alg的海词问答与网友补充：
alg的相关资料：
alg&:&抗淋巴细胞 ...
在&&中查看更多...
alg的相关缩略词，共有37条
汽车租赁的指南
抗淋巴球球蛋白
alg:概况 alg - alg.exe - 进程信息进程文件： alg 或者 alg.exe进程名称： Application Layer Gateway Service 描述 alg.exe是微软Win…
相关词典网站：adapting是什么意思，词典释义与在线翻译：
动词 adapt:
make fit for, or change to suit a new purpose
adapt or conform oneself to new or different conditions
adapting的用法和样例：
用作名词 (n.)
I am adapting to playing in this position.
我正在逐渐适应这个位置。
It is a case of adapting to the formation.
这个就是适应球队一个例子。
光适应激素
自适应程序
自适应计算机...
自适应计算机...
adapting的海词问答与网友补充：
adapting的相关资料：
【近义词】
改变（adapt的ing...
相关词典网站：音节划分：emo?tion?al
中频词，你记住了吗？
[?'m????nl]
[?'mo???nl]
表现强烈情感的；
令人动情的；
易动感情的；
感情脆弱的
大家都在背：
1. "Tired and emotional" is a code word for being drunk.
“又累又激动”是形容人喝醉酒的一种委婉说法。
来自柯林斯例句
2. How much emotional baggage is he bringing with him into the relationship?
他背负着多重的感情包袱开始这段恋情？
来自柯林斯例句
3. The emotional wounds of early childhood leave ineradicable scars.
童年早期的情感创伤留下了难以抚平的伤痕。
来自柯林斯例句
4. Other daughters, faced with their mother's emotional hunger, pull away.
面对母亲的情感渴求，其他几个女儿都疏远了她。
来自柯林斯例句
5. I need your full, emotional identification with the problem and with me.
我需要你对我、对此问题都有充分的情感认同与支持。
来自柯林斯例句
偶然的,非经常的,特殊场合的,临时的 (occasion发生+al……的→adj.偶然的,非经常的,特殊场合的,临时的)
条件的,带有条件的 (condition条件,状况+al……的→adj.条件的,带有条件的)
(mur墙壁+al人,物,状态→adj.墙壁的 n.壁画)
原始居民[的],土著[的] (ab加强+origin起源+al人,物,状态→起源而来→原始的)
伴随事件 (incident偶然事件+al……的→附带的,偶然的)
对……作出的评价;评价,鉴定,评估 (appraise评价+al人,物,状态→appraise名词)
罪犯,刑事犯 (crime罪行+in+al人,物,状态→criminal罪犯,刑事犯)
(riv=river+al人,物,状态→竞争)
1. “情绪的,感情的”释义下的同义词
2. “感动人的”释义下的同义词
3. “感情脆弱的”释义下的同义词
4. “易动感情的”释义下的同义词
5. “易动感情的,感情脆弱的”释义下的同义词
情感上的;情绪上的 Emotional means concerned with emotions and feelings.&
【搭配模式】：usu ADJ n
I needed this man's love, and the emotional support he was giving me...
我需要这个男人的爱，以及他在情感上给我的支持。
Victims are left with emotional problems that can last for life.
受害者心中留下了可能会持续一生的情感创伤。
emotionally
Are you saying that you're becoming emotionally involved with me?
你是说你对我有意思？
ADJ-GRADED
能被表示程度的副词或介词词组修饰的形容词
激起强烈感情的;激动人心的 An emotional situation or issue is one that causes people to have strong feelings.&
It's a very emotional issue. How can you advocate selling the ivory from elephants?
这是个很容易激起公愤的话题。你怎么能够鼓吹贩卖象牙？
emotionally
In an emotionally charged speech, he said he was resigning.
在一次煽情的演讲中，他说他要辞职。
ADJ-GRADED
能被表示程度的副词或介词词组修饰的形容词
情绪激动的;（尤指）愤怒的 If someone is or becomes emotional, they show their feelings very openly, especially because they are upset.&
He is a very emotional man...
他是个很情绪化的人。
I don't get as emotional as I once did.
我不像以前那么冲动了。
1. 表现强烈情感的, 令人动情的
This is an emotional scene in the play.
这是剧中动人的一幕。
2. 易动感情的, 情绪激动的
3. 感情的, 情绪的
1. determined or actuated by emotio
"it was an emotional judgment"
"his behavior was highly emotional"
3. of or p
"emotional health"
"an emotional crisis"
4. extrava
"insincere and effusive demonstrations of sentimental friendship"
"a large gushing female"
"write unrestrained and gushy poetry"
5. excessively
"he would become emotional over nothing at all"
"she was worked up about all the noise"
凡是感性（emotional）的，都不是理性（rational）的，都不包括在理性选择的范围内。 5 Homans, George C. Elementary Forms of …
- 基于2274个网页
FCE与BETS3高频阅读重点词汇下载_英语网 ... unbiased 没有偏见的 emotional 感情的，情绪的 biased 偏向的.
