網(wǎng)絡(luò)技術(shù)培訓(xùn)PPTDA000021 NAT技術(shù)原理課件

DA000021NAT技術(shù)原理固網(wǎng)產(chǎn)品課程開發(fā)部DA000021NAT技術(shù)原理固網(wǎng)產(chǎn)品課程開發(fā)部1引入按照目前Internet網(wǎng)絡(luò)迅猛發(fā)展的速度，到2010年IPv4的地址將消耗殆盡。目前IPv6(IPng)的推廣和部署受到一定的阻力，無法在短時(shí)間內(nèi)完成網(wǎng)絡(luò)從IPv4到IPv6的過渡。目前解決IP地址短缺的有效方法：NAT和CIDR引入按照目前Internet網(wǎng)絡(luò)迅猛發(fā)展的速度，到2010年2學(xué)習(xí)目標(biāo)掌握NAT的基本概念掌握NAT的基本工作原理掌握NE80/NE40產(chǎn)品的NAT實(shí)現(xiàn)學(xué)習(xí)完本課程，您應(yīng)該能夠：學(xué)習(xí)目標(biāo)掌握NAT的基本概念學(xué)習(xí)完本課程，您應(yīng)該能夠：3課程內(nèi)容

第一章NAT基本概念第二章NAT基本工作原理第三章NE80/NE40產(chǎn)品NAT實(shí)現(xiàn)課程內(nèi)容 第一章NAT基本概念4第一章NAT基本概念第一章NAT基本概念5第一章NAT基本概念共有地址和私有地址私有地址是指內(nèi)部網(wǎng)絡(luò)(局域網(wǎng)內(nèi)部)的主機(jī)地址，而公有地址是局域網(wǎng)的外部地址（在因特網(wǎng)上的全球唯一的IP地址）。因特網(wǎng)地址分配組織規(guī)定以下的三個(gè)網(wǎng)絡(luò)地址保留用做私有地址：-55-55-55第一章NAT基本概念共有地址和私有地址6第一章NAT基本概念地址池

地址池是由一些外部地址（全球唯一的IP地址）組合而成的，我們稱這樣的一個(gè)地址集合為地址池。在內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包通過地址轉(zhuǎn)換達(dá)到外部網(wǎng)絡(luò)時(shí)，將會(huì)選擇地址池中的某個(gè)地址作為轉(zhuǎn)換后的源地址，這樣可以有效利用用戶的外部地址，提高內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的能力。第一章NAT基本概念地址池7第一章NAT基本概念訪問控制列表

訪問列表是由ACCESS-LIST命令生成的，它依據(jù)IP數(shù)據(jù)包報(bào)頭以及它承載的上層協(xié)議數(shù)據(jù)包頭的格式定義了一定的規(guī)則，可以表示允許或者是禁止具有某些特征(包頭數(shù)據(jù)可以描述的）的數(shù)據(jù)包，地址轉(zhuǎn)換按照這樣的規(guī)則判定哪些包是被允許轉(zhuǎn)換或者是禁止轉(zhuǎn)換，這樣可以禁止一些內(nèi)部的主機(jī)訪問外部網(wǎng)絡(luò)，提高一些網(wǎng)絡(luò)的安全性問題。有關(guān)的詳細(xì)概念可以參考防火墻中的有關(guān)內(nèi)容。第一章NAT基本概念訪問控制列表8第一章NAT基本概念轉(zhuǎn)換關(guān)聯(lián)

轉(zhuǎn)換關(guān)聯(lián)就是將一個(gè)地址池和一個(gè)訪問列表關(guān)聯(lián)起來，這種關(guān)聯(lián)指定了“具有某些特征的IP報(bào)文”是使用“這樣的地址池中的地址”，而另一些可能是使用另外一個(gè)地址池中的地址。在地址轉(zhuǎn)換時(shí)，是根據(jù)這樣的對(duì)應(yīng)進(jìn)行地址轉(zhuǎn)換的。當(dāng)一個(gè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包文發(fā)往外部網(wǎng)絡(luò)時(shí)，首先根據(jù)訪問列表判定是否是允許的數(shù)據(jù)包，然后根據(jù)轉(zhuǎn)換的關(guān)聯(lián)找到于之相對(duì)應(yīng)的地址池，我們就可以把源地址轉(zhuǎn)換成這個(gè)地址池中的某一個(gè)地址，完成地址轉(zhuǎn)換。

