安全與VPN-NAT技術(shù)介紹-D

1、，安全與VPN-NAT技術(shù)介紹技術(shù)介紹安全和 VPN 業(yè)務(wù)目 錄i目 錄 HYPERLINK l _bookmark0 NAT HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 NAT簡(jiǎn)介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 地址轉(zhuǎn)換控制 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark2 NAT實(shí)現(xiàn) HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark2 基本地址轉(zhuǎn)換 HYPERLINK l _bookm

2、ark2 3 HYPERLINK l _bookmark2 NAPT HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark3 內(nèi)部服務(wù)器 HYPERLINK l _bookmark3 5 HYPERLINK l _bookmark3 DNS mapping HYPERLINK l _bookmark3 5 HYPERLINK l _bookmark4 Easy IP HYPERLINK l _bookmark4 6 HYPERLINK l _bookmark4 NAT支持的特殊協(xié)議 HYPERLINK l _bookmark4 6 HYPERLINK l

3、 _bookmark5 支持NAT多實(shí)例 HYPERLINK l _bookmark5 7 HYPERLINK l _bookmark5 NAT日志 HYPERLINK l _bookmark5 7技術(shù)介紹安全和 VPN 業(yè)務(wù)NAT PAGE 7NATNAT 簡(jiǎn)介NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是將 IP 數(shù)據(jù)報(bào)文頭中的 IP 地址轉(zhuǎn)換為另一個(gè) IP 地址的過(guò)程。在實(shí)際應(yīng)用中，NAT 主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問(wèn)公共網(wǎng)絡(luò)的功能。這種通過(guò)使用少量的公網(wǎng) IP 地址代表較多的私網(wǎng) IP 地址的方式， 將有助于減緩可用 IP 地址空間的枯竭。私網(wǎng) IP 地址

4、是指內(nèi)部網(wǎng)絡(luò)或主機(jī)的 IP 地址，公網(wǎng) IP 地址是指在因特網(wǎng)上全球唯一的 IP 地址。RFC 1918 為私有網(wǎng)絡(luò)預(yù)留出了三個(gè) IP 地址塊，如下：A 類：55B 類：55C 類：55（上述三個(gè)范圍內(nèi)的地址不會(huì)在因特網(wǎng)上被分配，因此可以不必向 ISP 或注冊(cè)中心申請(qǐng)而在公司或企業(yè)內(nèi)部自由使用。）NAT 最初的設(shè)計(jì)目的是用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問(wèn)公共網(wǎng)絡(luò)的功能，后擴(kuò)展到實(shí)現(xiàn)任意兩個(gè)網(wǎng)絡(luò)間進(jìn)行訪問(wèn)時(shí)的地址轉(zhuǎn)換應(yīng)用，本文中將這兩個(gè)網(wǎng)絡(luò)分別稱為內(nèi)部網(wǎng)絡(luò)（內(nèi)網(wǎng)）和外部網(wǎng)絡(luò)（外網(wǎng)），通常私網(wǎng)為內(nèi)部網(wǎng)絡(luò)，公網(wǎng)為外部網(wǎng)絡(luò)。 HYPERLINK l _bookmark0 圖 1描述了一個(gè)基本的NAT應(yīng)用。圖1 地址

5、轉(zhuǎn)換的基本過(guò)程內(nèi)網(wǎng)用戶主機(jī)（）向外網(wǎng)服務(wù)器（）發(fā)送的 IP 報(bào)文通過(guò) NAT設(shè)備。NAT 設(shè)備查看報(bào)頭內(nèi)容，發(fā)現(xiàn)該報(bào)文是發(fā)往外網(wǎng)的，將其源 IP 地址字段的私網(wǎng)地址 轉(zhuǎn)換成一個(gè)可在 Internet 上選路的公網(wǎng)地址 ，并將該報(bào)文發(fā)送給外網(wǎng)服務(wù)器，同時(shí)在 NAT 設(shè)備的網(wǎng)絡(luò)地址轉(zhuǎn)換表中記錄這一映射。外網(wǎng)服務(wù)器給內(nèi)網(wǎng)用戶發(fā)送的應(yīng)答報(bào)文（其初始目的 IP 地址為 ）到達(dá) NAT 設(shè)備后，NAT 設(shè)備再次查看報(bào)頭內(nèi)容，然后查找當(dāng)前網(wǎng)絡(luò)地址轉(zhuǎn)換表的記錄，用內(nèi)網(wǎng)私有地址 替換初始的目的 IP 地址。上述的 NAT 過(guò)程對(duì)終端（如圖中的 Host 和 Server）來(lái)說(shuō)是透明的。對(duì)外網(wǎng)服務(wù)器而言，它認(rèn)為內(nèi)