- 基于2122个网页
FCE与BETS3高频阅读重点词汇下载_英语网 ... unbiased 没有偏见的 emotional 感情的，情绪的 biased 偏向的.
- 基于1906个网页
大学英语b级词汇表 - 豆丁网 ... emotion n. 情感,感情 emotional adj. 情绪的,情感的 emphasis n. 强调,重点.
- 基于900个网页
1. 情绪商数
EQ - 维基百科，自由的百科全书 ... 赤道（ equator） 情绪商数（ Emotional quotient） 马术（ Equestrianism）.
- 基于621个网页
1. 精神支持
Friendship Day ^^ 友谊日 ... E - EXCHANGE( 交流) E - EMOTIONAL SUPPORT( 精神支持) T - TRUST( 信任).
- 基于1301个网页
1. 情绪智力
将情绪智力(emotional intelligence)纳入选才的依据.2. 决策 (Decision Making)心情好的时候, 较容易做出好的决策, 也有助于提升解.
- 基于1637个网页
情商（Emotional intelligence）的高低则是孩子长大后是否能有成就和获得快乐生活的重要因素，它包括自我意识，自律性，同情心， …
- 基于738个网页
作为水性的情绪，也有着不同寻常的性能和品质，并同样维系着人的生命系统————如果你想让它们那样做的话。如果你了解水是流动的，那么当你自身心智中似水的情绪产生时你就会开始适当地行动。如果你恭敬地对它们作出反应，你就能创造内在的自我平衡。在神学和心理学上，水是无意识的伟大容器，是一切生命和脉动的发源地。单词“情绪（emotion）“词根与水相关。它的意思是“向外移动、向外流动“。让你的情绪自然流淌是培养人适当地、巧妙地引导情绪的.
- 基于19596个网页
0){var rand = parseInt(Math.random() * (000)+100000);top.location.href='/'+encodeURIComponent(document.getElementById('s').value.trim().replace( / /g, '_'))+'?renovate='+}else{top.location.href='/'+encodeURIComponent(document.getElementById('s').value.trim().replace( / /g, '_'));};}" action="/">
查过的词自动加入生词本
Tip：此功能设置只能在登录状态下生效
需要改进的内容：
单词大小写
其他（请在下面补充描述）
错误描述：
您还可在这里补充说明下 O(∩_∩)O~
方便的话，请您留下一种联系方式，便于问题的解决：基于NAT-PT转换网关的DNS-ALG研究与实现
随着互联网应用的发展及互联网应用要求的不断提高,IPv4的诸多不足逐渐暴露出来,为此IETF制定了下一代互联网互联协议IPv6同IPv4相比较,IPv6把地址长度由原来的32bit扩展成128bit,有效地解决了地址资源不足的问题,同时采用全新的地址管理方案,高效包头,更好的服务质量(QoS).对流媒体的支持以及更完善的安全机制等多项技术,将极大地满足用户对网络的新要求,IPv6代替IPv4已经成为必然.
然而目前IPv4还有着广泛的应用,为了充分利用现有的网络资源,将在相当长的时间内出现Iv4与IPv6网络并存的局面.目前提出的过渡方案基本上分为三类:双协议栈技术,隧道技术,NAT-PT(Network
Address Translation-Protocol Translation)技术.
1.协议栈技术是使IPv6节点与IPv4节点兼容的最直接方式,应用对象是主机,路由器等通信节点.支持双协议栈的IPv6节点与IPv6节点互通时使用IPv6协议栈,与IPv4节点互通时使用IPv4协议栈.IPv6节点访问IPv4节点时,先向双栈服务器申请一个临时IPv4地址,同时从双栈服务器得到网关路由器的TEP(Tunnel
Point)IPv6地址.IPv6节点在此基础上形成一个4over6的IP包,4over6包经过IPv6网传到网关路由器,网关路由器将其IPv6头去掉,将IPv4包通过IPv4网络送往IPv4节点.网关路由器要记住IPv6源地址与IPv4临时地址的对应关系,以便反方向将IPv4节点发来的IP包转发到IPv6节点.这种方式对IPv4和IPv6提供了完全的兼容,但由于需要双路由基础设施,增加了网络的复杂度,依然无法解决IP地址耗尽的问题.
双协议栈技术互通性好,但是要求网络节点同时兼有IPv4地址和IPv6地址,所以并没有从根本上解决地址短缺问题.
