|
轉(zhuǎn)載自: http://blog.sina.com.cn/s/blog_b43562400101hydf.html
NAT概述
NAT(Network Address Translation)又稱為網(wǎng)絡(luò)地址轉(zhuǎn)換���,用于實現(xiàn)私有網(wǎng)絡(luò)和公有網(wǎng)絡(luò)之間的互訪。
私有網(wǎng)絡(luò)地址和公有網(wǎng)絡(luò)地址
私有網(wǎng)絡(luò)地址(以下簡稱私網(wǎng)地址)是指內(nèi)部網(wǎng)絡(luò)或主機的IP地址��,公有網(wǎng)絡(luò)地址(以下簡稱公網(wǎng)地址)是指在互聯(lián)網(wǎng)上全球唯一的IP地址��。IANA(Internet Assigned Number Authority)規(guī)定將下列的IP地址保留用作私網(wǎng)地址�,不在Internet上被分配��,可在一個單位或公司內(nèi)部使用��。RFC1918中規(guī)定私有地址如下:
A類私有地址:10.0.0.0~10.255.255.255
B類私有地址:172.16.0.0~172.31.255.255
C類私有地址:192.168.0.0~192.168.255.255
NAT基本原理
內(nèi)部網(wǎng)絡(luò)的地址是10.0.0.0網(wǎng)段�����,而對外的公有網(wǎng)絡(luò)IP地址是203.196.3.23���。內(nèi)部的主機10.1.1.48訪問外部HTTP服務(wù)器202.18.245.251���,主機10.1.1.48發(fā)出一個數(shù)據(jù)報文,隨機選擇一個源端口6084��,目的端口為80��。在經(jīng)過NAT設(shè)備后,該報文的源地址和端口可能改為203.196.3.23:32814�,目的地址與端口不改變。在NAT設(shè)備中維護著一張地址和端口對應(yīng)表��,也稱為轉(zhuǎn)換表項����,或轉(zhuǎn)換槽位,當外部網(wǎng)絡(luò)的WWW服務(wù)器返回數(shù)據(jù)包時�����,NAT設(shè)備檢查轉(zhuǎn)換表項����,將數(shù)據(jù)報文中目的IP地址及端口轉(zhuǎn)化為10.1.1.48:6084。實現(xiàn)了內(nèi)部主機10.1.1.48訪問外部服務(wù)器�。
路由器支持NAT類型
靜態(tài)NAT、PAT��、內(nèi)部服務(wù)器���、NAT ALG功能��、NAT過濾�、NAT映射、Easy IP��、兩次NAT及NAT多實例���。
靜態(tài)NAT
靜態(tài)NAT實現(xiàn)私網(wǎng)地址和公網(wǎng)地址的一對一轉(zhuǎn)換��。有多少個私網(wǎng)地址就需要配置多少個公網(wǎng)地址����。靜態(tài)NAT不能節(jié)約公網(wǎng)地址��,但可以起到隱藏內(nèi)部網(wǎng)絡(luò)的作用��。
內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)送報文時����,靜態(tài)NAT將報文的源IP地址替換為對應(yīng)的公網(wǎng)地址�;外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)送響應(yīng)報文時,靜態(tài)NAT將報文的目的地址替換為相應(yīng)的私網(wǎng)地址����。
PAT
PAT又稱為NAPT(Network Address Port Translation),它實現(xiàn)一個公網(wǎng)地址和多個私網(wǎng)地址之間的映射,因此可以節(jié)約公網(wǎng)地址�。PAT的基本原理是將不同私網(wǎng)地址的報文的源IP地址轉(zhuǎn)換為同一公網(wǎng)地址,但他們被轉(zhuǎn)換為該地址的不同端口號��,因而仍然能夠共享同一地址���。
PAT需要維護一張私網(wǎng)地址和端口的映射表��。當不同的私網(wǎng)地址向外發(fā)送報文時�,PAT將報文的源IP地址替換為相同公網(wǎng)地址��,但源端口號被替換為不同的端口號���;當外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)送響應(yīng)報文時����,PAT根據(jù)報文的目的端口號���,將報文的目的IP地址替換為不同的私網(wǎng)地址����,如下圖
內(nèi)部服務(wù)器
通過配置內(nèi)部服務(wù)器�����,可將相應(yīng)的外部地址、端口等映射到內(nèi)部的服務(wù)器上�,提供了外部網(wǎng)絡(luò)主機訪問內(nèi)部服務(wù)器的功能例如可以使用202.110.10.10作為Web服務(wù)器的外部地址,使用202.110.10.11作為FTP服務(wù)器的外部地址���,甚至還可以使用202.110.10.12:8080這樣的地址作為Web的外部地址����。還可為外部用戶提供多臺同樣的服務(wù)器��,如提供多臺Web服務(wù)器���。
NAT過濾
NAT過濾是指NAT設(shè)備對外網(wǎng)發(fā)到內(nèi)網(wǎng)的流量進行過濾,即當私網(wǎng)主機向某公網(wǎng)主機發(fā)起訪問后����,公網(wǎng)主機發(fā)向私網(wǎng)主機的流量經(jīng)過NAT設(shè)備時會進行過濾。
Easy IP
