HCNA第四章网络地址转换技术V2.0

1、Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 0修订记录课程编码课程编码适用产品适用产品产品版本产品版本课程版本课程版本ISSUEHC110310004华为防火墙V300R001V1.0开发开发/优化者优化者时间时间审核人审核人开发类型（新开发开发类型（新开发/优化）优化）陈灵光2011.7余雷第一版王锐2013.5余雷优化本页不打印Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. 第四章 网络地址转换技术Copyri

2、ght 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 2目标l学完本课程后，您将能够:p 掌握NAT的技术原理p 掌握NAT几种应用方式p掌握防火墙的NAT配置Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 3目录l网络地址转换技术介绍网络地址转换技术介绍l基于源IP地址NAT技术l基于目的IP地址NAT技术l双向NAT技术lNAT应用场景配置Copyright 2013 Huawei Technologies Co., Lt

3、d. All rights reserved. Page 4NAT产生背景lIPv4地址日渐枯竭lIPv6技术不能立即大面积替换l各种延长IPv4寿命的技术不断出现，NAT就是其中之一。Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 5为什么需要NAT?lNAT技术主要应用是实现大量的私网地址对少量公网地址的转换。保障通信在基础上节约IP地址资源。l私网地址不能在公网中路由，否则将导致通信混乱内网用户FTP Server目的IP：源IP：10.1.1

4、.1丢丢弃弃，私网地址？不知道路由无NAT情况下私网与公网的通信不做处理Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 6内网用户FTP Server源IP：目的IP：123.3.21NAT技术的基本原理lNAT技术通过对IP报文头中的源地址或目的地址进行转换，可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网。目的IP：源IP：目的IP：源IP：将私网源

5、地址替换为公网地址目的IP：源IP：将公网目的地址替换为私网地址Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 7NAT分类l转换的方向（Inbound、Outbound）l端口是否转换（No-Pat、NAPT）lNAT serverl目的NATCopyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 8NAT分类l转换的方向（Inbound、Outbound）l端口是否转换（No-P

6、at、NAPT）lNAT serverl目的NATCopyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 9NAT的优点与缺点l优点p实现IP地址复用，节约宝贵的地址资源p地址转换过程对用户透明p对内网用户提供隐私保护p可实现对内部服务器的负载均衡l缺点p网络监控难度加大p限制某些具体应用Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 10目录l网络地址转换技术介绍l基于源基于源IP地址地址NAT技术技术l基于目的I

7、P地址NAT技术l双向NAT技术lNAT应用场景配置Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 11基于源IP地址NAT技术概述l基于源IP地址转换l基于源IP地址和端口转换TrustUntrustTrustUntrust源源1 源端口源端口X 目的源源1 目的源源 目的源源 源端口源端口Y 目的转换转换转换转换Copyright 2013 Huawei Technolo

8、gies Co., Ltd. All rights reserved. Page 12NAT Outbound与NAT Inbound区别lNAT OutboundlNAT InboundTrustUntrustDMZUntrust源1 目的源 目的转换转换OutboundInbound高安全区域低安全区域高安全区域低安全区域源1 目的源 目的转换转换Copyright 2013 Huawei Technologies Co., Ltd. All rights res

9、erved. Page 13基于端口是否转换的NATlNo-PAT( Port Address Translation)。主要用于一对一的IP地址的转换，端口不进行转换。l将不同的内部地址映射到同一公有地址的不同端口号上，实现多对一地址转换。主要利用NAPT技术实现多对一地址转换。丢丢弃弃：7111：7112155.133.

10、87.1：7113Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 14基于源IP地址转换的配置（命令行）l在系统视图下，配置NAT地址池nat address-group group-number group-name start-address end-addressl在系统视图下，进入域间NAT策略视图nat-policy interzone zone-name1 zone-name2 inbound | outboundl创建NAT策略，进入策略ID视图policy policy-id Poli

11、cy source source-address source-wildcard |Policy destination source-address source-wildcard |Policy service service-set service-set-nameaction source-nat |no-natAddress-group number | name no-patno-patCopyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 15NAT 地址池lNAT地址池是一些连续的IP地址集合

12、，当来自私网的报文通过地址转换到公网IP时，将会选择地址池中的某个地址作为转换后的地址p创建NAT地址池的命令为： nat address-group group-number group-name start-address end-address vrrp virtual-router-ID pnat address-group 0 pool0 00 组号组名起始地址终止地址Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 16基于源IP地址转换的配置（

13、Web）lNAT地址池配置设置地址池范围Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 17基于源IP地址转换的配置（Web）指定源和目的地址指定源和目的安全区域可以选择将地址转换为地址池地址，也可以直接指定接口IP地址为转换后的地址Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 18为什么需要NAT ALG？ l NAT ALG（Application Level Gateway，应用级网关）是特定的应用协

