安全与VPN-NAT技术介绍-D

1、，安全与VPN-NAT技术介绍技术介绍安全和 VPN 业务目 录i目 录 HYPERLINK l _bookmark0 NAT HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 NAT简介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 地址转换控制 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark2 NAT实现 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark2 基本地址转换 HYPERLINK l _bookm

2、ark2 3 HYPERLINK l _bookmark2 NAPT HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark3 内部服务器 HYPERLINK l _bookmark3 5 HYPERLINK l _bookmark3 DNS mapping HYPERLINK l _bookmark3 5 HYPERLINK l _bookmark4 Easy IP HYPERLINK l _bookmark4 6 HYPERLINK l _bookmark4 NAT支持的特殊协议 HYPERLINK l _bookmark4 6 HYPERLINK l

3、 _bookmark5 支持NAT多实例 HYPERLINK l _bookmark5 7 HYPERLINK l _bookmark5 NAT日志 HYPERLINK l _bookmark5 7技术介绍安全和 VPN 业务NAT PAGE 7NATNAT 简介NAT（Network Address Translation，网络地址转换）是将 IP 数据报文头中的 IP 地址转换为另一个 IP 地址的过程。在实际应用中，NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公网 IP 地址代表较多的私网 IP 地址的方式， 将有助于减缓可用 IP 地址空间的枯竭。私网 IP 地址

4、是指内部网络或主机的 IP 地址，公网 IP 地址是指在因特网上全球唯一的 IP 地址。RFC 1918 为私有网络预留出了三个 IP 地址块，如下：A 类：55B 类：55C 类：55（上述三个范围内的地址不会在因特网上被分配，因此可以不必向 ISP 或注册中心申请而在公司或企业内部自由使用。）NAT 最初的设计目的是用于实现私有网络访问公共网络的功能，后扩展到实现任意两个网络间进行访问时的地址转换应用，本文中将这两个网络分别称为内部网络（内网）和外部网络（外网），通常私网为内部网络，公网为外部网络。 HYPERLINK l _bookmark0 图 1描述了一个基本的NAT应用。图1 地址

5、转换的基本过程内网用户主机（）向外网服务器（）发送的 IP 报文通过 NAT设备。NAT 设备查看报头内容，发现该报文是发往外网的，将其源 IP 地址字段的私网地址 转换成一个可在 Internet 上选路的公网地址 ，并将该报文发送给外网服务器，同时在 NAT 设备的网络地址转换表中记录这一映射。外网服务器给内网用户发送的应答报文（其初始目的 IP 地址为 ）到达 NAT 设备后，NAT 设备再次查看报头内容，然后查找当前网络地址转换表的记录，用内网私有地址 替换初始的目的 IP 地址。上述的 NAT 过程对终端（如图中的 Host 和 Server）来说是透明的。对外网服务器而言，它认为内

6、网用户主机的 IP 地址就是 ，并不知道有 这个地址。因此，NAT“隐藏”了企业的私有网络。地址转换的优点在于，在为内部网络主机提供了“隐私”保护的前提下，实现了内部网络的主机通过该功能访问外部网络的资源。但它也有一些缺点：由于需要对数据报文进行 IP 地址的转换，涉及 IP 地址的数据报报文的报头不能被加密。在应用协议中，如果报文中有地址或端口需要转换，则报文不能被加密。例如，不能使用加密的 FTP 连接，否则 FTP 协议的 port 命令不能被正确转换。网络调试变得更加困难。比如，某一台内部网络的主机试图攻击其它网络，则很难指出究竟哪一台主机是恶意的，因为主机的 IP 地址被屏蔽了。地址

7、转换控制在实际应用中，我们可能希望某些内部网络的主机可以访问外部网络，而某些主机不允许访问，即当 NAT 设备查看 IP 数据报文的报头内容时，如果发现源 IP 地址属于禁止访问外部网络的内部主机，它将不进行地址转换。另外，也希望只有指定的公网地址才可用于地址转换。设备可以利用 ACL（Access Control Limit，访问控制列表）和地址池来对地址转换进行控制。访问控制列表可以有效地控制地址转换的使用范围，只有满足访问控制列表规则的数据报文才可以进行地址转换。地址池是用于地址转换的一些连续的公网 IP 地址的集合，它可以有效地控制公网地址的使用。用户可根据自己拥有的合法 IP 地址数

