hcna security cbsn四章網(wǎng)絡地址轉換技術

修訂記錄課程編碼適用產品產品版本課程版本ISSUEHC1103華為防火墻V300R001V1.0開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）陳靈光2011.7余雷第一版本頁不打印第四章網(wǎng)絡地址轉換技術

目標學完本課程后，您將能夠:掌握NAT的技術原理掌握NAT幾種應用方式掌握防火墻的NAT配置目錄網(wǎng)絡地址轉換技術介紹基于源IP地址NAT技術基于目的IP地址NAT技術雙向NAT技術NAT應用場景配置NAT產生背景Internet爆炸式發(fā)展，讓IPv4地址日漸枯竭。下一代IP技術IPv6因為各種原因不能立即大面積替換技術不斷發(fā)展，各種延長IPv4壽命的技術不斷出現(xiàn)。NAT就是其中的一種優(yōu)秀的技術手段。為什么需要NAT?私網(wǎng)地址的出現(xiàn)目的是為了實現(xiàn)地址的復用，提高IP資源的利用率。私網(wǎng)地址不能在公網(wǎng)中路由，否則將導致通信混亂。NAT技術主要應用是實現(xiàn)大量的私網(wǎng)地址對少量公網(wǎng)地址的轉換。保障通信的基礎上節(jié)約IP地址資源。內網(wǎng)用戶FTPServer目的IP：源IP：丟棄，私網(wǎng)地址？不知道路由 無NAT情況下私網(wǎng)與公網(wǎng)的通信不做處理內網(wǎng)用戶FTPServer目的IP：123.3.21源IP：NAT技術的基本原理NAT技術通過對IP報文頭中的源地址或目的地址進行轉換，可以使大量的私網(wǎng)IP地址通過共享少量的公網(wǎng)IP地址來訪問公網(wǎng)，有效減緩了IP地址空間枯竭的速度，并且使大量私網(wǎng)用戶也可以接入到Internet中。目的IP：源IP：目的IP：源IP：將私網(wǎng)源地址替換為公網(wǎng)地址目的IP：源IP：將公網(wǎng)目的地址替換為私網(wǎng)地址NAT分類基于源IP地址轉換方向Outbound方向：數(shù)據(jù)包從高安全級別流向低安全級別Inbound方向：數(shù)據(jù)包從低安全級別流向高安全級別基于源IP地址端口是否轉換No-PAT方式：用于一對一IP地址轉換，不涉及端口轉換NAPT方式：用于多對一或多對多IP地址轉換，涉及端口轉換基于目的IP地址轉換功能NATServer功能：用于私網(wǎng)服務器對公網(wǎng)用戶提供服務目的NAT功能：用于手機用戶上網(wǎng)，缺省WAP網(wǎng)關與所在地運營商不一致雙向NAT轉換NATInbound和NATServer共用域內NAT和NATServer共用NAT的優(yōu)點與缺點優(yōu)點實現(xiàn)IP地址復用，節(jié)約寶貴的地址資源地址轉換過程對用戶透明對內網(wǎng)用戶提供隱私保護可實現(xiàn)對內部服務器的負載均衡缺點網(wǎng)絡監(jiān)控難度加大限制某些具體應用目錄網(wǎng)絡地址轉換技術介紹基于源IP地址NAT技術基于目的IP地址NAT技術雙向NAT技術NAT應用場景配置基于源IP地址NAT技術概述基于源IP地址轉換基于源IP地址和端口轉換TrustUntrustTrustUntrust源1

