NAT原理与基本应用培训胶片-20060711-A

1、HUAWEI TECHNOLOGIES CO., LTDHUAWEI Confidential Security Level: NAT原理与基本应用ISSUE 4.0HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 1lNAT技术实现了私网与公网的互访，为私网提供了安全保障，也给公网带来了安全隐患。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 2学习指南l开篇会介绍一些和NAT相关的基本概念l重点理解NAT的入口和出口转换流程HUAWEI TECHNOLOGIES CO.,

2、LTD.HUAWEI Confidential Page 3参考资料lRFC 3022Traditional IP Network Address Translator (Traditional NAT)lRFC2993Architectural Implications of NATlRFC 2663IP Network Address Translator (NAT) Terminology and ConsiderationslRFC 3027Protocol Complications with the IP Network Address TranslatorHUAWEI TECHN

3、OLOGIES CO., LTD.HUAWEI Confidential Page 4l学习完此课程，您将会：NAT基本概念NAT工作原理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 5第第2章章 NAT工作原理工作原理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 6NAT基本概念lNAT(Network Address Translator)网络地址转换，即改变IP报文中的源或目的地址的一种处理方式；使一个局域网中的多台主机使用少数的合法地址访问外部资源，也可以按照要求

4、设定内部的WWW、FTP、TELNET的服务提供给外部网络使用；有效的隐藏了内部局域网的主机IP地址，起到了安全保护的作用。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 7NAT基本概念l公有地址和私有地址l私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址： - 55 - 55 - 192.168.255.

5、255 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 8NAT基本概念l地址池地址池是由一些外部地址（全球唯一的IP地址）组合而成的，我们称这样的一个地址集合为地址池。在内部网络的数据包通过地址转换达到外部网络时，将会选择地址池中的某个地址作为转换后的源地址，这样可以有效利用用户的外部地址，提高内部网络访问外部网络的能力。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 9NAT基本概念l访问控制列表访问列表是由ACCESS-LIST命令生成的，它依据IP数据包报头以及它承载

6、的上层协议数据包头的格式定义了一定的规则，可以表示允许或者是禁止具有某些特征(包头数据可以描述的）的数据包，地址转换按照这样的规则判定哪些包是被允许转换或者是禁止转换，这样可以禁止一些内部的主机访问外部网络，提高一些网络的安全性问题。有关的详细概念可以参考防火墙中的有关内容。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 10NAT基本概念l转换关联转换关联就是将一个地址池和一个访问列表关联起来，这种关联指定了“具有某些特征的IP报文”是使用“这样的地址池中的地址”，而另一些可能是使用另外一个地址池中的地址。在地址转换时，是根据这样的

7、对应进行地址转换的。当一个内部网络的数据包文发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换的关联找到于之相对应的地址池，我们就可以把源地址转换成这个地址池中的某一个地址，完成地址转换。 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 11NAT基本概念l内部服务器映射表内部服务器映射表是由NAT SERVER命令配置的，允许用户依照自己的需要提供内部服务。在转换时，根据用户的配置查找外部数据包的目的地址，如果是访问内部的服务器，则转换成相应的内部服务器的目的地址和端口，达到访问内部服务器的目的。还原时对源地址进行

8、查找，判断是否是从内部服务器出去的报文，如果是将源地址转换成相应的外部地址。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 12第第1章章 NAT基本概念基本概念HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 13NAT的基本工作原理lNAT在系统中的位置IPTCP/UDPLink LayerNATHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 14NAT的基本工作原理 lNAT基本工作原理（以出口NAT为例）l在I

9、P层的出口处调用NAT是否是LIST中允许的地址？建立新的HASH表项，记录有关转换信息,转换地址以及端口Yes是否是内部服务器的数据报由NATSERVER命令形成的关联表No转换源地址、源端口YesHASH表NoIP层HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 15NAT的基本工作原理l在IP层的入口出调用NAT是否是到内部服务器的数据报？转换目的地址和端口Yes由NATSERVER命令形成的关联表是否是HASH表中的地址NoHASH表还原数据目的地址以及端口YesIP层NoHUAWEI TECHNOLOGIES CO., LT

10、D.HUAWEI Confidential Page 16NAT的基本工作原理l透明的地址分配静态的地址分配指一个特定的主机使用固定的地址访问外部的网络。动态的地址分配是指NAT在一些地址中挑选一个地址，做为内部网络的主机访问外部网络的IP地址。无论是那种，地址的分配应该对用户来说是透明的。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 17NAT的基本工作原理lNAT的基本工作方式：NAT一对一的地址转换PAT多对一的地址转换NPAT多对多的地址转换HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confid

11、ential Page 18NAT的基本工作原理lNAT方式HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 19NAT的基本工作原理lNAT方式在出方向上转换IP报文头中的源IP地址，而不对端口进行转换。在私有网络地址和外部网络地址之间建立一对一映射，实现比较简单只转换IP报文头中的IP地址，所以适用于所有IP报文转换HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 20NAT的基本工作原理lPAT方式(0: 1001 - 6: 23) - (

12、00:12964 - 6: 23) (6: 23 - 00:12964) - (6: 23 - 0: 1001)HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 21NAT的基本工作原理lPAT方式PAT（Port Address Translation）方式的地址转换利用了TCP/UDP协议的端口号，进行地址转换。PAT方式的地址转换是采用了“地址端口”的映射方式，因此可以使内部局域网的许多主机共享一个IP地址访问I

