NAT原理與基本應(yīng)用培訓(xùn)膠片-20060711-A

1、HUAWEI TECHNOLOGIES CO., LTDHUAWEI Confidential Security Level: NAT原理與基本應(yīng)用ISSUE 4.0HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 1lNAT技術(shù)實(shí)現(xiàn)了私網(wǎng)與公網(wǎng)的互訪，為私網(wǎng)提供了安全保障，也給公網(wǎng)帶來(lái)了安全隱患。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 2學(xué)習(xí)指南l開篇會(huì)介紹一些和NAT相關(guān)的基本概念l重點(diǎn)理解NAT的入口和出口轉(zhuǎn)換流程HUAWEI TECHNOLOGIES CO.,

2、LTD.HUAWEI Confidential Page 3參考資料lRFC 3022Traditional IP Network Address Translator (Traditional NAT)lRFC2993Architectural Implications of NATlRFC 2663IP Network Address Translator (NAT) Terminology and ConsiderationslRFC 3027Protocol Complications with the IP Network Address TranslatorHUAWEI TECHN

3、OLOGIES CO., LTD.HUAWEI Confidential Page 4l學(xué)習(xí)完此課程，您將會(huì)：NAT基本概念NAT工作原理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 5第第2章章 NAT工作原理工作原理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 6NAT基本概念lNAT(Network Address Translator)網(wǎng)絡(luò)地址轉(zhuǎn)換，即改變IP報(bào)文中的源或目的地址的一種處理方式；使一個(gè)局域網(wǎng)中的多臺(tái)主機(jī)使用少數(shù)的合法地址訪問外部資源，也可以按照要求

4、設(shè)定內(nèi)部的WWW、FTP、TELNET的服務(wù)提供給外部網(wǎng)絡(luò)使用；有效的隱藏了內(nèi)部局域網(wǎng)的主機(jī)IP地址，起到了安全保護(hù)的作用。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 7NAT基本概念l公有地址和私有地址l私有地址是指內(nèi)部網(wǎng)絡(luò)(局域網(wǎng)內(nèi)部)的主機(jī)地址，而公有地址是局域網(wǎng)的外部地址（在因特網(wǎng)上的全球唯一的IP地址）。因特網(wǎng)地址分配組織規(guī)定以下的三個(gè)網(wǎng)絡(luò)地址保留用做私有地址： - 55 - 55 - 192.168.255.

5、255 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 8NAT基本概念l地址池地址池是由一些外部地址（全球唯一的IP地址）組合而成的，我們稱這樣的一個(gè)地址集合為地址池。在內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包通過地址轉(zhuǎn)換達(dá)到外部網(wǎng)絡(luò)時(shí)，將會(huì)選擇地址池中的某個(gè)地址作為轉(zhuǎn)換后的源地址，這樣可以有效利用用戶的外部地址，提高內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的能力。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 9NAT基本概念l訪問控制列表訪問列表是由ACCESS-LIST命令生成的，它依據(jù)IP數(shù)據(jù)包報(bào)頭以及它承載

6、的上層協(xié)議數(shù)據(jù)包頭的格式定義了一定的規(guī)則，可以表示允許或者是禁止具有某些特征(包頭數(shù)據(jù)可以描述的）的數(shù)據(jù)包，地址轉(zhuǎn)換按照這樣的規(guī)則判定哪些包是被允許轉(zhuǎn)換或者是禁止轉(zhuǎn)換，這樣可以禁止一些內(nèi)部的主機(jī)訪問外部網(wǎng)絡(luò)，提高一些網(wǎng)絡(luò)的安全性問題。有關(guān)的詳細(xì)概念可以參考防火墻中的有關(guān)內(nèi)容。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 10NAT基本概念l轉(zhuǎn)換關(guān)聯(lián)轉(zhuǎn)換關(guān)聯(lián)就是將一個(gè)地址池和一個(gè)訪問列表關(guān)聯(lián)起來(lái)，這種關(guān)聯(lián)指定了“具有某些特征的IP報(bào)文”是使用“這樣的地址池中的地址”，而另一些可能是使用另外一個(gè)地址池中的地址。在地址轉(zhuǎn)換時(shí)，是根據(jù)這樣的

