網(wǎng)絡(luò)地址翻譯與策略路由應(yīng)該注意的問題

2019-11-05 00:37:01

字體：大中小

供稿：網(wǎng)友

　?。?引言
　　隨著Internet數(shù)據(jù)業(yè)務(wù)的飛速發(fā)展，豐富的網(wǎng)絡(luò)資源對越來越多的用戶產(chǎn)生了巨大的吸引力，越來越多的企業(yè)和用戶需要接入Internet。但由于受到ipv4地址資源的限制，其可用的IP地址越來越少，要想在ISP處申請一個(gè)新的IP地址已不是很輕易的事了。這不僅是費(fèi)用的問題，而是由IP地址的現(xiàn)行標(biāo)準(zhǔn)IPv4決定的。當(dāng)然，隨著IPv6標(biāo)準(zhǔn)的出臺，這個(gè)問題應(yīng)當(dāng)能夠得到解決。但從IPv4到IPv6的升級不是一兩天就能完成的。因此，目前大多數(shù)用戶無法獲得合法地址，而利用NAT是目前一個(gè)很好的解決方法。NAT的解決方法是：在用戶內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部私有空間地址，通過NAT把內(nèi)部私有地址翻譯成合法的全局IP地址。
　　
　?。?網(wǎng)絡(luò)地址翻譯及其實(shí)現(xiàn)方法以及應(yīng)該注重的問題
　　目前NAT功能通常被集成到路由器、防火墻等設(shè)備中。NAT設(shè)備維護(hù)一個(gè)NAT表，用它來實(shí)現(xiàn)全局到本地和本地到全局地址的映射。路由器或防火墻等設(shè)備利用NAT表把非法的私有IP地址映射到合法的全局IP地址上去。每個(gè)私有地址包通過NAT設(shè)備都被翻譯成合法的全局IP地址發(fā)往下一級設(shè)備，這意味著給NAT設(shè)備的處理器帶來了一定的負(fù)擔(dān)。但這對于一般的網(wǎng)絡(luò)來說是微不足道的，除非是有許多主機(jī)的大型網(wǎng)絡(luò)。
　　NAT有三種類型：靜態(tài)NAT（static　NAT）、NAT池（pooled　NAT）和端口NAT（PAT）。其中靜態(tài)NAT設(shè)置起來最為簡單，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而NAT池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。PAT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。當(dāng)建立內(nèi)部網(wǎng)的時(shí)候,建議使用以下地址組用于主機(jī),這些地址是由Network Working Group(RFC 1918)保留用于私有網(wǎng)絡(luò)地址分配的。
　　Class A:10.1.1.1 to 10.254.254.254
　　Class B:172.16.1.1 to 172.31.254.254
　　Class C:192.168.1.1 to 192.168.254.254
　　下面是一個(gè)利用NAT功能實(shí)現(xiàn)內(nèi)部私有地址來訪問Internet的案例和可能碰到的問題。
　　　

