RFC2663（NAT术语及思考中文版）

RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 1页 网络 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 组 P. Srisuresh 请求评论：2663 M. Holdrege 类别：信息性 朗迅技术 1999年 8月 IP网络地址转换（NAT）术语及思考 本文地位 本文为因特网团体提供信息。它不规定任何种类的因特网 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 。分发本文没有限制。 版权声明 版权所有（C）因特网社团（1999）。保留所有权利。 序言 本文后的动机是提供用于关联网络地址转换的清晰术语。术语“网络地址转换”意味着 不同 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 中的不同事情。本文意图定义多种风格的 NAT并标准化所用术语的含意。 所列作者是本文的编辑感激本工程组其它成员所贡献的内容。大块命名的文档，“IP网 络地址转换（NAT）”按原样提取，形成本文最初的基础。编辑们乐意同等感谢作者 Pyda Srisuresh和 Kjeld Egevang。编辑们乐意感谢 Praveen Akkiraju在描述 NAT布署情形方面 的贡献。编辑们还乐意感谢 IESG成员 Scott Bradner、Vern Paxson和 Thomas Narten仔细 复查文本并增强文本清楚度。 摘要 网络地址转换是一种 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 ，通过这种方法，IP 地址从一个域被映射到另一个，以试图 为主机提供透明的路由功能。传统中，NAT设备被用于连接一个有私有非注册地址的隔离地 址域到一个有全局统一注册地址的外部域。文本尝试描述 NAT 设备的操作及相关的一般思 考，并定义用于标识各种风格 NAT的术语。 1 简介和概述 当网络的内部 IP地址不能用于网络外面时，既因它们在外面使用无效，也因内部地址 必须保持其对外部网络的私密性，IP地址转换的需求将会提高。 地址转换允许（在许多情况下，除了如所 8和 9节中所说明的）私有网络中的主机与外 部网络上的目的地透明地通迅，反之亦然。现有各种风格的 NAT和术语与其相匹配。本文试 RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 2页 图定义所使用的术语，并标识各种风格 NAT。本文还试图描述其它可应用到 NAT设备上的一 般思考。 注意，然而，本文不会有意描述个别 NAT变种的操作或 NAT设备的可应用性。 NAT设备试图提供透明路由解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 来终止主机尝试从全异的地址域的通迅。这可通过 修改端点地址单向路由并为这些更新维护状态来达成，因此与某个会话有关的数据报将路由 到任何域中的正确端点。该解决方案只在应用不使用 IP地址作为其自身协义一部分的情况 下有效。例如，使用 DNS域名而非地址来标识端点将使用应用更少依赖于 NAT所选择的实际 地址，并避免在 NAT修改 IP地址时还要求转换其负载内容。 NAT 功能其自身不能透明地支持全部应用，且因该原因经常必须与应用层网关（ALG） 共存。希望布署基于 NAT的解决方案的用户需要首先判断其应用需求，并评估对 NAT的必要 扩展（如，ALG），以便提供应用级环境透明度。 IPsec技术，用于保护 IP分组的端点地址，对大多数实践中的应用而言，将不会与 NAT 端点路由协同工作。这些技术，如 AH和 ESP保护 IP头部的内容（包括源和目的地址）不被 修改。然而，NAT的基础角色却是改变分组的 IP头部中的地址。 2 所使用的术语和概念 在 NAT内容中最经常使用的术语在这里定义作为参考。 2.1 地址域或域 地址域是网络域，其中网络地址是唯一分配给实体们，由此数据报可能路由到它们。在 该网络域中所使用的路由协议有责任发现到这些指定了其网络地址的实体们的路由。要注 意，本文仅限于描述 IPv4环境中的 NAT，而非说明在其它类型环境（如 IPv6环境）中的 NAT 的用途。 2.2 透明路由 术语“透明路由”用于整篇文档中，标识 NAT设备提供的路由功能。这与传统路由器设 备所提供的路由功能是不同的，传统路由器迅路在单个地址域中的分组。 