7、對(duì)應(yīng)進(jìn)行地址轉(zhuǎn)換的。當(dāng)一個(gè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包文發(fā)往外部網(wǎng)絡(luò)時(shí)，首先根據(jù)訪問列表判定是否是允許的數(shù)據(jù)包，然后根據(jù)轉(zhuǎn)換的關(guān)聯(lián)找到于之相對(duì)應(yīng)的地址池，我們就可以把源地址轉(zhuǎn)換成這個(gè)地址池中的某一個(gè)地址，完成地址轉(zhuǎn)換。 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 11NAT基本概念l內(nèi)部服務(wù)器映射表內(nèi)部服務(wù)器映射表是由NAT SERVER命令配置的，允許用戶依照自己的需要提供內(nèi)部服務(wù)。在轉(zhuǎn)換時(shí)，根據(jù)用戶的配置查找外部數(shù)據(jù)包的目的地址，如果是訪問內(nèi)部的服務(wù)器，則轉(zhuǎn)換成相應(yīng)的內(nèi)部服務(wù)器的目的地址和端口，達(dá)到訪問內(nèi)部服務(wù)器的目的。還原時(shí)對(duì)源地址進(jìn)行

8、查找，判斷是否是從內(nèi)部服務(wù)器出去的報(bào)文，如果是將源地址轉(zhuǎn)換成相應(yīng)的外部地址。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 12第第1章章 NAT基本概念基本概念HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 13NAT的基本工作原理lNAT在系統(tǒng)中的位置IPTCP/UDPLink LayerNATHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 14NAT的基本工作原理 lNAT基本工作原理（以出口NAT為例）l在I

9、P層的出口處調(diào)用NAT是否是LIST中允許的地址？建立新的HASH表項(xiàng)，記錄有關(guān)轉(zhuǎn)換信息,轉(zhuǎn)換地址以及端口Yes是否是內(nèi)部服務(wù)器的數(shù)據(jù)報(bào)由NATSERVER命令形成的關(guān)聯(lián)表No轉(zhuǎn)換源地址、源端口YesHASH表NoIP層HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 15NAT的基本工作原理l在IP層的入口出調(diào)用NAT是否是到內(nèi)部服務(wù)器的數(shù)據(jù)報(bào)？轉(zhuǎn)換目的地址和端口Yes由NATSERVER命令形成的關(guān)聯(lián)表是否是HASH表中的地址NoHASH表還原數(shù)據(jù)目的地址以及端口YesIP層NoHUAWEI TECHNOLOGIES CO., LT

10、D.HUAWEI Confidential Page 16NAT的基本工作原理l透明的地址分配靜態(tài)的地址分配指一個(gè)特定的主機(jī)使用固定的地址訪問外部的網(wǎng)絡(luò)。動(dòng)態(tài)的地址分配是指NAT在一些地址中挑選一個(gè)地址，做為內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問外部網(wǎng)絡(luò)的IP地址。無(wú)論是那種，地址的分配應(yīng)該對(duì)用戶來(lái)說是透明的。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 17NAT的基本工作原理lNAT的基本工作方式：NAT一對(duì)一的地址轉(zhuǎn)換PAT多對(duì)一的地址轉(zhuǎn)換NPAT多對(duì)多的地址轉(zhuǎn)換HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confid

11、ential Page 18NAT的基本工作原理lNAT方式HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 19NAT的基本工作原理lNAT方式在出方向上轉(zhuǎn)換IP報(bào)文頭中的源IP地址，而不對(duì)端口進(jìn)行轉(zhuǎn)換。在私有網(wǎng)絡(luò)地址和外部網(wǎng)絡(luò)地址之間建立一對(duì)一映射，實(shí)現(xiàn)比較簡(jiǎn)單只轉(zhuǎn)換IP報(bào)文頭中的IP地址，所以適用于所有IP報(bào)文轉(zhuǎn)換HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 20NAT的基本工作原理lPAT方式(0: 1001 - 6: 23) - (

12、00:12964 - 6: 23) (6: 23 - 00:12964) - (6: 23 - 0: 1001)HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 21NAT的基本工作原理lPAT方式PAT（Port Address Translation）方式的地址轉(zhuǎn)換利用了TCP/UDP協(xié)議的端口號(hào)，進(jìn)行地址轉(zhuǎn)換。PAT方式的地址轉(zhuǎn)換是采用了“地址端口”的映射方式，因此可以使內(nèi)部局域網(wǎng)的許多主機(jī)共享一個(gè)IP地址訪問I