6、網(wǎng)用戶主機(jī)的 IP 地址就是 ，并不知道有 這個(gè)地址。因此，NAT“隱藏”了企業(yè)的私有網(wǎng)絡(luò)。地址轉(zhuǎn)換的優(yōu)點(diǎn)在于，在為內(nèi)部網(wǎng)絡(luò)主機(jī)提供了“隱私”保護(hù)的前提下，實(shí)現(xiàn)了內(nèi)部網(wǎng)絡(luò)的主機(jī)通過(guò)該功能訪問(wèn)外部網(wǎng)絡(luò)的資源。但它也有一些缺點(diǎn)：由于需要對(duì)數(shù)據(jù)報(bào)文進(jìn)行 IP 地址的轉(zhuǎn)換，涉及 IP 地址的數(shù)據(jù)報(bào)報(bào)文的報(bào)頭不能被加密。在應(yīng)用協(xié)議中，如果報(bào)文中有地址或端口需要轉(zhuǎn)換，則報(bào)文不能被加密。例如，不能使用加密的 FTP 連接，否則 FTP 協(xié)議的 port 命令不能被正確轉(zhuǎn)換。網(wǎng)絡(luò)調(diào)試變得更加困難。比如，某一臺(tái)內(nèi)部網(wǎng)絡(luò)的主機(jī)試圖攻擊其它網(wǎng)絡(luò)，則很難指出究竟哪一臺(tái)主機(jī)是惡意的，因?yàn)橹鳈C(jī)的 IP 地址被屏蔽了。地址

7、轉(zhuǎn)換控制在實(shí)際應(yīng)用中，我們可能希望某些內(nèi)部網(wǎng)絡(luò)的主機(jī)可以訪問(wèn)外部網(wǎng)絡(luò)，而某些主機(jī)不允許訪問(wèn)，即當(dāng) NAT 設(shè)備查看 IP 數(shù)據(jù)報(bào)文的報(bào)頭內(nèi)容時(shí)，如果發(fā)現(xiàn)源 IP 地址屬于禁止訪問(wèn)外部網(wǎng)絡(luò)的內(nèi)部主機(jī)，它將不進(jìn)行地址轉(zhuǎn)換。另外，也希望只有指定的公網(wǎng)地址才可用于地址轉(zhuǎn)換。設(shè)備可以利用 ACL（Access Control Limit，訪問(wèn)控制列表）和地址池來(lái)對(duì)地址轉(zhuǎn)換進(jìn)行控制。訪問(wèn)控制列表可以有效地控制地址轉(zhuǎn)換的使用范圍，只有滿足訪問(wèn)控制列表規(guī)則的數(shù)據(jù)報(bào)文才可以進(jìn)行地址轉(zhuǎn)換。地址池是用于地址轉(zhuǎn)換的一些連續(xù)的公網(wǎng) IP 地址的集合，它可以有效地控制公網(wǎng)地址的使用。用戶可根據(jù)自己擁有的合法 IP 地址數(shù)

8、目、內(nèi)部網(wǎng)絡(luò)主機(jī)數(shù)目以及實(shí)際應(yīng)用情況，定義合適的地址池。在地址轉(zhuǎn)換的過(guò)程中，NAT 設(shè)備將會(huì)從地址池中挑選一個(gè) IP 地址做為數(shù)據(jù)報(bào)文轉(zhuǎn)換后的源 IP 地址。NAT 實(shí)現(xiàn)基本地址轉(zhuǎn)換從的地址轉(zhuǎn)換過(guò)程可見，當(dāng)內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)時(shí)，地址轉(zhuǎn)換將會(huì)選擇一個(gè)合適的外部地址，來(lái)替代內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)報(bào)文的源地址。在 HYPERLINK l _bookmark0 圖 1中是選擇NAT設(shè)備出接口的IP地址（公網(wǎng)IP地址）。這樣所有內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)時(shí)，只能擁有一個(gè)外部網(wǎng)絡(luò)的IP地址，因此，這種情況同時(shí)只允許最多有一臺(tái)內(nèi)部網(wǎng)絡(luò)主機(jī)訪問(wèn)外部網(wǎng)絡(luò)。當(dāng)內(nèi)部網(wǎng)絡(luò)的多臺(tái)主機(jī)并發(fā)的要求訪問(wèn)外部網(wǎng)絡(luò)時(shí)，NAT 也可實(shí)現(xiàn)對(duì)

