防火墙培训胶片-NAT.ppt

E1000E培训胶片 ——NAT 应用背景 协议原理 规格需求 配置命令 改进优化 应用背景 协议原理 规格需求 配置命令 改进优化 协议原理 NAT(Network Address Translator) 网络地址转换，即改变IP报文中的源或目的地址的一种处理方式。 特性： 使一个局域网中的多台主机使用少数的合法地址访问外部资源，也可以按照要求设定内部的WWW、FTP、TELNET等的服务提供给外部网络使用； 有效的隐藏了内部局域网的主机IP地址，起到了安全保护的作用。 注意： 在实际应用中，NAT主要用于实现私有网络访问外部网络的功能。 即允许少数公网IP代表多数私有IP访问外部网络。 协议原理 公有地址和私有地址 私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址： A类： - 55 （/8） B类： - 55 （/12） C类： - 55（/16） 也就是说这三个网络的地址不会在因特网上被分配，但可以在一个企业（局域网）内部使用。各个企业根据在可预见的将来主机数量的多少，来选择一个合适的网络地址。不同的企业，他们的内部网络地址可以相同。如果一个公司选择其他的网段作为内部网络地址，则有可能会引起路由表的混乱。 协议原理 地址池 访问列表 地址池：由一些外部地址（全球唯一的IP地址）组合而成的，我们称这样的一个地址集合为地址池。在内部网络的数据包通过地址转换达到外部网络时，将会选择地址池中的某个地址作为转换后的地址，这样可以有效利用用户的外部地址，提高内部网络访问外部网络的能力。 访问控制列表（ACL）：依据IP数据包报头以及它承载的上层协议数据包头的格式定义了一定的规则，可以表示允许或者是禁止具有某些特征(包头数据可以描述的）的数据包，地址转换按照这样的规则判定哪些包是被允许转换或者是禁止转换，这样可以禁止一些内部的主机访问外部网络，提高一些网络的安全性问题。 协议原理 转换关联 转换关联：将一个地址池和一个访问列表关联起来，这种关联指定了“具有某些特征的IP报文”是使用“这样的地址池中的地址”，而另一些可能是使用另外一个地址池中的地址。在地址转换时，是根据这样的对应进行地址转换的。当一个内部网络的数据报文发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换的关联找到于之相对应的地址池，我们就可以把源地址转换成这个地址池中的某一个地址，完成地址转换。 转换关联表中记录了转换对应的必要信息，包括，访问列表、地址池信息、以及对应这个地址池的HASH表的索引。 协议原理 内部服务器映射表 内部服务器映射（servermap）表：NAT SERVER命令配置的，允许用户依照自己的需要提供内部服务。在转换时，根据用户的配置查找外部数据包的目的地址，如果是访问内部的服务器，则转换成相应的内部服务器的目的地址和端口，达到访问内部服务器的目的。还原时对源地址进行查找，判断是否是从内部服务器出去的报文，如果是将源地址转换成相应的外部地址。 用户需要提供的信息包括外部地址、外部端口、内部主机地址、内部主机端口、以及服务的协议类型。 协议原理 透明的地址分配 透明的地址分配可以分成： 静态的地址分配：指一个特定的主机使用固定的地址访问外部的网络。如：只能配单个转换IP的nat server 动态的地址分配：是指NAT在一些地址中挑选一个地址，做为内部网络的主机访问外部网络的IP地址。如：地址池方式 无论是那种，地址的分配应该对用户来说是透明的。 协议原理 PAT方式 PAT（Port Address Translation）方式的地址转换利用了TCP/UDP协议的端口号，进行地址转换。 PAT方式的地址转换是采用了“地址＋端口”的映射方式，因此可以使内部局域网的许多主机共享一个IP地址访问Internet。 也叫动态地址转换，在私有网络地址和外部网络地址之间建立多对一映射。 达到了内部网多台主机共用同一个公网地址访问外部网络的目的，所以在实际应用中多数采用这种方式。 不同的内部网地址，转换时采用相同的公网地址，并依靠不同的端口号来区分每一个内部网主机。 需要转换IP地址和端口信息，所以只适用于TCP/UDP报文的转换 协议原理 NAT ALG NAT只能对IP报文的头部地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议，例如FTP,h323等，它们报文的数据部分可能包含IP地址或端口信息，这些内容不能被NAT有效的转换，这就可能导致问题。 为了解决这些特殊协议的NAT转换问题,引入了NAT ALG（Applica