當進行地址轉(zhuǎn)換時����,直接使用接口的公有IP地址作為轉(zhuǎn)換后的源地址。同樣它也利用訪問控制列表控制哪些內(nèi)部地址可以進行地址轉(zhuǎn)換����。
地址轉(zhuǎn)換應(yīng)用層網(wǎng)關(guān)
地址轉(zhuǎn)換會導(dǎo)致許多對NAT敏感的應(yīng)用協(xié)議無法正常工作�,必須針對該協(xié)議進行特殊的處理�����。所謂對NAT敏感的協(xié)議是指該協(xié)議的某些報文的有效載荷中攜帶IP地址和(或)端口號��,如果不進行特殊處理�,將會影響后繼的協(xié)議交互。
地址轉(zhuǎn)換應(yīng)用層網(wǎng)關(guān)NAT ALG(NAT Application Level Gateway)是解決特殊協(xié)議穿越NAT的一種常用方式����,該方法按照地址轉(zhuǎn)換規(guī)則,對載荷中的IP地址和端口號進行替換���,從而實現(xiàn)對該協(xié)議的透明中繼�。NAT ALG支持DNS��、FTP協(xié)議��、RTSP(Real-Time Streaming Protocol )和SIP(Session Initiation Protocol )如下圖:
兩次NAT
3 常規(guī)地址轉(zhuǎn)換技術(shù)只轉(zhuǎn)換報文的源地址或目的地址�,而兩次NAT(Twice NAT)技術(shù)可以將報文的源地址和目的地址同時轉(zhuǎn)換,該技術(shù)應(yīng)用于內(nèi)部網(wǎng)絡(luò)主機地址與公網(wǎng)上主機地址重疊的情況�����。如圖所示:內(nèi)部網(wǎng)絡(luò)主機PC1和公網(wǎng)上主機PC3的地址重疊。這種情況下��,內(nèi)部網(wǎng)絡(luò)主機PC2訪問主機PC3的報文不會到達目的主機���,而會被錯誤的轉(zhuǎn)發(fā)到主機PC1上�。兩次NAT技術(shù)通過在NAT設(shè)備上配置重疊地址池到臨時地址的映射關(guān)系(在實現(xiàn)常規(guī)NAT的基礎(chǔ)上)��,將重疊地址轉(zhuǎn)換為唯一的臨時地址�����,來保證報文的正確轉(zhuǎn)發(fā)����。
在NAT設(shè)備上配置兩次NAT:
第一步:配置常規(guī)NAT(多對多地址轉(zhuǎn)換)����。配置NAT地址池200.0.0.1~200.0.0.100,并應(yīng)用到廣域網(wǎng)接口��。
第二步:配置一組重疊地址到臨時地址的映射�。10.0.0.0<-->3.0.0.0�����。
此映射表示�,重疊地址池與臨時地址池一一對應(yīng)�,轉(zhuǎn)換規(guī)則為:
臨時地址 = 臨時地址池首地址 +(重疊地址 – 重疊地址池首地址)
重疊地址 = 重疊地址池首地址 +(臨時地址 – 臨時地址池首地址)
當內(nèi)部主機PC2直接用域名訪問公網(wǎng)上的主機PC3時,報文的處理流程如下:
PC2發(fā)送解析域名為www.web.com的Web服務(wù)器的DNS請求�����,經(jīng)公網(wǎng)DNS服務(wù)器解析后����,NAT設(shè)備收到DNS服務(wù)器的響應(yīng)報文。NAT設(shè)備檢查DNS響應(yīng)報文載荷中的解析回來的地址10.0.0.1����,經(jīng)檢查該地址為重疊地址(與重疊地址池匹配),將地址10.0.0.1轉(zhuǎn)換為對應(yīng)的臨時地址3.0.0.1��。之后再對DNS響應(yīng)報文進行目的地址轉(zhuǎn)換(常規(guī)NAT處理)�����,發(fā)送給PC2��。
PC2用www.web.com對應(yīng)的臨時地址3.0.0.1發(fā)起訪問,當報文到達NAT設(shè)備時����,先轉(zhuǎn)換報文的源地址(常規(guī)NAT處理),再將報文的目的地址即臨時地址��,轉(zhuǎn)換為對應(yīng)的重疊地址10.0.0.1�。將報文送到廣域網(wǎng)出接口,并經(jīng)廣域網(wǎng)逐跳轉(zhuǎn)發(fā)至主機PC3��。
當PC3給PC2返回的報文到NAT設(shè)備時�����,先檢查報文的源地址10.0.0.1���,該地址為重疊地址(與重疊地址池匹配)���,則將源地址轉(zhuǎn)換為對應(yīng)的臨時地址3.0.0.1。之后再對返回報文的目的地址進行常規(guī)NAT轉(zhuǎn)換����,并發(fā)送給PC2�����。
VPN關(guān)聯(lián)的源NAT
華為路由器的NAT不僅可以使內(nèi)部網(wǎng)絡(luò)的用戶訪問外部網(wǎng)絡(luò),還允許分屬于不同VPN的用戶通過同一個出口訪問外部網(wǎng)絡(luò)�,能夠解決內(nèi)部網(wǎng)絡(luò)中IP地址重疊的VPN同時訪問外網(wǎng)主機的問題。
VPN關(guān)聯(lián)的NAT Server
華為路由器的NAT支持VPN關(guān)聯(lián)的NAT server�,提供給外部網(wǎng)絡(luò)訪問VPN內(nèi)主機的機會,能夠支持內(nèi)網(wǎng)多個VPN地址重疊的場景�。
實驗拓撲如下:
NAT Outbound配置實例:
system-view
[GW]nat address-group 0 202.100.1.100 202.100.1.200
[GW]acl number 2000