2.隧道技术主要是解决IPv6"孤岛"通信问题,要求隧道两端的主机必须配置双协议栈.(隧道技术不能实现IPv4主机与IPv6主机的直接通信)
3.NAT-PT是一种协议转换技术,通过结合SIIT协议翻译功能,NAT的动态地址翻译能力,它能在IPv4/IPv6地址转换的同时进行协议转换.但是没有ALG的支持,NAT-PT网关只能提供从IPv6到IPv4的单向连接,而基于NAT-PT的IPv4/IPv6协议转换网关结合应用层网关(ALG)不但可以实现IPv6和IPv4间的双向连接,同时还支持多个应用层服务的转换.本文重点研究了专门用于IPv4和IPv6之间域名解析的应用层网关DNS-ALG.
NAT-PT网关的结构
&&&由于协议对地址格式的定义不同,直接通过地址访问难以实现,只有通过域名才能实现访问,所以网关路由器还需要DNS-ALG的支持,才能在IPv4端访问IPv6端的过程中发挥作用&
过渡技术中的NAT,是把IPv4地址翻译成IPv6地址,或者把IPv6地址翻译成为IPv4地址.地址翻译的实现过程:在NAT-PT中,预留了一部分Global
IPv4地址,这些地址是留给需要与IPv4网络通信的IPv6主机使用的.实际应用情况中,预留的V4地址数目通常都小于V6主机的数目,一旦预留的Global
IPv4地址耗尽,则多出来的V6主机就无法实现与V4主机的通信,故通常采用为V6节点动态分配V4地址的方式来及时释放地址资源,从而使得每一个V6主机都有机会与V4主机实现通信.&
NAT-PT翻译网关是NAT技术,协议翻译技术以及应用层网关ALG的有机结合,这三种技术协同工作,使得IPv4与IPv6网络能相互通信.NAT-PT网关位于IPv4网络与IPv6网络的交界处,同时接收来自IPv4和IPv6两种网络的数据包,根据需要在IPv4地址与IPv6地址之间进行映射,依照协议的不同对分组做语义上的转换.
根据互联网层次结构,NAT-PT网关的层次结构如下图1所示,可分为四层:物理链路层,网络层,传输层,应用层.各层之间的转换应该是透明和低耦合的.实际上,各层之间是密切相关的,因此实际的功能模块和层次结构图不完全一致.
物理链路层
物理链路层是第一层,主要是通过两个物理网络接口分别连接到IPv4网络和IPv6网络.
网络层转换
网络层是第二层,这里是NAT-PT转换网关服务器的所在,它通过IPv4(IPv6)协议栈获得分组,交由NAT进行地址映射,再由PT进行协议转换,构建新的IP分组头,最后通过IPv6(IPv4)协议栈转发.
1.网络地址转换(NAT)
NAT负责IPv4和IPv6地址的映射转换,完成地址映射关系的建立和对地址映射关系的维护.NAT分为传统NAT和双向NAT.传统的NAT技术允许一个专用网络内的主机透明地访问外部网络的主机,传统NAT通信是单向的.即从专用网发起的通信.传统NAT根据映射方式的不同分为基本NAT和NAPT(网络地址端口翻译).与基本NAT不同的是,NAPT还允许端口映射,通过转换TCU,UDP协议的端口号来提供并发性,提供了多个有NAT-PT前缀的IPv6地址和一个源IPv4地址间的多对一动态映射;双向NAT,即会话可以由IPv6主机发起,也可以由IPv4主机发起,因而被称为是双向的.实现双向NAT的关键在于对DNS-ALG的引入.借助DNS-ALG,要以实现处于不同网络中的主机直接通过域名来互相访问.
2.协议转换(PT)
在NAT-PT机制中,协议转换部分是基于SIIT协议,在SIIT中定义了IPv4/IPv6报头转换和ICMPv4/ICMPv6转换的方法.IPv4/IPv6报头转换算法就是在两种IP协议之间建立报头字段的映射关系,需要指出的是,IPv4/IPv6报头转换算法,应当对分片数据进行特别的处理.因为在IPv6中,对数据的分片只能由源节点完成,在数据传输开始前进行MTU发现,对于必须进行分片的报文,在IPv6报头后增加分片扩展头,将分片信息记录在扩展头中;而在IPv4中,对数据的分片可以由源节点或中间路由器完成,在数据传输开始前不必进行MTU发现;ICMPv4和ICMPv6之间的转换是建立在IP协议转换的基础上的,包括ICMP报头的转换和ICMP错误信息的转换.ICMPv4和ICMPv6的报头具有相似的结构,所以相互之间的转换是比较直接的.校验和需要重新计算,因为ICMPv6的校验和中包括了IP地址的计算,而ICMPv4的校验和只由ICMP报头本身来计算,所以在进行ICMPv4/ICMPv6转换时,需要重新计算检验和.
传输层转换
在IPv6和IPv4中,TCP/UDP格式的不同主要区别在伪报头.在传输层及上层协议中,TCP和UDP校验和的计算引入了伪报头(pseudo-header)的概念,伪头部包含了源地址和目的地址的信息,这是为了保证数据包正确到达目的地.例如如果一个IPv6数据包包含一个路由扩展报头,则伪头部内的目的地址是真正的的最终目的地址.而IPv4和IPv6的地址长度有所不同,因而需要重新计算校验和,由于源IP包中已经有了校验和,可以采用如下简单的公式:
新校验和=原校验和+新IP地址的校验和-原IP地址的校验和.