第一章NAT基本概念轉(zhuǎn)換關(guān)聯(lián)9第一章NAT基本概念內(nèi)部服務(wù)器映射表

內(nèi)部服務(wù)器映射表是由NATSERVER命令配置的，允許用戶依照自己的需要提供內(nèi)部服務(wù)。在轉(zhuǎn)換時(shí)，根據(jù)用戶的配置查找外部數(shù)據(jù)包的目的地址，如果是訪問內(nèi)部的服務(wù)器，則轉(zhuǎn)換成相應(yīng)的內(nèi)部服務(wù)器的目的地址和端口，達(dá)到訪問內(nèi)部服務(wù)器的目的。還原時(shí)對(duì)源地址進(jìn)行查找，判斷是否是從內(nèi)部服務(wù)器出去的報(bào)文，如果是將源地址轉(zhuǎn)換成相應(yīng)的外部地址。第一章NAT基本概念內(nèi)部服務(wù)器映射表10課程內(nèi)容

第一章NAT基本概念第二章NAT基本工作原理第三章8070產(chǎn)品NAT實(shí)現(xiàn)第四章8011產(chǎn)品NAT 實(shí)現(xiàn)課程內(nèi)容 第一章NAT基本概念11第二章NAT的基本工作原理NAT在系統(tǒng)中的位置

第二章NAT的基本工作原理NAT在系統(tǒng)中的位置12第二章NAT的基本工作原理NAT基本工作原理（以出口NAT為例）

在IP層的出口處調(diào)用NAT第二章NAT的基本工作原理NAT基本工作原理（以出口13第二章NAT的基本工作原理在IP層的入口出調(diào)用NAT第二章NAT的基本工作原理在IP層的入口出調(diào)用NAT14第二章NAT的基本工作原理透明的地址分配靜態(tài)的地址分配指一個(gè)特定的主機(jī)使用固定的地址訪問外部的網(wǎng)絡(luò)。動(dòng)態(tài)的地址分配是指NAT在一些地址中挑選一個(gè)地址，做為內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問外部網(wǎng)絡(luò)的IP地址。無論是那種，地址的分配應(yīng)該對(duì)用戶來說是透明的。第二章NAT的基本工作原理透明的地址分配15第二章NAT的基本工作原理NAT的基本工作方式：NAT－一對(duì)一的地址轉(zhuǎn)換PAT－多對(duì)一的地址轉(zhuǎn)換NPAT－多對(duì)多的地址轉(zhuǎn)換第二章NAT的基本工作原理NAT的基本工作方式：16第二章NAT的基本工作原理NAT方式第二章NAT的基本工作原理NAT方式17第二章NAT的基本工作原理NAT方式在出方向上轉(zhuǎn)換IP報(bào)文頭中的源IP地址，而不對(duì)端口進(jìn)行轉(zhuǎn)換。在私有網(wǎng)絡(luò)地址和外部網(wǎng)絡(luò)地址之間建立一對(duì)一映射，實(shí)現(xiàn)比較簡單只轉(zhuǎn)換IP報(bào)文頭中的IP地址，所以適用于所有IP報(bào)文轉(zhuǎn)換第二章NAT的基本工作原理NAT方式18第二章NAT的基本工作原理PAT方式(0:1001-6:23)------>(00:12964-6:23)(6:23-00:12964)------>(6:23-0:1001)第二章NAT的基本工作原理PAT方式19第二章NAT的基本工作原理PAT方式PAT（PortAddressTranslation）方式的地址轉(zhuǎn)換利用了TCP/UDP協(xié)議的端口號(hào)，進(jìn)行地址轉(zhuǎn)換。PAT方式的地址轉(zhuǎn)換是采用了“地址＋端口”的映射方式，因此可以使內(nèi)部局域網(wǎng)的許多主機(jī)共享一個(gè)IP地址訪問Internet。在私有網(wǎng)絡(luò)地址和外部網(wǎng)絡(luò)地址之間建立多對(duì)一映射。不同的內(nèi)部網(wǎng)地址，轉(zhuǎn)換時(shí)采用相同的公網(wǎng)地址，并依靠不同的端口號(hào)來區(qū)分每一個(gè)內(nèi)部網(wǎng)主機(jī)。第二章NAT的基本工作原理PAT方式20第二章NAT的基本工作原理NPAT方式(0:1001-6:23)------>(00:12964-6:23)(1:2001-7:21)------>(01.12987-7:21)(6:23-00:12964)------>(6:23-0:1001)(7:21-01:12987)------>(7:21-1:2001)第二章NAT的基本工作原理NPAT方式21第二章NAT的基本工作原理NPAT方式NPAT（Nat&PortAddressTranslation）方式的地址轉(zhuǎn)換也是利用了TCP/UDP協(xié)議的端口號(hào)，進(jìn)行地址轉(zhuǎn)換。私網(wǎng)地址和公網(wǎng)地址之間建立了多對(duì)多的映射關(guān)系。NPAT方式也是采用“地址＋端口”的映射關(guān)系，因此可以使內(nèi)部局域網(wǎng)的多個(gè)主機(jī)共享多個(gè)IP地址訪問Internet。第二章NAT的基本工作原理NPAT方式22第二章NAT的基本工作原理第二章NAT的基本工作原理23第二章NAT的基本工作原理內(nèi)部服務(wù)器第二章NAT的基本工作原理內(nèi)部服務(wù)器24第二章NAT的基本工作原理利用ACL控制地址轉(zhuǎn)換第二章NAT的基本工作原理利用ACL控制地址轉(zhuǎn)換25第二章NAT的基本工作原理支持特殊協(xié)議（ALG應(yīng)用程序網(wǎng)關(guān)）地址轉(zhuǎn)換改變了IP數(shù)據(jù)包頭的IP地址信息，如果數(shù)據(jù)報(bào)文的載荷中含有地址信息，地址轉(zhuǎn)換就需要特殊處理，除了改變IP包頭的地址信息以外還需要改變數(shù)據(jù)報(bào)文中載荷中的地址信息。比較典型的應(yīng)用是FTP目前VRPNAT平臺(tái)支持FTP、Radius、L2tp、PPTP、CMC幾種特殊的協(xié)議。以及后來支持的H.323、SMTP、DNS等。第二章NAT的基本工作原理支持特殊協(xié)議（ALG應(yīng)用程序網(wǎng)26第二章NAT的基本工作原理以FTPALG為例：在TCP的應(yīng)用FTP中，包含兩種連接：控制連接（會(huì)話）、數(shù)據(jù)連接（傳輸）。其中控制連接是用大家都熟悉的21端口的TCP連接。數(shù)據(jù)連接卻是由客戶端“發(fā)起”的，它通過控制連接“通知”服務(wù)器它已經(jīng)初始化完的端口，F(xiàn)TP服務(wù)器通過20端口（默認(rèn)情況）將數(shù)據(jù)傳送到客戶端。第二章NAT的基本工作原理以FTPALG為例：27第二章NAT的基本工作原理以FTPALG為例（續(xù)）：