透明路由提及在全异的地址域间路由数据报，通过修改 IP头部中的地址内容，使其在 该数据报将被路由到的地址域中有效。3.2节有关于透明路由的详细描述。 2.3 会话流与分组流 连接或会话流与分组流不同。会话流是会话参照网络接口被发起的方向。分组流是该分 组参照网络接口的方式所旅行的方向。举个例子，一个向外的 telnet会话。telnet会话由 向内和向外的 2个方向的分组流组成。向外的 telnet分组挟带终端的击键，向内的 telnet 分组挟带来自 telnet服务器的屏幕显示。 RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 3页 为了便于在本文中的讨论，会话定义为流量集并作为转换的单位被管理。TCP/UDP会话 由 4元组（源 IP地址、源 TCP/UDP端口号、目标 IP地址、目标 TCP/UDP端口号）唯一标识。 ICMP查询会话由 3元组（源 IP地址、ICMP查询 ID、目标 IP地址）标识。所有其它会话表 现为 3元组（源 IP地址、目标 IP地址、IP协议）。 由 NAT执行的地址转换是基于会话的，并将包括转换属于该会话的向内和向外分组。会 话方向由该会话的首个分组的方向来标识（见 2.5节）。 注意，不保证会话概念，如上面由 NAT所定义的，将与应用的会话概念相一致。应用可 以视会话包（NAT所观察的）为单个会话，但不会视其通迅及其端点为一个会话。不保证所 有应用都可跨域工作，即使有 ALG（在下面的 2.9节中定义）端点路由。 2.4 TU端口、服务器端口、客户端端口 在本文的后面，我们将简单地将与 IP地址相关联的 TCP/UDP端口引用为“TU端口”。 对大多数 TCP/IP主机，TU端口范围 0—1023由服务器监听到来的连接所使用。客户端 通常在范围 1024-65535中选择源 TU端口来尝试发起一个连接。然而，约定没有统一，且不 是始终被遵守。一些客户工作站使用 0-1023范围内的源 TU端口号来发起连接，且有的服务 器监听在 1024-65535范围内的 TU端口号上。 已分配 TU端口服务器清单可在 RFC 1700 [参考资料 2]中发现。 2.5 开始 TCP、UDP和其它会话 每个 TCP会话的首个分组尝试建议一个会话，并包含连接初始化信息。TCP会话的首个 分组可通过在 TCP标志中存在 SYN位并缺少 ACK位来识别。所有 TCP分组，除了首个分组， 必须设置 ACK位。 然而，没有确定性的方法来识别基于 UDP会话或任何非 TCP会话的开始。一种启发式方 法是假设首个分组有迄今为止不存在的会话参数（如 2.3节所定义），将其任命为新会话的 开始。 2.6 结束 TCP、UDP和其它会话 当会话的双方都通知 FIN或当任何一方收到在其 TCP标志域中有 RST位的数据段时，可 检测到 TCP会话结束。然而，因 NAT设备不可能知道它所发现的分组是否将实际递交到目的 地（它们可能在 NAT设备与目的地间被丢弃），NAT设备也不能安全假设包含 FIN或 SYN的 该数据段将是会话的最后分组（如，可能存在重传）。因此，只有在该检测之后的 4分钟以 后才可假设会话已经终止。对这种扩展的等待周期的需求在 RFC 793 [参考资料 7]中描述， 它建议 TIME-WAIT持续 2*MSL（最大数据段生存期）或 4分钟。 要注意，TCP连接终止，而 NAT不清楚该事件也是可能的（如，在一方或双方重启的情 RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 4页 况下）。因此，在 NAT设备中垃圾收集是必要的，可清理不存在的 TCP会话的无用状态。然 而，通常情况下，不可能区分连接已经闲置扩展的时期与不存在的连接。在基于 UDP会话的 情况下，没有简单的方法来判断什么时候会话结束，因基于 UDP的协商是应用特定的。 许多启发式方式用于终止会话。你可假定，TCP会话已经如 24小时没有使用，且非 TCP 会话已经有几分钟没有使用，则将被终止。通常这种假设有用，但一些时候则无用。这种空 闲周期会话超时在从应用到应用和相同应用的不同会话间有巨大的变化。因此，会话超时必 须可配置。即使这样，也不能保证可以发现满足的值。进而，如 2.3 节声明一样，不保证 NAT方面的会话终止将与应用的一致。 另一种处理会话终止的方法是使用时间戳条目，并尽量长时间地维持它们，且在有需要 时废弃最长空闲的会话。 