NAT原理與基本應用培訓膠片-20060711-A_第1頁
NAT原理與基本應用培訓膠片-20060711-A_第2頁
NAT原理與基本應用培訓膠片-20060711-A_第3頁
NAT原理與基本應用培訓膠片-20060711-A_第4頁
NAT原理與基本應用培訓膠片-20060711-A_第5頁
已閱讀5頁,還剩37頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、HUAWEI TECHNOLOGIES CO., LTDHUAWEI Confidential Security Level: NAT原理與基本應用ISSUE 4.0HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 1lNAT技術實現(xiàn)了私網與公網的互訪,為私網提供了安全保障,也給公網帶來了安全隱患。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 2學習指南l開篇會介紹一些和NAT相關的基本概念l重點理解NAT的入口和出口轉換流程HUAWEI TECHNOLOGIES CO.,

2、LTD.HUAWEI Confidential Page 3參考資料lRFC 3022Traditional IP Network Address Translator (Traditional NAT)lRFC2993Architectural Implications of NATlRFC 2663IP Network Address Translator (NAT) Terminology and ConsiderationslRFC 3027Protocol Complications with the IP Network Address TranslatorHUAWEI TECHN

3、OLOGIES CO., LTD.HUAWEI Confidential Page 4l學習完此課程,您將會:NAT基本概念NAT工作原理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 5第第2章章 NAT工作原理工作原理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 6NAT基本概念lNAT(Network Address Translator)網絡地址轉換,即改變IP報文中的源或目的地址的一種處理方式;使一個局域網中的多臺主機使用少數的合法地址訪問外部資源,也可以按照要求

4、設定內部的WWW、FTP、TELNET的服務提供給外部網絡使用;有效的隱藏了內部局域網的主機IP地址,起到了安全保護的作用。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 7NAT基本概念l公有地址和私有地址l私有地址是指內部網絡(局域網內部)的主機地址,而公有地址是局域網的外部地址(在因特網上的全球唯一的IP地址)。因特網地址分配組織規(guī)定以下的三個網絡地址保留用做私有地址: - 55 - 55 - 192.168.255.

5、255 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 8NAT基本概念l地址池地址池是由一些外部地址(全球唯一的IP地址)組合而成的,我們稱這樣的一個地址集合為地址池。在內部網絡的數據包通過地址轉換達到外部網絡時,將會選擇地址池中的某個地址作為轉換后的源地址,這樣可以有效利用用戶的外部地址,提高內部網絡訪問外部網絡的能力。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 9NAT基本概念l訪問控制列表訪問列表是由ACCESS-LIST命令生成的,它依據IP數據包報頭以及它承載

6、的上層協(xié)議數據包頭的格式定義了一定的規(guī)則,可以表示允許或者是禁止具有某些特征(包頭數據可以描述的)的數據包,地址轉換按照這樣的規(guī)則判定哪些包是被允許轉換或者是禁止轉換,這樣可以禁止一些內部的主機訪問外部網絡,提高一些網絡的安全性問題。有關的詳細概念可以參考防火墻中的有關內容。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 10NAT基本概念l轉換關聯(lián)轉換關聯(lián)就是將一個地址池和一個訪問列表關聯(lián)起來,這種關聯(lián)指定了“具有某些特征的IP報文”是使用“這樣的地址池中的地址”,而另一些可能是使用另外一個地址池中的地址。在地址轉換時,是根據這樣的

7、對應進行地址轉換的。當一個內部網絡的數據包文發(fā)往外部網絡時,首先根據訪問列表判定是否是允許的數據包,然后根據轉換的關聯(lián)找到于之相對應的地址池,我們就可以把源地址轉換成這個地址池中的某一個地址,完成地址轉換。 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 11NAT基本概念l內部服務器映射表內部服務器映射表是由NAT SERVER命令配置的,允許用戶依照自己的需要提供內部服務。在轉換時,根據用戶的配置查找外部數據包的目的地址,如果是訪問內部的服務器,則轉換成相應的內部服務器的目的地址和端口,達到訪問內部服務器的目的。還原時對源地址進行