9、并發(fā)性請(qǐng)求的響應(yīng)，允許 NAT 設(shè)備擁有多個(gè)公有 IP 地址。當(dāng)?shù)谝粋€(gè)內(nèi)網(wǎng)主機(jī)訪問(wèn)外網(wǎng)時(shí)，NAT 選擇一個(gè)公有地址 IP1，在地址轉(zhuǎn)換表中添加記錄并發(fā)送數(shù)據(jù)報(bào)；當(dāng)另一內(nèi)網(wǎng)主機(jī)訪問(wèn)外網(wǎng)時(shí)，NAT 選擇另一個(gè)公有地址 IP2，以此類推，從而滿足了多臺(tái)內(nèi)網(wǎng)主機(jī)訪問(wèn)外網(wǎng)的請(qǐng)求。NAT 設(shè)備擁有的公有 IP 地址數(shù)目要遠(yuǎn)少于內(nèi)部網(wǎng)絡(luò)的主機(jī)數(shù)目，因?yàn)樗袃?nèi)網(wǎng)主機(jī)并不會(huì)同時(shí)訪問(wèn)外網(wǎng)。公有 IP 地址數(shù)目的確定，應(yīng)根據(jù)網(wǎng)絡(luò)高峰期可能訪問(wèn)外網(wǎng)的內(nèi)網(wǎng)主機(jī)數(shù)目的統(tǒng)計(jì)值來(lái)確定。NAPTNAPT（Network Address Port Translation，網(wǎng)絡(luò)地址端口轉(zhuǎn)換）是基本地址轉(zhuǎn)換的一種變形，它允許多個(gè)內(nèi)部

10、地址映射到同一個(gè)公有地址上，也可稱之為“多對(duì)一地址轉(zhuǎn)換”。NAPT 同時(shí)映射 IP 地址和端口號(hào)：來(lái)自不同內(nèi)部地址的數(shù)據(jù)報(bào)文的源地址可以映射到同一外部地址，但它們的端口號(hào)被轉(zhuǎn)換為該地址的不同端口號(hào)，因而仍然能夠共享同一地址，也就是“私網(wǎng) IP 地址端口號(hào)”與“公網(wǎng) IP 地址端口號(hào)”之間的轉(zhuǎn)換。圖2 NAPT 基本原理示意圖如 HYPERLINK l _bookmark2 圖 2所示，三個(gè)帶有內(nèi)部地址的數(shù)據(jù)報(bào)文到達(dá)NAT設(shè)備，其中報(bào)文 1 和報(bào)文 2 來(lái)自同一個(gè)內(nèi)部地址但有不同的源端口號(hào)，報(bào)文 1 和報(bào)文 3 來(lái)自不同的內(nèi)部地址但具有相同的源端口號(hào)。通過(guò)NAPT映射，四個(gè)數(shù)據(jù)報(bào)的源IP地址都被

11、轉(zhuǎn)換到同一個(gè)外部地址，但每個(gè)數(shù)據(jù)報(bào)都被賦予了不同的源端口號(hào)，因而仍保留了報(bào)文之間的區(qū)別。當(dāng)各報(bào)文的回應(yīng)報(bào)文到達(dá)時(shí)，NAT設(shè)備仍能夠根據(jù)回應(yīng)報(bào)文的目的IP地址和目的端口號(hào)來(lái)區(qū)別該報(bào)文應(yīng)轉(zhuǎn)發(fā)到的內(nèi)部主機(jī)。采用 NAPT 可以更加充分地利用 IP 地址資源，實(shí)現(xiàn)更多內(nèi)部網(wǎng)絡(luò)主機(jī)對(duì)外部網(wǎng)絡(luò)的同時(shí)訪問(wèn)。目前，NAPT 支持兩種不同的地址轉(zhuǎn)換模式：Endpoint-Independent Mapping（不關(guān)心對(duì)端地址和端口轉(zhuǎn)換模式）該模式下，NAT 設(shè)備通過(guò)建立三元組（源地址、源端口號(hào)、協(xié)議類型）表項(xiàng)來(lái)進(jìn)行地址分配和報(bào)文過(guò)濾。即，只要是來(lái)自相同源地址和源端口號(hào)的報(bào)文，不論其目的地址是否相同，通過(guò) NAP