2.7 公共/全局/外部网络 全局或公共网络是有由因特网已分配数据权威（IANA）或同等的地址注册局分配的唯一 网络地址的地址域。在 NAT讨论期间，该网络还被引用为外部网络。 2.8 私有/本地网络 私有网络是与外部网络地址相独立的地址域。私有网络还可以被另外引用为本地网络。 在私有域中与外部域中的主机间的透明路由由 NAT路由器促成。 RFC 1918 [参考资料 1]有对私有网络地址空间分配的建议。因特网已分配数字权威 （IANA）有 3块 IP地址空间，名为 10/8、172.16/12和 192.168/16保留给私有互联网。在 前面的 CIDR符号中，首块仅是单个 A类网络号，而第二块是 16个邻接的 B类网络的集合， 且第三块是 256个邻接的 C类网络的集合。 组织决定使用上面所定义的地址空间中的IP地址可不需要与IANA或任何其它因特网注 册局，如 APNIC、RIPE和 ARIN协调。该地址空间可以因此由任何独立组织在任何时候被个 自使用。然而，如果这些独立组织后来决定，它们希望相互间或与公共因特网通迅，它们将 要么必须重新编号其网络，要么在它们的边界路由器上允许 NAT。 2.9 应用层网关（ALG） 要注意，并非所有应用使用他们自身容易地被 NAT设备所转换；特别是这些在其负载中 包括有 IP地址和 TCP/UDP端口的应用。应用层网关（ALG）是应用特定的转换代理，它允许 在一个地址域中的某个主机上的应用透明地连接到它的运行于不同域的主机上的对应方。 ALG可以与 NAT交互设置状态，使用 NAT状态信息，修改应用特定负载，并执行还需要使应 用呆跨全异地址域运行的其它操作。 ALG还可以不一直利用 NAT状态信息。在某些情况下，它们可以收集应用负载，并简单 通知 NAT增加额外状态信息。ALG与代理是相似的，在其中，ALG和代理都促成客户端与服 务器端的应用特定通迅。代理使用特殊协议来与代理客户端通迅，并接力客户端数据到服务 RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 5页 器，反之亦然。与代理不同，ALG不使用特殊协议来与应用客户端通迅，且不要求修改应用 客户端。 3 什么是 NAT？ 网络地址转换是一种方法，通过这种方法，IP 地址从一个地址域被映射到另一个，以 提供透明路由到端主机。有许多种地址转换使其自身可面向不同的应用。然而，所有风格的 NAT设备应该共享下列特性。 a）透明地址分配 b）通过地址转换的透明路由。（这里的路由即转发分组，但不交换路由信息） c）ICMP错误分组负载转换。 下面的图描述一种场境，其中在桩域边界路由器上允许 NAT，该路由器通过由服务提供 商使之有效的区域路由器连接到因特网上。 图 1：一种典型的 NAT操作场境 3.1 透明地址分配 NAT绑定私有网络中的地址与全局网络中的地址，反之亦希，以提供在地址域间通行的 数据的透明路由。在某些情况下，该绑定可以扩展到传输层标识符（如 TCP/UDP端口）。在 会话开始时完成地址绑定。下面的小节描述 2种类型的地址分配。 3.1.1 静态地址分配 在静态地址分配的情况下，是私有网络地址与外部网络地址间的主机在 NAT运行生存期 区域路由器 桩路由器（有 NAT） LAN 桩边界 WAN RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 6页 内的一对一地址映射。静态地址分配确保 NAT不需要用会话流来执行地址管理。 3.1.2 动态地址分配 在这种情况下，外部地址被分配给私有网络主机，或反之，动态地基于用法需求和由 NAT启发地判断的会话流。当使用地址绑定的最后会话终止时，NAT将释放该绑定，因此该 全局地址可以被回收以便以后使用。地址分配的确切性质与个别 NAT实现相关。 3.2 透明路由 NAT路由器位于 2 个地址域的边界处，并转换 IP 头部中的地址，因此，当分组离开一 个域并进入另一个域时，它可以被正确地迅路。因 HAT设备有到多个地址域的连接，它们必 须小心不要从一个地址域到另一个域误传网络相关的信息（如，通过路由协议）,这里广告 之类的将不会被接受。 地址转换有 3个过程，如下。组合这些过程意味着跨 NAT设备传递的会话的状态的创建、 维护和终止。 3.2.1 地址绑定 地址绑定是该过程，其中本地结点 IP地址与外部地址相关联或反之，为了转换的目的。 地址绑定用静态地址分配来修正，且在会话开始时是动态地用动态地址分配。一旦 2个地址 间的绑定完成，源自或到该主机的所有后序会话将为基于会话的分组转换使用相同的绑定。 