返回
vpn和网络地址译码

vpn和网络地址译码

ID:22372887

大小:53.00 KB

页数:6页

时间:2018-10-28

vpn和网络地址译码_第1页
vpn和网络地址译码_第2页
vpn和网络地址译码_第3页
vpn和网络地址译码_第4页
vpn和网络地址译码_第5页
资源描述:

《vpn和网络地址译码》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、VPN和网络地址译码~教育资源库  网络地址译码器NAT是一个可以在转发数据包的同时进行IP地址和TCP/UDP端口号转换的IP路由器。为了更好地理解NAT以及NAT的功能,我们可以设想一家小公司,有好几台主机需要连到Inter上,在这种应用系统中,一种可能的解决办法是为每一台需要上网的主机申请一个公共IP地址,但这么做,一方面公司需要承受较高昂的费用,另一方面由于IP地址的匮乏,申请新地址也不容易。利用NAT,这家公司则可以不必申请那么多公共IP地址,而是在公司内部网段上使用内部私用地址,当通过NAT路由器发送数据时,再使用NAT将私用地址转换

2、成由ISP分配的合法注册的公共IP地址。通过这种方式,可以实现多台内部主机共享一个公共IP地址。  举例来说,假设这家小型公司有多台主机,在其内部网络中使用私用保留IP地址10.0.0.0/8,同时该公司申请了四个公共IPw、x、y、z。那么当通过NAT路由器发送数据时,NAT可以采用静态方式或动态方式将10.0.0.0/8网络上所有私用IP地址映射成w、x、y、z这四个公共IP地址。  当有数据包需要外发时,源端IP地址和TCP/UDP端口号被映射成w、x、y、z和经过转换的TCP/UDP端口号。相反,当接收数据包时,目标IP地址和TCP/UD

3、P端口号再被映射回私用IP地址和源TCP/UDP端口号。  在缺省情况下,NAT仅进行IP地址映射和TCP/UDP端口转换。某些协议数据流,如HTTP,其IP地址和端口信息只出现在IP报头和TCP/UDP报头中,NAT可以对其IP地址和端口号完成透明的的转换映射。  但是,另外有部分协议出于某些因素,将IP地址和TCP/UDP端口信息封装在协议自身报头中,如FTP将IP地址封装在FTP报头中。在这种情况下,如果NAT不能对FTP报头中的IP地址进行正确转换的话,就会引起连接错误。更有甚者,还有一些协议根本不用TCP或UDP报头,而是使用其他报头的

4、某些字段来标识数据流。  当NAT需要对以上使用非IP、TCP、UDP报头的负载进行地址和端口转换时,就要用到一个特殊的组件--NAT编辑器。NAT编辑器的作用是对使用非IP、TCP、UDP报头的数据流进行适当的修改,以便它们能通过NAT路由器,同时得到正确的路由转发。  以下就PPTP协议和基于IPSec的L2TP协议分析在VPN环境中,NAT的适用情况。  一、PPTP数据流   PPTP数据流包括一条维持隧道的TCP连接和由GRE封装的隧道数据。其中,TCP连接属于可转换部分,直接由NAT对源TCP端口号进行透明翻译;而由GRE封装的隧道数

5、据则属于我们在上面分析过的,其地址转换需要用到特定的NAT编辑器。在隧道数据中,隧道是通过被封装在GRE报头中的源IP地址和CALLID字段来标识的。假设现在有某公司,当其内部网络中有多台主机同时需要作为PPTP客户机与远程同一台PPTP服务器建立隧道连接时,这多台PPTP客户机经过NAT路由器,其内部不同的私有IP地址将被转换成同一个公共IP地址。同时,由于这些PPTP客户机本身意识不到它们的地址需要被转换,它们还可能在建立PPTP隧道时,采用相同的CALLID。由此引发的后果是经过NAT转换后,发自多台不同PPTP客户机的隧道数据流具有完全相

6、同的IP地址和CALLID。  为了防止此类错误发生,针对PPTP协议的NAT编辑器必须对PPTP隧道的建立进行全程监控,并在每一台PPTP客户机的私用IP地址、CALLID和公共IP地址以及PPTP服务器接收的CALLID之间建立单独的映射关系。NAT路由协议包含了一个PPTP编辑器,具有进行GRE报头中CALLID转换功能,从而使得NAT在完成多私用地址到单公共地址的转换时,能在多条PPTP隧道之间进行有效区分。  二、基于IPSec的L2TP数据流  基于IPSec的L2TP数据流,其地址无法经NAT转换,因为UDP端口号经过加密处理,端口

7、号的值受密码校验和的保护。不仅如此,由于以下两个因素,基于IPSec的L2TP数据流甚至无法象PPTP数据流一样,通过特定编辑器来转译:  1)无法区分多路IPSec  ESP数据流ESP报头中包含一个SPI--安全参数索引字段,该字段连接明文IP报头中的目标IP地址和诸如ESP或认证报头AH等IPSec安全协议,以此来标识某个IPSec安全关联SA。  对于经过NAT路由器出站的隧道数据,目标IP地址无须改变。相反,对于需要通过NAT路由器进入企业内部网的数据流,其目标地址必须映射成某个确定的私用IP地址,但此时我们会看到,进站的所有IPSec

8、ESP数据流,其目标IP地址都是相同的,是同一个公共IP地址。为了能将多路IPSecESP数据流彼此区分开,必须将目标IP地址和SPI映

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。