8、查找,判斷是否是從內部服務器出去的報文,如果是將源地址轉換成相應的外部地址。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 12第第1章章 NAT基本概念基本概念HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 13NAT的基本工作原理lNAT在系統(tǒng)中的位置IPTCP/UDPLink LayerNATHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 14NAT的基本工作原理 lNAT基本工作原理(以出口NAT為例)l在I

9、P層的出口處調用NAT是否是LIST中允許的地址?建立新的HASH表項,記錄有關轉換信息,轉換地址以及端口Yes是否是內部服務器的數據報由NATSERVER命令形成的關聯(lián)表No轉換源地址、源端口YesHASH表NoIP層HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 15NAT的基本工作原理l在IP層的入口出調用NAT是否是到內部服務器的數據報?轉換目的地址和端口Yes由NATSERVER命令形成的關聯(lián)表是否是HASH表中的地址NoHASH表還原數據目的地址以及端口YesIP層NoHUAWEI TECHNOLOGIES CO., LT

10、D.HUAWEI Confidential Page 16NAT的基本工作原理l透明的地址分配靜態(tài)的地址分配指一個特定的主機使用固定的地址訪問外部的網絡。動態(tài)的地址分配是指NAT在一些地址中挑選一個地址,做為內部網絡的主機訪問外部網絡的IP地址。無論是那種,地址的分配應該對用戶來說是透明的。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 17NAT的基本工作原理lNAT的基本工作方式:NAT一對一的地址轉換PAT多對一的地址轉換NPAT多對多的地址轉換HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confid

11、ential Page 18NAT的基本工作原理lNAT方式HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 19NAT的基本工作原理lNAT方式在出方向上轉換IP報文頭中的源IP地址,而不對端口進行轉換。在私有網絡地址和外部網絡地址之間建立一對一映射,實現(xiàn)比較簡單只轉換IP報文頭中的IP地址,所以適用于所有IP報文轉換HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 20NAT的基本工作原理lPAT方式(0: 1001 - 6: 23) - (

12、00:12964 - 6: 23) (6: 23 - 00:12964) - (6: 23 - 0: 1001)HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 21NAT的基本工作原理lPAT方式PAT(Port Address Translation)方式的地址轉換利用了TCP/UDP協(xié)議的端口號,進行地址轉換。PAT方式的地址轉換是采用了“地址端口”的映射方式,因此可以使內部局域網的許多主機共享一個IP地址訪問I

13、nternet。在私有網絡地址和外部網絡地址之間建立多對一映射。不同的內部網地址,轉換時采用相同的公網地址,并依靠不同的端口號來區(qū)分每一個內部網主機。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 22NAT的基本工作原理lNPAT方式( 0: 1001 - 6: 23) - (00:12964 - 6: 23) (:2001 - 7: 25) (6: 23 - 00:129

14、64) - (6: 23 - 0: 1001) (7: 25 - :2001)HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 23NAT的基本工作原理lNPAT方式NPAT(Nat & Port Address Translation)方式的地址轉換也是利用了TCP/UDP協(xié)議的端口號,進行地址轉換。私網地址和公網地址之間建立了多對多的映射關系。NPAT方式也是采用“地址端口”的映射關系,因此可以使內部局域網的多個主機共享多個IP地址訪問Internet。HUAW

15、EI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 24NAT的基本工作原理l內部服務器內部服務器是一種反相的地址轉換。地址轉換屏蔽了內部網絡中的主機,而內部服務器可以提供外部網絡訪問內部網絡的服務。可以配置WWW、FTP、Telnet等服務。內部服務器映射表是由NAT SERVER命令配置的,在轉換時,根據用戶的配置查找外部數據包的目的地址,如果是訪問內部的服務器,則轉換成相應的內部服務器的目的地址和端口,達到訪問內部服務器的目的。還原時對源地址進行查找,判斷是否是從內部服務器出去的報文,如果是將源地址轉換成相應的外部地址。HUAWEI TEC

16、HNOLOGIES CO., LTD.HUAWEI Confidential Page 25NAT的基本工作原理l內部服務器HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 26NAT的基本工作原理l利用ACL控制地址轉換不能訪問Internet可以使用地址轉換訪問InternetHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 27NAT的基本工作原理l支持特殊協(xié)議(ALG應用程序網關)地址轉換改變了IP數據包頭的IP地址信息,如果數據報文的載荷中含有地址信息,地址轉換就需要特

