地址公网-内网ip分配及nat地址转换协议

公网/内网I P分配及N AT地址转换协议公网/内网I P分配及N AT地址转换协议转自ReT umer.D*s blog

上•篇/下•篇2008-10-2010:43:13/个人分类无线通信

査看150  /评论0 /评分0/0公网IP/内网IP

在TCP/IP协议中专门保留了三个IP地址区域作为私有地址其地址范围如下

10.0.0.0/&10.0.0.0〜10.255.255.255

172.16.0.0/12 172.16.0.0〜172.31 .255.255

192.168.0.0/16 192.168.0.0〜192.168.255.255

使用保留地址的网络只能在内部进行通信而不能与其它网络互连。因为本网络中的地址同样也可能被其它网络使用如果进行网络互连那么寻找路由时就会因为地址的不唯--而出现问题。但是这些使用保留地址的网络可以通过将木网络内的保留地址翻译转换成公共地址的方式实现与外部网络的互连。这也是保证网络安全的重要方法Z—。

但是有一些宽带运营商尽管也使川了非私有地址分配给川户使川但是由于路由设置的原因‘ Internet上的其它川户并不能访问到这些IPo

我们将这两种情况下应用的IP称为内网IP,

如果H己机器上网络接口的IP地址落在上述保留地址范围内则叮以肯定ft己处于内网模式一匸

内网IP对Internet的访问必须通过代理的方式 NAT NetworkAddress Translation技术是基J1TCP层面的代理能够相当好地使用于各种I P服务应用 因此被广泛应用。 Z所以说是相当好是因为N AT要求整个服务的连接是从内网向外网主动发起的而外网用户则无法直接主动 向内网内网的服务发起连接请求除非在N AT的所冇网关上针对服务的端口作了端口映射。

NAT转换的类型

冇四种N AT转换模型可以涵盖当前N AT的基木应用。

1 、静态转换Static NAT

在路由器上乎工配置私冇IP地址和公网IP地址的对应关系一经配置转换表永久存在。明显的例子是N AT路由器上配置外网用户访问内网的服务器 内网服务器依然使用私网地址在N AT路由器上分

配一个公网地址并配置私网地址/公网地址的转换表对外提供公网IP地址给外部网络用八访问。N AT转换表:202.1 10.10.108080-->10.1 10.10.1080(www)

2、动态转换(Dynamic NAT)

路由器上保留一个合法地址列表每当有转换需求的时候从列表中选择一个进行转换。注惹动态转换依然是一对一的。

1) 由于从列表中选择每次转换采用的IP地址并不一定是同一个

2)合法地址被采川后其他的转换需求不能再使川这个合法IP。

3、复用转换(Overloading NAT)

在动态转换中毎个合法的IP地址只能在转换表屮使用一次在内部网络主机访问外部需求增多的情况下合法地址列表屮的IP地址会很快不够用。这时可以利用上层协议标识例如利用传输层TCP/UDP的端口号字段來协助建立NAT转换表项(ICMP报文的ICMP头中的Identifier字段也可以用来实现与端口号类似的功能)。这样多个私有地址可以通过一个合法地址进行转换这种类型的N AT转换也可以称为PAT(端口地址转换)。

转换表项例子

10.10.1 .1 100202.110.10.1 100

10.10.1 .1 101 202.110.10.1 101

10.10.1 .2 102202.110.10.1 102

理论上 1个公网地址叮以提供的转换表项为2A16=65535个(尚未扣除知名端口数量)。这是INTER NET±N AT的典型应用。通过复用转换还可以实现服务器负载分担的功能。

4、重叠转换(Overlapping NAT)

内部网使用的地址跟外部网重叠这时需要把跟外部重叠的I P地址进行变换。在N AT路由器上将外部网的重叠IP重新映射成不重叠的IP地址。这个方案可以解决使用相同私网网段的企业网络的合并问题。

Inside Outside

Packet_l Packet」

Source=10.10.10.1 Source=172.10.10.1

Destinations! 68-192.10.1 Destination-10<10.1.1

IL OLIG

Packet 2 Packets

Source=168.192.10.1 Source=10.10.1.1

Destination=10.10.10 J Destin ation=172.10.10.1

By ReTurner.D

建立的转换表项如下

10.10.10.1 168.192.10.1 172.10.1 .1 10.10.10.1

10.10.10.1 172.10.1 .1 168.192.10.1 10.10.10.1

在NAT路由器上将外部网的重叠IP重新映射成不重叠的IP地址。这个方案可以解决使川相同私网网段的企业网络的合并问题。

4种地址类型分别是:

内部丿诂部地址(IL Inside local address)

内部全局地址(IG Inside global address)外部局部地址(OL Outside local address)外部全局地址(OG Outside

global address)

N AT传换表

N AT按照转换表进行数据包的转发。

1  转发原则根据数据包的來源是内部还是外部而不同。 N AT重叠转换为例建立如下转换表内部局部内部全局外部局部外部全局

10.10.10.1 172.10.10.1 —— ——

---------------------168.192.10.1 10.10.10.1

10.10.10.1 172.10.10.1 168.192.10.1 10.10.10.1

左边主机访问右边主机发出的Packet_1 IP包到达NAT路山器转换后源IP地址将根据转换表项笫1行转换为172.10.10.1 ,目的IP地址将根据转换表项第2行转换为10.10.10.1 ,反Z亦然。