12、T 映射后，其源地址和源端口號(hào)都被轉(zhuǎn)換為同一個(gè)外部地址和端口號(hào)，并且 NAT 設(shè)備允許外部網(wǎng)絡(luò)的主機(jī)通過(guò)該轉(zhuǎn)換后的地址和端口來(lái)訪問(wèn)這些內(nèi)部網(wǎng)絡(luò)的主機(jī)。這種模式可以很好得支持位于不同 NAT 設(shè)備之后的主機(jī)間進(jìn)行互訪。Address and Port-Dependent Mapping（關(guān)心對(duì)端地址和端口轉(zhuǎn)換模式）該模式下，NAT 設(shè)備通過(guò)建立五元組（源地址、源端口號(hào)、協(xié)議類型、目的地址、目的端口號(hào)）表項(xiàng)為依據(jù)進(jìn)行地址分配和報(bào)文過(guò)濾。即，對(duì)于來(lái)自相同源地址和源端口號(hào)的報(bào)文，若其目的地址和目的端口號(hào)不同，通過(guò) NAPT 映射后，相同的源地址和源端口號(hào)將被轉(zhuǎn)換為不同的外部地址和端口號(hào)，并且 NAT

13、設(shè)備只允許這些目的地址對(duì)應(yīng)的外部網(wǎng)絡(luò)的主機(jī)才可以通過(guò)該轉(zhuǎn)換后的地址和端口來(lái)訪問(wèn)這些內(nèi)部網(wǎng)絡(luò)的主機(jī)。這種模式安全性好，但是不便于位于不同 NAT 設(shè)備之后的主機(jī)間進(jìn)行互訪。內(nèi)部服務(wù)器NAT 隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，具有“屏蔽”內(nèi)部主機(jī)的作用，但是在實(shí)際應(yīng)用中， 可能需要給外部網(wǎng)絡(luò)提供一個(gè)訪問(wèn)內(nèi)網(wǎng)主機(jī)的機(jī)會(huì)，如給外部網(wǎng)絡(luò)提供一臺(tái) Web 服務(wù)器，或是一臺(tái) FTP 服務(wù)器。NAT 設(shè)備提供的內(nèi)部服務(wù)器功能，就是通過(guò)靜態(tài)配置“公網(wǎng) IP 地址端口號(hào)”與“私網(wǎng) IP 地址端口號(hào)”間的映射關(guān)系，實(shí)現(xiàn)公網(wǎng) IP 地址到私網(wǎng) IP 地址的“反向”轉(zhuǎn)換。例如，可以將 :8080 配置為內(nèi)網(wǎng)某 Web 服務(wù)器的外部

14、網(wǎng)絡(luò)地址和端口號(hào)供外部網(wǎng)絡(luò)訪問(wèn)。如 HYPERLINK l _bookmark3 圖 3所示，外部網(wǎng)絡(luò)用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)報(bào)文經(jīng)過(guò)NAT設(shè)備時(shí)，NAT 設(shè)備根據(jù)報(bào)文的目的地址查找地址轉(zhuǎn)換表項(xiàng)，將訪問(wèn)內(nèi)部服務(wù)器的請(qǐng)求報(bào)文的目的IP地址和端口號(hào)轉(zhuǎn)換成內(nèi)部服務(wù)器的私有IP地址和端口號(hào)。當(dāng)內(nèi)部服務(wù)器回應(yīng)該報(bào)文時(shí)，NAT設(shè)備再根據(jù)已有的地址映射關(guān)系將回應(yīng)報(bào)文的源IP地址和端口號(hào)轉(zhuǎn)換成公網(wǎng)IP地址和端口號(hào)。圖3 內(nèi)部服務(wù)器基本原理示意圖DNS mapping本特性的支持情況與設(shè)備的型號(hào)有關(guān)，請(qǐng)以設(shè)備的實(shí)際情況為準(zhǔn)。一般情況下，DNS服務(wù)器和訪問(wèn)私網(wǎng)服務(wù)器的用戶都在公網(wǎng)，通過(guò)在NAT設(shè)備的公網(wǎng)接口上