[GW-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[GW-GigabitEthernet0/0/0]int g0/0/1
[GW-GigabitEthernet0/0/1] nat outbound 2000 address-group 0 no-pat
注:no-pat表示一對一轉(zhuǎn)換,只轉(zhuǎn)換地址�,不轉(zhuǎn)換端口,直接回車表示IP和端口都做轉(zhuǎn)換�����。
測試:
telnet 202.100.1.1
Press CTRL_] to quit telnet mode
Trying 202.100.1.1 …
Connected to 202.100.1.1 …
Login authentication
Password:
display users
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag
+ 0 CON 0 00:00:00 pass Username : Unspecified
129 VTY 0 00:00:02 TEL 202.100.1.101 pass Username : Unspecified
display nat outbound
NAT Outbound Information:
Interface Acl Address-group/IP/Interface Type
GigabitEthernet0/0/1 2000 0 no-pat
Total : 1
display nat session all ====查看轉(zhuǎn)換表項
NAT Session Table Information:
Protocol : TCP(6)
SrcAddr Port Vpn : 192.168.1.1 59335
DestAddr Port Vpn : 202.100.1.1 5888
NAT-Info
New SrcAddr : 202.100.1.101
New SrcPort : —-
New DestAddr : —-
New DestPort : —-
[GW]reset nat session all ===清除轉(zhuǎn)換表項
Warning:The current all NAT sessions will be deleted.
Are you sure to continue?[Y/N]y
Easy IP配置實例:
[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat outbound 2000
測試:
telnet 202.100.1.1
Press CTRL_] to quit telnet mode
Trying 202.100.1.1 …
Connected to 202.100.1.1 …
Login authentication
Password:
display users
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag
+ 0 CON 0 00:00:00 pass Username : Unspecified
129 VTY 0 00:00:11 TEL 202.100.1.10 pass Username : Unspecified
display nat session all
NAT Session Table Information:
Protocol : TCP(6)
SrcAddr Port Vpn : 192.168.1.1 54467
DestAddr Port Vpn : 202.100.1.1 5888
NAT-Info
New SrcAddr : 202.100.1.10
New SrcPort : 10240
New DestAddr : —-
New DestPort : —-
Total : 1
靜態(tài)NAT配置實例:
[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat static global 202.100.1.100 inside 172.16.1.1
注:配置靜態(tài)NAT時�����,其中的global-address和host-address必須保證和設(shè)備現(xiàn)有地址沒有重復(fù)��,包括設(shè)備接口地址����,用戶地址池地址等,以避免沖突。
測試:
display nat static
Static Nat Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 202.100.1.100/—-
Inside IP/Port : 172.16.1.1/—-
Protocol : —-
VPN instance-name : —-
Acl number : —-
Netmask : 255.255.255.255
Description : —-
Total : 1
內(nèi)部服務(wù)器配置實例:
[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat static protocol tcp global 202.100.1.100 2121 inside 172.16.1.1 21
[GW-GigabitEthernet0/0/1]nat static protocol tcp global 202.100.1.100 80 inside 172.16.1.1 80
測試:
NAT ALG配置實例:
[GW]nat alg ?