2按照数据驱动的方式建立冇静态动态两种。静态地址转换类型衣项一口建立将一玄存在。动态地址表项在需耍时动态建立如果一段时间没有IP报文查询利用这个表项至0达老化时间后将自动删除释放资源重新使川。

从功能上看主要有以下几种典型的NAT:传统NAT 基本NAT,NAPT 、两次NAT、多宿主NAT。两次N AT:即上文的“重叠转换N AT”

多宿主NAT Multihomed NAT

使用N AT会带來很多问题R FC 2993 。 比如N AT设备要为经过它的会话维护状态信息而一个会话的请求和响应必须通过同一N AT设备做路由 因此通常要求允许N AT末梢域边界路由器必须是惟一的,所有的I P包要么发起要么终结在该域。但这种配置将N AT设备变成了可能的单点故障点。

为了让-个内部网络能够在某个N AT链路故障的情况下也可以保持与外部网络的连通件通常希望内部网络到相同或不同的I S P具有多条连接多宿主的 希架经过相同或不同的N AT设备。

又如多个N AT设备或多条链路使用同一N AT,共享相同的N AT配逢能够为相互之间提供故障备份。在这种情况下冇必婆讣备份N AT设备交换状态信息 以便当主N AT出现故障时备份N AT能够扒负起透明地保持会话的能力。

传统NAT内部地址端口与内部地址端口的映射方式主要冇以下儿种典型类型:ConeNATFul l Cone、Restricted Cone、 Port Restricted Cone、 和对称NAT。

1 .锥形N AT(C o n e N AT)

当在私有IP,私有端口与公开IP•公开端口已经建立了一个端口映射表后克隆NAT将为随后从相同的私有地址和端口号发起的呼叫重复使川该映射条件是只要使用映射有时业叫绑定的会话至少有一个继续保持激活状态。

从下图可以看出客户A分别从相同的内部地址和端口号10.0.0.1  1234同时发起两个会话诸求到服务器1利服务器2,因为这两个请求來白相同的内部地址和端口所以克隆N AT将为这两个不同的会话请求分配相同的公开端点号100.100. 100. 100 62000 ,以保证客户A的“身份”能够在经过翻译后仍然保持--致。 N AT和防火墙不翻译端口号 因此也是克隆方式的N AT。根据克隆时受到的限制人小乂可以把克隆N AT分为以下三种

会i51(AJjSl) 会话2(A'JS2)

1.2.3.4:1234 4.5.6.7:4567

10.0.0.1:1234 10.001:1234

10

By Re Turner.D

(1)全双工锥形(Ful lCone)

首先,把所有来自相同内部IP地址和端口的请求映射到相同的外部1P地址和端口。其次,任何一个外部主机

通过把一个TP包发送给己得到映射的外部IP地址的方式都能够把该包发送给该内部主机。

(2)限制性克隆(Restricted Cone)

把所冇來白相同内部IP地址和端口号的请求映射到相同的外部I P地址和端口。与全克隆NAT方式不同只有当内部主机以前曾经给IP地址为x的外部主机发送过-个包时 IP地址为x的该外部主机才能够把-个IP包发送给该内部主机。

(3)端口限制性克隆(Port Restricted Cone)

端口限制性克隆与限制性克隆类似只是限制小多了端口号。特别是一个外部主机可以发送一个源IP地址和源端口号分别为(x,P)的IP包给内部主机只冇当内部主机以前曾经给IP地址为x,端口号为P的外部主机发送过一个包时 IP地址为X的该外部主机才能够把一个源端口号为P的IP包发送给该内部主机。2对称N AT

对称式NAT(symmetric NAT)是指把所冇來自相同内部IP地址和端口号到特定目的1 P地址和端口号的请求映射到相同的外部TP地址和端口。如果同一主机使用不同的源地址和端口对发送的目的地址不同则使用不同的映射。只有收到了一个IP包的外部主机才能够向该内部主机发送回一个UDP包。对称式的N AT不保证所有会话中的(私有地址私有端口)和(公开I P,公开端口)之间绑定的一致性。相反 它为毎个新的会话分配一个新的端口号。

从下图可以看出假如客户A分别从相同的内部地址和端口号(10.0.0.1  1234)同时发起两个会话请求到服务器1和服务器2,对称N AT可能会为这两个來H相同地点的会话请求分配不相同的公开端点号如把

100100. 100.100 62000分配给会话1 ,把100100. 100.100 62001分配给会话2。凶为这两个

会话的有一个端点不同所以虽然在翻译的过程中客八A的身份发生了变化但N AT仍然能够止确工作。

会话2(A*JS2)

4.5.6.7:4567

10.0.0,1:1234

会诂2(A与服务器2)4.567:4567100,100.100.100:62001刘称NAT

100.100.100.100

会i51(AJjSl)A

1.23.4:1234

10.0.0.1:1234