解析大規模網絡地址轉換NAT(LSN)架構 下篇
如果用戶想將數據包傳送到同一NAT之后的其他客戶,如圖二所示。防火墻,路由ACL甚至是服務器中的過濾政策通常會阻止外部數據包進入擁有專屬源地址的網絡。為了回避這種過濾,數據包必須通過LSN,以便它們的源地址可以被轉換成一個公共地址,然后再將數據包一起傳送到終端。即便數據包不通過LSN到達終端,其NAT資源也會被消耗掉。
圖二:
對于這兩些問題,我們建議先留出剩下的公共IPv4空間作為ISP共享地址空間。因為地址塊可能會被保留供NAT444架構使用,相同的地址可以和RFC1918地址一樣,在不同LSN之后使用。但是由于它們不是RFC1918地址,它們不會與任何客戶網絡的專有地址相沖突。而且,正由于它們不是RFC1918地址,它們也不好被過濾政策阻止;同一LSN后客戶間的數據流就不需要 穿越LSN。
還有一種方法可以解決這些問題。使用LSN和CPE NAT之間的公共IPv6地址,如圖三所示。源于客戶網絡的IPv4數據包會被轉換成IPv6數據包,以完成CPE NAT到LSN之間的交接,然后再被LSN轉換回IPv4數據包。這一架構就是NAT464架構。
CPE NAT外部的IPv6地址和其內部的IPv4地址不會產生沖突。假設CPE NAT將傳入的數據包轉換成本地網絡的IPv4地址,那么就不會出現過濾的問題,也就不會影響到同一LSN后兩個客戶端之間的溝通。
圖三:
NAT464具有額外的優勢,由于它要求供應商與客戶之間的連接僅限于IPv6,而不是雙堆棧,因此客戶不需要花費大量時間來獲取足夠的IPv4地址。而且,由于它支持IPv4 over IPv6而不是同時支持IPv4和IPv6,可以讓我們更接近終極目標——純粹的IPv6網絡。
雖然NAT464簡化了LSN和CPE NAT之間的過渡進程,但是LSN和CPE NAT本身要承擔更多問題。最顯著的便是,他們二者的設備都必須是NAT64——也就是說,他們必須在兩種協議之間進行轉換。而當前,幾乎沒有CPE NAT支持NAT64,因此接受此方法的服務供應商們先要勸服其客戶更新設備:而這是大多數服務供應商都避之不及的難題。
更重要的是,多個地址家族之間的轉換比單一地址家族的轉換要復雜得多,NAT64執行起來(嚴格地說應該稱為NAT-PT)不如NAT44好,其擴展性也不如NAT44。NAT64執行已經得到改進,而且會持續得到改進,但似乎無法像NAT44那樣得心應手。
一項名為Dual Stack Lite的解決方案可謂折中之選,該方案利用隧道技術而不是地址家族轉換技術,從而消除了NAT464的復雜性。在以后的文章中,我們將為大家介紹此方案。
大規模網絡地址轉換NAT(LSN)架構的介紹就結束了,希望大家應經理解。
【編輯推薦】
