地址转换技术白皮书.docx
《地址转换技术白皮书.docx》由会员分享,可在线阅读,更多相关《地址转换技术白皮书.docx(9页珍藏版)》请在冰豆网上搜索。
地址转换技术白皮书
地址转换技术白皮书
摘要
本文详细介绍了Quidway系列路由器支持的地址转换技术,并且结合地址转换的技术特点给出了相关应用中的组网方案。
关键词
地址转换,私有地址,共有地址
1概述
随着Internet的发展,IP地址短缺问题已经成为了一个越来越严重的问题。
在IPV6使用之前,地址转换(NetworkAddressTranslation)技术是解决这个问题的一个最主要的技术手段。
通过地址转换技术可以使用私有地址提供Internet访问技术,本文就是详细描述了地址转换技的技术、使用范围、组网方案等问题。
地址转换主要是因为Internet地址短缺问题而提出的,利用地址转换可以使内部网络的用户访问外部网络(Internet),利用地址转换可以给内部网络提供一种“隐私”保护,同时也可以按照用户的需要提供给外部网络一定的服务,如:
WWW、FTP、TELNET、SMTP、POP3等。
地址转换技术实现的功能是上述的两个方面,一般称为“正向的地址转换”和“反向的地址转换”。
在正向的地址转换中,具有只转换地址(NAT)和同时转换地址和端口(PAT)两种形式。
2地址转换技术介绍
2.1IP地址短缺问题
所谓IP地址就是给每一个连接在Internet上的主机分配一个唯一的32bit地址,IP地址是由InternetAssignedNumbersAuthority(IANA)组织统一分配的,保证在Internet上没有重复的IP地址。
IP地址是一个32Bit的地址,由网络号码和主机号码两部分组成。
为了便于对IP地址进行管理,同时还考虑到网络的差异很大,有的网络拥有很多的主机,而有的网络上的主机则很少。
因此Internet的IP地址就分成为五类,即A类到E类,其中能被使用的是A、B、C三类。
图1IP地址示意图
A类IP地址的网络号码数不多,目前几乎没有多余的可供分配,现在能够申请到的IP地址只有B类和C类两种。
当某个单位申请到IP地址时,实际上只是拿到了一个网络号码net-id。
具体的各个主机号码host-id则由该单位自行分配,只要做到在该单位管辖的范围内无重复的主机号码即可。
由于当初没有预计到微机会普及得如此之快,各种局域网和局域网上的主机数目急剧增长,另外由于申请IP地址的时候是申请的“网络号码”这样在使用时,有时候也有很大的浪费。
例如:
某个单位申请到了一个B类地址,但该单位只有1万台主机。
于是,在一个B类地址中的其余5万5千多个主机号码就白白地浪费了,因为其他单位的主机无法使用这些号码。
地址转换(NetworkAddressTranslation)技术,就是解决地址短缺问题的一个主要的技术手段。
2.2公有地址和私有地址
Internet是连接了许多的局域网的一个网络,可以连接各种不同类型的局域网。
局域网的类型可以很多,我们在本文讨论的局域网都是使用TCP/IP协议连接的局域网。
如果局域网采用TCP/IP协议连接,局域网的每台机器都必须拥有一个IP地址,为了使得局域网的IP地址可以被局域网自己规划,IANA组织在A、B、C类IP地址中各选出一个网段做为“私有地址”,供各个局域网按照自己的需要自由分配。
私有地址是指内部网络(局域网内部)的主机地址,而公有地址是局域网的外部地址(在因特网上的全球唯一的IP地址)。
因特网地址分配组织规定以下的三个网络地址保留用做私有地址:
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
也就是说这三个网络的地址不会在因特网上被分配,但可以在一个企业(局域网)内部使用。
各个企业根据在可预见的将来主机数量的多少,来选择一个合适的网络地址。
不同的企业,他们的内部网络地址可以相同。