8、目、内部网络主机数目以及实际应用情况，定义合适的地址池。在地址转换的过程中，NAT 设备将会从地址池中挑选一个 IP 地址做为数据报文转换后的源 IP 地址。NAT 实现基本地址转换从的地址转换过程可见，当内部网络访问外部网络时，地址转换将会选择一个合适的外部地址，来替代内部网络数据报文的源地址。在 HYPERLINK l _bookmark0 图 1中是选择NAT设备出接口的IP地址（公网IP地址）。这样所有内部网络的主机访问外部网络时，只能拥有一个外部网络的IP地址，因此，这种情况同时只允许最多有一台内部网络主机访问外部网络。当内部网络的多台主机并发的要求访问外部网络时，NAT 也可实现对

9、并发性请求的响应，允许 NAT 设备拥有多个公有 IP 地址。当第一个内网主机访问外网时，NAT 选择一个公有地址 IP1，在地址转换表中添加记录并发送数据报；当另一内网主机访问外网时，NAT 选择另一个公有地址 IP2，以此类推，从而满足了多台内网主机访问外网的请求。NAT 设备拥有的公有 IP 地址数目要远少于内部网络的主机数目，因为所有内网主机并不会同时访问外网。公有 IP 地址数目的确定，应根据网络高峰期可能访问外网的内网主机数目的统计值来确定。NAPTNAPT（Network Address Port Translation，网络地址端口转换）是基本地址转换的一种变形，它允许多个内部

10、地址映射到同一个公有地址上，也可称之为“多对一地址转换”。NAPT 同时映射 IP 地址和端口号：来自不同内部地址的数据报文的源地址可以映射到同一外部地址，但它们的端口号被转换为该地址的不同端口号，因而仍然能够共享同一地址，也就是“私网 IP 地址端口号”与“公网 IP 地址端口号”之间的转换。图2 NAPT 基本原理示意图如 HYPERLINK l _bookmark2 图 2所示，三个带有内部地址的数据报文到达NAT设备，其中报文 1 和报文 2 来自同一个内部地址但有不同的源端口号，报文 1 和报文 3 来自不同的内部地址但具有相同的源端口号。通过NAPT映射，四个数据报的源IP地址都被

11、转换到同一个外部地址，但每个数据报都被赋予了不同的源端口号，因而仍保留了报文之间的区别。当各报文的回应报文到达时，NAT设备仍能够根据回应报文的目的IP地址和目的端口号来区别该报文应转发到的内部主机。采用 NAPT 可以更加充分地利用 IP 地址资源，实现更多内部网络主机对外部网络的同时访问。目前，NAPT 支持两种不同的地址转换模式：Endpoint-Independent Mapping（不关心对端地址和端口转换模式）该模式下，NAT 设备通过建立三元组（源地址、源端口号、协议类型）表项来进行地址分配和报文过滤。即，只要是来自相同源地址和源端口号的报文，不论其目的地址是否相同，通过 NAP

12、T 映射后，其源地址和源端口号都被转换为同一个外部地址和端口号，并且 NAT 设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好得支持位于不同 NAT 设备之后的主机间进行互访。Address and Port-Dependent Mapping（关心对端地址和端口转换模式）该模式下，NAT 设备通过建立五元组（源地址、源端口号、协议类型、目的地址、目的端口号）表项为依据进行地址分配和报文过滤。即，对于来自相同源地址和源端口号的报文，若其目的地址和目的端口号不同，通过 NAPT 映射后，相同的源地址和源端口号将被转换为不同的外部地址和端口号，并且 NAT