新地址绑定在新会话开始时做出，若这种地址绑定不存在的话。一旦本地地址绑定到外 部地址，源自相同本地地址或指向相同本地地址的所有后有后序会话将使用相同的绑定。 每个新会话的开始将导致状态的创建，以推动属于该会话的数据报的转换。可能同时存 在许多源自相同主机的会话，基于单个地址绑定。 3.2.2 地址查询和转换 一旦某个会话的状态被建立，属于该会话的所有分组将导致地址查询（和传输层标识符 查询，在某些情况下）和转换。 数据报的地址或传输层标识符转换将导致数据报从源地址域转发到目的地址域，且其网 络地址被适当地更新。 3.2.3 地址松绑 地址松绑是该过程，其中私有地址不再为转换的目的与全局地址相关联。NAT将执行地 址松绑，当它认为使用地址绑定的最后会话已经终止时。参考 2.6节关于处理会话终止的一 些启动式方法。 RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 7页 3.3 ICMP错误分组转换 所有 ICMP错误消息（除了重定向消息类型）将需要被修正，当跨 NAT传递时。需要 NAT 修正的 ICMP 错误消息类型将包括目的地不可达、源结束、超时和参数问题。NAT 不该试图 修改重定向消息类型。 对 ICMP错误消息的修正将包括对嵌入到 ICMP错误消息的负载中的原始 IP分组（或其 中一部分）的修改。为使 NAT对终端主机完全透明，嵌入到 ICMP分组中的 IP头部的 IP地 址必须被修改，同个 IP头部的校验和域必须相应地被修改，和陪伴的传输层头部。ICMP头 部检验和也必须被修改以反映对负载中的 IP和传输层头部所做出的修改。进而，正常的 IP 头部也必须被修改。 4.0 各种风格的 NAT 存在适用于不同应用的许多种类的地址转换。下面小节中所列的 NAT风格是不完整的， 但它的确包含有大量明显不同的风格。 下图将用作描绘 NAT风格的基本模型。主机 A，有地址 A位于私有域中，由网络 Pri表 示。网络 Pri通过 NAT路由器与外部网络隔离开。主机 X，有地址 X位于外部域中，由网络 Ext表示。NAT路由器有 2个接口，每个附加到其中一个域，提供 2个域间的透明转换。外 部域的接口分配地址 Nx，且私有域的接口分配地址 Np。进而，可以理解地址 A和 Np与网络 Pri相对应，且地址 X和 Nx与网络 Exi相对应。 ________________ ( ) ( ) +--+ ( 外部地址域 )-- |__| ( (网络 Ext) ) /____\ (________________) 主机 X | (地址 X) |(地址 Nx) +--------------+ | | | NAT路由器 | | | +--------------+ |(地址 Np) | ---------------- ( ) +--+ ( ) |__|------( 私有地址域 ) /____\ ( (网络 Pri) ) 主机 A (________________) RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 8页 (地址 A) 图 2：描绘 NAT术语的基本模型。 4.1 传统 NAT（或）向外 NAT 传统 NAT将允许私有网络中的主机透明地访问外部网络中的主机，在大多数情况下。在 传统 NAT中，会话是单向的，从私有网络向外。这与双向 NAT形成对比，后者允许在向内和 向外 2个方向上的会话。双向 NAT的详细描述可以在 4.2节中发现。 下面描述由传统 NAT所支持的域的属性。在外部网络中的主机的 IP地址是统一的用在 外部有效，同样在私有网络中也有效。然而，在私有网络中的主机的地址只在私有网络内部 统一，且在外部网络中可能无效。换句话说，NAT将不会对外部域公告私有网络。但是，来 自外部域的网络可以公告给私有网络。在私有网络内部中使用的地址必须不与外部地址相重 叠。任何给定地址必须要么是私有地址，要么是外部地址；而非都是。 图 2中的传统 NAT路由器将允许主机 A发起会话给主机 X，但不是周围的其它方式。而 且，网络 Ext对网络 Pri可路由，然而网络 Pri不可从网络 Ext路由。 传统 NAT主机用于使用私有地址的网站，它希望允许从它们网站向外的会话。 有 2种传统 NAT，名为基本 NAT和 NAPT（网络地址端口转换）。这些讨论在下面小节中。 4.1.1 基本 NAT 使用基本 NAT，外部地址区被保留给私有域主机的地址转换，当它们发起向外部域的会 话时。