防火墙NAT444技术特性介绍

1、H3C 防火墙NAT444技术特性介绍目录NAT444特性基础及实现原理NAT444典型组网及典型配置NAT444常见问题及注意事项NAT444技术需求背景www.3Internet IPv4地址枯竭 由于IPv4地址资源枯竭，引入IPv6是网络演进的必 然趋势。但是，运营商的网络、业务平台、终端以 及ICP在短时间内无法全面支持IPv6，并具备商用 能力。因此在IPv6过渡期内，引入运营商级NAT， 延长IPv4的使用期限，保证业务的平滑过渡，为 IPv6的部署争取时间，是NAT444技术部署的主要 作用和目的。名称由来 NAT444是两层NAT44的简称，属于IPv6过渡技术。NAT444

2、相关概念www.4网络内容服务商宽带远程接入服务用户驻地设备核心路由器大规模网络地址转换ICP Internet Content ProviderBRAS Broadband Remote Access ServiceCPE Customer Presidial EquipmentCR Core RouterLSN Large Scale NATCGN Carrier Grade NAT运营商级地址转换NAT444标准模型三部分IPv4地址： 用户侧私网地址: CPE内 运营商私网地址: CPE-LSN之间 公网地址: LSN外两次IPv4 NAT: CPE做一次NAT44 LSN做一次NAT

3、44终端CPELSN外网v4v4v4www.5NAT444架构组成NAT444 是基于NAT444 网关，结合AAA 服务器、网管服务 器、日志服务器等配套系统，提供运营商级NAT 转换，并支 持用户溯源和单点认证的部署方案和整体解决方案。接收用户映射参数，生成 和维护用户映射表，实现 运营商级NAT 转换维护各NAT444 网关的用 户地址映射关系表，负责 用户认证、授权和计费， 记录和维护用户计费和账 号等信息接受和记录用户访问信息， 响应用户访问信息查询负责管理NAT444 网关设备， 并把用户地址映射参数发送 到NAT444 网关和AAA 服务 器www.6NAT444部署方式集中式N

4、AT444 网关部署在CR 层面(主流方式)AAANAT444网关应用服务器BRAS日志服 务器终端 网管服务器(1)(2)(3)(3)CPE实时 查询(4)私有地址www.7私有地址(2)公有地址NAT444部署方式分布式NAT444 网关部署在BRAS 层面，采用BRAS 插卡（H3C使用独立设备，不支持这种部署方式）AAA应用服务器BRAS日志服 务器终端网管服务器(2)(1)(3)(1)实时 查询(4)CPEwww.8公有地址NAT444网关私有地址NAT444技术引入的主要问题www.9地址溯源 NAT444在运营商侧网络额外引入一次NAT44，为最终用 户分配的是私网地址，使多个最

5、终用户可能出现共用一个 公网地址访问Internet，这样就会给运营商实施用户溯源带 来困难NAT穿越 部分Internet应用在穿越NAT444时存在问题，比较常见的 就是P2P业务NAT444溯源机制NAT444采用端口块分配方式解决溯源问题- 1024-2047- 2048-3071SIP:1024DIP:80SIP:1024DIP:80SIP:2048DIP:80www.10CGNSIP:1024DIP:80端口块分配方式AAA与CGN执行相同的端口映射生成 算法。在地址溯源过程中，CGN与AAA系统之间不需要传递映射关系，直接实现对地址的溯源静态 映射动态CGN将用户地址和端口块映射

6、关系通过SYSLOG或者RADIUS报文上送给映射源过程中需要由AAA服务器向LOG服LOG服务器或AAA服务器，在地址溯务器请求映射关系实现www.11静态映射表算法简述算法摘要 获取计算参数，按照从小到大升序排列用户地址池； 计算私网用户地址对应的公网地址。公有地址按照从小至大的顺序选择； 计算私网用户对应的端口块，同理按从小到大排列和选择； 生成用户地址映射关系表项。实例 若私网用户地址池：，公网地址池：，端口块大小为1024，可用端口范围为10245121：：10242047：20483071：30724095：4