在通知服務(wù)器的時(shí)候，會(huì)用到“PORT命令”，其中在這次TCP連接的數(shù)據(jù)中是這樣的：“PORT10,110,1,2,13,23\A\D”（表示，地址=)，于是服務(wù)器就可以知道客戶端的數(shù)據(jù)連接的地址和端口了。在地址轉(zhuǎn)換的過程中，對(duì)于PORT命令，我們除了改變IP地址以及端口信息，同時(shí)必須改變相應(yīng)TCP中的數(shù)據(jù)，這樣才可以保證使FTP服務(wù)器端可以把數(shù)據(jù)發(fā)送到正確的客戶端。這樣，有可能會(huì)使TCP數(shù)據(jù)包的長度發(fā)生變化，所以對(duì)于PORT命令還需要對(duì)TCP數(shù)據(jù)頭中的序號(hào)（SEQUENCENUMBER）進(jìn)行調(diào)整。第二章NAT的基本工作原理以FTPALG為例（續(xù)）：28第二章NAT的基本工作原理NAT地址轉(zhuǎn)換的DNS運(yùn)用DNS服務(wù)器處于私網(wǎng)中DNS服務(wù)器處于公網(wǎng)中第二章NAT的基本工作原理NAT地址轉(zhuǎn)換的DNS運(yùn)用29第二章NAT的基本工作原理第二章NAT的基本工作原理30第二章NAT的基本工作原理DNS在公網(wǎng)上，內(nèi)部主機(jī)無法使用域名訪問內(nèi)部服務(wù)器

