HC110310004-HCNA-Security-CBSN-第四章-网络地址转换技术V2.0.ppt

1、修订记录，本页未打印，第四章网络地址转换技术，目的，完成本课程后，您将能够掌握NAT :的技术原理，掌握NAT的几种应用方法，并掌握防火墙的NAT配置，目录，网络地址转换技术介绍NAT技术基于源IP地址的NAT技术基于目的IP地址的NAT技术双向NAT技术NAT应用场景配置，NAT生成背景，IPv4地址日益枯竭。IPv6技术不能取代各种延长IPv4寿命的技术，NAT就是其中之一。你为什么需要NAT？NAT技术的主要应用是实现从大量私有网络地址到少量公共网络地址的转换。在保证通信的基础上节省IP地址资源。私有网络地址不能在公共网络中路由，否则通信将被混淆和丢弃。。专用网络地址？在

2、不知道路由的情况下，专用网和公用网之间的通信不需要NAT，不需要处理，NAT技术的基本原理是，NAT技术可以通过转换IP报头中的源地址或目的地址，使大量的专用网IP地址接入公用网。将私有网络源地址替换为公共网络地址，将公共网络目的地址替换为私有网络地址，NAT分类，NAT分类，优点和缺点，实现IP地址重用的优点，节省宝贵的地址资源，为用户提供透明的地址转换过程，为内部网用户提供隐私保护，实现内部服务器的负载平衡，增加网络监控难度和限制某些特定应用、目录， 网络地址转换技术介绍基于源IP地址转换技术的网络地址转换技术双向网络地址转换技术网络地址转换应用场景配置，源IP地址转换技术概述，基于源IP

3、地址和端口转换的源IP地址转换，信任，不信任，信任，不信任，源1源端口X目的地1.1.1，源1目的地1.1.1，源目的地1.1.1，源源端口Y目的地1.1.1。 NAT出站NAT入站、信任、不信任、非军事区、不信任、源1目的地1.1.1、源目的地、转换、出站、入站、高安全性区域、低安全性区域源1的、源的1.1.1、转换、基于端口转换的NAT、无pat(端口地址转换)。它主要用于一对一的IP地址转换，端口不进行转换。将不同的内

4、部地址映射到同一公共地址的不同端口号，实现多对一的地址转换。多对一地址转换主要由NAPT技术实现。，，，，，，，，丢弃，155 . 133 . 87 . 1:7111 155 . 133 . 87 . 1:7112 155 . 133 . 87 . 1:7113、基于源IP地址转换的配置(命令行)，在系统视图中，配置NAT地址池NAT地址-组-组号组-名称开始-地址结束-地址在系统视图中，输入域间NAT策略视图NAT策略区域间-名称1区

5、域-名称2入站|出站创建NAT策略。输入策略标识查看策略策略标识策略源-地址源-通配符|策略目标源-地址源-通配符|策略服务-设置服务-设置名称-操作源-网络地址转换|无网络地址转换地址-组号|名称无密码，网络地址转换地址池，它是一组连续的IP地址。当来自专用网络的消息通过地址转换为公共网络的IP地址时，创建NAT地址池的命令将选择地址池中的一个地址作为转换后的地址：NAT地址-组号-组名-开始-地址结束-地址vrrp虚拟-路由器-id NAT地址-组0池0 00、组号、组名、开始地址、结束地址、基于源IP地址转换的配置(网络)、NAT地址池配置、

6、设置地址池范围、基于的配置NAT ALG(应用层网关)是特定应用协议的翻译代理，可以完成应用层数据中携带的地址和端口号信息的翻译。NAT可以转换部分，NAT ALG实现原理，NAT ALG在FTP主动模式下的应用，私有网络，公共网络，主机，NAT alg 8.8.11，FTP服务器，在主机和FTP服务器之间建立控制连接，发送端口消息(，1084)，并且ALG处理它(12487)，FTP服务器启动到主机(8.8.8)的数据连接NAT和服务器映射表NAT ALG可以通过服务器映射表中的转换字段转换上层信息NAT中生成

