基于雙向NAT技術的雙線接入方案研究

王志蓬

摘要：針對現(xiàn)有的校園網(wǎng)雙線接入所存在的難于實現(xiàn)、效果不夠穩(wěn)定以及存在協(xié)議兼容性等問題，提出了基于雙向NAT技術的雙線接入方案。該方案可以更加快速容易的對現(xiàn)有單線路接入的系統(tǒng)進行雙線改造，且該方案對三層以上協(xié)議透明，具有很好的協(xié)議兼容性。

關鍵詞：雙向NAT；雙線接入；網(wǎng)絡安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）22-0050-02

1 雙向NAT技術概述

傳統(tǒng)NAT技術是為了解決網(wǎng)絡地址數(shù)量限制的一種技術，一般將該技術視為正向NAT。正向NAT改變數(shù)據(jù)包的源地址，使多個私有地址使用少量正常地址訪問網(wǎng)絡。為了使盡可能多的私有地址使用盡可能少的正常地址訪問網(wǎng)絡，正向NAT大都是動態(tài)NAT。

隨著網(wǎng)絡安全問題的日益嚴重，以及為了對有限的正常地址的充分利用，許多網(wǎng)絡服務器開始配置為私有地址，然后通過NAT發(fā)布為正常地址。該種技術一般視為反向NAT，反向NAT改變的是數(shù)據(jù)包的目的地址。由于要把網(wǎng)絡服務發(fā)布到指定的地址和端口，反向NAT都是靜態(tài)轉換。

雙向NAT就是指在用戶和服務器之間同時進行正向和反向NAT，有些資料也稱該技術為二次NAT。該技術在用戶和服務之間對數(shù)據(jù)包的源地址和目的地址都進行修改。

雙向NAT簡單來說可以看作一個透明的三層代理，可以解決服務器雙線接入和內部地址沖突等問題。

2 基于雙向NAT技術的網(wǎng)絡服務雙線改造方法

現(xiàn)階段許多成長型網(wǎng)絡服務接入需求在一開始的方案中，大都只連接一個網(wǎng)絡運營商的接入線路，且服務器數(shù)量較少。隨著網(wǎng)絡服務需求的逐步成長，必將面臨不同網(wǎng)絡運營商之間的網(wǎng)絡訪問不暢的問題，采用雙向NAT可以較容易的在增加另一條運營商的線路下解決問題。

下圖為應用雙向NAT進行雙線改造的網(wǎng)絡拓撲示意圖，兩個接入網(wǎng)絡云表示兩個不同的網(wǎng)絡運營商的廣域網(wǎng)。

圖中主機A及接入網(wǎng)絡A為既有的標準服務器接入模式。路由器A是為了對主機進行雙網(wǎng)改造后連接的，目的是使主機聯(lián)入接入網(wǎng)絡B。通過在路由器上進行雙向NAT配置，并在主機上進行簡單的路由配置即可實現(xiàn)。

方案的核心就是將接入網(wǎng)B的訪問數(shù)據(jù)包轉換為內部地址B的訪問數(shù)據(jù)包；在主機上通過對內部地址的路由來區(qū)分兩條接入線路的訪問數(shù)據(jù)。

在公網(wǎng)地址B所在的路由接口配置反向NAT，修改數(shù)據(jù)包的目的地址，把訪問公網(wǎng)地址B的網(wǎng)絡數(shù)據(jù)轉發(fā)到內網(wǎng)地址A；在內網(wǎng)地址B的路由接口配置正向NAT把數(shù)據(jù)包的源地址修改為內網(wǎng)地址B。

如果內網(wǎng)地址A和內網(wǎng)地址B處于同一網(wǎng)段，在主機上將內網(wǎng)地址A配置到相應接口后，就不用單獨配置路由表了。

經(jīng)過上述配置之后，用戶可以通過公網(wǎng)地址A和公網(wǎng)地址B來訪問主機，以達到雙線接入的要求。

3 基于雙向NAT技術的雙線接入方法

應用雙向NAT技術構建網(wǎng)絡服務網(wǎng)關，不但可以支持雙線接入，還能為網(wǎng)絡服務提供更強的安全保障。

下圖為應用雙向NAT接入雙線的網(wǎng)絡結構拓撲圖。該方案不同于后期改造的方案，在設計之初就采用了雙向NAT技術，在實現(xiàn)雙線接入的同時，使服務器完全處于雙向NAT路由器之后，增強了服務器安全性。

