网络地址转换技术原理探析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
当 内部 网络与外部 网络通讯 时,需要配置NA T, 将 内部私有I地 址转换成外部合法I地 址。 内部地址 P P
翻 译 的整 个 过 程 如 图 1 示 。 所
流量 ,为 了保证 网络服 务的畅通,必须多台计算机对
连接请求进行 负载均衡 ,同时也起 到了冗余备份的 目 的。网络地址转换技术的产生解决了上述问题 。
121 8 .,并 转发 数 据 报给 12181 。 9 . .2 6 1 9 . .. 6 2 ()9 . 81 接 收 到应 答 包 ,并 继 续 保 持 会 话 。 6121 .. 6 2
键 字 查 找NA T映射 表 ,根 据 找 到 的基 本 记 录 将 数
据 报 的 目 的 地 址 转 换 成 1 2 1 8 12 转 发 给 主 机 9 .6 ..并
随着 因特 网的飞 速发 展 , 因特 网上丰 富 的资 源
11 . 内部 地 址翻 译 (r s t n nie o aA des Ta l i s cl drs1 n ao I d L
吸引着越来越多 的用户接入 因特 网,但在快速 发展过
程 中却 出现 了几个 问题 ,阻碍 我们对 因特 网的正常使 用。随着因特 网的膨胀式发展,Iv 协议规定的3位I P4 2 P 地址资源越来越 少 。因特网 中基于I地址 的恶意攻击 P 严重威胁着 因特 网用户 ,特 别是对外提供服务的 网络 服务器 的使用安全 。对 于网络服务器 来说 ,要接受数 量 巨大 的连接请 求,单台计算机不可能负载如此大 的
() 2当路 由器( A 设备) N T 接收到以12181 为源地 9 . .2 6 .
址 的第 一 个数 据 报 时 , 引起 路 由器检 查NA 映射 表 : T
的目的。NA 转换有3 T 种方式:静态方式(tiN T、动 S t A) ac
①如果配置有关于该地址的静态映射时 ,就执行 第三步 。
1 2 1 8 12 9 .6 . .。
( 6主机1 21 81 接 收到应答包 ,并继续保持会 9 .6 .. 2 话 。第一步到第五步将一直重复,直到会话结束 。 当内部 网络 中某 台主机对外提供 网络服务 时,网 络管理员必须手动建立静态N T,以方便外部主机主 A
动 访 问服 务器 。 1 . 2内部 全 局 地 址 复 用 ( v r aigIs e o a O el dn i b l o n d Gl
Ad r s) des
第一步到第五步将一直重复 ,直到会话结束。 图2 中,外部主机2 214131 0 . .3 .以为是在跟 同一台 9 主机通信 ,实际上是分别与 内部 网络两台地址不 同的
主机 通信 , 它 们 的 内部 本 地 地 址 分 别 为 12181 * 9 .6 .. n 2
d p rme t mu ii a a t o e a t n , n cp l r c mmi e , eCP Bi z o i , n h u 2 6 0 , i a p y t e t C, n h u ct Bi z o , 5 6 3 Ch n t h y
Absrc : e atcet o t o m ftx sa cu e o rve lt ep o e sta AT e c are uttenewo k a r s a sa in f r ta t Th ril o k f r o t ndpitr st e a r c s t he e h h N d viec ri so t r dd e stn lto o h r s e i cd t r m t nad fc n r t poog a so e or p cf aag a wi a i o o c eet l ym p fn t k. i h o w K e wo ds newo ka r e sta lto o e lp i gnewo k ; e h c l rncp e y r : t r dd s nsai n; v ra p n t r s tc nia i il r p
1 NA 技 术 原 理 T
网络地 址 转换( e o A de r s t n A ) N t r drsTa li ,N T是 w k s n ao
一
图1内部地 址 翻译
当内部 网络中一 台主机访 问外部网络资源时 ,详 细过程描述如下 :
种网络层技术 ,并具有扩展到传输层 的特性 。N T A 设
: : …
l D 4111_ 21 .4.卜一 2 9
k水地: I全地: ^址j 郴地址 口部局址 口 睑 ; l 港内 螭 ☆ 地 i I I 口 d : 211lJ 2 1
l&l&12l 9 6 . : 】 l 1 11 4 _
图2内部全局地址复用 () I 内部 主 机 I 2 I 8 12 9 .6 .. 发起 一个 到外 部 主机 2 2141 3 的连接 。 0. . . 9 31 () 2 当路 由器接收到 以121 81 为源地址 的第一 9 .6 .. 2
摘 要 :通过 具体 的 网络 拓扑 结构 图,展现 了NA 设备对 特 定数据报 进行 网络地 址转 换处理 的全过 程 。 T 关键词:网络地址转换 ;重叠 网络 ;技术原理
An a l i ft ep i c p e o t r d r s r nsai n tc n l g naysso rn i l f wo k a d e sta l to e h o o y h ne
S SN1 7 . 4 8 621 3
CN1 49 4 1 1 9 , _
中国 砚代敷唷 各 装
2 1期 0第33 总 第期 1 5 1 2 年
网络地址转换技术原理探析