对于来自私有网络的向外分组，源 IP地址和相关域如 IP、TCP、UDP和 ICMP头部校 验和都将被转换。对于向内分组，目的 IP地址和如上所列的校验和将被转换。 图 2中的基本 NAT路由器可以被配置为转换网络 Pri到外部地址区，称为地址 i到地址 n，从外部网络 Ext选择。 4.1.2 网络地址端口转换（NAPT） NAPT通过还转换传输层标识符（如，TCP和 UDP端口号、ICMP 查询标识符）来更进一 步扩展转换的概念。它允许大量私有主机的传输层标识符混合为单个外部地址的传输层标识 符。NAPT允许主机集共享单个外部地址。要注意，NAPT能够与基本 NAT相组合以便少量外 部地址用于与端口转换相关联。 对于来自私网络的向外分组，NAPT将转换源 IP地址、源传输层标识符和相关域如 IP、 TCP、UDP和 ICMP头部校验和。传输层标识符可以是 TCP/UDP端口或 ICMP查询 ID之一。对 于向内分组，目的 IP地址、目的传输层标识符和 IP及传输层头部校验和将被转换。 图 2中的 NAPT路由器可以被配置为转换源自网络 Pri的会话为单个外部地址，称为地 RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 9页 址 i。 通常，NAPT路由器的外部接口地址 Nx被用作映射网络 Pri的地址。 4.2 双向 NAT（或）双路 NAT 使用双向 NAT，会话可以从公共网络主机发起，私有网络同样可以。私有网络地址被绑 定到全局唯一地址，静态地或动态地，当连接在任何方向上建立时。在私有和外部网络主机 间的名字空间（如，它们的完全限定域名）假设是端到端唯一的。外部域中的主机使用 DNS 地址解析来访问私有域主机。DNS-ALG必须配置为与双向 NAT相关联以推进名称到地址的映 射。特别是，DNS-ALG必须能够在 DNS查询中转换私有域地址并以它们的外部域地址绑定来 响应，反之亦然，当 DNS分组在私有和外部域中穿过时。 传统 NAT路由器所要求的地址空间的要点在这里同样适用。 图 2中的双向 NAT路由器将允许主机 A发起会话到主机 X，及主机 X发起会话到主机 A。 而对于传统 NAT，网络 Ext可从网络 Pri路由，但网络 Pri则不可从 Ext路由。 4.3 两次 NAT 两次 NAT是 NAT的变种，在其中源和目的地址都被 NAT修改，当数据报跨地址域时。这 与传统 NAT和双向 NAT形成对比，后 2者只转换 1个地址（源或目的之一）。注意，不存在 术语“一次 NAT”。 两次 NAT是必要的，当私有和外部域有地址冲突时。可能发生的最通常的情况是当站点 已经（不正确的）使用公共地址编号其内部结点，而这些地址已经分配给其它组织。作为替 代方案之一，站点可以从一个供应商切换到另一个，但选择保留（内部）它已经由首个提供 商分配的地址。该供应商后来可能重新分配这些地址给其它一些人。这种情况下的关键问题 是外部域的该主机的地址可能已经分配与内部站点的主机相同的地址。若该地址碰巧出现在 分组中，则它将传发到内部结点，而不是穿过 NAT设备到外部域。两次 NAT尝试桥接这些域， 通过转换 IP分组的源和目的地址，当该分组传过域时。 两次 NAT如下工作。当主机 A希望发起到主机 X的会话时，它引起对主机 X的 DNS查询。 DNS-ALG截取该 DNS查询，并在响应中返回给主机 A该 DNS-ALG替换主机 X的地址为可在本 地站点中（称为主机 XPRIME）正确被路由的地址。主机 A这时发起与主机 XPRIME的通迅。 当分组传过 NAT设备时，源 IP地址被转换（如传统 NAT的情形），且目的地址被转换为主机 X。当从主机 X返回的分组到达时执行相似的转换。 下面描述由两次 NAT所支持的域的属性。在外部网络中的主机的网络地址在外部网络中 是唯一的，但在内部网络中不是。同样，内部网络中的主机的网络地址只在内部网络中是唯 一的。换句话说，用于私有网络中的地址空间定位私有和公共网络中的主机，与用于公共网 络的地址空间定位私有和公共网络中的主机，它们之间没有关系。两次 NAT将不允许公告本 地网络给外部网络，反之亦然。 RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 10页 图 2 中的两次 NAT 路由器将允许主机 A 发起到主机 X 和会话，和主机 X 发起到主机 A 的会话。然而，网络 Ext（或网络 Ext的子集）不可从网络 Pri路由，且网络 Pri不可从网 络 Ext路由。 两次 NAT 一般用于当在私有网络中使用的地址空间与在公共空间中所使用的地址相重 叠时。