14、议的转换代理，可以完成应用层数据中携带的地址及端口号信息的转换以太网首部以太网首部IPIP首部首部TCPTCP首部首部应用数据应用数据以太网尾部以太网尾部NATNAT可以转换的部分可以转换的部分Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 19NAT ALG实现原理lFTP主动模式下的NAT ALG应用私网私网公网公网HostNAT ALG 1FTP ServerHost与FTP Server之间建立控制连接发送PORT报文（1

15、,1084）ALG处理PORT报文载荷已被转换（1, 12487）FTP Server向Host发起数据连接（, 3004 1, 12487）FTP Server向Host发起数据连接（1, 3004 , 1084）在已经建立的数据连接上进行数据传输Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 20NAT与Server Map表lNAT ALG通过 server-map表中的转换字段，可以转换上层的信息

16、lNAT中生成Server-map表项 的两种情况：配置NAT Server配置NAT No-PAT设备会自动生成Server-map表项，用于存放Global地址与Inside地址的映射关系。设备会为已配置的多通道协议产生的有实际流量的数据流建立Server-map表。Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 21目录l网络地址转换技术介绍l基于源IP地址NAT技术l基于目的基于目的IP地址地址NAT技术技术l双向NAT技术 lNAT应用场景配置Copyright 2013 Huawei Te

17、chnologies Co., Ltd. All rights reserved. Page 22NAT Server-内部服务器l内部服务器(Nat Server)功能是使用一个公网地址来代表内部服务器对外地址。DMZuntrustl在防火墙上，专门为内部的服务器配置一个对外的公网地址来代表私网地址。对于外网用户来说，防火墙上配置的外网地址就是服务器的地址。公网地址真正的地址WWW服务器外网用户源IP地址 目的源IP地址 目的转换转换Copyright 2013 Huawei Technologies C

18、o., Ltd. All rights reserved. Page 23基于NAT Server的配置（命令行）l在系统视图下:nat server id protocol protocol-type global global-address global-address-end | interface interface-type interface-number inside host-address host-address-end vrrp virtual-router-id | master | slave no-reverse 例例：nat server protocol tc

19、p global inside www IP协议承载的协议类型转换后的公网地址内部server实际地址服务类型Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 24基于NAT Server的配置（Web）选择映射方式，可以选择一对一和多对多地址映射设置外部地址和内部地址，此处的外部地址选择外部的接口选择承载协议和端口转换信息Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. P

20、age 25目的NATl在移动终端访问无线网络时，如果其缺省WAP网关地址与所在地运营商的WAP网关地址不一致时，可以在终端与WAP网关中间部署一台设备，并配置目的NAT功能，使设备自动将终端发往错误WAP网关地址的报文自动转发给正确的WAP网关。基站GGSNGSR防火墙WAP网关Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 26基于目的NAT的配置（命令行）l在系统视图下，进入安全区域视图，配置目的NATfirewall zone name zone-namedestination-nat acl

21、-number address ip-address port port-number l举例举例：USG firewall zone trust USG-zone-trust destination-nat 3333 address Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 27基于目的NAT的配置（Web）配置转换后的IP地址通常为本地运营商的WAP网关的IP地址源安全区域通常为用户所属的安全区域。源地址为来自源安全区域的报文的源IP地址。Copyright 2013 Hu

22、awei Technologies Co., Ltd. All rights reserved. Page 28目录l网络地址转换技术介绍l基于源IP地址NAT技术l基于目的IP地址NAT技术l双向双向NAT技术技术lNAT应用场景配置Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 29双向NAT技术l双向NAT两种应用场景:pNAT Server + NAT InboundpNAT Server + 域内NATCopyright 2013 Huawei Technologies Co., Ltd.

23、All rights reserved. Page 30域间双向NATl为了简化配置服务器至公网的路由，可在NAT Server基础上，增加NAT Inbound配置。DMZUntrustNAT Inbound私网IP地址Internet用户外网服务器真正IP地址对外公网地址Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 31域内双向NATl防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址，源地址转换成用户对

24、外公布的IP地址。l防火墙将FTP服务器回应报文的源地址转换成对外公布的地址，目的地址转换成用户的内网IP地址。Trust域服务器公网地址用户公网地址内网用户服务器Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 32目录l网络地址转换技术介绍l基于源IP地址NAT技术l基于目的IP地址NAT技术l双向NAT技术lNAT应用场景配置应用场景配置Copyright 2013 Huawei Technologies Co

25、., Ltd. All rights reserved. Page 33NAT典型应用场景配置举例l应用场景分析应用场景分析pNAT Outbound应用pNAT Server应用DMZ 区域Untrust 区域Trust区域192.168.1/24/29/24Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 34防火墙NAT outbound配置(命令行)l配置域间访问规则。 p指定源地址为网段。（具体配置步骤省略）l配置地址池。U

26、SGnat address-group 1 l配置NAT Outbound策略USGnat-policy interzone trust untrust outbound nat-policy interzone trust untrust outbound USG-nat-policy-interzone-trust-untrust-outboundpolicy 0 policy 0 USG-nat-policy-interzone-trust-untrust-outbound-0policy source 0.0.0