當(dāng)內(nèi)部pc通過域名訪問時(shí)，會(huì)到外部的DNS上請(qǐng)求IP地址，由于DNS是在外部，所以它會(huì)返回一個(gè)公網(wǎng)的地址或找不到地址。這樣導(dǎo)致內(nèi)部PC通過域名訪問時(shí)，得到是個(gè)外部的地址或者得不到地址，導(dǎo)致內(nèi)部用戶不能正常訪問內(nèi)部服務(wù)器。Qusetion：有什么好的方法可以解決DNS問題？第二章NAT的基本工作原理DNS在公網(wǎng)上，內(nèi)部主機(jī)無法使31第二章NAT的基本工作原理以太網(wǎng)口支持地址池在以太網(wǎng)環(huán)境中，如果地址池中的地址與接口的地址在不同的網(wǎng)段上，那么可以通過添加路由的方式來解決。而如果在同一個(gè)網(wǎng)段上，則對(duì)方不會(huì)缺省的將報(bào)文發(fā)送到此設(shè)備上，因?yàn)閷?duì)方發(fā)現(xiàn)這是一個(gè)同網(wǎng)段的地址，會(huì)發(fā)送ARP請(qǐng)求，如果得不到響應(yīng)，將認(rèn)為這個(gè)地址不存在，當(dāng)然報(bào)文將無法到達(dá)本端。因此需要對(duì)以太網(wǎng)接口做特殊處理，使得當(dāng)?shù)刂烦刂械牡刂泛徒涌诘牡刂吩谕粋€(gè)網(wǎng)段也可以支持。第二章NAT的基本工作原理以太網(wǎng)口支持地址池32第二章NAT的基本工作原理以太網(wǎng)口支持地址池（續(xù)）如果一個(gè)ARP請(qǐng)求報(bào)請(qǐng)求的地址不是以太網(wǎng)接口的IP地址，ARP模塊將這個(gè)ARP請(qǐng)求丟棄，現(xiàn)在NAT模塊提供一個(gè)函數(shù)，根據(jù)地址、接口判斷這個(gè)地址是否是在這個(gè)接口上的一個(gè)地址池中的地址。如果是，告訴ARP對(duì)這個(gè)IP地址發(fā)送ARP應(yīng)答，MAC地址就是這個(gè)以太網(wǎng)接口的MAC地址。第二章NAT的基本工作原理以太網(wǎng)口支持地址池（續(xù)）33第二章NAT的基本工作原理支持多個(gè)方向上負(fù)載分擔(dān)應(yīng)用第二章NAT的基本工作原理支持多個(gè)方向上負(fù)載分擔(dān)應(yīng)用34NAT基本工作原理小結(jié)NAT基本工作原理小結(jié)35NAT基本工作原理小結(jié)地址轉(zhuǎn)換的缺點(diǎn)：地址轉(zhuǎn)換對(duì)于報(bào)文內(nèi)容中含有有用的地址信息的情況很難處理。地址轉(zhuǎn)換不能處理IP報(bào)頭加密的情況。地址轉(zhuǎn)換由于隱藏了內(nèi)部主機(jī)地址，有時(shí)候會(huì)使網(wǎng)絡(luò)調(diào)試變得復(fù)雜。影響報(bào)文轉(zhuǎn)發(fā)的效率。無法確定源地址。因?yàn)橥瑯拥膬?nèi)部地址在不同時(shí)刻的外部地址是不一樣的，所以如果從內(nèi)部網(wǎng)絡(luò)攻擊外部網(wǎng)絡(luò)，將造成定位攻擊源的困難。NAT基本工作原理小結(jié)地址轉(zhuǎn)換的缺點(diǎn)：36NAT基本工作原理小結(jié)NAT地址轉(zhuǎn)換的改進(jìn)

為滿足公安部以及一些企事業(yè)單位的需求，對(duì)NAT流（FLOW）信息進(jìn)行日志記錄，通過日志信息了解NAT轉(zhuǎn)換前的地址信息。用戶日志只在NAT的出方向進(jìn)行日志記錄，根據(jù)報(bào)文的源IP地址、轉(zhuǎn)換后的源IP地址、目的IP地址、源端口、轉(zhuǎn)換后的源端口、目的端口、協(xié)議號(hào)等7元組來標(biāo)識(shí)一條流，并生成該NAT流的日志記錄。根據(jù)這些日志信息進(jìn)行分析查詢，可以方便地追蹤一些非法活動(dòng)以及不正當(dāng)?shù)牟僮鞯龋岣呔W(wǎng)絡(luò)設(shè)備的可用性和安全性NAT基本工作原理小結(jié)NAT地址轉(zhuǎn)換的改進(jìn)37課程內(nèi)容

