分享会-NAT企业网应用实战

NAT企业网应用实战

陈珵CCIENO.37448华为认证讲师Page2前言随着Internet的发展和网络应用的增多，IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足的问题，但目前众多的网络设备和网络应用仍是基于IPv4的，因此在IPv6广泛应用之前，一些过渡技术的使用是解决这个问题的主要技术手段。网络地址转换技术NAT（NetworkAddressTranslation）主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时，通过NAT技术可以将其私网地址转换为公网地址，并且多个私网用户可以共用一个公网地址，这样既可保证网络互通，又节省了公网地址。NAT的分类：Page3一对一(静态NAT)一对多(PAT、NAPT)NAT处理报文的几个关键特点：■网络被分为私网和公网两个部分，NAT网关设置在私网到公网的路由出口位置，双向流量必须都要经过NAT网关；■网络访问只能先由私网侧发起，公网无法主动访问私网主机；■NAT网关在两个访问方向上完成两次地址的转换或翻译，出方向做源信息替换，入方向做目的信息替换；■NAT网关的存在对通信双方是保持透明的；■NAT网关为了实现双向翻译的功能，需要维护一张关联表，把会话的信息保存下来。Page4NAT应用场景Page5私有网络公共网络/24SWASWA/24/24企业或家庭所使用的网络为私有网络，使用的是私有地址；运营商维护的网络为公共网络，使用的是公有地址。私有地址不能在公网中路由。NAT一般部署在连接内网和外网的网关设备上。RTA主机A主机BPage6NAT实现技术静态一对一地址映射这种工作方式下，NAT把一个私网地址和一个公网地址做静态关联，在从内而外的方向，将源IP匹配的私网IP替换为公网IP，反方向则将目的IP匹配公网IP的报文替换为私网IP。网络层以上的部分不进行替换处理，只修正校验和。静态多对多地址映射这种方式与上一种类似，只是把一段私网地址映射到一段公网址。工作机制与前述的方式没有差别，只是简化配置工作量。静态NATPage7S:D:D:S:S:D:SWASWARTAS:D:静态NAT实现了私有地址和公有地址的一对一映射。一个公网IP只会分配给唯一且固定的内网主机。主机A主机BD:S:D:S:S:D:S:D:/24/24/24主机C静态NAT配置Page8[RTA]interfaceGigabitEthernet0/0/1[RTA-GigabitEthernet0/0/1]ipaddress5424[RTA-GigabitEthernet0/0/1]interfaceSerial1/0/0[RTA-Serial1/0/0]ipaddress24[RTA-Serial1/0/0]natstaticglobalinside[RTA-Serial1/0/0]natstaticglobalinsideSWARTAS1/0/0G0/0/1主机A主机B/24/24/24主机CNAT的映射表[R1]disnatsessionallNATSessionTableInformation:Protocol:ICMP(1)SrcAddrVpn:

DestAddrVpn:8

TypeCodeIcmpId:0811185NAT-InfoNewSrcAddr:00NewDestAddr:NewIcmpId:Page9IP报文Page10PING的ICMP报文Page11Page12NAT实现技术动态端口映射这是最基本的工作方式，即前面多次介绍的将一段内网地址动态翻译为一个或多个公网IP，同时对传输层端口或其他上层协议信息进行转换，以实现IP复用。对由内而外的报文，替换源地址和端口，反向报文替换目的地址和端口。仅以连接公网的接口IP作为NAT转换的公网地址时，这种配置最简化，又被称为EasyIP。当以一段公网IP地址作为NAT转换地址时，需要配置一个地址NAT会自动在地址池中选择使用公网IP。EasyIPPage130/24SWASWARTAS1/0/0EasyIP允许将多个内部地址映射到网关出接口地址上的不同端口。S::1028D::80S::1025D::80S:0:2844D::80S:0:2843D::80主机A主机B/24/24/24主机CEasyIP配置Page14[RTA]acl2000[RTA-acl-basic-2000]rule5permitsource55[RTA-acl-basic-2000]quit[RTA]interfaceserial1/0/0[RTA-Serial1/0/0]natoutbound2000SWASWARTA/24S1/0/0主机A主机B/24/24主机CPage15NAT实现技术动态地址映射（No-PAT）这是介于静态多对多地址映射和动态端口映射方式之间的一种工作机制。当有一个私网向公网侧访问到达NAT网关时，NAT网关会检查这个私网IP是否已经有关联的公网IP映射。如果已经存在，则按照转换表直接替换IP，不修改上层协议。如果不存在关联表项，则在空闲的公网IP池中占用一个IP，并写入关联表中，以后按照这个关联关系进行地址转换。当这个私网主机发起的所有对外访问均关闭或超时后，回收公网IP。这种方式可以理解为一组内网主机抢占式地共享一个公网IP地址池。当公网IP地址池用完以后，新连接将无法建立。动态NAT配置Page16…………[RTA]nataddress-group100[RTA]acl2000[RTA-acl-basic-2000]rule5permitsource55[RTA-acl-basic-2000]quit[RTA]interfaceserial1/0/0[RTA-Serial1/0/0]natoutbound2000address-group1no-patSWARTAS1/0/0G0/0/1主机A主机B/24/24/24主机CPage17NAT实现技术静态端口映射通过静态配置，把一个固定的私网IP地址和端口关联到一个公网地址和端口上。这种方式等同于前面介绍过的全锥模式，但是不需要内网主机首先发出报文。这种方式适用于在NAT网关上把一个知名服务（如HTTP）映射到一个内部主机上，也称为portforwarding。NAT服务器Page18服务器D:00:80D::8000/24RTA通过配置NAT服务器,可以使外网用户访问内网服务器。S::2844S::2844S:00:80S::80D::2844D::2844/24主机CNAT服务器配置Page19/24[RTA]interfaceGigabitEthernet0/0/1[RTA-GigabitEthernet0/0/1]ipaddress5424[RTA-GigabitEthernet0/0/1]interfaceSerial1/0/0[RTA-Serial1/0/0]ipaddress24[RTA-Serial1/0/0]natserverprotocoltcpglobalwwwinside8080服务器G0/0/1S1/0/0RTA/24主机CPage20NAT实现技术NAT转换关联表无论哪一种NAT工作方式，都要用到地址转换关联表，在不同产品的实现中，这个关联表的存储结构和在IP转发中调用的方式有很大不同。关联表中会记录源IP、目的IP、连接协议类型、传输层源端口、目的端口，以及转换后的源IP、源端口，目的IP、目的端口信息，这里的源和目的都是对应于从内网到外网的访问方向。依据NAT具体工作方式，这些信息可能全部填充，也可能部分填充。例如只按照IP做静态映射的方式，就不需要填入任何端口相关信息；对于静态端口映射，则只填入源相关的内容，而目的端的信息为空。Page21NAT表项的老化时间各协议的老化时间为：DNS（120s）、ftp（120s）、ftp-data（120s）、HTTP（120s）、icmp（20s）、tcp（600s）、tcp-proxy（10s）、udp（120s）、sip（1800s）、sip-media（120s）、rtsp（60s）、rtsp-media（120s）Page22Page23NAT的问题-对端到端通信模型的破坏Page24NATALGPage25NATALG1、Client1访问WWW服务器，向外网的DNS服务器发送DNS解析请求，源IP为，目的IP为DNS服务器地址；2、DNS请求经过NAT网关转换源地址后发送给DNS服务器；3、DNS服务器对Client1的请求进行响应，响应内容包括WWW域名与IP地址的对应关系，注意，外网DNS服务器上www域名对应的IP地址是NAT网关上配置的外网地址；4、NAT网关收到响应报文后转换目的地址发向Client1；5、Client1收到该响应报文后向外网地址发起TCP的三次握手,而真实的服务器在内网，显然这样的访问不会成功。Page26NATALG普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能，但对应用层数据载荷中的字段无能为力，在许多应用层协议中，比如多媒体协议（H.323、SIP等）、FTP、SQLNET等，TCP/UDP载荷中带有地址或者端口信息，这些内容不能被NAT进行有效的转换，就可能导致问题。NATALG（ApplicationLevelGateway，应用层网关）技术能对多通道协议进行应用层报文信息的解析和地址转换，将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理，从而保证应用层通信的正确性。Page27解决方案1、在企业内部DNS中建立A记录2、NATALG和dnsmappingnatalgdnsenablenatdns-map80tcpNAT网关收到DNS响应报文，由于开启了DNSALG功能，所以NAT网关会监听DNS服务器的响应报文，在本例中由于外网接口上配置的NATserver公网地址为，返回的DNS响应报文中域名对应的地址也是

，所以NAT网关会修改DNS响应报文，将DNS响应报文中域名对应的地址修改为内网服务器真实地址00，同时将响应报文的目的IP进行转换目的地址后发向PC1Page28解决方案3、natoutbond和natserveraclnumber3000rule5permitipsource55destinationinterfaceGigabitEthernet0/0/0ipaddress54natserverprotocoltcpglobal

wwwinside00wwwnatoutbound3000Page29解决方案4、PBRaclnumber3000rule5