地址转换技术.docVIP

11.1 地址转换 410 M000 0147 地址转换技术 Huawei Technologies 地址转换 基于TCP/IP结构的仅仅属于一个特定组织的私有网络需要给内部每一个网络节点分配IP V4地址，如果使用向IP地址分配机构申请的地址（我们称为公有地址），就会产生如下两个不利因素： 如果这个组织很大，那么会需要一笔可观的费用； 如果每一个组织都申请公有地址，会加速IP V4地址的耗尽过程； 当然，如果全面升级至IP V6，那么地址资源紧缺问题会自然解决。但这个升级过程尚未启动，即使启动，考虑到IPv4的广泛部署，这个过程也是漫长的。 让问题变得更加尖锐的是很多组织都希望自己的内部网络地址结构不为外界知晓从而确保安全性。从网络内部和外部互相访问的特性来看，则希望对内部主动访问外部网络实施比较宽松的限制，而外部网络（以下简称外网）主动对内部网络（以下简称内网）的访问实施严格的限制：如只允许外界访问http服务等。地址转换（NAT，Network Address Translation）技术是满足上面所有这些需求的一个好办法，其大致工作环境如图11-16所示。 NAT功能示意 如上图所示，组织内部网络使用IANA规定的“私有网络地址”。IANA规定三个网段的地址可作为私有地址使用。它们是：/8、/16～/16、/16。这三个地址范围不会被分配给公网节点，每个组织可以自由使用（即多个组织可能使用同一个私网地址范围）。 对于不需要和外界通信的网络，采用私有地址组建网络就可以正常实现网络内部的通信了。但如果需要和外部通信，就必须通过一台路由器建立内部和外部网络之间的IP互通性。由于使用了私有网络地址，使得IP互通性的建立和标准的IP互通性建立有所区别。对于普通情形，为了使由内至外的输出流量被正确路由到目的地，通常需要在内部网络中配置一条缺省路由（下一跳是Rt1的内网接口IP地址）；为了使由外至内的输入流量被正确路由到目的地，通常Rt1需要向外部网络发布内网路由（下一跳是Rt1的外网接口IP地址）。在使用私有网络地址情形下，这种方法就不能奏效了。因为有可能有多个组织使用同一个私网地址范围，如果Rt1向外部发布私网路由，会导致外部网络上路由信息混乱。 NAT技术解决这个问题的方法就是在出口路由器上实施公网和私网地址的转换。如图11-16所示，Rt1仅仅向外发布自身外网接口和其它一些公网地址的路由，内网节点仍然配置下一跳指向Rt1内网接口的缺省路由。当由内至外的IP数据包经过Rt1转发时，Rt1将这个IP报中的源地址等其它私网信息改为某个Rt1拥有的公网地址相关的信息，这样对于外网主机而言，它就会认为它在和一个公网主机通信；当回程（公网至私网）数据包到达Rt1时，Rt1必须根据先前所作的私网到公网的映射的逆映射将目的IP地址等信息转化为私网信息。对于由外网主动向内网发送的数据流及其回程数据流的传输问题，则采取静态配置公网、私网映射的办法解决。 地址转换技术有多种形式，目前被广泛实现在路由器、安全网关、代理服务器上。目前被大量部署的是被称为NAPT（基于端口的地址转换技术，Network Address Port Translation）的地址转换技术，我们这里只介绍这种技术。 NAPT技术基于传输层端口（TCP或UDP端口号域、ICMP标识符域）进行地址转换。我们以TCP为例进行讨论。图11-17描绘了对于内网主动发起的流量的处理过程。 NAT（内网－外网）实现流程示例 如图所示，由内网主机发起的TCP报文（目的IP地址为、目的端口号为21、源端口号1001）到达Rt1以后，触发Rt1建立地址转换表项：以公网地址、端口对（，1044）代替私网地址、端口对（，1001）。具体到报文的操作而言，Rt1将该数据包的私网源地址（）、私网源端口（1001）替换成为刚才建立的地址转换表中所对应的公网IP地址（）和公网端口号（1044），并重新计算有关校验和之后将其从公网接口发送出去。对于目的主机而言，当它接收到这个报文时，它并不知道报文的始发者是，它只是根据它接收到的报文中的源地址（）和源端口号（1044）决定返程流量的目的地。当这个数据流的返程流量（目的地址：，目的端口为：1044）从主机发到Rt1时，Rt1根据报文的目的地址和目的端口号查找地址转换表得到这个报文的真正目的地（，1001），在对报文的目的地址和目的端口做相应替换并重新计算校验和以后，这个报文被发送到。 为什么要把端口和地址一起做映射，而不是仅作地址映射呢？这里关键在于如果仅仅作地址-地址映射，如果公网地址数目少于私网地址数目，那么组织内可以同时访问外网的主机数目就不能超过公网地址数目；如果公网地址数目等于私网地址数目，那么运用私网地址节省IP地