如果一个公司选择其他的网段作为内部网络地址,则有可能会引起路由表的混乱。
很明显,私有地址是不会在Internet上看见的,在Internet上可见的IP地址称为公有地址。
使用私有地址转换的主机是不能直接访问Internet的,同样的道理,在Internet上也不可能访问到使用私有地址的主机。
2.3地址转换的适用情况
如果某个单位使用私有地址建立局域网,按照主机的用途,局域网内部的主机可以大致分为如下三类:
1)仅仅只是用来办公使用,不需要直接访问Internet。
2)做为办公使用,但是在有些时候需要访问Internet。
做为资源存放用途,并且可以被Internet上的用户访问(例如一个WEB服务器)。
图2地址转换组网应用示意图
参考图2,内部网络就是使用了一个上述的“私有地址”的内部局域网。
其中PC1就是属于1)情况描述的主机,它不需要访问Internet。
PC2属于2)情况描述的主机,它需要在有时候访问Internet。
WebServer属于3)情况描述的主机,是台WEB服务器,同时也可以被外部网络访问。
该局域网通过一台路由器接入Internet。
通过地址转换技术,可以使这个内部局域网的所有主机(或者部分主机)可以访问Internet(外部网络)。
只有当内部局域网内部的主机需要访问Internet的时候,地址转换技术可以为这台主机分配一个临时的合法的IP地址,使得这台主机可以访问Internet,因此每台内部局域网的主机不需要都拥有合法的IP地址就可以访问Internet了,这样就大大节约了合法的IP地址。
当采用了地址转换技术,内部局域网的主机对Internet就是不可见的了,Internet的主机就不能直接访问内部局域网中的主机。
当内部局域网需要给外部网络提供一定的服务的时候(例如提供一个www的服务器),可以使用地址转换提供的“内部服务器”功能。
“内部服务器”功能是一种“反向的”地址转换,普通的地址转换是提供内部网络中的主机访问外部网络的,而“内部服务器”功能提供了外部网络的主机访问内部网络中使用私有地址的主机的能力。
2.4PAT方式的地址转换
某个局域网用户使用私有地址建立了局域网,当这个局域网准备和Internet连接的时候,该局域网拥有的合法IP地址数量可能远远小于局域网内部的用户数量。
例如某个局域网有50台主机需要访问Internet,而实际的合法IP地址只有5个。
Quidway系列路由器,可以提供PAT(PortAddressTranslation)方式的地址转换,PAT方式的地址转换使用了TCP/UDP的端口信息,这样在进行地址转换的时候使用的是“地址+端口”来区分内部局域网的主机对外发起的不同连接。
因为TCP/UDP的端口范围是1~65535,一般1~1024端口范围是系统保留端口,因此从理论上计算,通过PAT方式的地址转换一个合法的IP地址可以提供大约60000个并发连接。
这样使用PAT方式的地址转换技术,内部局域网的很多用户可以共享一个IP地址上网了。
由于提出地址转换技术的根本原因是就是因为IP地址短缺问题,因此,现在PAT方式的地址转换是主要的地址转换形式。
2.5EASYIP
Quidway地址转换可以支持EASYIP特性。
在地址转换的过程中,直接使用接口的IP地址做为转换后的源地址,可以适用在拨号口、ISDN接口、通过协商得到IP地址的情况,特别适合小型局域网访问Internet的情况。
例如,某个局域网通过路由器连接Internet,通过拨号方式协商得到合法的IP地址。
可以使用EASYIP特性,使得内部局域网的用户都通过这个接口的IP地址上网。
EASYIP特性特别适合于小型办公网、网吧等场合使用,结合DHCP技术,可以使一个小型局域网的PC不用配置就可以到达透明访问Internet的目的,因此被成为EASYIP特性。
2.6内部服务器应用
内部服务器是一种“反向”的地址转换。