　　在圖１的拓?fù)浣Y(jié)構(gòu)試驗(yàn)條件下，Router-A配置為用來實(shí)現(xiàn)NAT功能，來自Inside Router地址全都被翻譯為“test”地址池中。Router-A的配置如下，其它路由器利用靜態(tài)路由來實(shí)現(xiàn)各路由器之間互通。
　　hostname Router-A
　　!
　　ip nat pool test 172.16.47.161 172.16.47.165 PRefix-length 28
　　ip nat inside source list 7 pool test
　　!
　　interface Ethernet0
　　ip address 135.135.1.2 255.255.255.0
　　shutdown
　　!
　　interface Serial0
　　ip address 171.68.200.49 255.255.255.0
　　ip nat inside
　　no ip mroute-cache
　　no ip route-cache
　　no fair-queue
　　!
　　interface Serial1
　　ip address 172.16.47.146 255.255.255.240
　　ip nat outside
　　no ip mroute-cache
　　no ip route-cache
　　!
　　ip classless
　　ip route 0.0.0.0 0.0.0.0 172.16.47.145
　　access-list 7 permit 192.168.0.0 0.0.255.255
　　!
　　line con 0
　　exec-timeout 0 0
　　line aux 0
　　line vty 0 4
　　login
　　!
　　end
　　通過使用Debug命令，從Inside Router發(fā)出一些源地址為171.68.200.48，目的地址為171.68.191.1的ICMP包，我們可以發(fā)現(xiàn)，從Inside Router可以Ping通任何外部合法的全局地址。用Show ip nat translations命令可以看出，內(nèi)部私有地址與外部全局合法地址之間翻譯的NAT表。
　　Router-A#show ip nat translations
　　Pro 　Inside global 　Inside local 　Outside local Outside global
　　--- 　172.16.47.161 　171.68.200.48 　--- 　　　 ---
　　然而，當(dāng)我們用Clear ip nat translation命令后，從Outer Router發(fā)出一些源地址為171.68.191.1，目的地址為172.16.47.161(或者為NAT池test中任何一個(gè)地址)的ICMP包，發(fā)現(xiàn)它們之間不能Ping通。這是由于NAT翻譯表中沒有任何翻譯記錄，所以Router-A只能將這些ICMP包路由按照缺省路徑向Router-B轉(zhuǎn)發(fā)該包，而Router-B認(rèn)為目的地址為172.16.47.161包應(yīng)該發(fā)向Router-A轉(zhuǎn)發(fā)，這樣在Router-A和Router-B形成了一個(gè)路由環(huán)，嚴(yán)重的情況可能引起線路中斷。為了避免類似的問題發(fā)生，我們可以在Router-A中增加一條靜態(tài)路由。
　　ip route 172.16.47.160 255.255.255.252 null0
　　這樣所有的到NAT翻譯地址池的路由都指向這個(gè)虛擬的null0接口。
　　
　　3.利用NAT和Access-list實(shí)現(xiàn)策略路由
　　在路由器進(jìn)行包轉(zhuǎn)發(fā)決策過程中，通常是根據(jù)所接受的包的目的地址進(jìn)行的。路由器根據(jù)包的目的地址查找路由表，從而作出相應(yīng)的路由轉(zhuǎn)發(fā)決策。然而，有時(shí)我們需要按照自己的規(guī)則來進(jìn)行數(shù)據(jù)包的路由，而不僅僅由包的目的地址來決定數(shù)據(jù)包的路由，這就是路由策略問題?；诓呗月酚赏ǔＳ幸韵聨追N方式：
　　☆ 基于源IP地址的策略路由
　　☆ 基于數(shù)據(jù)包大小的策略路由
　　☆ 基于應(yīng)用的策略路由　
　　☆ 通過缺省路由平衡負(fù)載
　　以下我們通過一個(gè)實(shí)例來學(xué)習(xí)如何使用基于策略的路由方法，網(wǎng)絡(luò)拓?fù)淙鐖D2。
　　

　　在該實(shí)例中，我們所采用的策略路由方法是基于源IP地址的策略路由。該用戶同時(shí)連著兩個(gè)不同ISP,而且每個(gè)ISP都為用戶提供不同的合法地址空間。我們采用策略路由和網(wǎng)絡(luò)地址翻譯的方法，將不同的源IP地址沿不同的ISP接入到Internet。如圖2，源地址為10.1.0.0/2的數(shù)據(jù)包沿ISP1路由，源地址為10.2.0.0/2的數(shù)據(jù)包沿ISP1路由。路由器具體大概配置方法如下：
　　hostname WAN-Router
　　ip nat pool provider1-space 211.111.11.1 211.111.11.254 prefix-length 24
　　ip nat pool provider2-space 222.122.22.1 222.122.22.254 prefix-length 24
　　ip nat inside source route-map provider1-map pool provider1-space
　　ip nat inside source route-map provider2-map pool provider2-space
　　!
　　interface Serial0/0
　　ip address 222.102.7.5 255.255.255.252
　　ip nat outside
　　!
　　interface Serial0/1
　　ip address 211.109.5.5 255.255.255.252
　　ip nat outside
　　!
　　interface FastEthernet1/0
　　ip address 10.1.1.1 255.255.0.0
　　ip nat inside
　　ip policy route-map provider1-map
　　!
　　interface FastEthernet1/1
　　ip address 10.2.1.1 255.255.0.0
　　ip nat inside
　　ip policy route-map provider2-map
　　!
　　route-map provider1-map permit 10
　　match ip address 1
　　match interface Serial0/0
　　!
　　route-map provider2-map permit 10
　　match ip address 2
　　match interface Serial0/1
　　!
　　accesss-list 1 permit ip 10.1.0.0 0.0.255.255
　　accesss-list 2 permit ip 10.2.0.0 0.0.255.255
　　!
　　ip route 211.111.11.0 255.255.255.0 null0
　　ip route 222.122.22.0 255.255.255.0 null0
　　
　　4.結(jié)束語
　　雖然使用網(wǎng)絡(luò)地址翻譯可以帶來許多優(yōu)點(diǎn)，例如可以幫助網(wǎng)絡(luò)治理員向互聯(lián)網(wǎng)隱藏內(nèi)部網(wǎng)絡(luò)地址，并把內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為合法的公有地址；使現(xiàn)有網(wǎng)絡(luò)不必重新編址、減少了ISP接入費(fèi)用，還可以起平衡負(fù)載的作用。但NAT也潛在地影響到一些網(wǎng)絡(luò)性能和安全設(shè)施，這就需要網(wǎng)絡(luò)治理員謹(jǐn)慎地使用它。

上一篇：[分享] 我調(diào)試通過的callback配置（用于路由器和PC之間）

下一篇：選擇效率最高ISP的路由控制