all All protocol
dns Dns protocol
ftp Ftp protocol
rtsp Rtsp protocol
sip Sip protocol
NAT 過濾配置實例:
NAT過濾是指NAT設(shè)備對外網(wǎng)發(fā)到內(nèi)網(wǎng)的流量進行過濾����,即當私網(wǎng)主機向某公網(wǎng)主機發(fā)起訪問后,公網(wǎng)主機發(fā)向私網(wǎng)主機的流量經(jīng)過NAT設(shè)備時會進行過濾����。
NAT過濾包括三種類型:
a.與外部地址和端口無關(guān)的NAT過濾行為。
b.與外部地址相關(guān)端口無關(guān)的NAT過濾行為��。
c.與外部地址和端口都相關(guān)的NAT過濾行為�。
[GW]nat filter-mode ?
endpoint-and-port-dependent Endpoint and port dependent
endpoint-dependent Endpoint dependent
endpoint-independent Endpoint independent
缺省采用endpoint-and-port-dependent方式,表示查詢NAT反向映射表時�,以“源IP+源端口+目的IP+目的端口+協(xié)議號”作索引進行匹配。
NAT映射配置實例:
配置NAT映射可以滿足使用STUN���、TURN��、ICE等NAT穿越技術(shù)的終端軟件能夠穿越NAT�����。
NAT映射包含如下三種類型:
a.外部地址和端口無關(guān)的映射:對相同的內(nèi)部IP和端口重用相同的地址端口映射���。
b.外部地址相關(guān)端口無關(guān)的映射:對相同的內(nèi)部IP地址和端口訪問相同的外部IP地址時重用相同的端口映射。
c.外部地址和端口相關(guān)的映射:對相同的內(nèi)部IP地址和端口號訪問相同的外部IP地址和端口號重用相同的端口映射(如果此映射條目還處在活動狀態(tài))。
[GW]nat mapping-mode endpoint-independent ?
tcp Transmission Control Protocol
udp User Datagram Protocol
Please press ENTER to execute command
配置Twice NAT實例:
如圖:內(nèi)部網(wǎng)絡(luò)主機PC1和公網(wǎng)上主機Host A的地址重疊�����。這種情況下�,內(nèi)部網(wǎng)絡(luò)主機PC2訪問主機Host A的報文不會到達目的主機��,而有可能會被錯誤的轉(zhuǎn)發(fā)到主機PC1上���。兩次NAT技術(shù)通過在NAT設(shè)備上配置重疊地址池到臨時地址池的映射關(guān)系(在實現(xiàn)常規(guī)NAT的基礎(chǔ)上)�,將重疊地址轉(zhuǎn)換為唯一的臨時地址����,來保證報文的正確轉(zhuǎn)發(fā)。
1.配置DNS-Mapping
[Huawei] nat alg dns enable
[Huawei] nat dns-map www.Server.com 192.168.20.2 80 tcp
2.配置重疊地址池到臨時地址池的映射關(guān)系
[Huawei] nat overlap-address 0 192.168.20.2 202.169.100.2 pool-length 254
3.配置臨時地址池到出接口GigabitEthernet3/0/0的靜態(tài)路由
[Huawei] ip route-static 202.169.100.2 32 gigabitethernet 3/0/0 202.169.10.2
4.配置NAT Outbound
[Huawei]acl 3180
[Huawei-acl-adv-3180] rule permit ip source 192.168.20.0 0.0.0.255
[Huawei]nat address-group 1 160.160.0.2 160.160.0.254
[Huawei-GigabitEthernet3/0/0] nat outbound 3180 address-group 1
[Huawei] display nat overlap-address all
Nat Overlap Address Pool To Temp Address Pool Map Information:
Id Overlap-Address Temp-Address Pool-Length Inside-VPN-Instance-Name
0 192.168.20.2 202.169.100.2 254
Total : 1
配置NAT日志輸出
配置NAT日志輸出功能可以實時跟蹤���、記錄NAT流表的信息��,增強網(wǎng)絡(luò)的安全性���,方便用戶定位通過NAT訪問網(wǎng)絡(luò)的用戶。NAT日志是設(shè)備在做NAT時生成的信息記錄��。該信息包括報文的源IP地址、源端口���、目的IP地址�����、目的端口�����、轉(zhuǎn)換后的源IP地址�����、轉(zhuǎn)換后的源端口以及NAT的時間信息和用戶執(zhí)行的操作等�����。網(wǎng)絡(luò)管理員可以通過查看NAT日志實時跟蹤或定位用戶通過NAT訪問網(wǎng)絡(luò)的情況�����,增強了網(wǎng)絡(luò)的安全性����。如下圖:
[GW]firewall log session enable ===啟用防火墻日志功能。
[GW]firewall log session nat enable ===啟用NAT類型的流日志功能��。
[GW]info-center enable ===開啟信息中心�。
[GW]info-center loghost 192.168.1.100 ===配置log主機,最多可以配置8個�����。
|
