多实例NAT的研究与实现.pdf

摘要政务网组网环境复杂，经常涉及到不同层次网络之间以及同一层次不同政务内网之间的互访，同时由于不同部门经常是独立进行网络规划，因而不可避免地存在地址重叠以及公私网地址混杂等问题这是传统单实例N A T 所难以处理的，因而我们必须加强N A T 的功能，设计一种多V P N 实例的N A T 以适应政务网复杂组网环境的需求本文首先全面介绍了多实例N A T 两种相关技术：N A T 和M P L SV P N ，包括N A T 的原理、实现方法和应用、M P L S V P N 的组网方式、三层M P L S V P N 介绍、二层M P L SV P N 介绍及二三层M P L SV P N 比较在上述研究和分析的基础上，本文提出L 3 + 多实例N A T ( 即在交换机上通过处理特定业务功能的接口板，实现多实例N A T 业务的集中处理) 的系统设计和上层软件子系统的设计，实现了多实例入口动态N A T ／N A P T 功能、多实例出口动态N 删N A P T 功能、两次N A Z ／N A P T 功能、网段变换支持、多口内部服务器支持等功能，使N A T 支持多V P N 之间以及重叠网络之间进行地址转换，从而可以实现复杂组网环境下多V P N 之间的互访。

关键字：N A T ，多实侈i ，M P L SV P N ，政务网，网络A b s t r a c tC u r r e n tE - G o v e r n m e n ta l lo v e rt h ew o r l di sc o m p l i c a t e d , r e f e r r i n gt on e t w o r ko fd i f f e r e n tl a y e r sa n dd i f f e r e n ti n n e rG o v e r n m e n tn e t w o r ko ft h es a m el a y e r ．A sn e t w o r k so fd i f f e r e n td e p a r t m e n t sa r ep r o g r a m m e ds e p a r a t e l y , I Po v e r l a p p i n ga n dm i x t u r ec o u l dn o tb ea v o i d e d ．A st h e s ep r o b l e m sc o u l dn o tb es o l v e du s i n gt r a d i t i o n a ls i n g l ei n s t a n c eN A T , m o r ep o w e r f u lN A Ti sr e q u i r e d ．W ep r o p o s e dan e wm u l t i p l e N A Tt oa d a p tt h ec o m p l i c a t e dE —G o v e r n m e n t ．T h i sa r t i c l es u m m a r i z e st w ok e yt e c h n i q u e so fM u l t i p l eI n s t a n c eN A T , N A Ta n dM P L S ，i n c l u d i n gp r i n c i p l e s ，a p p l i c a t i o n so fN A T , n e t t i n gm o d eo fM P L SV P N ，t w oa n dt h r e el a y e r sM P L SV P t q , a n dt h ed i f f e r e n c eb e t w e e nt h e m ．T h i sa r t i c l ep r e s e n t san e wt e c h n i q u eo fi n t e rm u t u a lv i s i t i n gb e t w e e nm u l t i p l ei n s t a n c e sb a s e do nL 3 + m u l t i p l ei n s t a n c eN A T , i n c l u d i n gs y s t e md e s i g n , t h ef u n c t i o no fd y n a m i cN A T ／N A P To nm u l t i p l ei n s t a n c e se n t r a n c e sa n de x i t s ，t w i c eN A T ／N A P T 、n e t w o r ks e g m e n tt r a n s f o r ms u p p o r t 、i n n e rs e r v e rs u p p o r t sf o rm u l t i p l eI P , a n de t c ．U s i n gt h i ss y s t e m , N A Tw i l ls u p p o r tI Pt r a n s f o r mb e t w e e nm u l t i p l eV P Na n do v e r l a p p i n gn e t w o r k ．k e y w o r d s ：N A T ，M u l t i p l eI n s t a n c e ，M P L SV P N ，E - G o v e r n m e n t , N e t w o r k第1 章绪论．1 ．1 ．课题背景电子政务网的安全要求与电子政务平台的开放性一直是一对难以调和的矛盾。

根据国家信息管理部门相关要求，电子政务信息系统平台采用政务内网、政务外网、公众信息互联网( 简称公网) 的三网模式政务内网指政府机关内部的办公自动化系统，政府部门的涉密数据只布置在这一层上；政务外网一般布置非涉密但又不向公众公开的数据，主要用于政府各部门间共享，如税务部门与工商部门共享工商登记信息等；公众信息互联网指政府对外发布的网站，直接与因特网相联，完成网上信息发布、政策公开以及接受企业用户的申请、查询及浏览等嵋政务网组网环境复杂，经常涉及到不同层次网络之间以及同一层次不同政务内网之间的互访，同时由于不同部门经常是独立进行网络规划，因而不可避免地存在地址重叠以及公私网地址混杂等问题这是传统单实例N A T 所难以处理的，因而我们必须加强N A T 的功能，设计一种多V P N 实例的N A T 以适应政务网复杂组网环境的需求政务网V P N 间的N A T 转换示意图见图1 ．1 ．政务外网V P N 54 t—i=’≮{ “∥图1 ．1 政务网V P N 间的N A T 转换示意图1 ．2 ．课题的研究内容本课题主要研究多实例N A T 的的实现机理，根据相关R F C 文档【2 矗^ 量‘7 l ，提出了基于L 3 + 特性的多实例N A T 的实现方案，即交换机上通过处理特定业务功能的接口板，实现N A T 业务的集中处理。