圖中主機的網(wǎng)絡接口上配置同一網(wǎng)段的兩個內網(wǎng)地址，內網(wǎng)地址A和內網(wǎng)地址B，來對應兩條接入線路。

路由器A上公網(wǎng)地址A所在接口配置反向NAT，將數(shù)據(jù)包的目的地址修改為內網(wǎng)地址A；路由器A上公網(wǎng)地址B所在接口配置反向NAT，將數(shù)據(jù)包的目的地址修改為內網(wǎng)地址B；在路由器A的內網(wǎng)地址C所在接口配置正向NAT將數(shù)據(jù)包的源地址修改為內網(wǎng)地址C；在路由器A上啟用策略路由，如數(shù)據(jù)包的源地址為內網(wǎng)地址A則路由到公網(wǎng)地址A，如數(shù)據(jù)包的源地址為內網(wǎng)地址B則路由到公網(wǎng)地址B。

經(jīng)過上述配置之后，用戶可以通過公網(wǎng)地址A和公網(wǎng)地址B來訪問主機，以達到雙線接入的要求。相對于前一種網(wǎng)絡拓撲方案，服務器位于內網(wǎng)范圍，具有更強的安全性和靈活性。如系統(tǒng)包括多個服務器，可以策略路由的源地址條件換成兩個子網(wǎng)已增加路由性能。

4 雙向NAT技術的其他應用

雙向NAT技術除了解決雙線接入的問題之外，還可以應用于多種網(wǎng)絡方案中，本節(jié)將一一介紹。

4.1 應用雙向NAT實現(xiàn)三層透明網(wǎng)絡代理

前面說到雙向NAT的可以看作一個三層的透明代理。只是在實際網(wǎng)絡方案設計中，該種需求很少。不過在當今網(wǎng)絡日益龐大復雜的環(huán)境下，在某些特殊需求下，還是需要用到采用雙向NAT構建透明代代理。

雙向NAT技術可以拓展到純粹的廣域網(wǎng)環(huán)境，只要配合一定的路由配置即可。如示意圖3，在路由器A配置雙向NAT，將公網(wǎng)地址B映射到公網(wǎng)地址A。根據(jù)具體需要進行路由配置，只有公網(wǎng)地址A必須通過公網(wǎng)地址C路由出去，通過路由配置可以控制公網(wǎng)地址B這個代理地址的可用范圍，可以限制為廣域網(wǎng)B，也可以是除了公網(wǎng)地址A的所有地址。

4.2 應用雙向NAT解決地址沖突

在應用VPN技術互聯(lián)多個既有的局域網(wǎng)時，很容易發(fā)生內部地址沖突。即多個局域網(wǎng)都是用192.168.0.0/16的地址段。通過在路由上采用雙向NAT技術將沖突的一個子網(wǎng)轉換為不沖突的地址段，再配合一定的路由配置，即可解決問題。

4.3 應用雙向NAT提高網(wǎng)絡服務安全

在一般的單線接入主機的方案中，部署雙向NAT可以增加系統(tǒng)整體的安全性。首先雙向NAT路由器可以作為一層防火墻，阻攔非法網(wǎng)絡數(shù)據(jù)；其次系統(tǒng)內部的主機之間采用雙向NAT互聯(lián)可以最根本上隔離主機，使任何一臺主機的安全問題不會影響整體系統(tǒng)的安全。

5 結束語

雙向NAT技術可以解決網(wǎng)絡接入系統(tǒng)的一些問題，同時它也具有一定的副作用。通過本文希望可以使大家對雙向NAT具有更加透徹的了解，可以為大家解決一些實際的問題，避免使用雙向NAT的一些問題。

參考文獻：

[1] 陳松，戰(zhàn)學剛.基于雙向NAT和智能DNS內網(wǎng)服務器安全陜速訪問策略[J].計算機工程與設計， 2009，30（12） ：2941.

[2] 劉風華，丁賀龍，張永平.關于NAT 技術的研究與應用[J].計算機工程與設計，2006 ，27（10）.

[3] 張海勇.江蘇廣電網(wǎng)站IDC 雙線路網(wǎng)絡方案淺析[J].電腦知識與技術， 2008，4（3） ：573-575.

[4] 趙永馳，吳堅.陳波網(wǎng)絡地址轉換技術在防火墻中的應用[J].兵工自動化，2005，24（1）：35-36.

[5] 韓鈺，侯晶晶.策略路由與動態(tài)DNS技術在校園網(wǎng)中的應用與研究[J].教育信息化，2006（7）：30-32.

[6] 王興偉，王釗，原常青，等.一類專用網(wǎng)絡中的動態(tài)路由選擇協(xié)議[J].計算機應用研究， 2005 （7） ： 240 -242.