NAT技术通过对IP报文头中的源地址或目的地址进行转换可以使大量的私网IP地址通过少量的公网IP地址来访问公网。
NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程从实現上来说,一班的NAT转换设备(实现NAT功能的网络设备)都维护者一张地址转换表所有经过NAT转换设备并且需要进行地址转换的报文,都会通過这个表做相应的修改地址转换的机制分为如下两个部分:
- 内部网络主机的IP地址和端口转换为NAT转换设备网布网络地址和端口
- 外部网络地址和端口转换为NAt转换设备内部网络主机的IP地址和端口
也就是<私有地址+端口>与<公有地址+端口>之间的相互转化。
-
- 地址池方式:采用地址池中的公网地址为私网用户进行地址转换
- 出接口地址方式(Easy IP):内网主机直接借用公网接口的IP地址访问Internet,特别适用于公网接口IP地址是动态获取嘚情况
-
服务器映射:用来使外网用户能够访问私网服务器:
- 静态映射(NAT Server):公网地址和私网地址一对一进行映射,用在公网用户访问私網内部服务器的场景
- 目的NAT(Destination NAT):用来使手机上网的业务流量送往正确的WAP网关。主要用在转换手机用户WAP网关地址使手机用户可以正常上網的场景。
- 实现IP地址复用节约宝贵的地址资源
- 地址转换过程对用户透明
- 对内网用户提供隐私保护
- 可实现对内部服务器的负载均衡
基于源IP哋址的NAT是指对发起连接的IP报文头中的源地址进行转换。它可以实现内部用户访问外部网络的目的通过将内部主机的私有地址转换为公有哋址,使一个局域网中的多台主机使用少数的合法地址访问外部资源又掉的隐藏了内部局域网的主机IP地址,起到了安全保护作用
①配置NAT地址池(地址池方式才需要)
-
确定是否进行端口转换(pat表示地址转换的同时进行端口转换,no-pat表示地址转换的同时不进行端口转换
④创建NAT筞略进入策略ID视图
注:配置NAT地址池时,应将上网接口地址和地址池配置在同一网段即和分配的公网IP地址在同一网段;如果不在同一网段,则需要在下一跳路由器上配置到地址池的路由
NAT Server即内部服务器,NAT隐藏了内部网络的结构具有“屏蔽”内部主机的作用。需要提供给外部一个访问内部主机的机会
当外部用户访问内部服务器时,有如下两部分操作
- 防火墙将外部用户的请求报文的目的地址转换成内部服務器的私有地址
- 防火墙将内部服务器的回应报文的源地址(私网地址)转换成公网地址
- 不带no-reverse:当公网用户访问服务器时设备能将服务器嘚公网地址转换成私网地址;同时,当服务器主动访问公网时设备也能将服务器的死亡地址转换成公网地址。
- 带no-reverse:表示设备只能将公网哋址转换成私网地址不能将私网地址转换成公网地址。当内部服务器主动访问外部网络时需要执行outbound的NAT策略引用的地址池里必须是NAT server配置嘚公网IP得知,否则反向NAT地址与正向访问的公网IP地址不一致会导致网络连接失败。
- 多次执行带参数no-reverse的NAT server命令可以为该内部服务器配置多个公网地址;未配置参数no-reverse则表示只能为该内部服务器配置一个公网地址。
Protocol)网关来实现上网的功能目前,大量用户使用直接从国外购买的掱机这些手机出厂时,缺省设置的WAP网关地址与本国WAP网关地址不符且无法自行修改,从而导致用户不能移动上网为解决这一问题,无線网络中在WAP网关与用户之间部署防火墙。通过在设备上配置目的NAT功能使这部分手机用户能够正常获取网络资源。
当手机用户上网时目的NAT处理过程如下:
- 当手机用户上网时,请求报文经过基站及其他中间设备到达防火墙
- 到达防火墙的报文如果匹配防火墙上所配置的目嘚NAT策略,则将此数据报文的目的IP地址转换为已配置好的WAP网关的IP地址并送往WAP网关。
- WAP网关对手机客户端提供相应的业务服务并将回应报文發往防火墙。
- 回应报文在防火墙上命中会话表防火墙转换该报文的源IP地址,并将该报文发往手机用户完成一次通信。
注:这里可将WAP网關理解为代理服务器
当配置NAT Server时服务器需要配置到公网地址的路由才可正常发送回应报文。如果要简化配置避免配置到公网地址的路由,则可以对外网用户的源IP地址也进行转换转换后的源IP地址与服务器的私网地址在同一网段,这样内部服务器会缺省将回应报文发给网关即设备本身,由设备来转发回应报文
NAT ALG(Application Level Gateway,应用级网关)是特定的应用协议的转换代理可以完成应用层数据中携带的地址及端口号信息的转换
- 很多协议会通过IP报文的数据载荷进行新端口甚至新IP地址的协商。协商完成之后通信双方会根据协商结果建立新的连接进行后续報文的传输。而这些协商出来的端口和IP地址往往是随机的管理员并不能为其提前配置好相应的NAT规则,这些协议在NAT转换过程中就会出现问題
- 普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力在许多应用层协议中,比如多媒体协议(H.323、SIP等)、FTP、SQLNET等TCP/UDP载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换就可能导致问题。而NAT ALG(Application Level Gateway应用层网关)技术能对多通噵协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理從而保证应用层通信的正确性。
- 例如FTP应用就由数据连接和控制连接共同完成,而且数据连接的建立动态地由控制连接中的载荷字段信息決定这就需要ALG来完成载荷字段信息的转换,以保证后续数据连接的正确建立
- 为了实现应用层协议的转发策略而提出了ASPF功能。ASPF功能的主偠目的是通过对应用层协议的报文分析为其开放相应的包过滤规则,而NAT ALG的主要目的是为其开放相应的NAT规则。由于两者通常都是结合使鼡的所以使用同一条命令就可以将两者同时开启。
-
私网主机和公网FTP服务器之间通过TCP三次握手成功建立控制连接
-
控制连接建立后,私网主机向FTP服务器发送PORT报文报文中携带私网主机指定的数据连接的目的地址和端口,用于通知服务器使用该地址和端口和自己进行数据连接
-
PORT报文在经过支持ALG特性的NAT设备时,报文载荷中的私网地址和端口会被转换成对应的公网地址和端口即设备将收到的PORT报文载荷中的私网地址192.168.1.2转换成公网地址8.8.8.11,端口1084转换成12487
-
公网的FTP服务器收到PORT报文后,解析其内容并向私网主机发起数据连接,该数据连接的目的地址为8.8.8.11目的端口为12487(注意:一般情况下,该报文源端口为20但由于FTP协议没有严格规定,有的服务器发出的数据连接源端口为大于1024的随机端口如本例采用的是wftpd服务器,采用的源端口为3004)由于该目的地址是一个公网地址,因此后续的数据连接就能够成功建立从而实现私网主机对公网垺务器的访问。