应用层转换
应用层网关(ALG:Application Layer
Gateway)针对各种应用层协议提供的一种代理机制,它可以对负载中的IP地址等信息进行转换,解决了NAT-PT不转换数据包的负载部分.因此NAT-PT结合ALG可以实现IPv6和IPv4的双向连接,同时还支持多个应用层服务的转换.要实现这些应用的跨网络通信,必须以域名地址转换为基础,所以其它的ALG(如:TCP-ALG,SIP-ALG)也必须建立在DNS_ALG实现的基础上.
DNS-ALG工作机制与实现
& DNS-ALG是专门用于IPv4和IPv6之间域名解析的应用层网关,集成了DNS-ALG的NAT-PT网关可以实现IPv4与IPv6的双向连接,它不但为IPv6主机提供对IPv4主机的域名解析,也为IPv4主机提供对IPv6主机的域名解析.
DNS-ALG的工作机制
&&如图2所示的组网配置图,以IPv4主机访问一个IPv6网络为例,详细介绍DNS-ALG的转换流程.
域名为的IPv4主机A希望与域名为的IPv6主机B建立连接,但不知道IPv6主机B的IPv4地址,所以向它的首选DNS服务器IPv4
DNS发出一个DNS Request(A记录),询问的IPv4地址;
DNS检查自己的记录,但事实上的资源记录应该为AAAA(是一个指向IPv6地址的记录.)所以查找失败,故将此DNS
Request转交出去;
DNS-ALG拦截到这个DNS
Request,发现这是一个从IPv4网络发来的请求,于是将资源记录type值从A修改为AAAA然后转发到IPv6
IPv6 DNS收到这个DNS
Request,查找自己的记录,经过解析得到的IPv6地址为3ffe:把此地址填入到生成一个DNS
Reply数据报文中,类型仍然为AAAA,并回复给DNS-ALG;
DNS-ALG检测到这个报文是来自IPv6网络的,于是和NAT通信,NAT从地址池中为该IPv6地址分配一个空闲的IPv4地址(如192.168.162.10)与该的IPv6地址建立映射关系.并将DNS
Reply中的IPv6地址替换为新分配的IPv4地址.
DNS-ALG将AAAA记录改为A记录,然后把DNS Reply送回给IPv4
DNS,最后再传给IPv4主机A;
IPv4主机A得到IPv6主机B的IP地址,发送一个源地址为192.168.164.3目的地址为192.168.162.10的IPv4报文.
报文被路由到NAT-PT,NAT查找映射关系表后,把目的地址替换为IPv6地址3ffe:,源地址加上前缀prefix:3ffe:2008:1::/96.源地址成为3ffe:2.168.164.3之后再对报文进行PT的工作
完成NAT和PT的过程后,翻译网关将报文发出,最后数据包发达到域名为目的主机.
对上面DNS-ALG工作模式的分析,可以用图4的流程图来分别表示对于IPv6主机和IPv4主机发起的通信过程中翻译网关系统的工作流程.
对于由IPv4主机发起的通信,由于在域名请求的过程中就需要进行地址映射工作,所以相对复杂一些.而对于由IPv6主机发起的通信,系统实现相对简单一些,其差别主要有以下两点:
1.IPv6主机主动发起的连接,在处理DNS请求报文时,不需要NAT作地址分配的工作,在DNS-ALG得到IPv4主机的IP地址以后,只需要为其加上前缀即可.在IPv6主机和IPv4主机第一次正式开始通信时才进行地址映射;而IPv4主机主动发起的连接,在处理DNS请求报文时就要进行地址映射.
2.IPv6路由器是不支持分段的,在IPv6中报文的分段是在通信两端完成的,所以由IPv4主机发送的报文分组大于IPv6路径的MTU时,就需要在转换网关进行分段.
DNS-ALG的实现
本文提出的网络实现方案由一个IPv4网络和一个IPv6网络组成,网络拓扑结构如图2所示,封装DNS-ALG的NAT-PT翻译网关将纯IPv4网络和纯IPv6网络连接起来,该翻译网关系统软件有以下几个部分构成:地址转换模块,协议翻译模块,DNS-ALG应用层网关以及系统管理配置,系统软件体系构架如图3的所示.
由图3可知,在内核模块中同时加载了IPv4和IPv6协议栈模块,同时也将NAT-PT编辑为模块加载于内核之中,其中NAT模块完成地址映射关系的建立和对地址映射关系的维护,PT模块则进行对IP报头的翻译,以及对TCP,UDP以及ICMP报文的翻译;底层为两块网络接口卡,分别连接IPv4网络和IPv6网络.