第一章NAT基本概念第二章NAT基本工作原理第四章NE80/NE40產(chǎn)品NAT實(shí)現(xiàn)課程內(nèi)容 第一章NAT基本概念38第四章NE80/NE40產(chǎn)品的NAT實(shí)現(xiàn)NE80/NE40產(chǎn)品支持NAT轉(zhuǎn)換的方式：NAT、PAT、PNAT。NE80/NE40產(chǎn)品采用IBM網(wǎng)絡(luò)處理器NP4GS3(rainier)，使用微碼來實(shí)現(xiàn)基本的地址轉(zhuǎn)換功能，ALG由微碼上送CPU處理。NAT功能采用單獨(dú)NAT板完成，采用地址池與NAT板綁定的方式支持多NAT板，即配置地址池時(shí)指定NAT板號(hào)。NE80/NE40產(chǎn)品采用入口NAT的方式，在單獨(dú)一塊NAT單板的情況下，無法實(shí)現(xiàn)多出口的負(fù)載分擔(dān)。第四章NE80/NE40產(chǎn)品的NAT實(shí)現(xiàn)NE80/NE439第四章NE80/NE40產(chǎn)品的NAT實(shí)現(xiàn)NE80/NE40NAT的工作流程（入口NAT）正向NAT：IP上行->IP入端口->FIB查找->ACL匹配重定向到NAT板下行->查找NAT轉(zhuǎn)換表進(jìn)行轉(zhuǎn)換->（查找不成功按照?qǐng)?bào)文類型決定添加表項(xiàng)還是丟棄，添加表項(xiàng)由微碼完成）送自環(huán)物理接口至NAT板上行->NAT板上行查找FIB->送目的LPU板下行->目的LPU板下行封裝、轉(zhuǎn)發(fā)第四章NE80/NE40產(chǎn)品的NAT實(shí)現(xiàn)NE80/NE440第四章NE80/NE40產(chǎn)品的NAT實(shí)現(xiàn)反向NAT：IP上行->IP入端口->FIB查找重定向到NAT板->NAT板下行->查找NAT轉(zhuǎn)換表進(jìn)行轉(zhuǎn)換->送自環(huán)物理接口至NAT板上行->NAT板上行查找FIB->送目的LPU板下行->目的LPU板下行封裝、轉(zhuǎn)發(fā)第四章NE80/NE40產(chǎn)品的NAT實(shí)現(xiàn)反向NAT：41參考資料RFC3022TraditionalIPNetworkAddressTranslator(TraditionalNAT)RFC2993ArchitecturalImplicationsofNATRFC2663IPNetworkAddressTranslator(NAT)TerminologyandConsiderationsRFC3027ProtocolComplicationswiththeIPNetworkAddressTranslator參考資料RFC302242問題Question？問題Question？43網(wǎng)絡(luò)技術(shù)培訓(xùn)PPTDA000021NAT技術(shù)原理44演講完畢，謝謝觀看！演講完畢，謝謝觀看！45DA000021NAT技術(shù)原理固網(wǎng)產(chǎn)品課程開發(fā)部DA000021NAT技術(shù)原理固網(wǎng)產(chǎn)品課程開發(fā)部46引入按照目前Internet網(wǎng)絡(luò)迅猛發(fā)展的速度，到2010年IPv4的地址將消耗殆盡。目前IPv6(IPng)的推廣和部署受到一定的阻力，無法在短時(shí)間內(nèi)完成網(wǎng)絡(luò)從IPv4到IPv6的過渡。目前解決IP地址短缺的有效方法：NAT和CIDR引入按照目前Internet網(wǎng)絡(luò)迅猛發(fā)展的速度，到2010年47學(xué)習(xí)目標(biāo)掌握NAT的基本概念掌握NAT的基本工作原理掌握NE80/NE40產(chǎn)品的NAT實(shí)現(xiàn)學(xué)習(xí)完本課程，您應(yīng)該能夠：學(xué)習(xí)目標(biāo)掌握NAT的基本概念學(xué)習(xí)完本課程，您應(yīng)該能夠：48課程內(nèi)容

第一章NAT基本概念第二章NAT基本工作原理第三章NE80/NE40產(chǎn)品NAT實(shí)現(xiàn)課程內(nèi)容 第一章NAT基本概念49第一章NAT基本概念第一章NAT基本概念50第一章NAT基本概念共有地址和私有地址私有地址是指內(nèi)部網(wǎng)絡(luò)(局域網(wǎng)內(nèi)部)的主機(jī)地址，而公有地址是局域網(wǎng)的外部地址（在因特網(wǎng)上的全球唯一的IP地址）。因特網(wǎng)地址分配組織規(guī)定以下的三個(gè)網(wǎng)絡(luò)地址保留用做私有地址：-55-55-55第一章NAT基本概念共有地址和私有地址51第一章NAT基本概念地址池

地址池是由一些外部地址（全球唯一的IP地址）組合而成的，我們稱這樣的一個(gè)地址集合為地址池。在內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包通過地址轉(zhuǎn)換達(dá)到外部網(wǎng)絡(luò)時(shí)，將會(huì)選擇地址池中的某個(gè)地址作為轉(zhuǎn)換后的源地址，這樣可以有效利用用戶的外部地址，提高內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的能力。第一章NAT基本概念地址池52第一章NAT基本概念訪問控制列表

