第八章 NAT原理與基本應(yīng)用

1、Page 0lNAT技術(shù)實(shí)現(xiàn)了私網(wǎng)與公網(wǎng)的互訪，為私網(wǎng)提供了安全保障，也給公網(wǎng)帶來了安全隱患。Page 1學(xué)習(xí)指南l開篇會介紹一些和NAT相關(guān)的基本概念l重點(diǎn)理解NAT的入口和出口轉(zhuǎn)換流程Page 2參考資料lRFC 3022Traditional IP Network Address Translator (Traditional NAT)lRFC2993Architectural Implications of NATlRFC 2663IP Network Address Translator (NAT) Terminology and ConsiderationslRFC 3027Pro

2、tocol Complications with the IP Network Address TranslatorPage 3l學(xué)習(xí)完此課程，您將會：NAT基本概念NAT工作原理Page 4第第2章章 NAT工作原理工作原理Page 5NAT基本概念lNAT(Network Address Translator)網(wǎng)絡(luò)地址轉(zhuǎn)換，即改變IP報文中的源或目的地址的一種處理方式；使一個局域網(wǎng)中的多臺主機(jī)使用少數(shù)的合法地址訪問外部資源，也可以按照要求設(shè)定內(nèi)部的WWW、FTP、TELNET的服務(wù)提供給外部網(wǎng)絡(luò)使用；有效的隱藏了內(nèi)部局域網(wǎng)的主機(jī)IP地址，起到了安全保護(hù)的作用。Page 6NAT基本概念l公

3、有地址和私有地址l私有地址是指內(nèi)部網(wǎng)絡(luò)(局域網(wǎng)內(nèi)部)的主機(jī)地址，而公有地址是局域網(wǎng)的外部地址（在因特網(wǎng)上的全球唯一的IP地址）。因特網(wǎng)地址分配組織規(guī)定以下的三個網(wǎng)絡(luò)地址保留用做私有地址： - 55 - 55 - 55 Page 7NAT基本概念l地址池地址池是由一些外部地址（全球唯一的IP地址）組合而成的，我們稱這樣的一個地址集合為地址池。在內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包通過地址轉(zhuǎn)換達(dá)到外部網(wǎng)絡(luò)時，將會選擇地址池中的某個地址作為轉(zhuǎn)換后的源地址，這樣可以有效利用用戶的外部地

4、址，提高內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的能力。Page 8NAT基本概念l訪問控制列表訪問列表是由ACCESS-LIST命令生成的，它依據(jù)IP數(shù)據(jù)包報頭以及它承載的上層協(xié)議數(shù)據(jù)包頭的格式定義了一定的規(guī)則，可以表示允許或者是禁止具有某些特征(包頭數(shù)據(jù)可以描述的）的數(shù)據(jù)包，地址轉(zhuǎn)換按照這樣的規(guī)則判定哪些包是被允許轉(zhuǎn)換或者是禁止轉(zhuǎn)換，這樣可以禁止一些內(nèi)部的主機(jī)訪問外部網(wǎng)絡(luò)，提高一些網(wǎng)絡(luò)的安全性問題。有關(guān)的詳細(xì)概念可以參考防火墻中的有關(guān)內(nèi)容。Page 9NAT基本概念l轉(zhuǎn)換關(guān)聯(lián)轉(zhuǎn)換關(guān)聯(lián)就是將一個地址池和一個訪問列表關(guān)聯(lián)起來，這種關(guān)聯(lián)指定了“具有某些特征的IP報文”是使用“這樣的地址池中的地址”，而另一些可能是使

5、用另外一個地址池中的地址。在地址轉(zhuǎn)換時，是根據(jù)這樣的對應(yīng)進(jìn)行地址轉(zhuǎn)換的。當(dāng)一個內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包文發(fā)往外部網(wǎng)絡(luò)時，首先根據(jù)訪問列表判定是否是允許的數(shù)據(jù)包，然后根據(jù)轉(zhuǎn)換的關(guān)聯(lián)找到于之相對應(yīng)的地址池，我們就可以把源地址轉(zhuǎn)換成這個地址池中的某一個地址，完成地址轉(zhuǎn)換。 Page 10NAT基本概念l內(nèi)部服務(wù)器映射表內(nèi)部服務(wù)器映射表是由NAT SERVER命令配置的，允許用戶依照自己的需要提供內(nèi)部服務(wù)。在轉(zhuǎn)換時，根據(jù)用戶的配置查找外部數(shù)據(jù)包的目的地址，如果是訪問內(nèi)部的服務(wù)器，則轉(zhuǎn)換成相應(yīng)的內(nèi)部服務(wù)器的目的地址和端口，達(dá)到訪問內(nèi)部服務(wù)器的目的。還原時對源地址進(jìn)行查找，判斷是否是從內(nèi)部服務(wù)器出去的報文，如果是