13、nternet。在私有网络地址和外部网络地址之间建立多对一映射。不同的内部网地址，转换时采用相同的公网地址，并依靠不同的端口号来区分每一个内部网主机。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 22NAT的基本工作原理lNPAT方式( 0: 1001 - 6: 23) - (00:12964 - 6: 23) (:2001 - 7: 25) (6: 23 - 00:129

14、64) - (6: 23 - 0: 1001) (7: 25 - :2001)HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 23NAT的基本工作原理lNPAT方式NPAT（Nat & Port Address Translation）方式的地址转换也是利用了TCP/UDP协议的端口号，进行地址转换。私网地址和公网地址之间建立了多对多的映射关系。NPAT方式也是采用“地址端口”的映射关系，因此可以使内部局域网的多个主机共享多个IP地址访问Internet。

15、HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 24NAT的基本工作原理l内部服务器内部服务器是一种反相的地址转换。地址转换屏蔽了内部网络中的主机，而内部服务器可以提供外部网络访问内部网络的服务。可以配置WWW、FTP、Telnet等服务。内部服务器映射表是由NAT SERVER命令配置的，在转换时，根据用户的配置查找外部数据包的目的地址，如果是访问内部的服务器，则转换成相应的内部服务器的目的地址和端口，达到访问内部服务器的目的。还原时对源地址进行查找，判断是否是从内部服务器出去的报文，如果是将源地址转换成相应的外部地址。HUAWEI

16、 TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 25NAT的基本工作原理l内部服务器HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 26NAT的基本工作原理l利用ACL控制地址转换不能访问Internet可以使用地址转换访问InternetHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 27NAT的基本工作原理l支持特殊协议（ALG应用程序网关）地址转换改变了IP数据包头的IP地址信息，如果数据报文的载荷中含有地址信息，地址转换

17、就需要特殊处理，除了改变IP包头的地址信息以外还需要改变数据报文中载荷中的地址信息。比较典型的应用是FTP目前VRP NAT平台支持FTP、Radius、L2tp、PPTP、CMC几种特殊的协议。以及后来支持的H.323、SMTP、DNS等。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 28NAT的基本工作原理l以FTP ALG为例：在TCP的应用FTP中，包含两种连接：控制连接（会话）、数据连接（传输）。其中控制连接是用大家都熟悉的21端口的TCP连接。数据连接却是由客户端“发起”的，它通过控制连接“通知”服务器它已经初始化完的端

18、口，FTP服务器通过20端口（默认情况）将数据传送到客户端。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 29NAT的基本工作原理l以FTP ALG为例（续）：在通知服务器的时候，会用到“PORT命令”，其中在这次TCP连接的数据中是这样的：“PORT 10,110,1,2,13,23AD”（表示：端口=138 + 23，地址=)，于是服务器就可以知道客户端的数据连接的地址和端口了。在地址转换的过程中，对于PORT命令，我们除了改变IP地址以及端口信息，同时必须改变相应TCP中的数据，这样才可以保证使FTP服务器

19、端可以把数据发送到正确的客户端。这样，有可能会使TCP数据包的长度发生变化，所以对于PORT命令还需要对TCP数据头中的序号（SEQUENCE NUMBER）进行调整。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 30NAT的基本工作原理lNAT地址转换的DNS运用DNS服务器处于私网中DNS服务器处于公网中HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 31NAT的基本工作原理lDNS和内部服务器使用私网地址由于内部www服务器和DNS服务器都在一个私网内，这样，当内部D

20、NS进行为内部服务器进行域名到IP地址的转换时，会得到一个内部网的IP地址，然后DNS将这个内部地址返回给外部要访问的内部服务器的主机。而这个地址由于是私网地址，所以外部网访问不到。 NE16公网PCNATwww 服 务器DNS 服务器PC内部网HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 32NAT的基本工作原理lDNS在公网上，内部主机无法使用域名访问内部服务器当内部pc通过域名访问时，会到外部的DNS上请求IP地址，由于DNS是在外部，所以它会返回一个公网的地址或找不到地址。这样导致内部PC通过域名访问时，得到是个外部的地址或

21、者得不到地址，导致内部用户不能正常访问内部服务器。 NE16公 网PCNA Twww 服务器ftp服 务 器PC内 部 网DNS服 务 器Qusetion：有什么好的方法可以解决：有什么好的方法可以解决DNS问题？问题？HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 33NAT的基本工作原理l以太网口支持地址池在以太网环境中，如果地址池中的地址与接口的地址在不同的网段上，那么可以通过添加路由的方式来解决。而如果在同一个网段上，则对方不会缺省的将报文发送到此设备上，因为对方发现这是一个同网段的地址，会发送ARP请求，如果得不到响应，将认

22、为这个地址不存在，当然报文将无法到达本端。因此需要对以太网接口做特殊处理，使得当地址池中的地址和接口的地址在同一个网段也可以支持。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 34NAT的基本工作原理l以太网口支持地址池（续）如果一个ARP请求报请求的地址不是以太网接口的IP地址，ARP模块将这个ARP请求丢弃，现在NAT模块提供一个函数，根据地址、接口判断这个地址是否是在这个接口上的一个地址池中的地址。如果是，告诉ARP对这个IP地址发送ARP应答，MAC地址就是这个以太网接口的MAC地址。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 35NAT的基本工作原理l支持多个方向上负载分担应用NAT RouterISP1PC1Ethernet内部网络PC2ISP2HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 36NAT基本工作原理l地址转换的优点：地址转换可以使内部网络用户方便的访问Internet。地址转换可以使内部局域网的许多主机共享一个IP地址上网。