訪問列表是由ACCESS-LIST命令生成的，它依據(jù)IP數(shù)據(jù)包報(bào)頭以及它承載的上層協(xié)議數(shù)據(jù)包頭的格式定義了一定的規(guī)則，可以表示允許或者是禁止具有某些特征(包頭數(shù)據(jù)可以描述的）的數(shù)據(jù)包，地址轉(zhuǎn)換按照這樣的規(guī)則判定哪些包是被允許轉(zhuǎn)換或者是禁止轉(zhuǎn)換，這樣可以禁止一些內(nèi)部的主機(jī)訪問外部網(wǎng)絡(luò)，提高一些網(wǎng)絡(luò)的安全性問題。有關(guān)的詳細(xì)概念可以參考防火墻中的有關(guān)內(nèi)容。第一章NAT基本概念訪問控制列表53第一章NAT基本概念轉(zhuǎn)換關(guān)聯(lián)

轉(zhuǎn)換關(guān)聯(lián)就是將一個(gè)地址池和一個(gè)訪問列表關(guān)聯(lián)起來，這種關(guān)聯(lián)指定了“具有某些特征的IP報(bào)文”是使用“這樣的地址池中的地址”，而另一些可能是使用另外一個(gè)地址池中的地址。在地址轉(zhuǎn)換時(shí)，是根據(jù)這樣的對(duì)應(yīng)進(jìn)行地址轉(zhuǎn)換的。當(dāng)一個(gè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包文發(fā)往外部網(wǎng)絡(luò)時(shí)，首先根據(jù)訪問列表判定是否是允許的數(shù)據(jù)包，然后根據(jù)轉(zhuǎn)換的關(guān)聯(lián)找到于之相對(duì)應(yīng)的地址池，我們就可以把源地址轉(zhuǎn)換成這個(gè)地址池中的某一個(gè)地址，完成地址轉(zhuǎn)換。

第一章NAT基本概念轉(zhuǎn)換關(guān)聯(lián)54第一章NAT基本概念內(nèi)部服務(wù)器映射表

內(nèi)部服務(wù)器映射表是由NATSERVER命令配置的，允許用戶依照自己的需要提供內(nèi)部服務(wù)。在轉(zhuǎn)換時(shí)，根據(jù)用戶的配置查找外部數(shù)據(jù)包的目的地址，如果是訪問內(nèi)部的服務(wù)器，則轉(zhuǎn)換成相應(yīng)的內(nèi)部服務(wù)器的目的地址和端口，達(dá)到訪問內(nèi)部服務(wù)器的目的。還原時(shí)對(duì)源地址進(jìn)行查找，判斷是否是從內(nèi)部服務(wù)器出去的報(bào)文，如果是將源地址轉(zhuǎn)換成相應(yīng)的外部地址。第一章NAT基本概念內(nèi)部服務(wù)器映射表55課程內(nèi)容

第一章NAT基本概念第二章NAT基本工作原理第三章8070產(chǎn)品NAT實(shí)現(xiàn)第四章8011產(chǎn)品NAT 實(shí)現(xiàn)課程內(nèi)容 第一章NAT基本概念56第二章NAT的基本工作原理NAT在系統(tǒng)中的位置