例如，若私有站占使用 200.200.200.0/24地址空间，它正式分配给在公共因特网上 的其它站点。私有空间中的主机 A（200.200.200.1）寻求连接到在公共空间中的主机 X （200.200.200.100）。为了使该连接完成，主机 X的地址被映射为对主机 A不同的地址，反 之亦然。位于私有站点边界的两次 NAT可以按如下配置： 私有到公共：200.200.200.0/24 -> 138.76.28.0/24 公共到私有：200.200.200.0/24 -> 172.16.1.0/24 数据报流：主机 A（私有） -> 主机 X（公共） a）在私有网络中 目的地址：172.16.1.100 源地址：200.200.200.1 b）两次 NAT转换后 目的地址：200.200.200.100 源地址：138.76.28.1 数据报流：主机 X（公共） -> 主机 A（私有） a）在公共网络中 目的地址：138.76.28.1 源地址：200.200.200.100 b）两次 NAT转换后，在私有网络中 源地址：200.200.200.1 目的地址：172.16.1.100 4.4 多宿 NAT 使用 NAT有些限制。例如，属于某个会话的请求和响应必须通过相同的 NAT路由器被路 由，当 NAT路由器维护通过它建立的会话的状态住处时。因该原因，经常建议 NAT路由器运 行于在桩域中唯一的边界路由器上，在这里所有 IP分组要么源自该域，要么指向该域。然 而，这种配置将引起 NAT路由器进入单点失败。 私有网络为了确保与外部网络的连接性被保持，即使当某个 NAT连接失败时，它经常希 望多宿私有网络到同个或多个服务提供商，通过源自私有域的多路连接，这就是通过同个或 不同的 NAT盒。 RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 11页 例如，私有网络可以有到 2个不同提供商的链路，且源自私有主机的会话将流过对目的 地有最佳表现的 NAT路由器。当某个 NAT路由器失败时，另一个可为所有连接路由通信量。 多个 NAT盒或同个 NAT盒上的多个链路，共享相同的 NAT配置，可以互相提供失败安全 备份。在这种情况下，后备 NAT设备有必要交换状态信息，以便后备 NAT可以透明地依靠会 话加载，当主 NAT失败时。NAT备份变得更简单，当配置基于静态映射表时。 5.0 域特定 IP（RSIP） “域特定 IP”（RSIP）用于特性化在私有域中的清晰域的主机的功能，它采取域特定 IP 地址来与私有或外部域中的主机通迅。 “域特定 IP 客户端”（RSIP 客户端）是私有网络中的主机，它在连接到外部域中的主 机时可适应外部域，以从事端到端通迅。在这种设置下任何端点的主机所生成的分组将基于 在外部域中端到端唯一的地址，且不需要中间过程的转换。 “域特定 IP 服务器”（RSIP 服务器）是常驻私有和外部域中的结点，它可能推进外部 域的分组与私有域间路由。这些分组可以源自 RSIP客户端或指向 RSIP 客户端。RSIP 服务 器还可以是分配外部域地址给 RSIP客户端的同个结点。 有 2种 RSIP，称为域特定地址 IP（RSA-IP）和域特定地址和端口 IP（RSAP-IP）。这些 变种在下面小节中讨论。 5.1 特特定地址 IP（RSA-IP） 域特定地址 IP（RSA-IP）客户端采用外部地址空间的 IP地址，当连接到外部域的主机 时。一旦 RSA-IP客户端采取外部地址，在私有或外部域中的其它主机都不能采用相同的地 址，直到该地址由该 RSA-IP客户端释放。 下面讨论在私有域内部的端到端 RSA-IP分组可能采用的替代路由方法。一种方法是用 隧道传递到目的地的分组。外面的头部可以由 NAT正常转换，而不会影响在内部头部中使用 的地址。另一种方法是在 RSA-IP客户端和跨 2个地址域的边界路由器间建立双向隧道。去 向或来自客户端的分组将通过隧道，但在边界路由器与远端目的地间分组将正常转发。注意， 从客户端到边界路由器的隧道可能不是必须的。你可能只需直接转发该分组。它只工作于你 的内部网络不能按源地址（在这种情况下它将是外部地址）过滤分组时。 举个例子，上面图 2的主机 A，将采用外部域的地址 k，并拌演 RSA-IP客户端，以允许 在地址 k和地址 X间的端到端会话。