该翻译网关运行在Linux环境下,加载了IPv4和IPv6双协议栈;在IPv4网络中,我们配置了一台PC机,安装IPv4协议栈,一台DNS
server为IPv4主机提供域名服务,以及一台运行Linux系统的路由器;在IPv6网络中我们同样配置了一台PC机,安装IPv6协议栈,一台DNS
server为IPv6主机提供域名服务,以及一台运行Linux系统的路由器.
DNS-ALG位于应用层,在功能上实现应用层上透明的域名访问,屏幕了底层网络的差异性.DNS-ALG通过netlink套接字实现与内核模块间的通信,与NAT模块交换数据.应用层同时维护域名/地址映射关系的列表,实现系统管理的作用.
具体设备的配置如下:
翻译网关配置:
Eth 0:192.168.163.3 Eth 1:3ffe:
IPv地址池:192.168.162.10 to 192.168.162.50
IPv6地址前缀:3ffe:2008:1::/96
IPv4主机配置:
IPv4地址:196.168.164.3 域名:
默认路由:196.168.164.1 首选DNS server:196.168.164.2
IPv6主机配置:
IPv6地址:3ffe: 域名:
默认路由:3ffe: 首选DNS server:3ffe:
路由器配置:
IPv4路由器:Eth 0:192.168.164.1 Eth 1:192.168.163.2
IPv6路由器:Eth 0:3ffe: Eth 1:3ffe:
DNS服务器:
IPv4 DNS server:196.168.164.2
IPv6 DNS server:3ffe:
转:/p-.html
DNS ALG在RFC 2694中的描述(1)
RFC&2694&-&DNS&extensions&to&Network&Address&Translators&(DNS_ALG)
2.&Requirement&for&DNS&extensions
在典型的应用中，有两种类型的authoritative&name&servers。
Internal&authoritative&name&servers：内部授权名称服务器定义了组织内的全部或大多数公司资源。仅有小部分的主机允许被外部访问。其他主机和他们的名字在私有网络中是唯一的。对外部可见的主机和授权名称服务器（将主机的名称解析为网络地址）通常设置在防火墙前面的DMZ区域。将DMZ区域中的主机和名称服务器分别叫做DMZ&hosts和DMZ&name&servers。
下面分为几个scenario来讨论DNS&ALG的需求：
2.1&DMZ&hosts&assigned&static&external&addresses&on&NAT&&NAT为DMZ&hosts分配静态外网地址
2.1.1&Private&networks&with&no&DMZ&name&servers没有DMZ&name&server的私网
如果私网连接到单一的service&provider（服务供应商，运营商），在运营商的授权名称服务器上会列出DMZ&hosts的外网地址。（记录在forward和in-add.arpa反向查询zones里）。
如果私网连接到多个service&provider，在每个运营商的授权名称服务器上会列出DMZ&hosts的外网地址。这对于in-add.arpa反向查询zones有特殊的意义，因为私网会被运营商分配不同的地址前缀。
这两种情况下，外网产生的DNS&lookups消息都不会到达私网。基于私有域的大量NAT&pursue这个option，使得在运营商的名称服务器上会列出他们DMZ&hosts的外网地址。(没理解明白这句话，把这段原文附上：In&both&cases,&externally&generated&DNS&lookups&will&not&reach&the&private&network.&&A&large&number&of&NAT&based&private&domains&pursue&this&option&to&have&their&DMZ&hosts&listed&by&their&external&addresses&on&service&provider's&name&servers.)