第二章NAT的基本工作原理NAT在系統(tǒng)中的位置57第二章NAT的基本工作原理NAT基本工作原理（以出口NAT為例）

在IP層的出口處調(diào)用NAT第二章NAT的基本工作原理NAT基本工作原理（以出口58第二章NAT的基本工作原理在IP層的入口出調(diào)用NAT第二章NAT的基本工作原理在IP層的入口出調(diào)用NAT59第二章NAT的基本工作原理透明的地址分配靜態(tài)的地址分配指一個(gè)特定的主機(jī)使用固定的地址訪問外部的網(wǎng)絡(luò)。動(dòng)態(tài)的地址分配是指NAT在一些地址中挑選一個(gè)地址，做為內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問外部網(wǎng)絡(luò)的IP地址。無論是那種，地址的分配應(yīng)該對(duì)用戶來說是透明的。第二章NAT的基本工作原理透明的地址分配60第二章NAT的基本工作原理NAT的基本工作方式：NAT－一對(duì)一的地址轉(zhuǎn)換PAT－多對(duì)一的地址轉(zhuǎn)換NPAT－多對(duì)多的地址轉(zhuǎn)換第二章NAT的基本工作原理NAT的基本工作方式：61第二章NAT的基本工作原理NAT方式第二章NAT的基本工作原理NAT方式62第二章NAT的基本工作原理NAT方式在出方向上轉(zhuǎn)換IP報(bào)文頭中的源IP地址，而不對(duì)端口進(jìn)行轉(zhuǎn)換。在私有網(wǎng)絡(luò)地址和外部網(wǎng)絡(luò)地址之間建立一對(duì)一映射，實(shí)現(xiàn)比較簡單只轉(zhuǎn)換IP報(bào)文頭中的IP地址，所以適用于所有IP報(bào)文轉(zhuǎn)換第二章NAT的基本工作原理NAT方式63第二章NAT的基本工作原理PAT方式(0:1001-6:23)------>(00:12964-6:23)(6:23-00:12964)------>(6:23-0:1001)第二章NAT的基本工作原理PAT方式64第二章NAT的基本工作原理PAT方式PAT（PortAddressTranslation）方式的地址轉(zhuǎn)換利用了TCP/UDP協(xié)議的端口號(hào)，進(jìn)行地址轉(zhuǎn)換。PAT方式的地址轉(zhuǎn)換是采用了“地址＋端口”的映射方式，因此可以使內(nèi)部局域網(wǎng)的許多主機(jī)共享一個(gè)IP地址訪問Internet。在私有網(wǎng)絡(luò)地址和外部網(wǎng)絡(luò)地址之間建立多對(duì)一映射。不同的內(nèi)部網(wǎng)地址，轉(zhuǎn)換時(shí)采用相同的公網(wǎng)地址，并依靠不同的端口號(hào)來區(qū)分每一個(gè)內(nèi)部網(wǎng)主機(jī)。第二章NAT的基本工作原理PAT方式65第二章NAT的基本工作原理NPAT方式(0:1001-6:23)------>(00:12964-6:23)(1:2001-7:21)------>(01.12987-7:21)(6:23-00:12964)------>(6:23-0:1001)(7:21-01:12987)------>(7:21-1:2001)第二章NAT的基本工作原理NPAT方式66第二章NAT的基本工作原理NPAT方式NPAT（Nat&PortAddressTranslation）方式的地址轉(zhuǎn)換也是利用了TCP/UDP協(xié)議的端口號(hào)，進(jìn)行地址轉(zhuǎn)換。私網(wǎng)地址和公網(wǎng)地址之間建立了多對(duì)多的映射關(guān)系。NPAT方式也是采用“地址＋端口”的映射關(guān)系，因此可以使內(nèi)部局域網(wǎng)的多個(gè)主機(jī)共享多個(gè)IP地址訪問Internet。第二章NAT的基本工作原理NPAT方式67第二章NAT的基本工作原理第二章NAT的基本工作原理68第二章NAT的基本工作原理內(nèi)部服務(wù)器第二章NAT的基本工作原理內(nèi)部服務(wù)器69第二章NAT的基本工作原理利用ACL控制地址轉(zhuǎn)換第二章NAT的基本工作原理利用ACL控制地址轉(zhuǎn)換70第二章NAT的基本工作原理支持特殊協(xié)議（ALG應(yīng)用程序網(wǎng)關(guān)）地址轉(zhuǎn)換改變了IP數(shù)據(jù)包頭的IP地址信息，如果數(shù)據(jù)報(bào)文的載荷中含有地址信息，地址轉(zhuǎn)換就需要特殊處理，除了改變IP包頭的地址信息以外還需要改變數(shù)據(jù)報(bào)文中載荷中的地址信息。比較典型的應(yīng)用是FTP目前VRPNAT平臺(tái)支持FTP、Radius、L2tp、PPTP、CMC幾種特殊的協(xié)議。以及后來支持的H.323、SMTP、DNS等。第二章NAT的基本工作原理支持特殊協(xié)議（ALG應(yīng)用程序網(wǎng)71第二章NAT的基本工作原理以FTPALG為例：在TCP的應(yīng)用FTP中，包含兩種連接：控制連接（會(huì)話）、數(shù)據(jù)連接（傳輸）。其中控制連接是用大家都熟悉的21端口的TCP連接。數(shù)據(jù)連接卻是由客戶端“發(fā)起”的，它通過控制連接“通知”服務(wù)器它已經(jīng)初始化完的端口，F(xiàn)TP服務(wù)器通過20端口（默認(rèn)情況）將數(shù)據(jù)傳送到客戶端。第二章NAT的基本工作原理以FTPALG為例：72第二章NAT的基本工作原理以FTPALG為例（續(xù)）：

