有来自相同内部 IP 地址和端口号的请求映射到相同的外部 IP 地址和端口。 与全克隆 NAT

14、方式不 同，只有当内部主机以前曾经给 IP 地址为 x 的外部主机发送过一个包时， IP 地址为 x 的该外部主机才能够 把一个 IP 包发送给该内部主机。(3) 端口限制性克隆 (Port Restricted Cone) 端口限制性克隆与限制性克隆类似，只是限制中多了端口号。特别是，一个外部主机可以发送一个源IP地址和源端口号分别为(X, P)的IP包给内部主机，只有当内部主机以前曾经给IP地址为x,端口号为P的外部主机发送过一个包时，IP地址为X的该外部主机才能够把一个源端口号为P的IP包发送给该内部主机。2. 对称 NAT对称式NAT(symmetric NAT)是指把所有来自相同内部

15、IP地址和端口号，至惰定目的1P地址和端口号的请求映射到相同的外部 TP 地址和端口。如果同一主机使用不同的源地址和端口对，发送的目的地址 不同，则使用不同的映射。只有收至了一个 IP 包的外部主机才能够向该内部主机发送回一个 UDP 包。对 称式的NAT不保证所有会话中的(私有地址，私有端口 )和(公开IP，公开端口)之间绑定的一致性。相反， 它为每个新的会话分配一个新的端口号。从下图可以看出，假如客户 A分别从相同的内部地址和端口号( : 1234)同时发起两个会话请求至服务器 1 和服务器 2，对称 NAT 可能会为这两个来自相同地点的会话请求分配不相同的公开端点号，如把 100 100. 100.100 : 62000 分配给会话 1，把100 100. 100.100: 62001 分配给会话 2。因为这两个齐FA1000.1:1234会话的有一个