6、將源地址轉(zhuǎn)換成相應(yīng)的外部地址。Page 11第第1章章 NAT基本概念基本概念Page 12NAT的基本工作原理lNAT在系統(tǒng)中的位置IPTCP/UDPLink LayerNATPage 13NAT的基本工作原理 lNAT基本工作原理（以出口NAT為例）l在IP層的出口處調(diào)用NAT是否是LIST中允許的地址？建立新的HASH表項，記錄有關(guān)轉(zhuǎn)換信息,轉(zhuǎn)換地址以及端口Yes是否是內(nèi)部服務(wù)器的數(shù)據(jù)報由NATSERVER命令形成的關(guān)聯(lián)表No轉(zhuǎn)換源地址、源端口YesHASH表NoIP層Page 14NAT的基本工作原理l在IP層的入口出調(diào)用NAT是否是到內(nèi)部服務(wù)器的數(shù)據(jù)報？轉(zhuǎn)換目的地址和端口Yes由NA

7、TSERVER命令形成的關(guān)聯(lián)表是否是HASH表中的地址NoHASH表還原數(shù)據(jù)目的地址以及端口YesIP層NoPage 15NAT的基本工作原理l透明的地址分配靜態(tài)的地址分配指一個特定的主機(jī)使用固定的地址訪問外部的網(wǎng)絡(luò)。動態(tài)的地址分配是指NAT在一些地址中挑選一個地址，做為內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問外部網(wǎng)絡(luò)的IP地址。無論是那種，地址的分配應(yīng)該對用戶來說是透明的。Page 16NAT的基本工作原理lNAT的基本工作方式：NAT一對一的地址轉(zhuǎn)換PAT多對一的地址轉(zhuǎn)換NPAT多對多的地址轉(zhuǎn)換Page 17NAT的基本工作原理lNAT方式Page 18NAT的基本工作原理lNAT方式在出方向上轉(zhuǎn)換IP報文頭中

8、的源IP地址，而不對端口進(jìn)行轉(zhuǎn)換。在私有網(wǎng)絡(luò)地址和外部網(wǎng)絡(luò)地址之間建立一對一映射，實(shí)現(xiàn)比較簡單只轉(zhuǎn)換IP報文頭中的IP地址，所以適用于所有IP報文轉(zhuǎn)換Page 19NAT的基本工作原理lPAT方式(0: 1001 - 6: 23) - (00:12964 - 6: 23) (6: 23 - 00:12964) - (6: 23 - 0: 1001)Page 20NAT的基本工作原理lPAT方式PAT（Port Address Translat

9、ion）方式的地址轉(zhuǎn)換利用了TCP/UDP協(xié)議的端口號，進(jìn)行地址轉(zhuǎn)換。PAT方式的地址轉(zhuǎn)換是采用了“地址端口”的映射方式，因此可以使內(nèi)部局域網(wǎng)的許多主機(jī)共享一個IP地址訪問Internet。在私有網(wǎng)絡(luò)地址和外部網(wǎng)絡(luò)地址之間建立多對一映射。不同的內(nèi)部網(wǎng)地址，轉(zhuǎn)換時采用相同的公網(wǎng)地址，并依靠不同的端口號來區(qū)分每一個內(nèi)部網(wǎng)主機(jī)。Page 21NAT的基本工作原理lNPAT方式( 0: 1001 - 6: 23) - (00:12964 - 6: 23) (:2001 - 7: 25)

10、 (6: 23 - 00:12964) - (6: 23 - 0: 1001) (7: 25 - :2001)Page 22NAT的基本工作原理lNPAT方式NPAT（Nat & Port Address Translation）方式的地址轉(zhuǎn)換也是利用了TCP/UDP協(xié)議的端口號，進(jìn)行地址轉(zhuǎn)換。私網(wǎng)地址和公網(wǎng)地址之間建立了多對多的映射關(guān)系。NPAT方式也是采用“地址端口”的映射關(guān)系，因此可以使內(nèi)部局域網(wǎng)的多個主機(jī)共享多個IP地址訪問Internet。Page 23NAT的