本论文的主要内容包括：●L 3 + N A T 系统设计方案详细分析了D + N A T 设计框架和报文处理流程·上层软件子系统的设计方案在需求分析的基础上，先进行软件的总体设计，然后详细描述了上层软件的报文处理流程以及配置处理流程1 ．3 ．主要实现的功能1 ．3 ．1 ．多实例入口动态N A T ／N A P T 功能要求实现在设备的入口做N A T 数据包进入接口，只要满足N A T 规则，则进行N A T 转换，能够支持多个V P N 进行N A T 转换，地址池可以重叠，入口做N A T包括如接口的N A T 转换和N A P T 转换这种功能主要应用在内网接口比较少，相反主要接口都是用于外网连接的情况，如图1 ．1 所示，这时如果在出接口上配置N A T ，将非常困难，需要每个接口上都进行配置，非常繁琐当N A T 作为V P N 间互访的工具时，如图1 ．2 所示，由于出口众多，采用入接口做N A T 比较简单可以设定一个与每个V P N 都不重叠的地址域作为转换域例如当前的政务网，所有V P N 间服务器的互访通过一个政务外网域来进行转换这样在设备的入接口时就将地址转换成政务外网的地址，而不管其最终会访问哪个出口。

内网设备外网设备《= ”“‰÷篓嚣蓄；／；设备1 ：? ∥～私网2”- ；+ 纛耋! 裂∥／⋯／l ’篓星蓄i≯p 、“ 十÷rk％一⋯’‰黪／i ，设各设备2i≤移⋯⋯ r 一⋯} ‘》t$ 私网3；”外网交； s 换路由设备n图1 ．1 入接口N A T 应用场景1【1 1 1 0 ．1 0 ．0 ．1 ：3 0 0 - - ) 【5 】1 7 2 ．1 6 ．0 ．2 5 3 ：2 1 ⋯[ 5 1 1 7 2 ．1 6 ．1 ．1 ：1 0 0 1 - - > [ 3 1 1 0 ．1 0 ．0 ．1 ：2工商V P N l政务外网V P N 51 0 ．1 0 ．0 ．1，8”．P E 设备”4”2 一，；财政V P N 3 ；，”毳≥v P ≯’～∥“N A T “』”∥，1 0 ．1 0 _ 0 ．11 0 ．1 0 ．0 ．1【2 】1 0 ．1 0 ．0 ．1 ：3 0 0 - ) 【5 】1 7 2 ．1 6 ．0 ．2 5 3 ：2 1 ⋯【5 】1 7 2 ．1 6 ．1 ．1 ：1 0 0 2 - - ) 【3 】1 0 ．1 0 ．0 ．1 ：2图1 ．2 入接口N A T 应用场景21 ．3 ．2 ．多实例出口动态N A T ／N A P T 功能要求实现在出接口时，只要满足N A T 规则，则进行N A T 转换。

能够支持多个V P N 进行N A T 转换能够支持多个V P N 进行N A T 转换，私网地址可以重叠，出接口支持各种3 层接口，出口做N A T 包括出口的N A T 转换和N A P T 转换图1 ．3 为多实例出接口动态N A T ／N A F r 应用场景，这种功能主要应用在对外网的出口上，是最典型的N A T 应用1 1 1 1 0 ．1 0 ．0 ．1 ：3 0 0 - - ) 6 ．1 0 ．0 ．1 ：2 1 ⋯6 0 ．1 0 ．0 ．1 ：1 0 0 1 专6 ．1 0 ．0 ．1 ：2 1，V P N l1 0 ．1 0 ．0 ．1V P N 21 0 ．1 0 ．0 ．1嘻棼“黪∞世A T 燃8 》““I n t e m e t6 ．1O ．O ．1【2 】1 0 ．1 0 ．0 ．1 ：3 0 0 - ) 6 ．1 0 ．0 ．1 ：2 1 ⋯6 0 ．1 0 ．0 ．1 ：1 0 0 2 - - ) 6 ．1 0 ．0 ．1 ：2 1 图1 ．3 多实例出接口动态N 删A P T 应用场景．8 ．1 ．3 3 ．两次N A T ／N A P T 功能两次N A T I N A P T 用于实现设备同时对源口和目的口进行N A T ／N A P T ，如图1 ．4 所示，这种功能对于重叠网络之间进行互访是必须的．A 网B 网l O ．1 0 ．0 ．1 ：1 0 1 - - ) 1 9 2 ．1 6 8 ．0 ．1 ：2 1 ⋯6 0 ．1 0 ．0 ．1 ：1 0 0 1 - 9 1 0 ．1 0 ．0 ．1 ：2 11 0 ．1 0 ．0 ．21 0 ．1 0 ．0 ．2 ：1 0 1 专1 9 2 ．1 6 8 ．0 ．1 ：2 1 ⋯6 0 ．1 0 ．0 ．1 ：l 0 0 2 专l O ．1 0 ．0 ．1 ：2 。