在通知服務(wù)器的時(shí)候，會(huì)用到“PORT命令”，其中在這次TCP連接的數(shù)據(jù)中是這樣的：“PORT10,110,1,2,13,23\A\D”（表示，地址=)，于是服務(wù)器就可以知道客戶端的數(shù)據(jù)連接的地址和端口了。在地址轉(zhuǎn)換的過程中，對(duì)于PORT命令，我們除了改變IP地址以及端口信息，同時(shí)必須改變相應(yīng)TCP中的數(shù)據(jù)，這樣才可以保證使FTP服務(wù)器端可以把數(shù)據(jù)發(fā)送到正確的客戶端。這樣，有可能會(huì)使TCP數(shù)據(jù)包的長度發(fā)生變化，所以對(duì)于PORT命令還需要對(duì)TCP數(shù)據(jù)頭中的序號(hào)（SEQUENCENUMBER）進(jìn)行調(diào)整。第二章NAT的基本工作原理以FTPALG為例（續(xù)）：73第二章NAT的基本工作原理NAT地址轉(zhuǎn)換的DNS運(yùn)用DNS服務(wù)器處于私網(wǎng)中DNS服務(wù)器處于公網(wǎng)中第二章NAT的基本工作原理NAT地址轉(zhuǎn)換的DNS運(yùn)用74第二章NAT的基本工作原理第二章NAT的基本工作原理75第二章NAT的基本工作原理DNS在公網(wǎng)上，內(nèi)部主機(jī)無法使用域名訪問內(nèi)部服務(wù)器

當(dāng)內(nèi)部pc通過域名訪問時(shí)，會(huì)到外部的DNS上請(qǐng)求IP地址，由于DNS是在外部，所以它會(huì)返回一個(gè)公網(wǎng)的地址或找不到地址。這樣導(dǎo)致內(nèi)部PC通過域名訪問時(shí)，得到是個(gè)外部的地址或者得不到地址，導(dǎo)致內(nèi)部用戶不能正常訪問內(nèi)部服務(wù)器。Qusetion：有什么好的方法可以解決DNS問題？第二章NAT的基本工作原理DNS在公網(wǎng)上，內(nèi)部主機(jī)無法使76第二章NAT的基本工作原理以太網(wǎng)口支持地址池在以太網(wǎng)環(huán)境中，如果地址池中的地址與接口的地址在不同的網(wǎng)段上，那么可以通過添加路由的方式來解決。而如果在同一個(gè)網(wǎng)段上，則對(duì)方不會(huì)缺省的將報(bào)文發(fā)送到此設(shè)備上，因?yàn)閷?duì)方發(fā)現(xiàn)這是一個(gè)同網(wǎng)段的地址，會(huì)發(fā)送ARP請(qǐng)求，如果得不到響應(yīng)，將認(rèn)為這個(gè)地址不存在，當(dāng)然報(bào)文將無法到達(dá)本端。因此需要對(duì)以太網(wǎng)接口做特殊處理，使得當(dāng)?shù)刂烦刂械牡刂泛徒涌诘牡刂吩谕粋€(gè)網(wǎng)段也可以支持。第二章NAT的基本工作原理以太網(wǎng)口支持地址池77第二章NAT的基本工作原理以太網(wǎng)口支持地址池（續(xù)）如果一個(gè)ARP請(qǐng)求報(bào)請(qǐng)求的地址不是以太網(wǎng)接口的IP地址，ARP模塊將這個(gè)ARP請(qǐng)求丟棄，現(xiàn)在NAT模塊提供一個(gè)函數(shù)，根據(jù)地址、接口判斷這個(gè)地址是否是在這個(gè)接口上的一個(gè)地址池中的地址。如果是，告訴ARP對(duì)這個(gè)IP地址發(fā)送ARP應(yīng)答，MAC地址就是這個(gè)以太網(wǎng)接口的MAC地址。第二章NAT的基本工作原理以太網(wǎng)口支持地址池（續(xù)）78第二章NAT的基本工作原理支持多個(gè)方向上負(fù)載分擔(dān)應(yīng)用第二章NAT的基本工作原理支持多個(gè)方向上負(fù)載分擔(dān)應(yīng)用79NAT基本工作原理小結(jié)NAT基本工作原理小結(jié)80NAT基本工作原理小結(jié)地址轉(zhuǎn)換的缺點(diǎn)：地址轉(zhuǎn)換對(duì)于報(bào)文內(nèi)容中含有有用的地址信息的情況很難處理。地址轉(zhuǎn)換不能處理IP報(bào)頭加密的情況。地址轉(zhuǎn)換由于隱藏了內(nèi)部主機(jī)地址，有時(shí)候會(huì)使網(wǎng)絡(luò)調(diào)試變得復(fù)雜。影響報(bào)文轉(zhuǎn)發(fā)的效率。無法確定源地址。因?yàn)橥瑯拥膬?nèi)部地址在不同時(shí)刻的外部地址是不一樣的，所以如果從內(nèi)部網(wǎng)絡(luò)攻擊外部網(wǎng)絡(luò)，將造成定位攻擊源的困難。NAT基本工作原理小結(jié)地址轉(zhuǎn)換的缺點(diǎn)：81NAT基本工作原理小結(jié)NAT地址轉(zhuǎn)換的改進(jìn)

為滿足公安部以及一些企事業(yè)單位