姜贵平 张 松 杨传栋 王 鲁
1 . 山东农 业大学 山东泰安 2 11 _ 7082中共滨州 市委 宣传部 互联网信 息研 究 中心 山东滨州 260 563
收稿 日期 :2 1-4 1 稿件编号 :l0 19 0 10 .9 14 0 作者简介 :姜贵平 ,本科 ,实验师 。
部全局地址 ,替换数据报源地址 ,经过转换后,数 据 报的源地址变为2214 4 .,然后转发该数据报。 0. . 1 91 1 2 1年 1 月 0 2 1
32 Байду номын сангаас
载分 流 的 目的 。
-、 / 1 2
— —
在 内部全局地址 复用操作 中,N T A 设备使用 “ 内 部全局地址 +T PU P 口号 ”的形式来区分不同的 C /D 端 内部主机 。这也是所谓 的 “ 口地 址转换(A 端 P T,P r ot
A des r s t n ”技 术 。 d s a l i ) r T n ao
2 2 1 4 1 11 数 据 报 时 ,将 以 内 部 全 局 地 址 为 关 0 .9 .4 .的
() 4外部主机2 214131 0. . . 9 3 接收到数据报后 ,将 向
() 5 当路 由器 接 收到 内部 全局地 址 的数 据报 时 ,
将 以 内部全 局地址2 2141 11 0 .9 . .及其端 口号、外部全 4 局地址 及其 端 口号为关 键字 查找NA 映射表 ,根 据 T NA 映射表 中的扩展记录将数据报 的 目的地址转换成 T
态方式( o d A ) P l N T ̄端 口方式(ot A ) oe P rN T 。
网络 地址 转换技术 原理可 以通 过下面4 个过 程展
现 出来 。
② 如果 没有静 态 映射 ,就 建立 动态 映射 ,路 由 器就从 内部全局地址池 中选择一个有效 的内部全局地
址 ,并在N T A 映射表 中创建NA 转换记录 。这种记录 T 叫做基本记录 。 () 由器用1218 . 3路 9 . .2 6 1 对应的N T A 转换记录中的内
() 1 内部 主机 l 2 1 8 I2 起 一个 到 外 部主 机 9 .6 ..发
2 214131 0 . . .的连 接 。 9 3
备通过动态改变通过它的数据报的源 地址和( 目的I 或) I '
地址,将 内部 网络中使用的私有I地址和在 因特 网上使 P
用 的公有 I地 址进 行 转 换 ,达 到将 内部 网络接 入 因特 网 P
个 数据 报 时 , 引起 路 由器 检 查N T A 映射 表 :
图3T P负载 重分 配 C
① 如 果 NAT没 有 转 换 记 录 , 路 由 器 就 为
12181 作地址转换,并创建一条转换记录 。 9 . .. 6 2
图3 ,实际提供T P 中 C 服务的主机有两 台,地址分 别为 121 81 * 1 21 813 9 . .. N 9 .6 ..,对外公布 了一个虚拟 6 2 主机地址2 2141 11 0 . . .,外部 网络通过虚拟主机地址 9 4 2 2141 1 访问T P 0. . . 9 4 1 C 服务 。以下为NA 设备实现T P T C 负载重分配过程的详细描述 : () 1 外部主机2 214131 0 . . .向虚拟主机2 2141 1 9 3 0. . . 9 4 1 发起F P T 连接服务 。 () 由器 ( A 设备) 2路 N T 接收 ̄ F P J I T 连接请 求包 ,建 立一个NA 转换记录,为 内部全局地址2 2141 1 T 0. . . 9 4 1
2 1 年第2 期 0 1 3 总第1 5 3 期
中 砚代 蒙 国 孝 各
2 2141 1 发送 响应 包 。 0. . . 9 4 1
SN 424 C1718 S1994/ N6 -T 3
-
(1 4外部主机2 214131 0 . . .接收到数据报后 ,将 向 9 3 主机2 2141 1 发送 响应包 。 0. . . 9 4 1 ’ () 5 当路 由器 接 收 到 目的地 址 为 内 部全 局 地 址
内部全 局地址 复用 的整 个过程如 图2 示 。详细 所
过 程 描 述 如下 :
工L =
_、 / J
__ 20 . 9 4 214111
T P C 负载重分配 的整个过程如 图3 所示 。
n
’ 一
、
~
… …
fl - _ _
_ ∞
j
\ / L
l2 1 8 12 _ 9 6 . . 卜一
1 2.68 13。 9 1 ..
1 C 负载重分配( C od ir uig -T P 3 T PL a s i t ) D tb n N T A 设备创建 一台虚拟主机对外提供T P ̄务 , C ] 该虚拟主机( 分配有 内部全局地 址) 对应 内部多台实 际 的主机 ,当外部主机 向虚拟主机通讯 时,N T A 设备接 受外 部主机 的连接请求 ,并依据N T A 映射表建立与 内 部主机 的连接 ,把来 自外部 网络 的数据报的 目的地址 ( 内部全局 地址) 照轮 询的原则转换成不 同的 内部本 按 地地 址,将T P C 请求 定位 到不 同的内部主机 ,达到负
Ja gGuii g , a gSo g , n u nd ng , a in p n Zh n n Ya g Ch a o W ngLu
1S a d n g iu t r l n v r i , aa , 7 0 8 Ch n . h t m e f r ai n r s a c e t t ep b i f r a i n . h n o g a rc l a i e s y T in 2 1 1 , i a 2 T ei e t n o m t e e r h c n r h u l i o u u t n i o e, cn m t o