华为NAT技术详解
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了华为NAT技术详解相关的知识,希望对你有一定的参考价值。
NAT介绍:
NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
NAT功能:
NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的×××,隐藏并保护网络内部的计算机。
1.宽带分享:这是 NAT 主机的最大功能。
2.安全防护:NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 portscan(端口扫描) 的时候,就侦测不到源Client 端的 PC 。
NAT处理流程
一、基于源IP地址
a、一对一 NO-PAT
NAT中生产server-map表项的两中情况之一:配置NAT no-pat时防火墙会为已配置的多通道协议产生的有实际流量的数据建立serve-map表。
b、多对一 NAPT
ASPF功能的主要目的是通过对应用层协议的报文分析,为其放开相应的包过滤规则,而NAT ALG的主要目的,是为其放开相应的NAT规则。
由于NAT ALG和ASPF通常都是结合使用的,所有使用一条命令就能将两者同时开启,在域间配置一条命令即可detece protocol。
二、基于目的IP地址
a、nat server
NAT中生产server-map表项的两中情况之二:配置 NAT SERVER时防火墙会自动生产server-map表项,用于存放global地址与inside地址的映射关系。
b、高级目的nat
需求:CLIENT1(10.1.1.1)访问202.1.3.3,防火墙处理后将目的地址变更为202.1.3.2(CLIENT3)
#
acl number 3000
rule 25 permit ip source 10.1.1.1 0 destination 202.1.3.3 0
#
firewall zone trust
set priority 85
destination-nat 3000 address 202.1.3.2
add interface GigabitEthernet0/0/0
add interface GigabitEthernet0/0/1
#
policy interzone trust untrust outbound
policy 0
action permit
policy source 10.1.1.1 0
policy destination 202.1.3.2 0
#
------------------------------------------------------------
[SRG]display firewall session table verbose
icmp ×××:public --> public
Zone: trust--> untrust TTL: 00:00:20 Left: 00:00:00
Interface: GigabitEthernet0/0/3 NextHop: 202.1.1.1 MAC: 54-89-98-94-67-33
<--packets:0 bytes:0 -->packets:1 bytes:60
10.1.1.1:42131-->202.1.3.3:2048[202.1.3.2:2048]
------------------------------------------------------------
[SRG]display firewall server-map
空
c、SLB服务器负载均衡
三、双向NAT
a、NAT server+NAT inboud(域间)
需求:CLIENT3(202.1.3.2)通过FTP访问202.1.1.88的88端口,实际访问的是server1(10.1.3.1)的21端口,server1未配置网关。
#
firewall interzone dmz untrust
detect ftp
#
nat address-group 88 10.1.3.88 10.1.3.88
nat server 0 protocol tcp global 202.1.1.88 88 inside 10.1.3.1 ftp
#
policy interzone dmz untrust inbound
policy 0
action permit
policy source 202.1.3.2 0
policy destination 10.1.3.1 0
#
nat-policy interzone dmz untrust inbound
policy 0
action source-nat
policy source 202.1.3.2 0
policy destination 10.1.3.1 0
address-group 88
#
------------------------------------------------------------
[SRG]display firewall session table verbose
ftp ×××:public --> public
Zone: untrust--> dmz TTL: 00:10:00 Left: 00:09:58
Interface: GigabitEthernet0/0/2 NextHop: 10.1.3.1 MAC: 54-89-98-d1-4b-f6
<--packets:17 bytes:1276 -->packets:19 bytes:925
202.1.3.2:2067[10.1.3.88:2048]+->202.1.1.88:88[10.1.3.1:21]
ftp-data ×××:public --> public
Zone: dmz--> untrust TTL: 00:04:00 Left: 00:04:00
Interface: GigabitEthernet0/0/3 NextHop: 202.1.1.1 MAC: 54-89-98-94-67-33
<--packets:33 bytes:1324 -->packets:53 bytes:72608
10.1.3.1:20[202.1.1.88:20]-->10.1.3.88:15362[202.1.3.2:2070]
----------------------------------------------------------------
[SRG]display firewall server-map
Nat Server, any -> 202.1.1.88:88[10.1.3.1:21], Zone: ---
Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: ---
×××: public -> public
Nat Server Reverse, 10.1.3.1[202.1.1.88] -> any, Zone: ---
Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
×××: public -> public
ASPF, 10.1.3.1[202.1.1.88] -> 10.1.3.88:15361[202.1.3.2:2069], Zone: ---
Protocol: tcp(Appro: ftp-data), Left-Time: 00:00:12, Addr-Pool: ---
×××: public -> public
ASPF, 10.1.3.1[202.1.1.88] -> 10.1.3.88:15362[202.1.3.2:2070], Zone: ---
Protocol: tcp(Appro: ftp-data), Left-Time: 00:00:51, Addr-Pool: ---
×××: public -> public
b、NAT server+域内NAT(域内)
需求:CLIENT4(10.1.3.10)通过FTP访问202.1.1.88的88端口,实际访问的是server1(10.1.3.1)的21端口。
配置如下:
#
nat address-group 3 202.1.1.3 202.1.1.3
nat server 0 protocol tcp global 202.1.1.88 88 inside 10.1.3.1 ftp
#
nat-policy zone dmz
policy 0
action source-nat
policy source 10.1.3.10 0
policy destination 10.1.3.1 0
address-group 3
#
-----------------------------------------------------
[FW1]display firewall server-map
Nat Server, any -> 202.1.1.88:88[10.1.3.1:21], Zone: ---
Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: ---
×××: public -> public
Nat Server Reverse, 10.1.3.1[202.1.1.88] -> any, Zone: ---
Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
×××: public -> public
---------------------------------------------------------
[FW1]display firewall session table verbose
ftp ×××:public --> public
Zone: dmz--> dmz TTL: 00:10:00 Left: 00:09:58
Interface: GigabitEthernet0/0/2 NextHop: 10.1.3.1 MAC: 54-89-98-d1-4b-f6
<--packets:91 bytes:7567 -->packets:110 bytes:5497
10.1.3.10:2051[202.1.1.3:2048]-->202.1.1.88:88[10.1.3.1:21]
NAT有什么弊端?
在一个具有NAT功能的路由器下的主机并没有建立真正的端对端连接,并且不能参与一些因特网协议。一些需要初始化从外部网络建立的TCP连接,和使用无状态协议(比如UDP)的服务将被中断。除非NAT路由器作一些具体的努力,否则送来的数据包将不能到达正确的目的地址。(一些协议有时可以在应用层网关的辅助下,在参与NAT的主机之间容纳一个NAT的实例,比如FTP。)NAT也会使安全协议变的复杂。
以上是关于华为NAT技术详解的主要内容,如果未能解决你的问题,请参考以下文章