PS：个人理解这个scenario是说，私网里没有name&server，由运营商提供name&server。私网域里的NAT映射（私网IP与外网IP映射）需要与运营商name&server的映射（名称与外网IP映射）相一致。
2.1.2&Private&networks&with&DMZ&name&server&&有DMZ&name&server的私网
如果私网连接到单一的运营商，DMZ&name&server应像下面的叙述做配置，来避免DNS&payload被拦截。
在DMZ&name&server，hosts必须解析为他们的静态外网地址。这种方案下，DMZ&name&server独自用于响应来自外网主机的查询。
在internal&name&server，对于有关外网host的DNS查询必须bypass掉DMZ&name&server。
该方案要求管理员仔细地规划，来保证DMZ&name&servers不被private&hosts直接或间接地访问。使用DNS&ALG可以避免管理员受到这种折磨。
PS：个人理解这个方案就是让DMZ&name&server单独负责响应来自外网的DNS查询，而私网的DNS查询全部由internal&name&server响应。所以DMZ&name&server上是DMZ&hosts的外网地址，internal&name&server上是DMZ&hosts的私网地址。
2.2&DMZ&hosts&assigned&external&addresses&dynamically&on&NAT&&NAT为DMZ&hosts动态分配外网地址
DMZ&hosts的外网地址由NAT动态分配，所以他们的对外地址是暂时性的（由NAT决定），而DMZ&hosts在私网的地址是固定的。在这种方案下，要求组织必须有DMZ&name&server来允许通过DMZ&hosts的名称来访问他们。
DMZ&name&server为DMZ&hosts配置到私网地址的解析。&NAT设备上的DNS&ALG拦截发向或来自DMZ&name&server(s)的DNS包，并对payload执行转换，使得DMZ&hosts&name有正确的地址映射（私网或外网地址）
3&Interactions&between&NAT&and&DNS_ALG&&NAT与DNS&ALG的交互
作用领域的地址可能有重叠，但是作用领域的hosts名称必须是端到端唯一的，使得他们能够被所有hosts访问。
3.1&Address&Binding&considerarions&&地址绑定注意事项
我们将在NATs中对“Temporary&Address&Binding”（临时地址绑定）和“Committed&Addresses&Binding”（固定地址绑定）加以区别。这个区别是有必要的，因为DNS&ALG将允许外网用户创建NAT状态，所以可能有潜在的DoS网络攻击。临时地址绑定用于下面的阶段：当前没有任何NAT&sessions使用绑定，地址绑定是预留的。固定地址绑定用于下面的阶段：当前存在至少一个NAT&session，该session在外部和私有地址之间进行地址绑定。DNS_ALG使用这两类绑定来实现DNS&payload的修改。NAT仅使用固定地址绑定来按照NAT&sessions修改IP层和传输层的头部数据。
对于静态映射地址，上面说的区别没有什么意义。对动态映射地址，临时地址绑定一般优先于固定地址绑定。临时绑定出现在有到DMZ&name&server的name&lookup的时候。名称查询很可能是一个在查询发起者和查询主机之间实际会话的前兆。仅当NAT看到查询发起者和查询主机间会话的第一个报文时，临时绑定变为固定的。
一个可配置的参数，“Bind-holdout&time”可以用于在动态地址分配中定义临时绑定变为固定绑定前的最大存活周期。当DNS_ALG每次作用于这条临时绑定时，Bind-holdout&time周期会被刷新。两分钟的缺省Bind-holdout&time可能满足大多数的DNS_ALG设备。注意，一条固定地址绑定可能不是由临时绑定演变的。最后，当NAT准备释放一条固定地址绑定时，绑定会变成一条临时绑定并进入额外的Bind-holdout周期的阶段。只有当Bind-holdout&time到期后，临时绑定才释放掉。在变为固定绑定以及地址绑定释放之前都需要Bind-holdout&time周期，来确保终端主机在名称查询之后有足够的时间建立数据连接。
一个前缀为10.0.0.0/8的私网映射到198.76.29.0/24。当外网主机查询host7（其真实IP为10.0.0.7）时，私网内的DMZ&name&server回复host7的A类RR：host7&&A&&10.0.0.7
DNS_ALG会拦截这个响应报文，如果10.0.0.7还没有分配外网地址，ALG会要求NAT建立一条到外网地址的临时地址绑定，并启动Bind-holdout&timer来对绑定计时。比如分配的地址是198.76.29.1，DNS_ALG会用这个临时地址绑定来修改DNS响应报文中的RR来替代10.0.0.7，变为新的RR：host7&&A&&198.76.29.1
当查询发起者收到DNS响应时，只会看到这个外网地址。在很短的时间里，发起者会向host7建立一条数据会话。当NAT注意到发往198.76.29.1的新会话时，会终止Bind-holdout计时器，并将198.76.29.1和10.0.0.7之间的临时绑定转变为一个固定绑定。
为了尽量避免DoS攻击（恶意用户连续发送大量的DNS查询，而不建立真正的连接），NAT必须监视那些没有变为固定绑定的临时地址绑定。设置一个临时绑定条目的上限，达到上限后不再建立临时绑定。此外还有一些可探索的解决方案，比如对这类恶意攻击进行计数并防御。
下面的小节，我们考虑bi-directional&NAT的情况，说明DNS_ALG中临时绑定的作用。尽管这个概念也适用于其他的NATs特性。
3.2 Incoming queries 入方向查询
In order to initiate incoming sessions, an external host obtains
the V4 address of the DMZ-host it is trying to connect to by making
a DNS request. This request constitutes prelude to the start of a
potential new session.
The external host resolver makes a name lookup for the DMZ host
through its DNS server. When the DNS server does not have a record
of IPv4 address attached to this name, the lookup query is
redirected at some point to the Primary/Backup DNS server (i.e., in
DMZ) of the private stub domain.
Enroute to DMZ name server, DNS_ALG would intercept the datagram
and modify the query as follows.
a) For Host name to Host address query requests: Make no change
to the DNS payload.