内部服务器功能可以使得配置了私有地址的内部主机可以被外部网络访问。
参考图2,WebServer是一台配置了私有地址的机器,通过地址转换提供的配置,可以为这台主机映射一个合法的IP地址(假设是202.110.10.10),当Internet上的用户访问202.110.10.10的时候,地址转换就将访问送到了SERVER上,这样就可以给内部网络提供一种“内部服务器”的应用。
Quidway路由器对内部服务器的支持可以到达端口级。
允许用户按照自己的需要配置内部服务器的端口、协议、提供给外部的端口、协议。
例如,参考图2,通过配置Quidway路由器,外部网络的用户可以利用这样的http:
//202.110.10.10:
8080地址来访问内部地址为10.110.10.10的Web服务器。
2.7利用ACL控制地址转换
VRP的地址转换功能,可以利用访问控制列表决定什么样的地址可以进行地址转换。
如果某些主机具有访问Internet的权利,而某些主机不能访问Internet。
可以利用ACL(访问控制列表)定义什么样的主机不能访问Internet,什么样的主机可以访问Internet。
然后将配置好的ACL规则应用在地址转换上,就可以达到利用ACL控制地址转换的功能。
如图2,PC1不需要访问Internet,那么可以通过访问控制列表,限制PC1访问Internet。
使得PC1只能访问内部局域网的主机。
2.8地址转换应用程序网关
地址转换对一些复杂协议需要做特殊处理,总体上说,只要是在数据载荷(“数据载荷”是指除了IP头以及TCP/UDP头之外的信息)中含有地址或者端口(这里的端口仅仅只TCP/UDP的端口)信息的协议,地址转换都需要特殊处理。
为了使得地址转换可以支持某种特殊的协议的部分称为应用程序网关,常见的地址转换需要特殊处理的程序有:
FTP(包括PASV和PORT两种模式)、Netmeeting、H323、DNS等,同时还有一些游戏。
2.9地址转换和代理(Proxy)的区别
地址转换技术和地址代理技术有很类似的地方,都是提供了私有地址访问Internet的能力。
但是两者还是有区别的,它们区别的本质是在TCP/IP协议栈中的位置不同。
地址转换是工作在网络层,而地址代理是工作在应用层。
地址转换对各种应用是透明的,而地址代理必须在应用程序中指明代理服务器的IP地址。
例如使用地址转换技术访问Web网页,不需要在浏览器中进行任何的配置。
而如果使用Proxy访问Web网页的时候,就必须在浏览器中指定Proxy的IP地址,如果Proxy只能支持Http协议,那么只能通过代理访问Web服务器,如果想使用FTP就不可以了。
因此使用地址转换技术访问Internet比使用proxy技术具有十分良好的扩充性,不需要针对应用进行考虑。
但是,地址转换技术很难提供基于“用户名”和“密码”的验证。
在使用proxy的时候,可以使用验证功能,使得只有通过“用户名”和“密码”验证的用户才能访问Internet,而地址转换不能做到这一点。
2.10地址转换的优点和缺点
使用地址转换技术主要有以下几个优点:
1)地址转换可以使内部网络用户方便的访问Internet。
2)地址转换可以使内部局域网的许多主机共享一个IP地址上网,大大节约了合法的IP地址。
3)地址转换可以屏蔽内部网络的用户,提高内部网络的安全性。
4)地址转换同样可以提供给外部网络WWW、FTP、Telnet等服务。
5)地址转换技术可以使得内部局域网的IP地址分配变得容易维护,不会因为合法地址转换的缺乏,而不容易合理分配内部局域网的IP地址。
并且当外部有变化的时候,也不需要改动内部局域网内部的配置。
地址转换技术主要有以下几个缺点:
1)地址转换对于报文内容中含有有用的地址信息的情况需要做特殊处理,这种情况的代表协议是FTP。
2)地址转换不能处理IP报头加密的情况。
3)地址转换由于隐藏了内部主机地址,有时候会
升级会员 