13、设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好，但是不便于位于不同 NAT 设备之后的主机间进行互访。内部服务器NAT 隐藏了内部网络的结构，具有“屏蔽”内部主机的作用，但是在实际应用中， 可能需要给外部网络提供一个访问内网主机的机会，如给外部网络提供一台 Web 服务器，或是一台 FTP 服务器。NAT 设备提供的内部服务器功能，就是通过静态配置“公网 IP 地址端口号”与“私网 IP 地址端口号”间的映射关系，实现公网 IP 地址到私网 IP 地址的“反向”转换。例如，可以将 :8080 配置为内网某 Web 服务器的外部

14、网络地址和端口号供外部网络访问。如 HYPERLINK l _bookmark3 图 3所示，外部网络用户访问内部网络服务器的数据报文经过NAT设备时，NAT 设备根据报文的目的地址查找地址转换表项，将访问内部服务器的请求报文的目的IP地址和端口号转换成内部服务器的私有IP地址和端口号。当内部服务器回应该报文时，NAT设备再根据已有的地址映射关系将回应报文的源IP地址和端口号转换成公网IP地址和端口号。图3 内部服务器基本原理示意图DNS mapping本特性的支持情况与设备的型号有关，请以设备的实际情况为准。一般情况下，DNS服务器和访问私网服务器的用户都在公网，通过在NAT设备的公网接口上

15、配置内部服务器，可以将公网地址、端口等信息映射到私网内的服务器上， 使得公网用户可以通过内部服务器的域名或公网地址来访问内部服务器。但是，如 HYPERLINK l _bookmark4 图 4所示，如果DNS服务器在公网，私网用户希望通过域名来访问私网的Web服务器，则会由于DNS服务器向私网用户发送的响应报文中包含的是私网服务器的公网地址，而导致收到响应报文的私网用户无法利用域名访问私网服务器。通过在设备上配置DNS mapping可以解决该问题。图4 NAT DNS mapping 工作示意图DNS mapping 功能是指，通过配置“域名+公网 IP 地址+公网端口号+协议类型”的映射

16、表，建立内部服务器域名与内部服务器公网信息的对应关系。在配置了 NAT 的接口上，设备检查接收到的 DNS 响应报文，根据报文中的域名查找用户配置的 DNS mapping 映射表，并根据表项内的“公网地址+公网端口+协议类型”信息查找内部服务器地址映射表中该信息对应的私网地址，替换 DNS 查询结果中的公网地址。这样，私网用户收到的 DNS 响应报文中就包含了要访问的内部服务器的私网地址，也就能够使用内部服务器域名访问同一私网内的内部服务器。Easy IPEasy IP 功能是指进行地址转换时，直接使用接口的外网 IP 地址作为转换后的源地址，能够最大程度的节省 IP 地址资源。它也可以利用

17、访问控制列表控制哪些内部地址可以进行地址转换。NAT 支持的特殊协议NAT 不仅实现了一般的地址转换功能， 同时提供了完善的地址转换 ALG（Application Layer Gateway，应用级网关）机制，使其可以支持一些特殊的应用协议，而不需要对 NAT 平台进行任何的修改，具有良好的可扩充性。这些特殊协议的报文载荷里携带了地址或端口信息，该信息也可能需要进行地址转换。可支持的特殊协议包括：FTP（File Transfer Protocol，文件传输协议）、PPTP（Point-to-Point Tunneling Protocol，点到点隧道协议）、ICMP（Internet Co

18、ntrol Message Protocol，因特网控制消息协议）、DNS（Domain Name System，域名系统）、ILS（Internet Locator Service，Internet 定位服务）、RTSP（Real Time Streaming Protocol，实时流协议）、H.323、SIP（Session Initiation Protocol，会话发起协议）、NetMeeting 3.01、NBT（NetBIOS over TCP/IP，基于 TCP/IP 的网络基本输入输出系统）等。NAT 特殊协议的可支持情况与设备的型号有关，请以设备的实际情况为准。支持 NAT 多实例NAT 多实例允许分属于不同 MPLS VPN 的用户通过同一个出口访问外部网络，同时允许分属于不同 MPLS VPN 的用户使用相同的私网地址。当 MPLS VPN 用户