11、基本工作原理l內(nèi)部服務(wù)器內(nèi)部服務(wù)器是一種反相的地址轉(zhuǎn)換。地址轉(zhuǎn)換屏蔽了內(nèi)部網(wǎng)絡(luò)中的主機(jī)，而內(nèi)部服務(wù)器可以提供外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的服務(wù)?？梢耘渲肳WW、FTP、Telnet等服務(wù)。內(nèi)部服務(wù)器映射表是由NAT SERVER命令配置的，在轉(zhuǎn)換時，根據(jù)用戶的配置查找外部數(shù)據(jù)包的目的地址，如果是訪問內(nèi)部的服務(wù)器，則轉(zhuǎn)換成相應(yīng)的內(nèi)部服務(wù)器的目的地址和端口，達(dá)到訪問內(nèi)部服務(wù)器的目的。還原時對源地址進(jìn)行查找，判斷是否是從內(nèi)部服務(wù)器出去的報文，如果是將源地址轉(zhuǎn)換成相應(yīng)的外部地址。Page 24NAT的基本工作原理l內(nèi)部服務(wù)器Page 25NAT的基本工作原理l利用ACL控制地址轉(zhuǎn)換不能訪問Internet可以

12、使用地址轉(zhuǎn)換訪問InternetPage 26NAT的基本工作原理l支持特殊協(xié)議（ALG應(yīng)用程序網(wǎng)關(guān)）地址轉(zhuǎn)換改變了IP數(shù)據(jù)包頭的IP地址信息，如果數(shù)據(jù)報文的載荷中含有地址信息，地址轉(zhuǎn)換就需要特殊處理，除了改變IP包頭的地址信息以外還需要改變數(shù)據(jù)報文中載荷中的地址信息。比較典型的應(yīng)用是FTP目前VRP NAT平臺支持FTP、Radius、L2tp、PPTP、CMC幾種特殊的協(xié)議。以及后來支持的H.323、SMTP、DNS等。Page 27NAT的基本工作原理l以FTP ALG為例：在TCP的應(yīng)用FTP中，包含兩種連接：控制連接（會話）、數(shù)據(jù)連接（傳輸）。其中控制連接是用大家都熟悉的21端口的T

13、CP連接。數(shù)據(jù)連接卻是由客戶端“發(fā)起”的，它通過控制連接“通知”服務(wù)器它已經(jīng)初始化完的端口，F(xiàn)TP服務(wù)器通過20端口（默認(rèn)情況）將數(shù)據(jù)傳送到客戶端。Page 28NAT的基本工作原理l以FTP ALG為例（續(xù)）：在通知服務(wù)器的時候，會用到“PORT命令”，其中在這次TCP連接的數(shù)據(jù)中是這樣的：“PORT 10,110,1,2,13,23AD”（表示：端口=138 + 23，地址=)，于是服務(wù)器就可以知道客戶端的數(shù)據(jù)連接的地址和端口了。在地址轉(zhuǎn)換的過程中，對于PORT命令，我們除了改變IP地址以及端口信息，同時必須改變相應(yīng)TCP中的數(shù)據(jù)，這樣才可以保證使FTP服務(wù)器端可以把數(shù)

14、據(jù)發(fā)送到正確的客戶端。這樣，有可能會使TCP數(shù)據(jù)包的長度發(fā)生變化，所以對于PORT命令還需要對TCP數(shù)據(jù)頭中的序號（SEQUENCE NUMBER）進(jìn)行調(diào)整。Page 29NAT的基本工作原理lNAT地址轉(zhuǎn)換的DNS運(yùn)用DNS服務(wù)器處于私網(wǎng)中DNS服務(wù)器處于公網(wǎng)中Page 30NAT的基本工作原理lDNS和內(nèi)部服務(wù)器使用私網(wǎng)地址由于內(nèi)部www服務(wù)器和DNS服務(wù)器都在一個私網(wǎng)內(nèi)，這樣，當(dāng)內(nèi)部DNS進(jìn)行為內(nèi)部服務(wù)器進(jìn)行域名到IP地址的轉(zhuǎn)換時，會得到一個內(nèi)部網(wǎng)的IP地址，然后DNS將這個內(nèi)部地址返回給外部要訪問的內(nèi)部服務(wù)器的主機(jī)。而這個地址由于是私網(wǎng)地址，所以外部網(wǎng)訪問不到。 NE16公網(wǎng)PCNAT