7、0965121：10242048：20483071：30724095：40965121www.12动态映射与静态映射优缺点比较www.13动态映射优点 地址利用率高动态映射缺点 增加AAA、日志服务器负荷，对服务器性能要求高 AAA、日志服务器的存储空间要求很大 CGN设备需要额外发送日志并消耗硬件资源 Radius、Syslog基于UDP传输，须控制丢包率 溯源实现相对复杂目前运营商实际部署局点两种方式均有案例NAT444日志功能www.14内网用户以NAT444方式访问外网资源时， 防火墙NAT444模块可以向日志服务

8、器发送 以下日志信息，帮助溯源或者记录端口块分 配情况： NAT444用户日志（端口块分配日志） NAT444告警信息日志 NAT444会话新建日志 NAT444会话删除日志NAT444日志的由三大运营商定制，分别为 中国电信格式、中国联通格式和中国移动格 式。NAT无限连接特性引入端口块后，对应每一个私网用户的 可用四层源端口数量是有限的，是否会 限制私网用户的并发会话数呢？SIP：：1024 DIP：80SIP：：1025 DIP：80SIP：1024 DIP：80SIP：1024 DIP：80www.15NAT前NAT后访问目的地址或端口不同可重用同一个N

9、AT源地址和源端口！NAT的分类www.16Full cone Endpoint-Independent Mapping(不关心对端地址和端口转换模式) NAT内部的机器A连接过外网机器C后,NAT会打开一个端口,外网任何主机发到这个端口的UDP数据报都可以到达ARestricted Cone NAT内部的机器A连接过外网的机器C后,NAT打开一个端口,C任意源端口发到这个端口的UDP数据报可以到达APort Restricted Cone(系统缺省模式) Address and Port-Dependent Mapping（关心对端地址和端口转 换模式） NAT内部的机器A连接过外网的机器C

10、后,NAT打开一个端口,C只 能使用原连接的目的端口作为源端口向A发送数据CGNCGNP2P业务Fullconewww.17当P2P节点位于NAT设备之后，并且需要对外提供下载服务时可以启用FullCone特性，以实现P2P的NAT穿越连接数限制通过连接数限制功能，可以防止某一用户会话过多 从而占用设备大量资源的情况，同时可以防止开启 FullCone NAT功能之后外部发起的攻击。#connection-limit policy 0limit 1 source ip 16 destination ip any protocol udp max-connections 100#connecti

11、on-limit apply policy 0#www.18目录NAT444特性基础及实现原理NAT444典型组网及典型配置NAT444常见问题及注意事项NAT444静态地址端口映射www.20在系统视图下配置静态地址端口映射关系，并在接口下使能直接在接口视图下配置静态地址端口映射关系# 静态地址端口映射关系配置命令nat444 static local local-start-address local-end-address vpn-instance local- name global global-start-address global-end-address port-range

12、port-range- start port-range-end block-size block-size# 在接口下使能静态地址端口映射关系配置命令nat444 outbound static静态映射配置参数要求：LocalIpNum GlobalIpNum * PortBlockNumLocalIpNum - 用户地址池中的地址个数local GlobalIpNum - 公网地址池中的地址个数globalPortBlockNum - 每个公网地址对应的端口块个数（port-range / block-size）NAT444动态地址端口映射www.21配置控制地址转换范围的访问控制列表：a

13、cl number numberrule 10 permit ip source x.x.x.x x.x.x.xnat444outbound acl-numberaddress-group group- number port-range port-range-start port-range-end block- size block-sizenat address-group idaddress x.x.x.x x.x.x.x配置可用于地址转换的公网IP地址池：在接口视图中配置NAT444动态地址端口映射：NAT444 Fullcone特性配置www.22配置NAT444动态地址转换的模式

14、：nat mapping-behavior endpoint-independent acl acl-num Endpoint-Independent Mapping（不关心对端地址和端口转换模 式）：只要是来自相同源地址和源端口号的报文，不论其目的地址 是否相同，通过NAT444地址端口映射后，其源地址和源端口号都 被转换为同一个外部地址和端口号，并且NAT444网关设备允许外 部网络的主机通过该转换后的地址和端口来访问这些内部网络的主 机。这种模式可以很好的支持位于不同NAT444网关之后的主机间 进行互访。 Address and Port-Dependent Mapping（关心对端地

15、址和端口转换 模式）：对于来自相同源地址和源端口号的报文，若其目的地址和 目的端口号不同，通过NAT444地址端口映射后，相同的源地址和 源端口号将被转换为不同的外部地址和端口号，并且NAT444网关 设备只允许这些目的地址对应的外部网络的主机才可以通过该转换 后的地址和端口来访问这些内部网络的主机。这种模式安全性好， 但是不便于位于不同NAT444网关之后的主机间进行互访。NAT444日志功能配置www.23配置NAT444日志：nat444 log user | session-start | session-end info-center format unicom | china-te

