DPtech NAT技术白皮书
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
DPtech NAT技术白皮书
杭州迪普科技有限公司
2013年8月
目录
1、概述3
2、迪普科技专业NAT技术3
2.1源NAT 3
2.2目的NAT 4
2.3一对一NAT 5
2.4 NAT stick功能5
2.5对称NAT 6
2.6圆锥NAT 7
2.7端口块NAT 9
2.8 NAT64与DS-Lite 10
2.9 Session级NAT 12
2.10 NAT会话管理与溯源12
2.11 NAT ALG 13
1、概述
随着Internet的发展和网络应用的增多,IPv4地址枯竭已成为制约网络发展的瓶颈,尽管IPv6可以从根本上解决IPv4地址空间不足问题,但目前众多网络设备和网络应用大多是基于IPv4的。同时对于国内各大运营商而言,随着业务的深入开展,互联网用户数也不断增多,IP地址资源已经严重匮乏,是IPv4网络发展面临的最紧迫问题。因此在IPv6广泛应用之前,采用NAT(Network Address Translation)技术是解决这个问题最主要、最有效的技术手段。
NAT技术作为一种过渡方案,采用地址复用的方法来满足IP地址的需要,可以在一定程度上缓解IP地址空间枯竭的压力。对于内部访问可以利用私网IP
地址,如果需要与外部通信或访问外部资源,NAT网关会用一个合法的公网IP 地址替换原报文中的源IP地址,并对这种转换进行记录;之后,当报文从外网返回时,NAT网关查找原有的记录,将报文的目的地址再替换回原来的私网地址,并送回发出请求的主机。对于一般用户而言,与普通的网络访问并没有任何的区别。
2、迪普科技专业NAT技术
迪普科技NAT解决方案可支持多种NAT技术,可满足各种城域网、IDC、园区网等多种组网的需求。
2.1源地址NAT
源地址NAT方式属于多对一的地址转换,它通过使用“IP地址+端口号”的形式进行转换,使多个私网用户可共用一个公网IP地址访问外网,因此是地址转换实现的主要形式,也称作NAPT。
图1 源NAT方式配置截图
迪普设备提供灵活的NAT复用方式,可以选择借用出接口、NAT地址池、和特定的流不做NAT功能,部署起来非常灵活,可以满足各种各样的需要。
2.2目的地址NAT
出于安全考虑,大部分私网主机通常并不希望被公网用户访问。但在某些实际应用中,需要给公网用户提供一个访问私网服务器的机会。而在源NAT方式下,由于由公网用户发起的访问无法动态建立NAT表项,因此公网用户无法访问私网主机。目的地址NAT(映射内部服务器)方式就可以解决这个问题——通过目的地址NAT配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,NAT设备可以将公网地址“反向”转换成私网地址。
目的地址NAT方式的处理过程如下:
1、在NAT设备上手工配置静态目的NAT转换表项(正反向)。
2、NAT设备收到公网侧主机发送的访问私网侧服务器的报文。
3、NAT设备根据公网侧报文的“目的IP地址+目的端口号”查找目的NAT规则表项,并依据查表结果将报文转换后向私网侧发送,并建立会话信息。
4、NAT设备收到私网侧的回应报文后,根据其五元组查找会话信息,这时刚好匹配会话的反向流信息,并依据查表结果将报文转换后向公网侧发送。
图2 目的NAT配置截图
2.3一对一NAT
一对一NAT是高级的目的地址NAT,将内部服务器的私网IP通过静态的一对一NAT配置映射成公网IP地址。一对一NAT就是将内部私网服务器的所以服务都进行开放,允许公网用户通过公网IP地址进行访问。配置如下图:
2.4 Sticky NAT功能
一个IP地址通过NAT转换设备之后建立一个转换后IP与发起方IP的映射关系,之后该IP访问任何地址经过NAT转换设备都将转换为第一映射的IP地址。
PC1
PC2
PC3
Sticky NAT PC1访问PC2,NAT 转换为ip111PC1访问PC3/其他任何ip,NAT 都转换为ip111
Internet
图3 Sticky NAT 某些视频监控客户端软件监控过程要求与多个服务器通信并要求IP 和端口要一直保持一致,以及网上银行应用登陆、认证、交易都是多服务器通信要求使用相同的IP 地址,如果没有Sticky NAT 功能,监控业务可能异常或网银可能登录不了,迪普科技NAT 设备采用IP 和端口的分配分别通过不同的算法来计算,因此不会存在这个问题,这种问题主要存在于端口+IP 作为资源进行离散分配的设备上。
2.5对称NAT
一条流通过NAT 转换设备后,将在NAT 网关中建立一个映射表,在表项老化期内只有同一个设备的反向流量到达NAT 网关才能匹配五元组映射表进行NAT 转换。
PC1
PC2PC3对称NAT
i p 1,p o r t 1——>i p 2,p o r t 2 n a t 转换 i p 111,p o r t 111——>i p 2,p o r t 2i p 1,
p o r t 1<——i p 2,p o r t 2 n a t 转换 i p 111,p o r t 111<——i p 2,p o r t 2i p 111,p o r t 111<——i p 3,p o r t
3
图4 对称NAT
2.6圆锥NAT
一条流经过NAT 设备转换,在老化期内任何IP 都可以允许访问该条NAT 转换后的IP 及端口。
PC1PC2PC3圆锥NAT
i p 1,p o r t 1——>i p 2,p o r t 2 n a t 转换 i p 111,p o r t 111——>i p 2,p o r t 2i p 1,
p o r t
1<——i p 2,p o r t 2 n a t 转换 i p 111,p o r t 111<——i p 2,p o r t 2i p 111,p o r t 111<——i p 3,p o r t ,a n y
图5 圆锥 NAT