HCNA 第四章 网络地址转换技术V2.0

©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.第四章网络地址转换技术Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page2目标学完本课程后，您将能够:掌握NAT的技术原理掌握NAT几种应用方式掌握防火墙的NAT配置Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page3目录1.网络地址转换技术介绍2.基于源IP地址NAT技术3.基于目的IP地址NAT技术4.双向NAT技术5.NAT应用场景配置Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page4NAT产生背景IPv4地址日渐枯竭IPv6技术不能立即大面积替换各种延长IPv4寿命的技术不断出现，NAT就是其中之一。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page5为什么需要NAT?NAT技术主要应用是实现大量的私网地址对少量公网地址的转换。保障通信在基础上节约IP地址资源。私网地址不能在公网中路由，否则将导致通信混乱内网用户10.1.1.1FTPServer123.3.2.3目的IP：123.3.2.3源IP：10.1.1.1丢弃10.1.1.1，私网地址？不知道路由无NAT情况下私网与公网的通信不做处理Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page6内网用户10.1.1.1FTPServer123.3.2.3源IP：123.3.2.3目的IP：123.3.21NAT技术的基本原理NAT技术通过对IP报文头中的源地址或目的地址进行转换，可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网。目的IP：123.3.2.3源IP：10.1.1.1目的IP：123.3.2.3源IP：123.3.2.1将私网源地址替换为公网地址目的IP：10.1.1.1源IP：123.3.2.3将公网目的地址替换为私网地址Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page7NAT分类基于源IP地址转换的方向（Inbound、Outbound）端口是否转换（No-Pat、NAPT）基于目的IP地址NATserver目的NATCopyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page9NAT的优点与缺点优点实现IP地址复用，节约宝贵的地址资源地址转换过程对用户透明对内网用户提供隐私保护可实现对内部服务器的负载均衡缺点网络监控难度加大限制某些具体应用Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page10目录1.网络地址转换技术介绍2.基于源IP地址NAT技术3.基于目的IP地址NAT技术4.双向NAT技术5.NAT应用场景配置Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page11基于源IP地址NAT技术概述基于源IP地址转换基于源IP地址和端口转换TrustUntrustTrustUntrust源192.168.0.11源端口X目的1.1.1.1源192.168.0.11目的1.1.1.1源9.9.9.9目的1.1.1.1源2.2.2.2源端口Y目的1.1.1.1转换转换Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page12NATOutbound与NATInbound区别NATOutboundNATInboundTrustUntrustDMZUntrust源192.168.0.11目的1.1.1.1源9.9.9.9目的1.1.1.1转换OutboundInbound高安全区域低安全区域高安全区域低安全区域源192.168.0.11目的1.1.1.1源9.9.9.9目的1.1.1.1转换Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page13基于端口是否转换的NATNo-PAT(PortAddressTranslation)。主要用于一对一的IP地址的转换，端口不进行转换。将不同的内部地址映射到同一公有地址的不同端口号上，实现多对一地址转换。主要利用NAPT技术实现多对一地址转换。192.168.1.1192.168.1.2192.168.1.3192.168.1.4155.133.87.1155.133.87.2155.133.87.3丢弃192.168.1.1192.168.1.2192.168.1.3155.133.87.1：7111155.133.87.1：7112155.133.87.1：7113Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page14基于源IP地址转换的配置（命令行）在系统视图下，配置NAT地址池nataddress-groupgroup-number[group-name]start-addressend-address在系统视图下，进入域间NAT策略视图nat-policyinterzonezone-name1zone-name2{inbound|outbound}创建NAT策略，进入策略ID视图policy[policy-id]Policysource{source-addresssource-wildcard|……}Policydestination{source-addresssource-wildcard|……}Policyserviceservice-set{service-set-name}action{source-nat|no-nat}Address-group{number|name}no-patCopyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page15NAT地址池NAT地址池是一些连续的IP地址集合，当来自私网的报文通过地址转换到公网IP时，将会选择地址池中的某个地址作为转换后的地址创建NAT地址池的命令为：nataddress-groupgroup-number[group-name]start-addressend-address[vrrpvirtual-router-ID]nataddress-group0pool0192.168.1.1192.168.1.100组号组名起始地址终止地址Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page16基于源IP地址转换的配置（Web）NAT地址池配置设置地址池范围Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page17基于源IP地址转换的配置（Web）指定源和目的地址指定源和目的安全区域可以选择将地址转换为地址池地址，也可以直接指定接口IP地址为转换后的地址Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page18为什么需要NATALG？NATALG（ApplicationLevelGateway，应用级网关）是特定的应用协议的转换代理，可以完成应用层数据中携带的地址及端口号信息的转换以太网首部IP首部TCP首部应用数据以太网尾部NAT可以转换的部分﹖Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page19NATALG实现原理FTP主动模式下的NATALG应用私网公网Host192.168.1.2NATALG192.168.1.2------8.8.8.11FTPServer8.8.8.1Host与FTPServer之间建立控制连接发送PORT报文（192.168.1.2,1084）ALG处理PORT报文载荷已被转换（8.8.8.11,12487）FTPServer向Host发起数据连接（8.8.8.1,30048.8.8.11,12487）FTPServer向Host发起数据连接（8.8.8.11,3004192.168.1.2,1084）在已经建立的数据连接上进行数据传输Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page20NAT与ServerMap表NATALG通过server-map表中的转换字段，可以转换上层的信息NAT中生成Server-map表项的两种情况：配置NATServer配置NATNo-PAT设备会自动生成Server-map表项，用于存放Global地址与Inside地址的映射关系。设备会为已配置的多通道协议产生的有实际流量的数据流建立Server-map表。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page21目录1.网络地址转换技术介绍2.基于源IP地址NAT技术3.基于目的IP地址NAT技术4.双向NAT技术5.NAT应用场景配置Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page22NATServer-内部服务器内部服务器(NatServer)功能是使用一个公网地址来代表内部服务器对外地址。DMZuntrust192.168.1.1202.202.1.1在防火墙上，专门为内部的服务器配置一个对外的公网地址来代表私网地址。对于外网用户来说，防火墙上配置的外网地址就是服务器的地址。公网地址真正的地址©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page23基于NATServer的配置（命令行）在系统视图下:natserver[id]protocolprotocol-typeglobal{global-address[global-address-end]|interfaceinterface-typeinterface-number}insidehost-address[host-address-end][vrrp｛virtual-router-id|master|slave}][no-reverse]…例：natserverprotocoltcpglobal202.202.1.1inside192.168.1.1©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page24基于NATServer的配置（Web）选择映射方式，可以选择一对一和多对多地址映射设置外部地址和内部地址，此处的外部地址选择外部的接口选择承载协议和端口转换信息Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Pa