16、lecom | china-unicom-nat444 info-center loghost X.X.X.X 日志样例%May 18 20:06:16:451 2012 fw1 NAT/6/NAT_IP_PORT_ASSIGN:NAT444:userbasedA 1 - - 7536 9535%May 18 20:06:16:451 2012 fw1 NAT/6/NAT_IP_PORT_ASSIGN:NAT444:sessionbasedA - 1 7536 - 说明通过地址端口映射配置分配/ 回收端口时，发送相关日志只对NAT ip-port-assign配置提供log功能 只对内网主动发

17、起的连接提供log功能NAT444显示和维护www.24显示NAT444静态地址端口映射的信息display nat444 static-ip-port-blockdisplay nat444 static-ip-port-block | include x.x.x.x显示NAT444动态地址端口映射的信息display nat444 dynamic-ip-port-blockdisplay nat444 dynamic-ip-port-block | include x.x.x.xNAT444典型配置案例网络拓扑图： PC模拟私网，User1和User2分别模拟联通和电信www.25NAT4

18、44典型配置案例静态映射www.26防火墙配置：#interface Ten-GigabitEthernet0/0 port link-mode route#interface Ten-GigabitEthernet0/0.10description To_Usersvlan-type dot1q vid 10ip address 54 #zone name Trust id 2 priority 85import interface Ten-GigabitEthernet0/0.10zone name DMZ id 3priority 50zone name Untrust id 4 pri

19、ority 5import interface Ten-GigabitEthernet0/0.100 import interface Ten-GigabitEthernet0/0.200#interface Ten-GigabitEthernet0/0.100 description To_Unicomvlan-type dot1q vid 100 nat444 outbound staticnat444 static local 00 global 0 port-range 10001 20000 block-size 1000 ip address 54 #interface Ten-G

20、igabitEthernet0/0.200 description To_Telecomvlan-type dot1q vid 200nat444 outbound staticnat444 static local 00 global 0 port-range 10001 20000 block-size 1000 ip address 54 #ip route-static NULL0ip route-static NULL0#NAT444典型配置案例静态映射（续）查看防火墙NAT444静态地址端口映射：FWdisplay nat444 static-ip-port-blockStatic

21、 NAT444 IP-port-block tables: (Used: 2, Unused:198)www.27Local-IPGlobal-IP Port-block: Connections, Local-VPN (10001 - 11000):1, - (11001 - 12000):0, - (12001 - 13000):0, - (13001 - 14000):0, - (14001 - 15000):0, -. (10001 - 11000):1, - (11001 - 12000):0, - (12001 - 13000):0, - (13001 - 14000):0, -

22、(14001 - 15000):0, - (15001 - 16000):0, -NAT444典型配置案例静态映射（续）www.28防火墙会话表项：display session table source-ip verbose Initiator:Source IP/Port : /2048 Dest IP/Port : 53/768VPN-Instance/VLAN ID/VLL ID:Responder:Source IP/Port : 53/0 Dest IP/Port : /10001VPN-Instance/VLAN ID/VLL ID:Pro: ICMP(1)App: unknow

23、nState: ICMP-CLOSED Start time: 2000-04-26 14:01:40 TTL: 30sRootZone(in): TrustZone(out): UntrustReceived packet(s)(Init): 14 packet(s) 840 byte(s)Received packet(s)(Reply): 14 packet(s) 840 byte(s)Initiator:Source IP/Port : /2048 Dest IP/Port : 53/768VPN-Instance/VLAN ID/VLL ID:Responder:Source IP/

24、Port : 53/0 Dest IP/Port : /10001VPN-Instance/VLAN ID/VLL ID:Pro: ICMP(1)App: unknownState: ICMP-CLOSED Start time: 2000-04-26 14:00:58 TTL: 30sRootZone(in): TrustZone(out): UntrustReceived packet(s)(Init): 56 packet(s) 3360 byte(s)Received packet(s)(Reply): 56 packet(s) 3360 byte(s)NAT444典型配置案例动态映射