13、nternet。在私有網(wǎng)絡(luò)地址和外部網(wǎng)絡(luò)地址之間建立多對(duì)一映射。不同的內(nèi)部網(wǎng)地址，轉(zhuǎn)換時(shí)采用相同的公網(wǎng)地址，并依靠不同的端口號(hào)來(lái)區(qū)分每一個(gè)內(nèi)部網(wǎng)主機(jī)。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 22NAT的基本工作原理lNPAT方式( 0: 1001 - 6: 23) - (00:12964 - 6: 23) (:2001 - 7: 25) (6: 23 - 00:129

14、64) - (6: 23 - 0: 1001) (7: 25 - :2001)HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 23NAT的基本工作原理lNPAT方式NPAT（Nat & Port Address Translation）方式的地址轉(zhuǎn)換也是利用了TCP/UDP協(xié)議的端口號(hào)，進(jìn)行地址轉(zhuǎn)換。私網(wǎng)地址和公網(wǎng)地址之間建立了多對(duì)多的映射關(guān)系。NPAT方式也是采用“地址端口”的映射關(guān)系，因此可以使內(nèi)部局域網(wǎng)的多個(gè)主機(jī)共享多個(gè)IP地址訪問Internet。

15、HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 24NAT的基本工作原理l內(nèi)部服務(wù)器內(nèi)部服務(wù)器是一種反相的地址轉(zhuǎn)換。地址轉(zhuǎn)換屏蔽了內(nèi)部網(wǎng)絡(luò)中的主機(jī)，而內(nèi)部服務(wù)器可以提供外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的服務(wù)。可以配置WWW、FTP、Telnet等服務(wù)。內(nèi)部服務(wù)器映射表是由NAT SERVER命令配置的，在轉(zhuǎn)換時(shí)，根據(jù)用戶的配置查找外部數(shù)據(jù)包的目的地址，如果是訪問內(nèi)部的服務(wù)器，則轉(zhuǎn)換成相應(yīng)的內(nèi)部服務(wù)器的目的地址和端口，達(dá)到訪問內(nèi)部服務(wù)器的目的。還原時(shí)對(duì)源地址進(jìn)行查找，判斷是否是從內(nèi)部服務(wù)器出去的報(bào)文，如果是將源地址轉(zhuǎn)換成相應(yīng)的外部地址。HUAWEI

16、 TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 25NAT的基本工作原理l內(nèi)部服務(wù)器HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 26NAT的基本工作原理l利用ACL控制地址轉(zhuǎn)換不能訪問Internet可以使用地址轉(zhuǎn)換訪問InternetHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 27NAT的基本工作原理l支持特殊協(xié)議（ALG應(yīng)用程序網(wǎng)關(guān)）地址轉(zhuǎn)換改變了IP數(shù)據(jù)包頭的IP地址信息，如果數(shù)據(jù)報(bào)文的載荷中含有地址信息，地址轉(zhuǎn)換

17、就需要特殊處理，除了改變IP包頭的地址信息以外還需要改變數(shù)據(jù)報(bào)文中載荷中的地址信息。比較典型的應(yīng)用是FTP目前VRP NAT平臺(tái)支持FTP、Radius、L2tp、PPTP、CMC幾種特殊的協(xié)議。以及后來(lái)支持的H.323、SMTP、DNS等。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 28NAT的基本工作原理l以FTP ALG為例：在TCP的應(yīng)用FTP中，包含兩種連接：控制連接（會(huì)話）、數(shù)據(jù)連接（傳輸）。其中控制連接是用大家都熟悉的21端口的TCP連接。數(shù)據(jù)連接卻是由客戶端“發(fā)起”的，它通過控制連接“通知”服務(wù)器它已經(jīng)初始化完的端

18、口，F(xiàn)TP服務(wù)器通過20端口（默認(rèn)情況）將數(shù)據(jù)傳送到客戶端。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 29NAT的基本工作原理l以FTP ALG為例（續(xù)）：在通知服務(wù)器的時(shí)候，會(huì)用到“PORT命令”，其中在這次TCP連接的數(shù)據(jù)中是這樣的：“PORT 10,110,1,2,13,23AD”（表示：端口=138 + 23，地址=)，于是服務(wù)器就可以知道客戶端的數(shù)據(jù)連接的地址和端口了。在地址轉(zhuǎn)換的過程中，對(duì)于PORT命令，我們除了改變IP地址以及端口信息，同時(shí)必須改變相應(yīng)TCP中的數(shù)據(jù)，這樣才可以保證使FTP服務(wù)器

