IP转换技术

godchild_pan

随着Internet的发展，连接到网络上的计算机数量也越来越多，为了区别网络上的计算机，TCP/IP协议规定每一台网络上的计算机都要有一个电话号码一样的"IP地址"，正如现在电话号码不断升位一样，目前IP地址也面临着一个资源短缺的问题。目前国际上正在筹划"升位"----采用新的IPV6标准，扩充IP地址的容量，但由于以往应用的惯性和牵扯到的方方面面太多，IPV6的全面使用还有待时日。于是人们又采用"出NAT"（Outbound Network Address Translation，出地址转换）技术来解决目前面临的IP地址短缺问题。下面我们就以华为NE系列高端路由器为例向大家介绍一下出NAT技术。
什么是地址转换技术？
　　首先我们应该知道什么是IP地址。Internet是连接了许多的局域网的一个网络，如果局域网采用TCP/IP协议连接，局域网的每台机器都必须拥有一个IP地址，为了方便使用，国际因特网地址分配组织（IANA）规定将IP地址分为两类：私有地址和公有地址。
　　私有地址是指内部网络（局域网内部）的主机地址，是指与外部地址相独立的地址域；而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。按IANA的规定，私有网络地址不会在因特网上被分配，而是在一个企业（局域网）内部使用。各个企业根据在可预见的将来主机数量的多少，来选择一个合适的网络地址。不同的企业，他们的内部网络地址可以相同。
　　但问题在于，私有地址是不会在Internet上看见的，使用私有地址转换的主机是不能直接访问Internet的，同样的道理，在Internet上也不可能访问到使用私有地址的主机，如果局域网内的计算机要访问Internet，他就不应该采用私有地址，而是公有地址----但公有IP地址资源是有限的，许多局域网内的计算机不得不采用私有地址。解决这个矛盾的方法就是NAT。
　　NAT技术是指IP地址从一个地址域向另一个地址域映射的方法，NAT技术包括出NAT、双向NAT、二次NAT、多接口NAT等等。而要解决内外部地址间的转换以及由于安全或地址在网络外部使用为非法时，人们常常使用出NAT（Outbound NAT/tradition NAT）技术，其原理在于，局域网内部的主机（计算机）仍然是私有地址，只有当内部局域网内部的主机需要访问Internet的时候，通过NAT技术为这台主机分配一个临时的合法的IP地址，使得这台主机可以访问Internet，因此每台内部局域网的主机不需要都拥有合法的IP地址就可以访问Internet了，这样就大大节约了合法的IP地址；类似地，当内部局域网需要给外部网络提供一定的服务的时候（即从Internet访问局域网内的计算机），就可以使用NAT提供的"内部服务器"功能，进行一个"反向的"地址转换，使得外部网络的主机可以访问内部网络中使用私有地址的计算机。
　　由此可见，使用出NAT技术可以有效地解决IP地址短缺的问题，并且对网络安全等需求也十分适合。
出NAT技术详解
　　我们以华为NE系列路由器为例来详细介绍出NAT。如果一个私有地址的局域网内计算机要访问Internet，那么可以采用这样一些转换方式：
一对一转换
　　这种地址转换技术出于安全考虑，为了隐匿信源的真实身份，它本身并不能解决IP地址缺乏问题，这种技术的主要原理是为每一个需要做地址转换的报文分配一个公有网络IP地址，使用这个IP地址替换原来的报文的源地址，在实际应用中很少应用。NE05/08E/16E系列路由器支持这种地址转化技术。
PAT方式
　　某个局域网用户使用私有地址建立了局域网，当这个局域网准备和Internet连接的时候，该局域网拥有的合法IP地址数量可能远远小于局域网内部的用户数量。例如某个局域网有50台主机需要访问Internet，而实际的合法IP地址只有5个。
　　例如，NE05/08E/16E系列路由器PAT方式的地址转换使用了TCP/UDP的端口信息，这样在进行地址转换的时候使用的是"地址＋端口"来区分内部局域网的主机对外发起的不同连接。因为TCP/UDP的端口范围是1~65535，一般1～1024端口范围是系统保留端口，因此从理论上计算，通过PAT方式的地址转换一个合法的IP地址可以提供大约60000个并发连接。这样使用PAT方式的地址转换技术，内部局域网的很多用户可以共享一个IP地址上网了。
EASY IP方式
　　华为Quidway NE05/08E/16系列路由器的地址转换只是可以支持EASY IP特性。在地址转换的过程中，直接使用接口的IP地址做为转换后的源地址，可以适用在拨号口、ISDN接口、通过协商得到IP地址的情况，特别适合小型局域网访问Internet的情况。
　　例如，某个局域网通过路由器连接Internet，通过拨号方式协商得到合法的IP地址。可以使用EASY IP特性，使得内部局域网的用户都通过这个接口的IP地址上网。
EASY IP特性特别适合于小型办公网、网吧等场合使用，结合DHCP技术，可以使一个小型局域网的PC不用配置就可以到达透明访问Internet的目的，因此被成为EASY IP特性。
　　上面这些方式都是"正向"的地址转换，反之，当需要从Internet访问局域网内的主机时，就要进行"反向"的地址转换，这就是"内部服务器"应用的由来。例如，华为路由器对内部服务器的支持可以到达端口级。允许用户按照自己的需要配置内部服务器的端口、协议、提供给外部的端口、协议。主要方式包括：
利用ACL控制地址转换
　　华为NE05/08E/16E系列路由器的地址转换功能，可以利用访问控制列表决定什么样的地址可以进行地址转换。如果内部地址的某些主机具有访问Internet的权利，而某些主机不能访问Internet。可以利用ACL（访问控制列表）定义什么样的主机不能访问Internet，什么样的主机可以访问Internet。然后将配置好的ACL规则应用在地址转换上，就可以达到利用ACL控制地址转换的功能。
对应用程序网关的支持
　　地址转换对一些复杂协议需要做特殊处理，总体上说，只要是在数据载荷（"数据载荷"是指除了IP头以及TCP/UDP头之外的信息）中含有地址或者端口（这里的端口仅仅只TCP/UDP的端口）信息的协议，地址转换都需要特殊处理。为了使得地址转换可以支持某种特殊的协议的部分称为应用程序网关，常见的地址转换需要特殊处理的程序(协议)有：FTP（包括PASV和PORT两种模式）、H.323、ILS、DNS、PPTP、NETBIOS、ICMP、radius等。
典型组网应用
中型网络访问Internet的组网方案
　　一般的中型网络指的是具有合法的IP地址，但是这些合法的地址一般不是直接从IANA组织申请到的，而是从ISP申请的。通过专线接入Internet，同时在自己的局域网里面可能还设置有Web服务器、FTP服务器等供外部网络访问。
　　对于中型网络，华为Quidway NE05/08E/16E系列路由器提供了灵活的"内部服务器"功能，中型企业可以很容易的提供自己的WEB服务器、FTP服务器等等，并且不会过多的占用合法IP地址，例如虽然企业内部的WEB服务器和FTP服务器不在一台服务器上，即它们的内部网络的IP地址是不一样的，但是可以通过"内部服务器"功能给外部网络提供统一的访问地址，这样就大大节省了合法的IP地址，不需要为每一个服务器都提供一个静态的地址映射就可以提供内部服务器的功能。