源端口X

目的源1

目的源

目的源

源端口Y

目的轉換轉換NATOutbound與NATInbound區(qū)別NATOutboundNATInboundTrustUntrustDMZUntrust源1

目的源

目的轉換OutboundInbound高安全區(qū)域低安全區(qū)域高安全區(qū)域低安全區(qū)域源1

目的源

目的轉換一對一地址轉換將轉換前與轉換后的地址一一綁定，以實現(xiàn)某些特殊需求，實際應用比較少。多對多地址轉換通過地址池的方式規(guī)劃出一段用來轉換的地址。當轉換時，依次挑選地址池中的外網(wǎng)地址作為一個內網(wǎng)地址轉換后的地址，直到地址池中所有地址被用完。此時接下來的內網(wǎng)地址將不能轉換。丟棄多對多地址轉換與一對一的區(qū)別在于，多對多是按需轉換，先來先得，對應關系不確定；而一對一完全是人為分配，對應關系固定。多對多地址轉換轉換后需要的地址和轉換前一樣多，所以也不常用。多對一地址轉換將不同的內部地址映射到同一公有地址的不同端口號上，實現(xiàn)多對一地址轉換。主要利用NAPT技術實現(xiàn)多對一地址轉換。：7111：7112：7113NAPT是一種利用第四層信息來擴展第三層地址的技術，一個IP地址有65535個端口可以使用。理論上來說，一個地址可以為其他65535個地址提供NAPT轉換，這樣極大的提升了地址空間，增加了IP地址的利用率。因此NAPT是最常用的一種地址轉換方式?；谠碔P地址轉換的配置(NATNo-pat)在系統(tǒng)視圖下，配置NAT地址池在系統(tǒng)視圖下，進入域間NAT策略視圖創(chuàng)建NAT策略，進入策略ID視圖nataddress-groupgroup-number[group-name]start-addressend-addressnat-policyinterzone

zone-name1zone-name2{inbound|outbound}policy

[policy-id]Policy

source{source-addresssource-wildcard|……}Policy

destination

{source-addresssource-wildcard|……}Policy

serviceservice-set

{service-set-name}action

{source-nat|no-nat}Address-group

{number|name}no-pat基于源IP地址和端口轉換的配置(NAPT)在系統(tǒng)視圖下，配置NAT地址池在系統(tǒng)視圖下，進入域間NAT策略視圖創(chuàng)建NAT策略，進入策略ID視圖nataddress-groupgroup-number[group-name]start-addressend-addressnat-policyinterzone

zone-name1zone-name2{inbound|outbound}policy

[policy-id]Policy

source{source-addresssource-wildcard|……}Policy

destination

{source-addresssource-wildcard|……}Policy

serviceservice-set

{service-set-name}action

{source-nat|no-nat}Address-group

{number|name}目錄網(wǎng)絡地址轉換技術介紹基于源IP地址NAT技術基于目的IP地址NAT技術雙向NAT技術NAT應用場景配置NATServer-內部服務器在實際應用中，可能需要提供給外部一個訪問內部主機的機會，如Web服務器等。而外部主機根本沒有指向內部地址的路由，因此無法正常訪問。內部服務器(NatServer)功能就是使用一個公網(wǎng)地址來代表內部服務器對外地址。DMZuntrust在防火墻上，專門為內部的服務器配置一個對外的公網(wǎng)地址來代表私網(wǎng)地址。對于外網(wǎng)用戶來說，防火墻上配置的外網(wǎng)地址就是服務器的地址。公網(wǎng)地址真正的地址WWW服務器外網(wǎng)用戶源IP地址目的源IP地址目的轉換基于NATServer的配置在系統(tǒng)視圖下:NATServer是最常用的基于目的地址的NAT。當內網(wǎng)部署了一臺服務器，其真實IP是私網(wǎng)地址，但是希望公網(wǎng)用戶可以通過一個公網(wǎng)地址來訪問該服務器，這時可以配置NATServer，使設備將公網(wǎng)用戶訪問該公網(wǎng)地址的報文自動轉發(fā)給內網(wǎng)服務器。natserver[id]zonezone-name

protocolprotocol-typeglobal

{global-address[global-port]|interface{interface-name|interface-typeinterface-number}}insidehost-address[host-port][vrrpvirtual-router-id][no-reverse][vpn-instancevpn-instance-name

]

目的NAT在移動終端訪問無線網(wǎng)絡時，如果其缺省WAP網(wǎng)關地址與所在地運營商的WAP網(wǎng)關地址不一致時，可以在終端與WAP網(wǎng)關中間部署一臺設備，并配置目的NAT功能，使設備自動將終端發(fā)往錯誤WAP網(wǎng)關地址的報文自動轉發(fā)給正確的WAP網(wǎng)關?；綠GSNGSR防火墻WAP網(wǎng)關基于目的NAT的配置在系統(tǒng)視圖下：創(chuàng)建高級ACL，并進入ACL視圖在系統(tǒng)視圖下:進入安全區(qū)域視圖acl[number]acl-number[vpn-instancevpn-instance-name]rule[rule-id]{deny|permit}protocol[destination{destination-addressdestination-wildcard|any|address-setaddress-set-name}|destination-port{operatorport1[port2]|port-setport-set-name}……..firewallzone[vpn-instancevpn-instance-name][name]zone-name

destination-natacl-numberaddressip-address[portport-number]

