王志蓬

摘要：針對現(xiàn)有的校園網(wǎng)雙線接入所存在的難于實現(xiàn)、效果不夠穩(wěn)定以及存在協(xié)議兼容性等問題，提出了基于雙向NAT技術(shù)的雙線接入方案。該方案可以更加快速容易的對現(xiàn)有單線路接入的系統(tǒng)進行雙線改造，且該方案對三層以上協(xié)議透明，具有很好的協(xié)議兼容性。

關(guān)鍵詞：雙向NAT；雙線接入；網(wǎng)絡(luò)安全

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2015）22-0050-02

1 雙向NAT技術(shù)概述

傳統(tǒng)NAT技術(shù)是為了解決網(wǎng)絡(luò)地址數(shù)量限制的一種技術(shù)，一般將該技術(shù)視為正向NAT。正向NAT改變數(shù)據(jù)包的源地址，使多個私有地址使用少量正常地址訪問網(wǎng)絡(luò)。為了使盡可能多的私有地址使用盡可能少的正常地址訪問網(wǎng)絡(luò)，正向NAT大都是動態(tài)NAT。

隨著網(wǎng)絡(luò)安全問題的日益嚴(yán)重，以及為了對有限的正常地址的充分利用，許多網(wǎng)絡(luò)服務(wù)器開始配置為私有地址，然后通過NAT發(fā)布為正常地址。該種技術(shù)一般視為反向NAT，反向NAT改變的是數(shù)據(jù)包的目的地址。由于要把網(wǎng)絡(luò)服務(wù)發(fā)布到指定的地址和端口，反向NAT都是靜態(tài)轉(zhuǎn)換。

雙向NAT就是指在用戶和服務(wù)器之間同時進行正向和反向NAT，有些資料也稱該技術(shù)為二次NAT。該技術(shù)在用戶和服務(wù)之間對數(shù)據(jù)包的源地址和目的地址都進行修改。

雙向NAT簡單來說可以看作一個透明的三層代理，可以解決服務(wù)器雙線接入和內(nèi)部地址沖突等問題。

2 基于雙向NAT技術(shù)的網(wǎng)絡(luò)服務(wù)雙線改造方法

現(xiàn)階段許多成長型網(wǎng)絡(luò)服務(wù)接入需求在一開始的方案中，大都只連接一個網(wǎng)絡(luò)運營商的接入線路，且服務(wù)器數(shù)量較少。隨著網(wǎng)絡(luò)服務(wù)需求的逐步成長，必將面臨不同網(wǎng)絡(luò)運營商之間的網(wǎng)絡(luò)訪問不暢的問題，采用雙向NAT可以較容易的在增加另一條運營商的線路下解決問題。

下圖為應(yīng)用雙向NAT進行雙線改造的網(wǎng)絡(luò)拓撲示意圖，兩個接入網(wǎng)絡(luò)云表示兩個不同的網(wǎng)絡(luò)運營商的廣域網(wǎng)。

圖中主機A及接入網(wǎng)絡(luò)A為既有的標(biāo)準(zhǔn)服務(wù)器接入模式。路由器A是為了對主機進行雙網(wǎng)改造后連接的，目的是使主機聯(lián)入接入網(wǎng)絡(luò)B。通過在路由器上進行雙向NAT配置，并在主機上進行簡單的路由配置即可實現(xiàn)。

方案的核心就是將接入網(wǎng)B的訪問數(shù)據(jù)包轉(zhuǎn)換為內(nèi)部地址B的訪問數(shù)據(jù)包；在主機上通過對內(nèi)部地址的路由來區(qū)分兩條接入線路的訪問數(shù)據(jù)。

在公網(wǎng)地址B所在的路由接口配置反向NAT，修改數(shù)據(jù)包的目的地址，把訪問公網(wǎng)地址B的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)到內(nèi)網(wǎng)地址A；在內(nèi)網(wǎng)地址B的路由接口配置正向NAT把數(shù)據(jù)包的源地址修改為內(nèi)網(wǎng)地址B。

如果內(nèi)網(wǎng)地址A和內(nèi)網(wǎng)地址B處于同一網(wǎng)段，在主機上將內(nèi)網(wǎng)地址A配置到相應(yīng)接口后，就不用單獨配置路由表了。

經(jīng)過上述配置之后，用戶可以通過公網(wǎng)地址A和公網(wǎng)地址B來訪問主機，以達到雙線接入的要求。

3 基于雙向NAT技術(shù)的雙線接入方法

應(yīng)用雙向NAT技術(shù)構(gòu)建網(wǎng)絡(luò)服務(wù)網(wǎng)關(guān)，不但可以支持雙線接入，還能為網(wǎng)絡(luò)服務(wù)提供更強的安全保障。

下圖為應(yīng)用雙向NAT接入雙線的網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖。該方案不同于后期改造的方案，在設(shè)計之初就采用了雙向NAT技術(shù)，在實現(xiàn)雙線接入的同時，使服務(wù)器完全處于雙向NAT路由器之后，增強了服務(wù)器安全性。

圖中主機的網(wǎng)絡(luò)接口上配置同一網(wǎng)段的兩個內(nèi)網(wǎng)地址，內(nèi)網(wǎng)地址A和內(nèi)網(wǎng)地址B，來對應(yīng)兩條接入線路。