大型ISP的组网方案
　　如图所示，在ISP局域网中，一般由交换机、接入服务器和Web服务器组成，交换机上行连至ISP出口路由器；ISP出口路由器汇聚了接入服务器及各专线用户的业务流、通过ATM、POS或GE连至骨干IP网。
　　例如，采用NE05/08E/16E系列路由器地址转换功能就可以完整的支持Radius协议，这样如果接入服务器的Radius服务器不在ISP局域网的内部，也可以通过地址转换完成验证、计费等功能，不会影响拨号用户的访问，计费。这样ISP可以为拨号用户分配私有地址，使得拨号用户可以通过地址转换访问Internet，节省下来的公有IP地址可以分配给一些专线用户，这样可以给ISP提供更高效的服务。
　　NE05/08E/16E系列路由器地址转换同时还可以提供丰富的协议网关，可以支持DNS、FTP、H323、Netmeeting、PPTP、L2TP等特殊协议，不会妨碍拨号用户正常访问Internet。同时ISP依然可以提供自己的DNS服务器，而在路由器上，VRP的地址转换功能可以将私有地址自动转换成WEB服务器的外部地址，因此ISP以外的用户依然可以通过DNS访问ISP的WEB服务器。这样可以大大的提高ISP的组网灵活性，当因为网络更改，需要改变网络结构时候变得非常容易，甚至改变WEB服务器的地址也是非常轻松，直接改变IP地址和DNS上的设置就可以了，不会影响到任何其他问题。
多出口组网方案
　　在高校出口路由器等网络中，经常会设计多出口NAT的问题，如同时获得EDU（教育网）和城域网的出口。即可通过多个ISP获得Internet的出口，不同的ISP提供不同的公网地址和接口带宽。在这种情况下，利用路由器分布式的处理特点，可实现多出口解决方案。一个典型的例子就是同济大学采用NE路由器的多出口解决方案。
　　同济大学内部2万多个用户，一百多个内部服务器（包括VOD服务器），使用NE作为整个校园网的出口。NE16_A和NE16_B通过HSRP进行备份，作为校园网第一出口。每台NE通过两块接口板分别配置NAT，实现双出口，分别连接教育网和电信城地域网。NE16_C作为校园网第二出口。组网结构图如下：


　　另外，采用NAT技术的应用案例还有许多。例如宁波联通采用一台NE16作为NET网关，为专线用户、以太网用户等提供NAT出口。该台NE16E共配置了24块4E1卡，接入了2000多用户，高峰期上行接口有80M的流量；江苏盐城联通接入1000多用户，高峰期上行接口有40M的流量；安徽广电作为整个广电的出口；广西柳州铁通、云南曲靖电信、福建龙岩移动等地都采用NE16E做为NAT网关。等等
结语
　　随着Internet网络的迅速普及，IP地址短缺问题越来越成为Internet发展的一个问题，地址转换技术在解决IP地址短缺问题方面十分合适。在校园网、城域网、宽带小区建设等等场合，地址转换具有十分广阔的前景。同时，地址转换隐藏了局域网的真实地址，也可以起到保护内部局域网的作用。在IPV6全面推行之前，地址转换技术是解决地址短缺最有效的方法。在实施内部局域网访问Internet的网络的时候，一般地址转换技术是最经济、切实有效的组网方案。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/29329/showart_300640.html