15、配置內(nèi)部服務(wù)器，可以將公網(wǎng)地址、端口等信息映射到私網(wǎng)內(nèi)的服務(wù)器上， 使得公網(wǎng)用戶可以通過(guò)內(nèi)部服務(wù)器的域名或公網(wǎng)地址來(lái)訪問(wèn)內(nèi)部服務(wù)器。但是，如 HYPERLINK l _bookmark4 圖 4所示，如果DNS服務(wù)器在公網(wǎng)，私網(wǎng)用戶希望通過(guò)域名來(lái)訪問(wèn)私網(wǎng)的Web服務(wù)器，則會(huì)由于DNS服務(wù)器向私網(wǎng)用戶發(fā)送的響應(yīng)報(bào)文中包含的是私網(wǎng)服務(wù)器的公網(wǎng)地址，而導(dǎo)致收到響應(yīng)報(bào)文的私網(wǎng)用戶無(wú)法利用域名訪問(wèn)私網(wǎng)服務(wù)器。通過(guò)在設(shè)備上配置DNS mapping可以解決該問(wèn)題。圖4 NAT DNS mapping 工作示意圖DNS mapping 功能是指，通過(guò)配置“域名+公網(wǎng) IP 地址+公網(wǎng)端口號(hào)+協(xié)議類型”的映射

16、表，建立內(nèi)部服務(wù)器域名與內(nèi)部服務(wù)器公網(wǎng)信息的對(duì)應(yīng)關(guān)系。在配置了 NAT 的接口上，設(shè)備檢查接收到的 DNS 響應(yīng)報(bào)文，根據(jù)報(bào)文中的域名查找用戶配置的 DNS mapping 映射表，并根據(jù)表項(xiàng)內(nèi)的“公網(wǎng)地址+公網(wǎng)端口+協(xié)議類型”信息查找內(nèi)部服務(wù)器地址映射表中該信息對(duì)應(yīng)的私網(wǎng)地址，替換 DNS 查詢結(jié)果中的公網(wǎng)地址。這樣，私網(wǎng)用戶收到的 DNS 響應(yīng)報(bào)文中就包含了要訪問(wèn)的內(nèi)部服務(wù)器的私網(wǎng)地址，也就能夠使用內(nèi)部服務(wù)器域名訪問(wèn)同一私網(wǎng)內(nèi)的內(nèi)部服務(wù)器。Easy IPEasy IP 功能是指進(jìn)行地址轉(zhuǎn)換時(shí)，直接使用接口的外網(wǎng) IP 地址作為轉(zhuǎn)換后的源地址，能夠最大程度的節(jié)省 IP 地址資源。它也可以利用

17、訪問(wèn)控制列表控制哪些內(nèi)部地址可以進(jìn)行地址轉(zhuǎn)換。NAT 支持的特殊協(xié)議NAT 不僅實(shí)現(xiàn)了一般的地址轉(zhuǎn)換功能， 同時(shí)提供了完善的地址轉(zhuǎn)換 ALG（Application Layer Gateway，應(yīng)用級(jí)網(wǎng)關(guān)）機(jī)制，使其可以支持一些特殊的應(yīng)用協(xié)議，而不需要對(duì) NAT 平臺(tái)進(jìn)行任何的修改，具有良好的可擴(kuò)充性。這些特殊協(xié)議的報(bào)文載荷里攜帶了地址或端口信息，該信息也可能需要進(jìn)行地址轉(zhuǎn)換。可支持的特殊協(xié)議包括：FTP（File Transfer Protocol，文件傳輸協(xié)議）、PPTP（Point-to-Point Tunneling Protocol，點(diǎn)到點(diǎn)隧道協(xié)議）、ICMP（Internet Co

18、ntrol Message Protocol，因特網(wǎng)控制消息協(xié)議）、DNS（Domain Name System，域名系統(tǒng)）、ILS（Internet Locator Service，Internet 定位服務(wù)）、RTSP（Real Time Streaming Protocol，實(shí)時(shí)流協(xié)議）、H.323、SIP（Session Initiation Protocol，會(huì)話發(fā)起協(xié)議）、NetMeeting 3.01、NBT（NetBIOS over TCP/IP，基于 TCP/IP 的網(wǎng)絡(luò)基本輸入輸出系統(tǒng)）等。NAT 特殊協(xié)議的可支持情況與設(shè)備的型號(hào)有關(guān)，請(qǐng)以設(shè)備的實(shí)際情況為準(zhǔn)。支持 NAT 多實(shí)例NAT 多實(shí)例允許分屬于不同 MPLS VPN 的用戶通過(guò)同一個(gè)出口訪問(wèn)外部網(wǎng)絡(luò)，同時(shí)允許分屬于不同 MPLS VPN 的用戶使用相同的私網(wǎng)地址。當(dāng) MPLS VPN 用戶