路由器A上公網(wǎng)地址A所在接口配置反向NAT，將數(shù)據(jù)包的目的地址修改為內(nèi)網(wǎng)地址A；路由器A上公網(wǎng)地址B所在接口配置反向NAT，將數(shù)據(jù)包的目的地址修改為內(nèi)網(wǎng)地址B；在路由器A的內(nèi)網(wǎng)地址C所在接口配置正向NAT將數(shù)據(jù)包的源地址修改為內(nèi)網(wǎng)地址C；在路由器A上啟用策略路由，如數(shù)據(jù)包的源地址為內(nèi)網(wǎng)地址A則路由到公網(wǎng)地址A，如數(shù)據(jù)包的源地址為內(nèi)網(wǎng)地址B則路由到公網(wǎng)地址B。

經(jīng)過上述配置之后，用戶可以通過公網(wǎng)地址A和公網(wǎng)地址B來訪問主機，以達到雙線接入的要求。相對于前一種網(wǎng)絡(luò)拓撲方案，服務(wù)器位于內(nèi)網(wǎng)范圍，具有更強的安全性和靈活性。如系統(tǒng)包括多個服務(wù)器，可以策略路由的源地址條件換成兩個子網(wǎng)已增加路由性能。

4 雙向NAT技術(shù)的其他應(yīng)用

雙向NAT技術(shù)除了解決雙線接入的問題之外，還可以應(yīng)用于多種網(wǎng)絡(luò)方案中，本節(jié)將一一介紹。

4.1 應(yīng)用雙向NAT實現(xiàn)三層透明網(wǎng)絡(luò)代理

前面說到雙向NAT的可以看作一個三層的透明代理。只是在實際網(wǎng)絡(luò)方案設(shè)計中，該種需求很少。不過在當(dāng)今網(wǎng)絡(luò)日益龐大復(fù)雜的環(huán)境下，在某些特殊需求下，還是需要用到采用雙向NAT構(gòu)建透明代代理。

雙向NAT技術(shù)可以拓展到純粹的廣域網(wǎng)環(huán)境，只要配合一定的路由配置即可。如示意圖3，在路由器A配置雙向NAT，將公網(wǎng)地址B映射到公網(wǎng)地址A。根據(jù)具體需要進行路由配置，只有公網(wǎng)地址A必須通過公網(wǎng)地址C路由出去，通過路由配置可以控制公網(wǎng)地址B這個代理地址的可用范圍，可以限制為廣域網(wǎng)B，也可以是除了公網(wǎng)地址A的所有地址。

4.2 應(yīng)用雙向NAT解決地址沖突

在應(yīng)用VPN技術(shù)互聯(lián)多個既有的局域網(wǎng)時，很容易發(fā)生內(nèi)部地址沖突。即多個局域網(wǎng)都是用192.168.0.0/16的地址段。通過在路由上采用雙向NAT技術(shù)將沖突的一個子網(wǎng)轉(zhuǎn)換為不沖突的地址段，再配合一定的路由配置，即可解決問題。

4.3 應(yīng)用雙向NAT提高網(wǎng)絡(luò)服務(wù)安全

在一般的單線接入主機的方案中，部署雙向NAT可以增加系統(tǒng)整體的安全性。首先雙向NAT路由器可以作為一層防火墻，阻攔非法網(wǎng)絡(luò)數(shù)據(jù)；其次系統(tǒng)內(nèi)部的主機之間采用雙向NAT互聯(lián)可以最根本上隔離主機，使任何一臺主機的安全問題不會影響整體系統(tǒng)的安全。

5 結(jié)束語

雙向NAT技術(shù)可以解決網(wǎng)絡(luò)接入系統(tǒng)的一些問題，同時它也具有一定的副作用。通過本文希望可以使大家對雙向NAT具有更加透徹的了解，可以為大家解決一些實際的問題，避免使用雙向NAT的一些問題。

參考文獻：

[1] 陳松，戰(zhàn)學(xué)剛.基于雙向NAT和智能DNS內(nèi)網(wǎng)服務(wù)器安全陜速訪問策略[J].計算機工程與設(shè)計， 2009，30（12） ：2941.

[2] 劉風(fēng)華，丁賀龍，張永平.關(guān)于NAT 技術(shù)的研究與應(yīng)用[J].計算機工程與設(shè)計，2006 ，27（10）.

[3] 張海勇.江蘇廣電網(wǎng)站IDC 雙線路網(wǎng)絡(luò)方案淺析[J].電腦知識與技術(shù)， 2008，4（3） ：573-575.

[4] 趙永馳，吳堅.陳波網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在防火墻中的應(yīng)用[J].兵工自動化，2005，24（1）：35-36.

[5] 韓鈺，侯晶晶.策略路由與動態(tài)DNS技術(shù)在校園網(wǎng)中的應(yīng)用與研究[J].教育信息化，2006（7）：30-32.

[6] 王興偉，王釗，原常青，等.一類專用網(wǎng)絡(luò)中的動態(tài)路由選擇協(xié)議[J].計算機應(yīng)用研究， 2005 （7） ： 240 -242.