DPtech NAT 技术白皮书

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

DPtech NAT技术白皮书

杭州迪普科技有限公司

2013年8月

目录

1、概述3

2、迪普科技专业NAT技术3

2.1源NAT3

2.2目的NAT4

2.3一对一NAT5

2.4NAT stick功能5

2.5对称NAT6

2.6圆锥NAT7

2.7端口块NAT9

2.8NAT64与DS-Lite10

2.9Session级NAT12

2.10NAT会话管理与溯源12

2.11NAT ALG13

1、概述

随着Internet的发展和网络应用的增多,IPv4地址枯竭已成为制约网络发展的瓶颈,尽管IPv6可以从根本上解决IPv4地址空间不足问题,但目前众多网络设备和网络应用大多是基于IPv4的。同时对于国内各大运营商而言,随着业务的深入开展,互联网用户数也不断增多,IP地址资源已经严重匮乏,是IPv4网络发展面临的最紧迫问题。因此在IPv6广泛应用之前,采用NAT(Network Address Translation)技术是解决这个问题最主要、最有效的技术手段。

NAT技术作为一种过渡方案,采用地址复用的方法来满足IP地址的需要,可以在一定程度上缓解IP地址空间枯竭的压力。对于内部访问可以利用私网IP

地址,如果需要与外部通信或访问外部资源,NAT网关会用一个合法的公网IP 地址替换原报文中的源IP地址,并对这种转换进行记录;之后,当报文从外网返回时,NAT网关查找原有的记录,将报文的目的地址再替换回原来的私网地址,并送回发出请求的主机。对于一般用户而言,与普通的网络访问并没有任何的区别。

2、迪普科技专业NAT技术

迪普科技NAT解决方案可支持多种NAT技术,可满足各种城域网、IDC、园区网等多种组网的需求。

2.1源地址NAT

源地址NAT方式属于多对一的地址转换,它通过使用“IP地址+端口号”的形式进行转换,使多个私网用户可共用一个公网IP地址访问外网,因此是地址转换实现的主要形式,也称作NAPT。

图1源NAT方式配置截图

迪普设备提供灵活的NAT复用方式,可以选择借用出接口、NAT地址池、和特定的流不做NAT功能,部署起来非常灵活,可以满足各种各样的需要。

2.2目的地址NAT

出于安全考虑,大部分私网主机通常并不希望被公网用户访问。但在某些实际应用中,需要给公网用户提供一个访问私网服务器的机会。而在源NAT方式下,由于由公网用户发起的访问无法动态建立NAT表项,因此公网用户无法访问私网主机。目的地址NAT(映射内部服务器)方式就可以解决这个问题——通过目的地址NAT配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,NAT设备可以将公网地址“反向”转换成私网地址。

目的地址NAT方式的处理过程如下:

1、在NAT设备上手工配置静态目的NAT转换表项(正反向)。

2、NAT设备收到公网侧主机发送的访问私网侧服务器的报文。

3、NAT设备根据公网侧报文的“目的IP地址+目的端口号”查找目的NAT规则表项,并依据查表结果将报文转换后向私网侧发送,并建立会话信息。

4、NAT设备收到私网侧的回应报文后,根据其五元组查找会话信息,这时刚好匹配会话的反向流信息,并依据查表结果将报文转换后向公网侧发送。

图2目的NAT配置截图

2.3一对一NAT

一对一NAT是高级的目的地址NAT,将内部服务器的私网IP通过静态的一对一NAT配置映射成公网IP地址。一对一NAT就是将内部私网服务器的所有服务都进行开放,允许公网用户通过公网IP地址进行访问。配置如下图:

2.4Sticky NAT功能

一个IP地址通过NAT转换设备之后建立一个转换后IP与发起方IP的映射关系,之后该IP访问任何地址经过NAT转换设备都将转换为第一映射的IP地址。

图3Sticky NAT

某些视频监控客户端软件监控过程要求与多个服务器通信并要求IP和端口要一直保持一致,以及网上银行应用登陆、认证、交易都是多服务器通信要求使用相同的IP地址,如果没有Sticky NAT功能,监控业务可能异常或网银可能登录不了,迪普科技NAT设备采用IP和端口的分配分别通过不同的算法来计算,因此不会存在这个问题,这种问题主要存在于端口+IP作为资源进行离散分配的设备上。

2.5对称NAT

一条流通过NAT转换设备后,将在NAT网关中建立一个映射表,在表项老化期内只有同一个设备的反向流量到达NAT网关才能匹配五元组映射表进行NAT 转换。

图4对称NAT

2.6圆锥NAT

一条流经过NAT设备转换,在老化期内任何IP都可以允许访问该条NAT转换后的IP及端口。

图5圆锥NAT

圆锥NAT主要应用在P2P应用比较多的环境中。由于NAT破坏了IP的端到端的网络模型,通过圆锥NAT可以弥补NAT在UDP方面的缺陷,由于目前各种UDP协议也考虑了NAT设备,因此部分后续的基于UDP协议的应用自身就可以穿越NAT设备,如QQ等。

圆锥NAT主要部署与用户对应用体验非常敏感的地方,如P2P下载,由于破坏了端到端的网络模型,如果应用不支持NAT穿越协议(STUN等协议),由公网侧发起对NAT后私网的下载报文将被NAT设备丢弃,部署圆锥NAT将改善这种情况。

圆锥NAT的公网IP及端口对,是报文匹配圆锥NAT规则,且在首次用户访问外网UDP应用时创建,其老化时间默认为30秒,如果公网用户访问其公网IP 及端口对,则将实时更新这个资源,如30秒后没有报文经过,则删除这资源对。

图6圆锥NAT配置

相应的圆锥NAT还有特殊的两种:限制圆锥NAT及端口限制圆锥NAT,这两种NAT无非就是对外部设备的IP及端口进行进一步的限制,如限制圆锥NAT就是对PC的IP地址进行限制,只有PC2的所有端口才可以对这地址及端口进行访问,而端口限制圆锥NAT就是对端口进行限制,所有PC的端口只有一个,不像圆锥NAT对所有的IP及端口都没有限制。

相关文档
最新文档