15、www 服 務(wù)器DNS 服務(wù)器PC內(nèi)部網(wǎng)Page 31NAT的基本工作原理lDNS在公網(wǎng)上，內(nèi)部主機(jī)無法使用域名訪問內(nèi)部服務(wù)器當(dāng)內(nèi)部pc通過域名訪問時，會到外部的DNS上請求IP地址，由于DNS是在外部，所以它會返回一個公網(wǎng)的地址或找不到地址。這樣導(dǎo)致內(nèi)部PC通過域名訪問時，得到是個外部的地址或者得不到地址，導(dǎo)致內(nèi)部用戶不能正常訪問內(nèi)部服務(wù)器。 NE16公 網(wǎng)PCNA Twww 服務(wù)器ftp服 務(wù) 器PC內(nèi) 部 網(wǎng)DNS服 務(wù) 器Qusetion：有什么好的方法可以解決：有什么好的方法可以解決DNS問題？問題？Page 32NAT的基本工作原理l以太網(wǎng)口支持地址池在以太網(wǎng)環(huán)境中，如果地址池中的

16、地址與接口的地址在不同的網(wǎng)段上，那么可以通過添加路由的方式來解決。而如果在同一個網(wǎng)段上，則對方不會缺省的將報文發(fā)送到此設(shè)備上，因為對方發(fā)現(xiàn)這是一個同網(wǎng)段的地址，會發(fā)送ARP請求，如果得不到響應(yīng)，將認(rèn)為這個地址不存在，當(dāng)然報文將無法到達(dá)本端。因此需要對以太網(wǎng)接口做特殊處理，使得當(dāng)?shù)刂烦刂械牡刂泛徒涌诘牡刂吩谕粋€網(wǎng)段也可以支持。Page 33NAT的基本工作原理l以太網(wǎng)口支持地址池（續(xù)）如果一個ARP請求報請求的地址不是以太網(wǎng)接口的IP地址，ARP模塊將這個ARP請求丟棄，現(xiàn)在NAT模塊提供一個函數(shù)，根據(jù)地址、接口判斷這個地址是否是在這個接口上的一個地址池中的地址。如果是，告訴ARP對這個IP地

17、址發(fā)送ARP應(yīng)答，MAC地址就是這個以太網(wǎng)接口的MAC地址。Page 34NAT的基本工作原理l支持多個方向上負(fù)載分擔(dān)應(yīng)用NAT RouterISP1PC1Ethernet內(nèi)部網(wǎng)絡(luò)PC2ISP2Page 35NAT基本工作原理l地址轉(zhuǎn)換的優(yōu)點(diǎn)：地址轉(zhuǎn)換可以使內(nèi)部網(wǎng)絡(luò)用戶方便的訪問Internet。地址轉(zhuǎn)換可以使內(nèi)部局域網(wǎng)的許多主機(jī)共享一個IP地址上網(wǎng)。地址轉(zhuǎn)換可以屏蔽內(nèi)部網(wǎng)絡(luò)的用戶，提高內(nèi)部網(wǎng)絡(luò)的安全性。地址轉(zhuǎn)換同樣可以提供給外部網(wǎng)絡(luò)WWW、FTP、Telnet服務(wù)。Page 36NAT基本工作原理l地址轉(zhuǎn)換的缺點(diǎn)：地址轉(zhuǎn)換對于報文內(nèi)容中含有有用的地址信息的情況很難處理。地址轉(zhuǎn)換不能處理IP報頭加密的情況。地址轉(zhuǎn)換由于隱藏了內(nèi)部主機(jī)地址，有時候會使網(wǎng)絡(luò)調(diào)試變得復(fù)雜。影響報文轉(zhuǎn)發(fā)的效率。無法確定源地址。因為同樣的內(nèi)部地址在不同時刻的外部地址是不一樣的，所以如果從內(nèi)部網(wǎng)絡(luò)攻擊外部網(wǎng)絡(luò)，將造成定位攻擊源的困難。Page 37NAT基本工作原理lNAT地址轉(zhuǎn)換的改進(jìn)為滿足公安部以及一些企事業(yè)單位的需求，對NAT流（F