25、www.29防火墙配置：#nat address-group 1address 0nat address-group 2address 0#acl number 3000rule 0 permit ip source 55#interface Ten-GigabitEthernet0/0 port link-mode route#interface Ten-GigabitEthernet0/0.10description To_Usersvlan-type dot1q vid 10ip address 54 #interface Ten-GigabitEthernet0/0.100 descr

26、iption To_Unicomvlan-type dot1q vid 100nat444 outbound 3000 address-group 1 port-range 10001 20000 block-size 1000ip address 54 #interface Ten-GigabitEthernet0/0.200 description To_Telecomvlan-type dot1q vid 200nat444 outbound 3000 address-group 2 port-range10001 20000 block-size 1000ip address 54 #

27、zone name Trust id 2 priority 85import interface Ten-GigabitEthernet0/0.10 zone name DMZ id 3priority 50zone name Untrust id 4 priority 5import interface Ten-GigabitEthernet0/0.100 import interface Ten-GigabitEthernet0/0.200#NAT444典型配置案例动态映射（续）查看防火墙NAT444动态地址端口映射：display nat444 dynamic-ip-port-block

28、Dynamic NAT444 IP-port-block tables: (Used: 2, Unused:198)www.30Local-IPGlobal-IP Port-block: Connections, Local-VPN (10001 - 11000): (10001 - 11000):1, -2, -NAT444典型配置案例动态映射（续）查看防火墙NAT444地址池黑洞路由：display ip routing-table Routing Tables: PublicDestinations : 28Routes : 28Destination/MaskProtowww.31Pr

29、e CostNextHopInterface/24Direct0054XGE0/0.10054/32Direct00InLoop0/32Static10NULL0/32Static10NULL0.0/32Static10NULL0/8Direct00InLoop0/32Direct00InLoop0/24Direct0054 XGE0/0.1054/32Direct00InLoop0/24Direct0054XGE0/0.20054/32Direct00InLoop0/32Static10NULL0/32Static10NULL0.0/32Static10NULL0NAT444典型配置案例动态

30、映射（续）www.32防火墙会话表：display session table source-ip verbose Initiator:Source IP/Port : /2048 Dest IP/Port : 53/768VPN-Instance/VLAN ID/VLL ID:Responder:Source IP/Port : 53/0 Dest IP/Port : /10001VPN-Instance/VLAN ID/VLL ID:Pro: ICMP(1)App: unknownState: ICMP-CLOSED Start time: 2000-04-26 14:24:39 TTL:

31、 30sRootZone(in): TrustZone(out): UntrustReceived packet(s)(Init): 4 packet(s) 240 byte(s)Received packet(s)(Reply): 4 packet(s) 240 byte(s)Initiator:Source IP/Port : /2048Dest IP/Port : 53/768VPN-Instance/VLAN ID/VLL ID: Responder:Source IP/Port : 53/0 Dest IP/Port : /10001VPN-Instance/VLAN ID/VLL

32、ID:Pro: ICMP(1)App: unknownState: ICMP-CLOSED Start time: 2000-04-26 14:22:28 TTL: 30sRootZone(in): TrustZone(out): UntrustReceived packet(s)(Init): 135 packet(s) 8100 byte(s)Received packet(s)(Reply): 135 packet(s) 8100 byte(s)策略匹配执行顺序www.33普通NAT和NAT444的匹配顺序： nat outbound static nat444 outbound sta

33、tic nat444 outbound acl/nat outbound acl NAT444静态配置支持全局和接口下配置，接口下配置优先于全局。（不建议使用全局配置） 对于nat444 outbound acl和nat outbound acl，软件不做优先级区别，统一按照ACL编号由大到小的顺序匹配（与配置顺序无关）#interface Ten-GigabitEthernet0/0.100 description To_Unicomvlan-type dot1q vid 100 nat outbound staticnat outbound 3005 address-group 5nat

34、outbound 3002 address-group 2nat outbound 3001 address-group 1 nat444 outbound staticnat444 outbound 3004 address-group 4 port-range 10001 20000 block-size 1000nat444 outbound 3003 address-group 3 port-range 10001 20000 block-size 1000nat444 static local 00 global 0 port-range 10001 20000 block-size 1000ip address 54 #nat444 static local 00 global 0 port-range 10001 20000 block-size 1000#Global地址黑洞路由及ARP响应问题www.34Global地址黑洞路由问题 NAT444静态方式