HCSCA104 HCNA-Security-CBSN 第四章 网络地址转换技术资料

©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.第四章网络地址转换技术Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page2目标学完本课程后，您将能够:掌握NAT的技术原理掌握NAT几种应用方式掌握防火墙的NAT配置Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page3目录1.网络地址转换技术介绍2.源NAT技术3.服务器映射及目的NAT技术4.双向NAT技术5.NAT应用场景配置Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page4NAT产生背景IPv4地址日渐枯竭IPv6技术不能立即大面积替换各种延长IPv4寿命的技术不断出现，NAT就是其中之一。Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page5为什么需要NAT?NAT技术主要应用是实现大量的私网地址对少量公网地址的转换。保障通信在基础上节约IP地址资源。私网地址不能在公网中路由，否则将导致通信混乱内网用户10.1.1.1FTPServer123.3.2.3目的IP：123.3.2.3源IP：10.1.1.1丢弃10.1.1.1，私网地址？不知道路由无NAT情况下私网与公网的通信不做处理Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page6内网用户10.1.1.1FTPServer123.3.2.3源IP：123.3.2.3目的IP：123.3.21NAT技术的基本原理NAT技术通过对IP报文头中的源地址或目的地址进行转换，可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网。目的IP：123.3.2.3源IP：10.1.1.1目的IP：123.3.2.3源IP：123.3.2.1将私网源地址替换为公网地址目的IP：10.1.1.1源IP：123.3.2.3将公网目的地址替换为私网地址Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page7NAT分类源NAT地址池方式出接口地址方式（EasyIP）服务器映射静态映射（NATserver）目的NATCopyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page8NAT的优点与缺点优点实现IP地址复用，节约宝贵的地址资源地址转换过程对用户透明对内网用户提供隐私保护可实现对内部服务器的负载均衡缺点网络监控难度加大限制某些具体应用Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page9目录1.网络地址转换技术介绍2.源NAT技术3.服务器映射及目的NAT技术4.双向NAT技术5.NAT应用场景配置Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page10NAT地址池NAT地址池是一些连续的IP地址集合，当来自私网的报文通过地址转换到公网IP时，将会选择地址池中的某个地址作为转换后的地址创建NAT地址池的命令为：nataddress-groupaddress-group-namesection[section-id|section-name]start-addressend-addressnat-mode{pat|no-pat}例：[USG]nataddress-grouptestgroup1[USG-nat-address-group-testgroup1]section1.1.1.101.1.1.15[USG-nat-address-group-testgroup1]nat-modepatCopyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page11NAT地址池(WEB)pat与no-pat对于地址段和端口段中的元素可以排除Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page12源NAT地址池方式不带端口转换的地址池方式此种方式为一对一的IP地址的转换，端口不进行转换。TrustUntrust源192.168.0.11目的1.1.1.1源9.9.9.9目的1.1.1.1转换192.168.1.1192.168.1.2192.168.1.3192.168.1.4155.133.87.1155.133.87.2155.133.87.3丢弃Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page13源NAT地址池方式(续)带端口转换的地址池方式将不同的内部地址映射到同一公有地址的不同端口号上，实现多对一地址转换。TrustUntrust源192.168.0.11源端口X目的1.1.1.1源2.2.2.2源端口Y目的1.1.1.1转换192.168.1.1192.168.1.2192.168.1.3155.133.87.1：7111155.133.87.1：7112155.133.87.1：7113Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page14源NAT地址池方式(续)出接口地址方式（EasyIP）1.1.1.1NGFWIntranet192.168.1.0/24TrustUntrustEasyIPWebServer3.3.3.3Host192.168.1.2srcIP192.168.1.2srcPortdstIPdstPort153580srcIP1.1.1.1srcPortdstIPdstPort20483.3.3.380ProtocolS-IP:S-Port[New-S-IP:New-S-Port]D-IP:D-Port192.168.1.2:1535[1.1.1.1:2048]HTTPSessionTable3.3.3.3:803.3.3.3Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page15配置源NAT策略(CLI)首先配置NAT地址池（略）在系统视图下进入NAT策略视图nat-policy在NAT策略视图下创建NAT规则并进入NAT规则视图rulenamerule-name创建NAT策略，进入策略ID视图source/destination-address{address-setaddress-set-name&1-6|ipv4-addresssource/destination-zone{zone-name&1-6|any}egress-interfaceinterface-typeinterface-numberservice{service-name&1-6|any}action{nat{{address-groupaddress-groupname}|easy-ip}|no-nat}Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page16配置源NAT策略(WEB)指定源和目的地址指定源和目的安全区域可以选择将地址转换为地址池地址，也可以直接指定接口IP地址为转换后的地址Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page17为什么需要NATALG？NATALG（ApplicationLevelGateway，应用级网关）是特定的应用协议的转换代理，可以完成应用层数据中携带的地址及端口号信息的转换以太网首部IP首部TCP首部应用数据以太网尾部NAT可以转换的部分﹖Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page18NATALG实现原理FTP主动模式下的NATALG应用私网公网Host192.168.1.2NATALG192.168.1.2------8.8.8.11FTPServer8.8.8.1Host与FTPServer之间建立控制连接发送PORT报文（192.168.1.2,1084）ALG处理PORT报文载荷已被转换（8.8.8.11,12487）FTPServer向Host发起数据连接（8.8.8.1,30048.8.8.11,12487）FTPServer向Host发起数据连接（8.8.8.11,3004192.168.1.2,1084）在已经建立的数据连接上进行数据传输Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page19NAT与ServerMap表NATALG通过server-map表中的转换字段，可以转换上层的信息NAT中生成Server-map表项的两种情况：配置NATServer配置NATNo-PAT设备会自动生成Server-map表项，用于存放Global地址与Inside地址的映射关系。设备会为已配置的多通道协议产生的有实际流量的数据流建立Server-map表。Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page20目录1.网络地址转换技术介绍2.源NAT技术3.服务器映射及目的NAT技术4.双向NAT技术5.NAT应用场景配置Copyright©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page21NATServer-内部服务器内部服务器(NatServer)功能是使用一个公网地址来代表内部服务器对外地址。DMZuntrust192.168.1.1202.202.1.1在防火墙上，专门为内部的服务器配置一个对外的公网地址来代表私网地址。对于外网用户来说，防火墙上配置的外网地址就是服务器的地址。公网地址真正的地址©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page22基于NATServer的配置(CLI)在系统视图下:natserver[id]protocolprotocol-typeglobal{global-address[global-address-end]|interfaceinterface-typeinterface-number}insidehost-address[host-address-end][no-reverse][vpn-instancevpn-instance-name2]例：natserverserver1protocoltcpglobal202.202.1.1inside192.168.1.1©2015HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page23基于NATServer的配置(WEB)静态映射即为NATServer配置设置公网地址和私网