17、殊處理,除了改變IP包頭的地址信息以外還需要改變數據報文中載荷中的地址信息。比較典型的應用是FTP目前VRP NAT平臺支持FTP、Radius、L2tp、PPTP、CMC幾種特殊的協(xié)議。以及后來支持的H.323、SMTP、DNS等。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 28NAT的基本工作原理l以FTP ALG為例:在TCP的應用FTP中,包含兩種連接:控制連接(會話)、數據連接(傳輸)。其中控制連接是用大家都熟悉的21端口的TCP連接。數據連接卻是由客戶端“發(fā)起”的,它通過控制連接“通知”服務器它已經初始化完的端口,F(xiàn)T

18、P服務器通過20端口(默認情況)將數據傳送到客戶端。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 29NAT的基本工作原理l以FTP ALG為例(續(xù)):在通知服務器的時候,會用到“PORT命令”,其中在這次TCP連接的數據中是這樣的:“PORT 10,110,1,2,13,23AD”(表示:端口=138 + 23,地址=),于是服務器就可以知道客戶端的數據連接的地址和端口了。在地址轉換的過程中,對于PORT命令,我們除了改變IP地址以及端口信息,同時必須改變相應TCP中的數據,這樣才可以保證使FTP服務器端可以把

19、數據發(fā)送到正確的客戶端。這樣,有可能會使TCP數據包的長度發(fā)生變化,所以對于PORT命令還需要對TCP數據頭中的序號(SEQUENCE NUMBER)進行調整。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 30NAT的基本工作原理lNAT地址轉換的DNS運用DNS服務器處于私網中DNS服務器處于公網中HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 31NAT的基本工作原理lDNS和內部服務器使用私網地址由于內部www服務器和DNS服務器都在一個私網內,這樣,當內部DNS進行

20、為內部服務器進行域名到IP地址的轉換時,會得到一個內部網的IP地址,然后DNS將這個內部地址返回給外部要訪問的內部服務器的主機。而這個地址由于是私網地址,所以外部網訪問不到。 NE16公網PCNATwww 服 務器DNS 服務器PC內部網HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 32NAT的基本工作原理lDNS在公網上,內部主機無法使用域名訪問內部服務器當內部pc通過域名訪問時,會到外部的DNS上請求IP地址,由于DNS是在外部,所以它會返回一個公網的地址或找不到地址。這樣導致內部PC通過域名訪問時,得到是個外部的地址或者得不到

21、地址,導致內部用戶不能正常訪問內部服務器。 NE16公 網PCNA Twww 服務器ftp服 務 器PC內 部 網DNS服 務 器Qusetion:有什么好的方法可以解決:有什么好的方法可以解決DNS問題?問題?HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 33NAT的基本工作原理l以太網口支持地址池在以太網環(huán)境中,如果地址池中的地址與接口的地址在不同的網段上,那么可以通過添加路由的方式來解決。而如果在同一個網段上,則對方不會缺省的將報文發(fā)送到此設備上,因為對方發(fā)現(xiàn)這是一個同網段的地址,會發(fā)送ARP請求,如果得不到響應,將認為這個地

22、址不存在,當然報文將無法到達本端。因此需要對以太網接口做特殊處理,使得當地址池中的地址和接口的地址在同一個網段也可以支持。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 34NAT的基本工作原理l以太網口支持地址池(續(xù))如果一個ARP請求報請求的地址不是以太網接口的IP地址,ARP模塊將這個ARP請求丟棄,現(xiàn)在NAT模塊提供一個函數,根據地址、接口判斷這個地址是否是在這個接口上的一個地址池中的地址。如果是,告訴ARP對這個IP地址發(fā)送ARP應答,MAC地址就是這個以太網接口的MAC地址。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 35NAT的基本工作原理l支持多個方向上負載分擔應用NAT RouterISP1PC1Ethernet內部網絡PC2ISP2HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 36NAT基本工作原理l地址轉換的優(yōu)點:地址轉換可以使內部網絡用戶方便的訪問Internet。地址轉換可以使內部局域網的許多主機共享一個IP地址上網。地

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論