解析大規(guī)模網(wǎng)絡地址轉換NAT（LSN）架構 上篇

如果用戶想將數(shù)據(jù)包傳送到同一NAT之后的其他客戶，如圖二所示。防火墻，路由ACL甚至是服務器中的過濾政策通常會阻止外部數(shù)據(jù)包進入擁有專屬源地址的網(wǎng)絡。為了回避這種過濾，數(shù)據(jù)包必須通過LSN，以便它們的源地址可以被轉換成一個公共地址，然后再將數(shù)據(jù)包一起傳送到終端。即便數(shù)據(jù)包不通過LSN到達終端，其NAT資源也會被消耗掉。

圖二：

對于這兩些問題，我們建議先留出剩下的公共IPv4空間作為ISP共享地址空間。因為地址塊可能會被保留供NAT444架構使用，相同的地址可以和RFC1918地址一樣，在不同LSN之后使用。但是由于它們不是RFC1918地址，它們不會與任何客戶網(wǎng)絡的專有地址相沖突。而且，正由于它們不是RFC1918地址，它們也不好被過濾政策阻止;同一LSN后客戶間的數(shù)據(jù)流就不需要 穿越LSN。

還有一種方法可以解決這些問題。使用LSN和CPE NAT之間的公共IPv6地址，如圖三所示。源于客戶網(wǎng)絡的IPv4數(shù)據(jù)包會被轉換成IPv6數(shù)據(jù)包，以完成CPE NAT到LSN之間的交接，然后再被LSN轉換回IPv4數(shù)據(jù)包。這一架構就是NAT464架構。

CPE NAT外部的IPv6地址和其內(nèi)部的IPv4地址不會產(chǎn)生沖突。假設CPE NAT將傳入的數(shù)據(jù)包轉換成本地網(wǎng)絡的IPv4地址，那么就不會出現(xiàn)過濾的問題，也就不會影響到同一LSN后兩個客戶端之間的溝通。

圖三：

NAT464具有額外的優(yōu)勢，由于它要求供應商與客戶之間的連接僅限于IPv6，而不是雙堆棧，因此客戶不需要花費大量時間來獲取足夠的IPv4地址。而且，由于它支持IPv4 over IPv6而不是同時支持IPv4和IPv6，可以讓我們更接近終極目標——純粹的IPv6網(wǎng)絡。

雖然NAT464簡化了LSN和CPE NAT之間的過渡進程，但是LSN和CPE NAT本身要承擔更多問題。最顯著的便是，他們二者的設備都必須是NAT64——也就是說，他們必須在兩種協(xié)議之間進行轉換。而當前，幾乎沒有CPE NAT支持NAT64，因此接受此方法的服務供應商們先要勸服其客戶更新設備：而這是大多數(shù)服務供應商都避之不及的難題。

更重要的是，多個地址家族之間的轉換比單一地址家族的轉換要復雜得多，NAT64執(zhí)行起來(嚴格地說應該稱為NAT-PT)不如NAT44好，其擴展性也不如NAT44。NAT64執(zhí)行已經(jīng)得到改進，而且會持續(xù)得到改進，但似乎無法像NAT44那樣得心應手。

一項名為Dual Stack Lite的解決方案可謂折中之選，該方案利用隧道技術而不是地址家族轉換技術，從而消除了NAT464的復雜性。在以后的文章中，我們將為大家介紹此方案。

大規(guī)模網(wǎng)絡地址轉換NAT（LSN）架構的介紹就結束了，希望大家應經(jīng)理解。

【編輯推薦】

1. 路由器設置的具體步驟
2. 路由器設置之菜單設置的小技巧
3. 路由器設置之關掉不需要的服務
4. Distance 命令修改默認管理距離
5. 初學者必看：CISCO路由器教程講解
6. 淺析路由器設置如何徹底實現(xiàn)DDoS防御