27、.255policy source 55USG-nat-policy-interzone-trust-untrust-outbound-0action source-nat action source-nat USG-nat-policy-interzone-trust-untrust-outbound-0address-group 1 address-group 1 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 35防火墙NAT outbound配置(Web)

28、l配置NAT 地址池Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 36防火墙NAT outbound配置(Web)l配置NAT Outbound策略在本例中是为了实现trust区域的用户访问untrust区域internet的资源，因此源安全区域为trust，目的安全区域为untrust。Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 37防火墙NAT Server配置(命令行)l配置内部Web和FTP服务

29、器。 USG nat server protocol tcp global 80 inside 8080USG nat server protocol tcp global ftp inside ftp l配置域间包过滤规则。 USG policy interzone dmz untrust inboundUSG-policy-interzone-dmz -untrust-inbound policy 0USG-policy-interzone- dmz -untrust-inbound-0

30、 policy destination 0USG-policy-interzone- dmz -untrust-inbound-0 policy service service-set http USG-policy-interzone- dmz -untrust-inbound-0 action permitUSG-policy-interzone- dmz -untrust-inbound policy 1USG-policy-interzone- dmz -untrust-inbound-1 policy destination 0US

31、G-policy-interzone-dmz -untrust-inbound-1 policy service service-set ftp USG-policy-interzone- dmz -untrust-inbound-1 detect ftp USG-policy-interzone- dmz -untrust-inbound-1 action permitCopyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 38防火墙NAT Server配置(Web)l配置内部Web和FTP服务器。 外部地

32、址和内部地址，外部地址为供外部用户访问的公网IP地址，内部地址为局域网服务器地址。Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 39防火墙NAT Server配置(Web)l配置域间安全转发策略。 通过设置源和目的安全区域来确认数据流转发方向。此处为inbound方向。Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 40NAT双出口场景配置举例l组网需求p两个不同运营商用户需要访问同一内网服务器资源；p内网

33、用户通过两个运营商访问互联网，如图所示：Trust区域/24FTP Server/24ISP1ISP2GE 0/0//24GE 0/0//24GE 0/0/3/24PC3/24PC/24PC/24Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 41NAT 双出口实例配置思路Copyright 2013 Huawei Technologies Co., Ltd. All rig

34、hts reserved. Page 42NAT Outbound双出口配置1（命令行）l创建安全区域。 为ISP1和ISP2分别创建一个安全区域。USG firewall zone name ISP1 USG-zone-isp1 set priority 10 USG firewall zone name ISP2 USG-zone-isp2 set priority 20 l配置各接口的IP地址，并将其加入相应的安全区域。 （配置省略）l配置域间安全转发策略。开启内网到ISP1和ISP2区域的outbound方向策略 USG policy interzone trust isp1 outb

35、ound USG-policy-interzone-trust-isp1-inbound policy 0 USG-policy-interzone-trust-isp1-inbound-0 policy source 24 USG-policy-interzone-trust-isp1-inbound-0 action permit Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 43NAT Outbound双出口配置2（命令行）l配置静态路由，保证路由可达 。假设通过ISP1和I

36、SP2访问internet资源的下一跳地址分别为/24和/24。（具体步骤省略）l配置NAT Outbound策略 （isp2策略步骤省略）USGnat-policy interzone trust isp1 outbound USG-nat-policy-interzone-trust-untrust-outboundpolicy 0 USG-nat-policy-interzone-trust-untrust-outbound-0action source-nat USG-nat-policy-interzone-trust-untrust-outbound-0

37、easy-ip GigabitEthernet 0/0/4Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 44NAT Server双出口配置1（命令行）l配置域间安全转发策略。开启ISP1和ISP2区域到内网的inbound方向策略。（ISP2的配置与ISP1相似，具体配置省略）USG policy interzone trust isp1 inbound USG-policy-interzone-trust-isp1-inbound policy 0 USG-policy-interzone-tru

38、st-isp1-inbound-0 policy destination 0 USG-policy-interzone-trust-isp1-inbound-0 policy service service-set ftp USG-policy-interzone-trust-isp1-inbound-0 action permit Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 45NAT Server双出口配置2（命令行）l创建内网服务器的公网IP与私网IP的映射关系。 USG

39、nat server zone isp1 protocol tcp global ftp inside ftp USG nat server zone isp2 protocol tcp global ftp inside ftp l在ISP1、ISP2与DMZ的域间配置NAT ALG，使服务器可以正常对外提供FTP服务。USG firewall interzone dmz isp1 USG-interzone-dmz-isp1 detect ftp USG-interzone-dmz-isp1 quit USG firewall interzone dmz isp2 USG-interzone-dmz-isp2 detect ftp USG-interzone-dmz-isp2 quit Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 46NAT双出口配置1（Web）l创建安全区域l配置域间策略Copyright 2013 Huawei Technologies Co., Ltd. All rights r