欢迎来到天天文库
浏览记录
ID:31360285
大小:106.00 KB
页数:5页
时间:2019-01-09
《基于双向nat技术的双线接入方案研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、基于双向NAT技术的双线接入方案研究 摘要:针对现有的校园网双线接入所存在的难于实现、效果不够稳定以及存在协议兼容性等问题,提出了基于双向NAT技术的双线接入方案。该方案可以更加快速容易的对现有单线路接入的系统进行双线改造,且该方案对三层以上协议透明,具有很好的协议兼容性。 关键词:双向NAT;双线接入;网络安全 中图分类号:TP393文献标识码:A文章编号:1009-3044(2015)22-0050-02 1双向NAT技术概述 传统NAT技术是为了解决网络地址数量限制的一种技术,一般将该技术视为正向NAT。正向NAT改变数据包的源地址,使多个私有地址使用少量正常地址访问网络。为
2、了使尽可能多的私有地址使用尽可能少的正常地址访问网络,正向NAT大都是动态NAT。 随着网络安全问题的日益严重,以及为了对有限的正常地址的充分利用,许多网络服务器开始配置为私有地址,然后通过NAT发布为正常地址。该种技术一般视为反向NAT,反向NAT改变的是数据包的目的地址。由于要把网络服务发布到指定的地址和端口,反向NAT都是静态转换。 双向NAT就是指在用户和服务器之间同时进行正向和反向NAT,有些资料也称该技术为二次NAT。该技术在用户和服务之间对数据包的源地址和目的地址都进行修改。5 双向NAT简单来说可以看作一个透明的三层代理,可以解决服务器双线接入和内部地址冲突等问题。
3、2基于双向NAT技术的网络服务双线改造方法 现阶段许多成长型网络服务接入需求在一开始的方案中,大都只连接一个网络运营商的接入线路,且服务器数量较少。随着网络服务需求的逐步成长,必将面临不同网络运营商之间的网络访问不畅的问题,采用双向NAT可以较容易的在增加另一条运营商的线路下解决问题。 下图为应用双向NAT进行双线改造的网络拓扑示意图,两个接入网络云表示两个不同的网络运营商的广域网。 图中主机A及接入网络A为既有的标准服务器接入模式。路由器A是为了对主机进行双网改造后连接的,目的是使主机联入接入网络B。通过在路由器上进行双向NAT配置,并在主机上进行简单的路由配置即可实现。 方案的核
4、心就是将接入网B的访问数据包转换为内部地址B的访问数据包;在主机上通过对内部地址的路由来区分两条接入线路的访问数据。 在公网地址B所在的路由接口配置反向NAT,修改数据包的目的地址,把访问公网地址B的网络数据转发到内网地址A;在内网地址B的路由接口配置正向NAT把数据包的源地址修改为内网地址B。 如果内网地址A和内网地址B处于同一网段,在主机上将内网地址A配置到相应接口后,就不用单独配置路由表了。 经过上述配置之后,用户可以通过公网地址A和公网地址B来访问主机,以达到双线接入的要求。 3基于双向NAT技术的双线接入方法5 应用双向NAT技术构建网络服务网关,不但可以支持双线接入,还
5、能为网络服务提供更强的安全保障。 下图为应用双向NAT接入双线的网络结构拓扑图。该方案不同于后期改造的方案,在设计之初就采用了双向NAT技术,在实现双线接入的同时,使服务器完全处于双向NAT路由器之后,增强了服务器安全性。 图中主机的网络接口上配置同一网段的两个内网地址,内网地址A和内网地址B,来对应两条接入线路。 路由器A上公网地址A所在接口配置反向NAT,将数据包的目的地址修改为内网地址A;路由器A上公网地址B所在接口配置反向NAT,将数据包的目的地址修改为内网地址B;在路由器A的内网地址C所在接口配置正向NAT将数据包的源地址修改为内网地址C;在路由器A上启用策略路由,如数据包的
6、源地址为内网地址A则路由到公网地址A,如数据包的源地址为内网地址B则路由到公网地址B。 经过上述配置之后,用户可以通过公网地址A和公网地址B来访问主机,以达到双线接入的要求。相对于前一种网络拓扑方案,服务器位于内网范围,具有更强的安全性和灵活性。如系统包括多个服务器,可以策略路由的源地址条件换成两个子网已增加路由性能。 4双向NAT技术的其他应用 双向NAT技术除了解决双线接入的问题之外,还可以应用于多种网络方案中,本节将一一介绍。 4.1应用双向NAT实现三层透明网络代理5 前面说到双向NAT的可以看作一个三层的透明代理。只是在实际网络方案设计中,该种需求很少。不过在当今网络日益
7、庞大复杂的环境下,在某些特殊需求下,还是需要用到采用双向NAT构建透明代代理。 双向NAT技术可以拓展到纯粹的广域网环境,只要配合一定的路由配置即可。如示意图3,在路由器A配置双向NAT,将公网地址B映射到公网地址A。根据具体需要进行路由配置,只有公网地址A必须通过公网地址C路由出去,通过路由配置可以控制公网地址B这个代理地址的可用范围,可以限制为广域网B,也可以是除了公网地址A的所有地址。 4.2应用双
此文档下载收益归作者所有