私有域内部的端到端分组的旅途将描述如下： 首个方法，使用 NAT路由器的终端路由转换： =================================================== 主机 A NAT路由器 主机 X ------ ----------- ------ RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 12页 <外部 IP头部，其 源=地址 A，目的=地址 X>， 嵌入 <端到端分组，其 源=地址 k，目的=地址 X> -----------------------------> <外部 IP头部，其 源=地址 k，目的=地址 X>， 嵌入 <端到端分组，其 源=地址 k，目的=地址 X> ---------------------------> . . . <外部 IP头部，其 源=地址 X，目的=地址 k>， 嵌入 <端到端分组，其 源=地址 X，目的=地址 k> <--------------------------------- <外部 IP头部，其 源=地址 X，目的=地址 A>， 嵌入 <端到端分组，其 源=地址 X，目的=地址 k> <-------------------------------------- 第二个方法，使用私有域内部的隧道： ================================================== 主机 A NAT路由器 主机 X ------ ----------- ------ <外部 IP头部，其 源=地址 A，目的=地址 Np>， 嵌入 <端到端分组，其 源=地址 k，目的=地址 X> RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 13页 -----------------------------> <端到端分组，其 源=地址 k，目的=地址 X> -------------------------------> . . . <端到端分组，其 源=地址 X，目的=地址 k> <-------------------------------- <外部 IP头部，其 源=地址 Np，目的=地址 A>， 嵌入 <端到端分组，其 源=地址 X，目的=地址 k> <---------------------------------- 可能存在其它方法来达成该目的。 RSA-IP客户端有如下特性。由 RSA-IP客户端所执行的操作集合可以称为“RSA-IP”。 1、清楚其结点所属的域。 2、当与外部域中的主机通迅时采用该域中的地址。该地址可能是静态分配或从能够分 配外部域地址的结点动态地获得（通过还需定义的协议）。RSA-IP服务器将是调整外部域地 址分配的结点。 3、路由分组到外部主机，使用服从于 RSA-IP 服务器的方法。在所有情况下，RSA-IP 客户端似乎将需要拌演为隧道的一端，能够封装端到端分组，同时转发并在返回路径中去封 装。 “域特定地址 IP 服务器”（RSA-IP 服务器）是驻留在私有和外部域中的结点，它促成 外部域分组定点到在私有域内部的 RSA-IP客户端的路由。RSA-IP服务器可以描述为有如下 特性。 1、可以配置为分配外部域地址给 RSA-IP客户端，静态地或动态地。 2、必须是驻留在私有和外部地址域中的路由器。 3、必须能够为在私有域中路由外部域分组提供机制。通过已描述的 2个方法，第一个 RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 14页 方法要求 RSA-IP服务器是 NAT路由器，提供外部头部的透明路由。该方法要求外部端点是 隧道的一端。 通过第二种方法，RSA-IP 服务器可以是任何路由器（包括 NAT 路由器），它可以是与 RSA-IP客户端相通的隧道的一端。它可以从 RSA-IP客户端向外隧道中取出端到端分组，并 转发给外部主机。在返回路径上，它将定位 RSA-IP客户端隧道，基于端到端分组的目的地 址，并封装该分组到隧道中以转发给 RSA-IP客户端。 RSA-IP 客户端可以采用任何 IPsec 技术，名为传输层或隧道方式认证或在嵌入分组上 使用 AH和 ESP头部的机密性。任何隧道技术都可适就在 RSA-IP客户端和 RSA-IP服务器或 RSA-IP客户端与外部主机间的封装。例如，IPsec隧道方式封装是一种有效封装类型，它确 保 IPsec认证和所嵌入端到端分组的机密性。 5.2 域特定地址和端口 IP（RSAP-IP） 域特定地址和端口 IP（RSAP-IP）是 RSIP 的一个变种，其中多个私有主机使用单个外 部地址，复用传输层标识符（如，TCP/UDP端口号或 ICMP查询 ID）。 “RSAP-IP客户端”可以与 RSA-IP客户端相似地定义该变种，RSA-IP客户端采用 2元 组（外部地址、传输层标识符），当连接到外部域的主机以促成端到端通迅时。因此，RSAP-IP 客户端与外部结点通迅可能限制到 TCP、UDP和 ICMP会话。 “RSAP-IP 服务器”与 RSA-IP 服务器相似，其中它推进外部域分组定点到私有域内部 的 RSAP-IP客户端。通常，RSAP-IP服务器还将是分配传输层 2元组给 RSAP-IP客户端的角 色。 NAPT路由器端点路由可用作 RSAP-IP服务器，当该路由器封装的是基于 TCP/UDP，并在 RSAP-IP客户端和外部结点间迅址时。该方法需要外部结点是基于 TCP/UDP隧道的一端。使 用该方法，RSAP-IP客户端可以采用任何 IPsec技术，名为传输层或隧道方式认证和在所嵌 入分组上使用 AH和 ESP头部的机密性。要注意，然而 IPsec隧道方式不是有效的封装类型， 因 NAPT路由器不能提供到 AH和 ESP协议的透明路由。 取而代之，分组可以通过 RSAP-IP 客户端和 RSAP-IP 服务器间的隧道，由此 RSAP-IP 服务器将取出来自 RSAP-IP 客户端的隧道中的分组，并转发给外部主机。在返回路径上， RSAP-IP服务器将定们 RSAP-IP 客户端隧道，基于 2元组（目的地址、传输层标识符），并 封装原始分组到隧道中以转发给 RSAP-IP 客户端。通过该方法，对使用 RSAP-IP 客户端与 RSAP-IP服务器间所使用的隧道技术没有限制。然而，对应用基于 IPsec的端到端分组安全 方法有限制。基于传输层方式的认证和完整性检测可以使用。但，机密性不能被保证，因为 RSAP-IP服务器必须可以检验目的传输层标识符，以便识别 RSAP-IP隧道以传发向内的分组。 因该原因，只有由 AH和 ESP认证保护的传输层方式 TCP、UDP和 ICMP分组能够使用该方法 通过 RSAP-IP服务器。 举个例子，对上面图 2的主机 A，从 NAPT路由器获取 2元组（地址 Nx、TCP端口 Nx）， 以拌演发起与主机 X的端到端 TCP会话的 RSAP-IP客户端。在私有域内的端到端分组的旅途 RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 15页 可如下描述。在第一种方法中，来自主机 A的向外分组的外层使用（私有地址 A、源端口 Na） 为源 2元组，以与主机 X通迅。NAPT路由器端点路由转换该 2元组为（地址 Nx、端口 Nxa）。 这种转换与在嵌入分组中所使用的 RSAP-IP客户端的 2元组参数是无关的。 第一个方法，使用 NAPT路由器端点路由转换： ==================================================== 主机 A NAPT路由器 主机 X ------ ----------- ------ <外部 TCP/UDP分组，其 源=地址 A，源端口=端口 Na， 目的=地址 X>， 嵌入 <端到端分组，其 源=地址 Nx，源端口=端口 Nx，目的=地址 X> -----------------------------> <外部 TCP/UDP分组，其 源=地址 Nx，源端口=端口 Nxa， 目的=地址 X>， 嵌入 <端到端分组，其 源=地址 Nx，源端口=端口 Nx，目的=地址 X> ---------------------------------------> . . . <外部 TCP/UDP分组，其 源=地址 X，目的=地址 Nx， 目的端口=端口 Nxa>， 嵌入 <端到端分组，其 源=地址 X，目的=地址 Nx， 目的端口=端口 Nx> <---------------------------------- <外部 TCP/UDP分组，其 源=地址 X，目的=地址 A， 目的端口=端口 Na>， 嵌入 <端到端分组，其 RFC2663 NAT术语及思考 1999年 8月 Srisuresh和 Holdrege 信息性 16页 源=地址 X，目的=地址 Nx， 目的端口=端口 Nx> <----------------------------------- 第二种方法，使用私有域内的隧道： ================================================== 主机 A NAPT路由器 主机 X ------ ----------- ----