解析大規模網絡地址轉換NAT(LSN)架構 上篇
NAT屬于接入廣域網(WAN)技術,是一種將私有(保留)地址轉化為合法IP地址的轉換技術,它被廣泛應用于各種類型Internet接入方式和各種類型的網絡中。而LSN添加了新的轉換層,因此,就如同IPv4地址用于CPE NAT內部一樣,它們也可以被用來向CPE NAT外部指定地址。
圖一展示了一個概念圖。服務供應商在其公共IPv4外指定的地址數達到了LSN設備聯網接口的數量。在LSN與客戶相連的一端,一個專屬IPv4地址塊外有一地址——172.16.0.0/12——它被指定到與CPE NAT相連的每一個界面。然后,每個客戶可以使用另一個IPv4地址塊——通常是10.0.0.0/8——來為其網絡中的所有設備確立地址。
圖一:
客戶端網絡中的設備有可能向帶有10.1.1.1源地址的互聯網終端發送數據包;而后,CPE NAT會通過附帶的端口映射將源地址轉換成類似172.16.1.1的地址。在LSN中,源地址會被轉換成公共IPv4地址——201.15.83.1,且其數據包會被發送到終端。與201.15.83.1響應的數據包會被發送到服務供應商的IPv4地址集,然后再發送到合適的LSN,而后NAT會將該終端地址轉換成172.16.1.1,再把數據包轉發給對應的CPE NAT,后者會將終端地址轉換成10.1.1.1。
要實現互聯網到正確客戶網絡,再到準確設備的傳輸,取決于兩個條件:
1. 對話由客戶端網絡發起,因此CPE NAT和LSN才能獲取準確的地址和端口映射;
2. 外部路由圖總是指向容易被識別的終端。因此,來自公共互聯網的數據包可以被傳送到服務供應商醒目的IPv4地址集;一旦數據包到達服務供應商的網絡,便會有一個更為明確的路由將數據包發送到特定的LSN。LSN擁有從外之內的地址/端口映射,該映射指向一個特定的CPE NAT,而CPE NAT又擁有另一個從一個從外之內的地址/端口映射,可以將數據包發送到與之直接相連的終端,或是為數據包提供一條在客戶網絡邊界里的特殊路由。
這一架構是一個NAT444架構:它將IPv4地址轉換成另一個IPv4地址,再轉換成第三個IPv4地址。這個方法之所以吸引人是因為可以在不更改現有CPE NAT的情況下,對其進行利用。而NAT不在乎其外部IPv4地址是公共的還是私有的,因此,對于CPE NAT而言,一切沒什么不同。服務供應商部署該架構的時候,不需要對客戶的設備提出特殊要求,也不需要更改其設備,任何傳統NAT都可以使用。
盡管NAT444很簡單,但也不是一勞永逸。任何架構,當然也包括LSN在內,可擴展性是我們經常顧慮的問題。對于寬帶服務供應商而言,每個客戶網絡都代表著其CPE NAT背后的若干設備。而每個設備又能生成多個應用數據流。現在,我們還不知道一個單獨的LSN究竟能處理多少客戶網絡,也不知道公共IPv4地址的性能如何。
NAT444有可能出現地址重疊問題,這種重疊發生在客戶網絡和服務供應商使用的私有地址之間。例如,如果服務供應商在LSN和CPE NAT之間,使用172.16.0.0/12地址塊以外的地址,而客戶也使用相同的地址,那么兩者之間的唯一性就被破壞,這可能導致數據包誤傳。要確保客戶使用的地址范圍與服務供應商所使用的不沖突。
NAT(LSN)架構的更多相關介紹請看:解析大規模網絡地址轉換NAT(LSN)架構 下篇
【編輯推薦】
