浅谈互联网上的“围墙花园”模型

探讨"围墙花园"的规模，首先要看"围墙"上面是否需要开"门"（与外界互通），把"花园"与别的"围墙花园"或互联网连接起来。其次，如果需要开"门"，还需要看要开一个"门"还是多个"门"。如果"围墙花园"不需要对外开放"大门"（与外界分离），那么在"花园"中可以采用任何类型的编址方式，比如私有地址（RFC1918）、偷偷把别人的公有地址拿来私用（"公有地址私用"），甚至IPv6地址等。因为这时"围墙花园"不和外界发生关系，不存在编址冲突的可能性，因此想让"花园"做多大就可以做多大。

　　但一般情况下，都需要让"围墙花园"与外界互联互通起来，这时花园的规模就会受到限制，就要仔细研究和规划了。因为规模很大的时候，与"花园"内部可以采用的IP编址方式以及"门"（NAT，网络地址翻译）的类型都存在很大的关系。当花园的规模小于RFC1918规定的大约1600万个IP地址时（10/8，192.168/16和172.16/12），内部不用再分级就可以全部使用平面化的私有地址，在"围墙"上使用传统的NAT就完全可以了。只是需要注意，要尽量避免NAT可能会出现单点性能瓶颈和故障。

　　不分级的平面式内部编址，在"花园"规模很大，超过1600万时，采用RFC1918规定的全部私有地址也不够时，可以有两个办法来解决：

　　（1）分级编址，多级传统NAT，这时需要注意多级NAT的穿越。

　　（2）内部不分级，"公有地址私有"，但这需要使用"Twice NAT"和"Multihoming NAT"，并解决由此而带来的各种复杂问题。

　　这两种技术方法都存在很多缺陷，迫不得已时推荐使用第一种。

5、"围墙花园"上"门"的类型

　　"围墙花园"一般都采用私有编址，都需要"门"，因此这个"门"一般都需要具有网络地址翻译的功能。RFC1631以及相关RFC定义的NAT/NAPT是一种将IP地址从一个编址域（如"围墙花园"）映射到另外一个编址域（如互联网）的方法。NAT最典型的应用是把RFC1918定义的私有IP地址映射与互联网所使用的公有IP地址做相互映射。从功能上看，主要有以下几种典型的NAT（RFC2663）：

　　（1）传统NAT（Traditional NAT）

　　在多数情况下，传统NAT允许位于围墙内部的主机（采用RFC1918地址）透明地访问围墙外部（互联网）的主机，把从围墙外部到围墙内部的访问作为一种特例，为事先选择好的特定内部主机做静态地址映射。围墙外部中主机的IP地址在围墙外部以及围墙内部中是惟一的和有效的，但围墙内部主机的IP地址只有在围墙内部中才是惟一的，在围墙外部中不一定有效。换言之，NAT不会向外部编址域通告内部网络的地址，但有可能向内部网络通告外部互联网的地址。围墙内部使用的地址一定不能与围墙外部的地址重叠，任何一个地址或是一个内部地址或外部地址，不能同时是内部和外部地址。传统NAT又包括基本NAT和NAPT两大类。

　　（2）双向NAT（Bi-directional NAT，Two-WayNAT）

　　当使用双向NAT（Bi-directional NAT或Two-Way NAT）时，可以从围墙内部向围墙外部发起会话请求，也可以从围墙外部向围墙内部发起会话请求。当在外出或进入任何一个方向上建立连接时，把围墙内部地址静态或动态绑定到全局惟一的地址上。这里假设位于围墙内部和外部网络之间的名字空间（FQDN，Fully Qualified Domain Names）是端到端惟一的，因为只有这样才能够使得位于外部编址域的主机利用域名系统（DNS）访问内部网络的主机。在双向NAT上必须部署DNS-ALG（DNS应用层网关，DNS-Application Level Gateway），以处理名字到地址的映射。当一个DNS包需要穿越围墙内部和外部网络编址域时，DNS-ALG必须能够将DNS查询和响应消息中的内部地址翻译成外部地址，或把外部地址翻译成内部地址。

　　（3）两次NAT（Twice NAT）

两次NAT是NAT的一个变种，它同时修改源和目的地址。这与前面的传统NAT和双向NAT（Bi Directional）都不同，前面的两种NAT只翻译源或者目的地址（端口）。两次NAT在围墙内部编址域和围墙外部编址域存在冲突时非常有用。典型例子之一是当一个"围墙花园"（不恰当地）使用已分配给其它机构的公开IP地址对其内部主机进行编址时（"公有地址私用"）；例子之二是当一个站点从一家运营商换到另外一家运营商，同时又希望（在内部）保留前一家运营商分配的地址时（而前一家运营商可能会在一段时间后将这些地址重新分配给其它人使用）。在这些情况下，非常关键的一点就是外部网络的主机可能会分配得到以前已分配给内部主机的同一地址。如果该地址碰巧出现在某个包中，则应该将它转发给内部主机，而不是通过NAT转发给外部编址域。两次NAT通过同时翻译IP包的源和目的地址，试图桥接这些编址域，解决了地址冲突的