对于主机名称到主机地址的查询报文：不对DNS payload做任何修改
b) For Host address to Host name queries: Replace the external
V4 address octets (in reverse order) preceding the string
"IN-ADDR.ARPA" with the corresponding private V4 address, if such
an address binding exists already. However, if a binding does not
exist, the DNS_ALG would simply respond (as a name server would)
with a response code (RCODE) of 5 (REFUSED to respond due to policy
reasons) and set ANCOUNT, NSCOUNT and ARCOUT to 0 in the header
section of the response.
对于主机地址到主机名称的查询：如果有该主机地址的地址绑定条目，则对字符串“IN-ADDR.ARPA”之前的八位外网V4地址进行替换，替换为对应的私网V4地址。然而，如果不存在绑定，DNS_ALG会简单地作出应答（像一台name
server一样），这个DNS应答的response
code（RCODE）是5（表示规则禁止响应）并且response的头字段的ANCOUNT，NSCOUNT和ARCOUNT都是0。
在反方向上，由于DNS response从私网内的DNS
server发送，DNS_ALG要再一次拦截报文并按下面的方式进行修改。
a) For a host name to host address query requests, replace the
private address sent by DMZ name server with a public address
internally assigned by the NAT router. If a public address is not
previously assigned to the host's private address, NAT would assign
one at this time.
对于主机名称到主机地址的查询，用NAT router为内部分配的公网地址替换DMZ name
server发出的私网地址。如果预先没有为私网主机分配过公网地址，那么这时NAT将会分配一个。
b) For host address to host name queries, replace the private
address octets preceding the string "IN-ADDR.ARPA" in
RRs with their external address assignments. There is a chance here
that by the time the DMZ name server replies, the bind-holdout
timer in NAT for the address in question has expired. In such a
case, DNS_ALG would simply drop the reply. The sender will have to
resend the query (as would happen when a router enroute drops the
response).
对于主机地址到主机名称的查询，用分配给主机的公网地址替换response
RRs里字符串"IN-ADDR.ARPA"前面的八位私网地址。这里可能出现偶然的情况，DMZ name
server回复的时候，刚好NAT对这个地址的bind-holdout计时器超时了。这时DNS_ALG会丢弃回复报文。请求者需要重新发送查询（就像是响应报文在中途被路由器丢弃了一样）。
对于静态地址分配，原始RR中的TTL值会被保留下来，不做修改。对于动态地址分配，DNS_ALG会修改把DNS
RRs中的TTL值改为0，意味着该RRs仅供本次交互进程使用，将不会被缓存下来。考虑到与设备（broken
implementations）的兼容性，在实际应用中将TTL设置为1可能会更好。
无疑将TTL设为0将会比静态地址时创建更多的流量，因为name-to-address
mapping不会被缓存下来（每次连接前需要进行DNS查询）。特别地，这些网络应用程序将会被要求通过主机名称来识别对端节点，而不是通过IP地址。因为name-to-address
mapping不能被之前运行的应用共享，所以应用程序必须使用DNS来解析主机名称。
另外，NAT需要建立一个bind-holdout
timer机制，用于follow分配的地址。如果在Bind-holdout时间周期内没有建立到私网主机的会话，NAT将终结这个临时绑定。
3.3 Outgoing Queries 出方向查询
For Basic and bi-directional NATs, there is no need to
distinguish between temporary and committed bindings for outgoing
queries. This is because, DNS_ALG does not modify the DNS packets
directed to or from external name servers (used during outbound
sessions), unlike the inbound DNS sessions.
Say, a private host needs to communicate with an external host. The
DNS query goes to the internal name server (if there exists one)
and from there to the appropriate authoritative/cache name server
outside the private domain. The reply follows the same route but
neither the query nor the response are subject to DNS_ALG
translations.
对于basic NAT和双向NAT，没必要对出方向查询区分临时和固定绑定。因为DNS_ALG不修改发向或来自外网name
servers的DNS报文。也就是说私网主机访问外网时，DNS查询先发到内部name server上，然后再从那发向适当地外网name
server。中间的查询和响应报文都不需NAT做转换。
This however will not be the case with address isolated twice
NAT private and external domains. In such a case, NAT would
intercept all DNS packets and make address modifications to payload
as discussed in the previous section. Temporary Private to external
address bindings are created when responses are sent by private DNS
servers and temporary external to private address bindings are
created when responses are sent by external DNS servers.
Twice NAT情况下的DNS_ALG
4 DNS payload modifications by DNS_ALG
Typically, UDP is employed as the transport mechanism for DNS
queries and responses and TCP for Zone refresh activities.
DNS_ALG不对DNS header做人任何修改。DNS_ALG将仅解析QCLASS是IN（IP类型）的DNS
4.1 Question section
4.1.1 PTR type Queries
DNS_ALG must identify all names, whose FQDNs (i.e., Fully
Qualified Domain Names) fall within IN-ADDR.ARPA domain and replace
the address octets (in reverse order) preceding the string
"IN-ADDR.ARPA" with the corresponding assigned address octets in
reverse order, only if the address binding is active on the NAT
router. If the address preceding the string "IN-ADDR.ARPA" falls
within the NAT address map, but does not have at least a temporary
address binding, DNS_ALG would simply simply respond back (as a DNS
name server would) with a response code (RCODE) of 5 (REFUSED to
respond due to policy reasons) and set ANCOUNT, NSCOUNT and ARCOUT
to 0 in the header section of the response.