19、端可以把數(shù)據(jù)發(fā)送到正確的客戶端。這樣，有可能會(huì)使TCP數(shù)據(jù)包的長(zhǎng)度發(fā)生變化，所以對(duì)于PORT命令還需要對(duì)TCP數(shù)據(jù)頭中的序號(hào)（SEQUENCE NUMBER）進(jìn)行調(diào)整。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 30NAT的基本工作原理lNAT地址轉(zhuǎn)換的DNS運(yùn)用DNS服務(wù)器處于私網(wǎng)中DNS服務(wù)器處于公網(wǎng)中HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 31NAT的基本工作原理lDNS和內(nèi)部服務(wù)器使用私網(wǎng)地址由于內(nèi)部www服務(wù)器和DNS服務(wù)器都在一個(gè)私網(wǎng)內(nèi)，這樣，當(dāng)內(nèi)部D

20、NS進(jìn)行為內(nèi)部服務(wù)器進(jìn)行域名到IP地址的轉(zhuǎn)換時(shí)，會(huì)得到一個(gè)內(nèi)部網(wǎng)的IP地址，然后DNS將這個(gè)內(nèi)部地址返回給外部要訪問的內(nèi)部服務(wù)器的主機(jī)。而這個(gè)地址由于是私網(wǎng)地址，所以外部網(wǎng)訪問不到。 NE16公網(wǎng)PCNATwww 服 務(wù)器DNS 服務(wù)器PC內(nèi)部網(wǎng)HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 32NAT的基本工作原理lDNS在公網(wǎng)上，內(nèi)部主機(jī)無(wú)法使用域名訪問內(nèi)部服務(wù)器當(dāng)內(nèi)部pc通過域名訪問時(shí)，會(huì)到外部的DNS上請(qǐng)求IP地址，由于DNS是在外部，所以它會(huì)返回一個(gè)公網(wǎng)的地址或找不到地址。這樣導(dǎo)致內(nèi)部PC通過域名訪問時(shí)，得到是個(gè)外部的地址或

21、者得不到地址，導(dǎo)致內(nèi)部用戶不能正常訪問內(nèi)部服務(wù)器。 NE16公 網(wǎng)PCNA Twww 服務(wù)器ftp服 務(wù) 器PC內(nèi) 部 網(wǎng)DNS服 務(wù) 器Qusetion：有什么好的方法可以解決：有什么好的方法可以解決DNS問題？問題？HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 33NAT的基本工作原理l以太網(wǎng)口支持地址池在以太網(wǎng)環(huán)境中，如果地址池中的地址與接口的地址在不同的網(wǎng)段上，那么可以通過添加路由的方式來(lái)解決。而如果在同一個(gè)網(wǎng)段上，則對(duì)方不會(huì)缺省的將報(bào)文發(fā)送到此設(shè)備上，因?yàn)閷?duì)方發(fā)現(xiàn)這是一個(gè)同網(wǎng)段的地址，會(huì)發(fā)送ARP請(qǐng)求，如果得不到響應(yīng)，將認(rèn)

22、為這個(gè)地址不存在，當(dāng)然報(bào)文將無(wú)法到達(dá)本端。因此需要對(duì)以太網(wǎng)接口做特殊處理，使得當(dāng)?shù)刂烦刂械牡刂泛徒涌诘牡刂吩谕粋€(gè)網(wǎng)段也可以支持。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 34NAT的基本工作原理l以太網(wǎng)口支持地址池（續(xù)）如果一個(gè)ARP請(qǐng)求報(bào)請(qǐng)求的地址不是以太網(wǎng)接口的IP地址，ARP模塊將這個(gè)ARP請(qǐng)求丟棄，現(xiàn)在NAT模塊提供一個(gè)函數(shù)，根據(jù)地址、接口判斷這個(gè)地址是否是在這個(gè)接口上的一個(gè)地址池中的地址。如果是，告訴ARP對(duì)這個(gè)IP地址發(fā)送ARP應(yīng)答，MAC地址就是這個(gè)以太網(wǎng)接口的MAC地址。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 35NAT的基本工作原理l支持多個(gè)方向上負(fù)載分擔(dān)應(yīng)用NAT RouterISP1PC1Ethernet內(nèi)部網(wǎng)絡(luò)PC2ISP2HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 36NAT基本工作原理l地址轉(zhuǎn)換的優(yōu)點(diǎn)：地址轉(zhuǎn)換可以使內(nèi)部網(wǎng)絡(luò)用戶方便的訪問Internet。地址轉(zhuǎn)換可以使內(nèi)部局域網(wǎng)的許多主機(jī)共享一個(gè)IP地址上網(wǎng)。