解析大規(guī)模網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(LSN)架構(gòu) 下篇
解析大規(guī)模網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(LSN)架構(gòu) 上篇
如果用戶想將數(shù)據(jù)包傳送到同一NAT之后的其他客戶,如圖二所示。防火墻,路由ACL甚至是服務(wù)器中的過濾政策通常會阻止外部數(shù)據(jù)包進入擁有專屬源地址的網(wǎng)絡(luò)。為了回避這種過濾,數(shù)據(jù)包必須通過LSN,以便它們的源地址可以被轉(zhuǎn)換成一個公共地址,然后再將數(shù)據(jù)包一起傳送到終端。即便數(shù)據(jù)包不通過LSN到達終端,其NAT資源也會被消耗掉。
圖二:
對于這兩些問題,我們建議先留出剩下的公共IPv4空間作為ISP共享地址空間。因為地址塊可能會被保留供NAT444架構(gòu)使用,相同的地址可以和RFC1918地址一樣,在不同LSN之后使用。但是由于它們不是RFC1918地址,它們不會與任何客戶網(wǎng)絡(luò)的專有地址相沖突。而且,正由于它們不是RFC1918地址,它們也不好被過濾政策阻止;同一LSN后客戶間的數(shù)據(jù)流就不需要 穿越LSN。
還有一種方法可以解決這些問題。使用LSN和CPE NAT之間的公共IPv6地址,如圖三所示。源于客戶網(wǎng)絡(luò)的IPv4數(shù)據(jù)包會被轉(zhuǎn)換成IPv6數(shù)據(jù)包,以完成CPE NAT到LSN之間的交接,然后再被LSN轉(zhuǎn)換回IPv4數(shù)據(jù)包。這一架構(gòu)就是NAT464架構(gòu)。
CPE NAT外部的IPv6地址和其內(nèi)部的IPv4地址不會產(chǎn)生沖突。假設(shè)CPE NAT將傳入的數(shù)據(jù)包轉(zhuǎn)換成本地網(wǎng)絡(luò)的IPv4地址,那么就不會出現(xiàn)過濾的問題,也就不會影響到同一LSN后兩個客戶端之間的溝通。
圖三:
NAT464具有額外的優(yōu)勢,由于它要求供應(yīng)商與客戶之間的連接僅限于IPv6,而不是雙堆棧,因此客戶不需要花費大量時間來獲取足夠的IPv4地址。而且,由于它支持IPv4 over IPv6而不是同時支持IPv4和IPv6,可以讓我們更接近終極目標(biāo)——純粹的IPv6網(wǎng)絡(luò)。
雖然NAT464簡化了LSN和CPE NAT之間的過渡進程,但是LSN和CPE NAT本身要承擔(dān)更多問題。最顯著的便是,他們二者的設(shè)備都必須是NAT64——也就是說,他們必須在兩種協(xié)議之間進行轉(zhuǎn)換。而當(dāng)前,幾乎沒有CPE NAT支持NAT64,因此接受此方法的服務(wù)供應(yīng)商們先要勸服其客戶更新設(shè)備:而這是大多數(shù)服務(wù)供應(yīng)商都避之不及的難題。
更重要的是,多個地址家族之間的轉(zhuǎn)換比單一地址家族的轉(zhuǎn)換要復(fù)雜得多,NAT64執(zhí)行起來(嚴格地說應(yīng)該稱為NAT-PT)不如NAT44好,其擴展性也不如NAT44。NAT64執(zhí)行已經(jīng)得到改進,而且會持續(xù)得到改進,但似乎無法像NAT44那樣得心應(yīng)手。
一項名為Dual Stack Lite的解決方案可謂折中之選,該方案利用隧道技術(shù)而不是地址家族轉(zhuǎn)換技術(shù),從而消除了NAT464的復(fù)雜性。在以后的文章中,我們將為大家介紹此方案。
大規(guī)模網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(LSN)架構(gòu)的介紹就結(jié)束了,希望大家應(yīng)經(jīng)理解。
【編輯推薦】
- 路由器設(shè)置的具體步驟
- 路由器設(shè)置之菜單設(shè)置的小技巧
- 路由器設(shè)置之關(guān)掉不需要的服務(wù)
- Distance 命令修改默認管理距離
- 初學(xué)者必看:CISCO路由器教程講解
- 淺析路由器設(shè)置如何徹底實現(xiàn)DDoS防御
