王志蓬
摘要:针对现有的校园网双线接入所存在的难于实现、效果不够稳定以及存在协议兼容性等问题,提出了基于双向NAT技术的双线接入方案。该方案可以更加快速容易的对现有单线路接入的系统进行双线改造,且该方案对三层以上协议透明,具有很好的协议兼容性。
关键词:双向NAT;双线接入;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)22-0050-02
1 双向NAT技术概述
传统NAT技术是为了解决网络地址数量限制的一种技术,一般将该技术视为正向NAT。正向NAT改变数据包的源地址,使多个私有地址使用少量正常地址访问网络。为了使尽可能多的私有地址使用尽可能少的正常地址访问网络,正向NAT大都是动态NAT。
随着网络安全问题的日益严重,以及为了对有限的正常地址的充分利用,许多网络服务器开始配置为私有地址,然后通过NAT发布为正常地址。该种技术一般视为反向NAT,反向NAT改变的是数据包的目的地址。由于要把网络服务发布到指定的地址和端口,反向NAT都是静态转换。
双向NAT就是指在用户和服务器之间同时进行正向和反向NAT,有些资料也称该技术为二次NAT。该技术在用户和服务之间对数据包的源地址和目的地址都进行修改。
双向NAT简单来说可以看作一个透明的三层代理,可以解决服务器双线接入和内部地址冲突等问题。
2 基于双向NAT技术的网络服务双线改造方法
现阶段许多成长型网络服务接入需求在一开始的方案中,大都只连接一个网络运营商的接入线路,且服务器数量较少。随着网络服务需求的逐步成长,必将面临不同网络运营商之间的网络访问不畅的问题,采用双向NAT可以较容易的在增加另一条运营商的线路下解决问题。
下图为应用双向NAT进行双线改造的网络拓扑示意图,两个接入网络云表示两个不同的网络运营商的广域网。
图中主机A及接入网络A为既有的标准服务器接入模式。路由器A是为了对主机进行双网改造后连接的,目的是使主机联入接入网络B。通过在路由器上进行双向NAT配置,并在主机上进行简单的路由配置即可实现。
方案的核心就是将接入网B的访问数据包转换为内部地址B的访问数据包;在主机上通过对内部地址的路由来区分两条接入线路的访问数据。
在公网地址B所在的路由接口配置反向NAT,修改数据包的目的地址,把访问公网地址B的网络数据转发到内网地址A;在内网地址B的路由接口配置正向NAT把数据包的源地址修改为内网地址B。
如果内网地址A和内网地址B处于同一网段,在主机上将内网地址A配置到相应接口后,就不用单独配置路由表了。
经过上述配置之后,用户可以通过公网地址A和公网地址B来访问主机,以达到双线接入的要求。
3 基于双向NAT技术的双线接入方法
应用双向NAT技术构建网络服务网关,不但可以支持双线接入,还能为网络服务提供更强的安全保障。
下图为应用双向NAT接入双线的网络结构拓扑图。该方案不同于后期改造的方案,在设计之初就采用了双向NAT技术,在实现双线接入的同时,使服务器完全处于双向NAT路由器之后,增强了服务器安全性。
图中主机的网络接口上配置同一网段的两个内网地址,内网地址A和内网地址B,来对应两条接入线路。
路由器A上公网地址A所在接口配置反向NAT,将数据包的目的地址修改为内网地址A;路由器A上公网地址B所在接口配置反向NAT,将数据包的目的地址修改为内网地址B;在路由器A的内网地址C所在接口配置正向NAT将数据包的源地址修改为内网地址C;在路由器A上启用策略路由,如数据包的源地址为内网地址A则路由到公网地址A,如数据包的源地址为内网地址B则路由到公网地址B。
经过上述配置之后,用户可以通过公网地址A和公网地址B来访问主机,以达到双线接入的要求。相对于前一种网络拓扑方案,服务器位于内网范围,具有更强的安全性和灵活性。如系统包括多个服务器,可以策略路由的源地址条件换成两个子网已增加路由性能。
4 双向NAT技术的其他应用
双向NAT技术除了解决双线接入的问题之外,还可以应用于多种网络方案中,本节将一一介绍。
4.1 应用双向NAT实现三层透明网络代理
前面说到双向NAT的可以看作一个三层的透明代理。只是在实际网络方案设计中,该种需求很少。不过在当今网络日益庞大复杂的环境下,在某些特殊需求下,还是需要用到采用双向NAT构建透明代代理。
双向NAT技术可以拓展到纯粹的广域网环境,只要配合一定的路由配置即可。如示意图3,在路由器A配置双向NAT,将公网地址B映射到公网地址A。根据具体需要进行路由配置,只有公网地址A必须通过公网地址C路由出去,通过路由配置可以控制公网地址B这个代理地址的可用范围,可以限制为广域网B,也可以是除了公网地址A的所有地址。
4.2 应用双向NAT解决地址冲突
在应用VPN技术互联多个既有的局域网时,很容易发生内部地址冲突。即多个局域网都是用192.168.0.0/16的地址段。通过在路由上采用双向NAT技术将冲突的一个子网转换为不冲突的地址段,再配合一定的路由配置,即可解决问题。
4.3 应用双向NAT提高网络服务安全
在一般的单线接入主机的方案中,部署双向NAT可以增加系统整体的安全性。首先双向NAT路由器可以作为一层防火墙,阻拦非法网络数据;其次系统内部的主机之间采用双向NAT互联可以最根本上隔离主机,使任何一台主机的安全问题不会影响整体系统的安全。
5 结束语
双向NAT技术可以解决网络接入系统的一些问题,同时它也具有一定的副作用。通过本文希望可以使大家对双向NAT具有更加透彻的了解,可以为大家解决一些实际的问题,避免使用双向NAT的一些问题。
参考文献:
[1] 陈松,战学刚.基于双向NAT和智能DNS内网服务器安全陕速访问策略[J].计算机工程与设计, 2009,30(12) :2941.
[2] 刘风华,丁贺龙,张永平.关于NAT 技术的研究与应用[J].计算机工程与设计,2006 ,27(10).
[3] 张海勇.江苏广电网站IDC 双线路网络方案浅析[J].电脑知识与技术, 2008,4(3) :573-575.
[4] 赵永驰,吴坚.陈波网络地址转换技术在防火墙中的应用[J].兵工自动化,2005,24(1):35-36.
[5] 韩钰,侯晶晶.策略路由与动态DNS技术在校园网中的应用与研究[J].教育信息化,2006(7):30-32.
[6] 王兴伟,王钊,原常青,等.一类专用网络中的动态路由选择协议[J].计算机应用研究, 2005 (7) : 240 -242.