7、服务器映射条目的两种情况：配置NAT服务器和NAT No-PAT，设备将自动生成服务器映射条目，用于存储全局地址和内部地址之间的映射关系。设备将为数据流建立一个服务器映射表，其中包含由配置的多通道协议生成的实际流量。目录，网络地址转换技术介绍基于源IP地址的网络地址转换技术基于目标IP地址的网络地址转换技术双向网络地址转换技术网络地址转换应用场景配置，网络地址转换服务器-内部服务器，其功能是使用公共网络地址来表示内部服务器的外部地址。dmz，untrust，，，在防火墙上，为内部服务器专门配置了一个外部公共网络地址来表示专用网络地址。对于外部网络用户

8、，防火墙上配置的外部网络地址是服务器的地址。、公共网络地址、真实地址、万维网服务器、外部网络用户、源IP地址目的地、源IP地址目的地、转换、基于NAT服务器的配置(命令行)，在系统视图下， NAT服务器id协议-类型全局-地址全局-地址-结束|接口-接口-类型接口-内部主机-地址主机-地址结束vrrp虚拟-路由器-id |主机|从机-无反向示例：NAT服务器协议TCP全局内部199 在网络地址转换服务器配置(Web)的基础上，选择映射模式，可以选择一对一和多对多的地址映射，设置外部地址和内部地址，其中外部地址选择外部接口，选择承

9、载协议和端口转换信息，目的网络地址转换，当移动终端接入无线网络时，如果其默认的WAP网关地址与本地运营商的WAP网关地址不一致，可以在终端和WAP网关之间部署一个设备， 并且可以配置目的网络地址转换功能，使得设备可以自动将终端发送到错误的WAP网关地址的消息转发到正确的WAP网关。基站、GGSN、GSR、防火墙、WAP网关、基于目的地NAT的配置(命令行)，在系统视图下，进入安全区域视图，配置目的地NAT防火墙区域名称区域名称目的地NAT ACL编号地址IP地址端口号示例：USG防火墙区域信任USG区域信任目的地Ion-NAT 3333地址，基于目的地NAT配置(网络)，配置

10、转换后的IP地址通常是本地运营商的WAP网关的IP地址，源安全区域通常是用户所属的安全区域。源地址是来自源安全区域的消息的源IP地址。介绍基于源IP地址的网络地址转换技术基于目的IP地址的网络地址转换技术网络地址转换应用场景配置、双向网络地址转换技术和双向网络地址转换应用场景3360网络地址转换服务器网络地址转换入站网络地址转换服务器域内网络地址转换和域间双向网络地址转换。dmz，不可信，，NAT入站专用网络IP地址，互联网用户，外部网络服务器，，，真实IP地址，外部公共网络地址，防火墙将FTP服务器响应消息的sna

11、t转换为已发布的地址，目标地址转换为用户的内部网IP地址。信任域、、、服务器公共网络地址、用户公共网络地址、内部网用户、服务器、目录、网络地址转换技术介绍NAT应用场景配置基于源IP地址NAT技术基于目标IP地址NAT技术双向NAT技术NAT典型应用场景配置示例、应用场景分析NAT出站应用NAT服务器应用、非军事区、非信任区、信任区、192.168.1/24(省略了具体的配置步骤)配置地址池。美国签名地址-组1 配置nat出站策略美国签名-策略区域间信任不信

12、任出站USG-NAT-策略-区域间信任-不信任-出站策略0 USG-NAT-策略-区域间信任-不信任-出站-0策略源192 . 168 . 0 . 0 . 0 . 0 . 255 USG-NAT-策略-区域间信任-不信任-出站在这个例子中，要实现信任区域中的用户访问不信任区域中的互联网资源，因此源安全区域是信任的，而目的安全区域是不信任的。防火墙、网络地址转换服务器配置(命令行)、配置内部网络和文件传输协议服务器。内的Usg NAT服务器协议TCP全局 80 192 . 168 . 20 . 3内的8080 usg NAT服务器协议TCP全局 FTP配置域间包过滤规则。美国政