目錄網(wǎng)絡地址轉換技術介紹基于源IP地址NAT技術基于目的IP地址NAT技術雙向NAT技術NAT應用場景配置雙向NAT技術概述雙向NAT應用場景的通信雙方訪問對方的時候目的地址都不是真實的地址，而是NAT轉換后的地址。而outbound方向、inbound方向、內部服務器等應用都是只是針對某一方來進行地址轉換。一般來說，雙向NAT有如下兩種情況:內部服務器和NATinbound共同使用內部服務器同域內NAT共同使用域間雙向NAT為了簡化配置服務器至公網(wǎng)的路由，可在NATServer基礎上，增加NATInbound配置。DMZUntrustNATInbound私網(wǎng)IP地址Internet用戶外網(wǎng)服務器真正IP地址對外公網(wǎng)地址域內雙向NAT若需要地址轉換的雙方都在同一個安全域內，那么就涉及到了域內NAT的情況.為了保證路徑同步。Trust域服務器公網(wǎng)地址用戶公網(wǎng)地址在內網(wǎng)中，內網(wǎng)用戶訪問內網(wǎng)服務器，某些情況下需要通過防火墻進行NAT轉換。如用戶通過域名訪問服務器，經過DNS解析后使用服務器的對外公網(wǎng)地址，那么用戶和服務器之間的通信就必須經過防火墻了。內網(wǎng)用戶服務器域間雙向NAT的配置NATServer配置NATInbound配置natserver[id]zonezone-name

protocolprotocol-typeglobal

{global-address[global-port]|interface{interface-name|interface-typeinterface-number}}insidehost-address[host-port][vrrpvirtual-router-id][no-reverse][vpn-instancevpn-instance-name

]

nataddress-groupgroup-number[group-name]start-addressend-addressnat-policyinterzone

zone-name1zone-name2{inbound|outbound}policy

[policy-id]Policy

source{source-addresssource-wildcard|……}Policy

destination

{source-addresssource-wildcard|……}Policy

serviceservice-set

{service-set-name}action

{source-nat|no-nat}Address-group

{number|name}目錄網(wǎng)絡地址轉換技術介紹基于源IP地址NAT技術基于目的IP地址NAT技術雙向NAT技術NAT應用場景配置NAT應用場景分析

應用場景分析NATOutbound應用NATServer應用DMZ區(qū)域Untrust區(qū)域Trust區(qū)域192.168.０.1/24/29/24防火墻NAToutbound配置(命令行)配置outbound方向的NAT思路及舉例

配置域間包過濾策略。[USG]policyinterzonetrustuntrustoutbound[USG-policy-interzone-trust-untrust-outbound]policy0[USG-policy-interzone-trust-untrust-outbound-0]policysource55[USG-policy-interzone-trust-untrust-outbound-0]actionpermit配置地址池。[USG]nataddress-group1配置NATOutbound策略[USG]nat-policyinterzonetrustuntrustoutbound[USG-nat-policy-interzone-trust-untrust-outbound]policy0[USG-nat-policy-interzone-trust-untrust-outbound-0]policysource55[USG-nat-policy-interzone-trust-untrust-outbound-0]actionsource-nat[USG-nat-policy-interzone-trust-untrust-outbound-0]address-group1防火墻NATOutbound配置(Web)防火墻NATServer配置(命令行)配置內部服務器思路及舉例配置內部Web和FTP服務器。[USG]natserverprotocoltcpglobal80inside8080[USG]natserverprotocoltcpglobalftpinsideftp配置域間包過濾規(guī)則。[USG]policyinterzonedmzuntrustinbound[USG-policy-interzone-dmz-untrust-outbound]policy0[USG-policy-interzone-dmz-untrust-outbound-0]policydes