DNS_ALG必须识别FQDNs在IN-ADDR
ARPA域的所有名称，并且用所分配的地址按反序，替换字符串“IN-ADDR.ARPA”前面的八位地址，仅在NAT
router上地址绑定是active的情况下。如果“IN-ADDR.ARPA”前面的地址在NAT地址映射中，但不存在至少一条临时地址绑定，那么DNS_ALG仅仅（像DNS
name server一样）返回一个code为5的响应报文（Refused to respond due to policy
reasons），并将响应报文头部的ANCOUNT，NSCOUNT和ARCOUNT设置为0。
Note that the above form of host address to host name type queries
will likely yield different results at different times, depending
upon address bind status in NAT at a given time.
注意，上述主机地址到主机名称查询的形式很可能在不同时间出现不同结果，取决于当前NAT地址绑定的状态。
For example, a resolver that wanted to find out the hostname
corresponding to address 198.76.29.1 (externally) would pursue a
query of the form:
QTYPE = PTR, QCLASS = IN, QNAME = 1.29.76.198.IN-ADDR.ARPA.
DNS_ALG would intervene and if the address 198.76.29.1 is
internally mapped to a private address of 10.0.0.1, modify the
query as below and forward to DMZ name server within private
QTYPE = PTR, QCLASS = IN, QNAME = 1.0.0.10.IN-ADDR.ARPA
Presumably, the DMZ name server is the authoritative name server
for 10.IN-ADDR.ARPA zone and will respond with an RR of the
following form in answer section. DNS_ALG translations of the
response RRs will be considered in a following section.
1.0.0.10.IN-ADDR.ARPA PTR host1.fooboo_org.provider_domain
An example of Inverse translation is e-mail programs using
inverse translation to trace e-mail originating hosts for spam
prevention. Verify if the address from which the e-mail was sent
does indeed belong to the same domain name the sender claims in
sender ID.
反向转换的一个例子是E-mail程序使用反向转换来追踪邮件发起主机，用以过滤垃圾邮件。验证发出邮件的地址是否确实属于发送者ID中列出的地址域。
Query modifications of this nature will likely change the length
of DNS payload. As a result, the corresponding IP and TCP/UDP
header checksums must be updated. In case of TCP based queries, the
sequence number deltas must be tracked by NAT so that the delta can
be applied to subsequent sequence numbers in datagrams in the same
direction and acknowledgement numbers in datagrams in the opposite
direction. In case of UDP based queries, message sizes are
restricted to 512 bytes (not counting the IP or UDP headers).
Longer messages must be truncated and the TC bit should be set in
the header.
这类情况的查询修改很可能改变DNS
payload的长度。因而必须对IP头和TCP/UDP头中的校验和进行更新。如果是基于TCP的查询，还要在NAT中对序列号进行跟踪，以便delta能够被应用到后续同方向报文的序列号中，以及反方向报文的ACK序号中。如果是基于UDP的查询，消息长度限于512字节以内（不包含IP和UDP头）。超出此长度的消息必须被截断，并对头部的TC标识置位。
Lastly, any compressed domain names using pointers to represent
common domain denominations must be updated to reflect new pointers
with the right offset, if the original domain name had to be
translated by NAT.
4.1.2 A, MX, NS, and SOA type Queries
对这几类查询，DNS_ALG不做任何修改。
4.1.3 AXFR type Queries
AXFR is a special zone transfer type query. Zone transfers from
private address realm must be avoided for address assignments that
are not static. Typically, TCP is used for AXFR requests.
AXFR是一种特殊的zone transfer type query。来自私网地址域的zone
transfers必须避免非静态的地址分配。通常AXFR请求是基于TCP的。
当一个zone发生改动时，这些改动必须分发到所有name servers。
########## 暂略 ##########
4.1.4 Dynamic Updates to the DNS
一台授权名称服务区可以动态更新，from the nodes within the zone without
intervention from NAT and DNS-ALG，只要他避免传播跨地址域的DNS zone。我们建议保持DNS
zone在他负责的相同领域中。通过这样做，DNS update
traffic将不会跨越地址领域，因此也不需受DNS_ALG的处理。
进一步地说，如果动态更新需要跨地址域，那么update消息必须总是采用DNSSEC加密的，这样的update消息当然也不在DNS-ALG的处理范围之内。
4.2 Resource records in all other sections
5 Illustration of DNS_ALG in conjunction with Bi-directional
6 Illustration of DNS_ALG in conjunction with Twice-NAT
7 DNS-ALG limitations and Future work
8 Security Considerarions
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。