NAT常見問題及處理

1、1 NAT常見問題及處理常見問題及處理 固網(wǎng)技術(shù)支持北京分部固網(wǎng)技術(shù)支持北京分部 2002.9 2NAT基本概念 為什么作NAT NAT基本原理 轉(zhuǎn)換轉(zhuǎn)換的優(yōu)缺點 NAT的分類 NAT性能指標NAT應(yīng)用實例為什么無法登錄郵箱分片IP報文的處理NAT的負荷分擔配置不當造成的路由環(huán)路DNS在外部的訪問DNS在內(nèi)部的訪問內(nèi)容介紹3緩解IP地址匱乏的問題RFC1918規(guī)定的3個私網(wǎng)地址網(wǎng)段： - 55 (10/8 prefix) - 55 (172.16/12 prefix) - 192.168.

2、255.255 (192.168/16 prefix)為什么作NAT4NAT基本原理基本原理Internet企業(yè)網(wǎng)/8NAT路由器NAT機制：機制：就是內(nèi)部網(wǎng)主機報文的IP地址和端口，與路由器上配置的外部網(wǎng)絡(luò)地址和端口的相互轉(zhuǎn)換過程。5優(yōu)點：優(yōu)點： 1、內(nèi)部網(wǎng)絡(luò)的主機可以通過該功能訪問網(wǎng)外資源。 2、為內(nèi)部主機提供了“隱私”保護。 缺點：缺點： 1、由于需要對數(shù)據(jù)報文進行IP地址的轉(zhuǎn)換，涉及IP地址的數(shù)據(jù)報的報頭不能被加密。在應(yīng)用協(xié)議中，不能使用加密的FTP連接。否則FTP的port命令不能被正確轉(zhuǎn)換。 2、網(wǎng)絡(luò)調(diào)試變得更加困難。比如，某一臺內(nèi)部網(wǎng)絡(luò)的主機試圖攻擊其它網(wǎng)絡(luò)，則很

3、難指出究竟是哪一臺機器是惡意的，因為主機的IP地址被屏蔽了。 地址轉(zhuǎn)換的優(yōu)缺點6NAT的分類esay ip 直接使用NAT的接口的IP地址作為轉(zhuǎn)換后的公網(wǎng)的地址，這是多對一的NAT模式。NAT pool 在接口上配置一個地址池，地址池內(nèi)包含有多個公網(wǎng)的IP地址，內(nèi)網(wǎng)用戶可以選取多個公網(wǎng)IP中的一個進行轉(zhuǎn)換，這是多對多的NAT模式。內(nèi)部服務(wù)器內(nèi)部服務(wù)器通過配置，建立內(nèi)部服務(wù)器的內(nèi)部地址、端口和外部地址、端口的對應(yīng)關(guān)系，提供了外部網(wǎng)絡(luò)訪問內(nèi)部服務(wù)器的功能。 7配置步驟：1、配置訪問列表2、配置直接使用接口的IP作地址轉(zhuǎn)換例：允許/24網(wǎng)段的主機進行地址轉(zhuǎn)換，選用接口Seria

4、l1/0/0 的地址作為轉(zhuǎn)換后的地址。假設(shè)Serial1/0/0是NAT的出口。 Quidway(config)# access-list 1 permit 55Quidway(config)# access-list 1 deny any Quidway(config-if-Serial1/0/0)# nat inside list 1 easy ip 8配置步驟：1、配置訪問列表2、配置地址池 3、配置訪問控制列表和地址池的關(guān)聯(lián) 例：允許/24網(wǎng)段的主機進行地址轉(zhuǎn)換，選用0 到2之間

5、的地址作為轉(zhuǎn)換后的地址。假設(shè)Serial1/0/0是NAT的出口。 Quidway(config)# access-list 1 permit 55Quidway(config)# access-list 1 deny any Quidway(config)# nat pool pool1 0 2 Quidway(config-if-Serial1/0/0)# nat inside list 1 pool pool1 NAT POOL9配置步驟：定義一個內(nèi)部服務(wù)器的外部地址和內(nèi)部地址的映射表， 例：指定局域網(wǎng)

6、內(nèi)部的www服務(wù)器的IP地址是0，希望外部通過http:/ 0:8080可以訪問WEB，Quidway(config-if-Serial1/0/0)# nat server protocol tcp global 0 8080 inside 0 www 配置內(nèi)部服務(wù)器101、吞吐量吞吐量是指系統(tǒng)在不丟包的條件下的包處理能力，屬3層性能指標。NAT的引入需要CPU額外的處理，使路由器的吞吐量大幅降低。當用戶連接數(shù)加大時NAT 地址轉(zhuǎn)換表項增多，吞吐量還會持續(xù)下降。2、丟包率丟包率是指在恒定的負載下，由于資

7、源缺乏而不能轉(zhuǎn)發(fā)的報文的比例，屬3層性能指標。NAT的引入增加了處理的復(fù)雜度，使得同等條件下比配置NAT之前丟包幾率增加。 用戶連接數(shù)越大復(fù)雜度越高，丟包也越多。3、最大連接數(shù)在NAT應(yīng)用中被測設(shè)備所能允許建立的最大TCP或UDP連接數(shù)，每個連接相應(yīng)占用一塊內(nèi)存，通過內(nèi)存占用情況可以得到已建立連接數(shù)。不同的網(wǎng)絡(luò)產(chǎn)品能支持的網(wǎng)絡(luò)連接數(shù)是不同的。R002版本的NAT能支持5萬連接，而R005版本支持NAT的連接數(shù)是10萬（甚至是25萬），對于每個私網(wǎng)地址的可同時建立的最大連接個數(shù)，我們現(xiàn)在給定為(26)*4 + 255 = 511個，NAT的性能指標11NAT基本概念 為什么作NAT NAT基本原

8、理 轉(zhuǎn)換轉(zhuǎn)換的優(yōu)缺點 NAT的分類 NAT性能指標NAT應(yīng)用實例為什么無法登錄郵箱分片IP報文的處理NAT的負荷分擔配置不當造成的路由環(huán)路DNS在外部的訪問DNS在內(nèi)部的訪問內(nèi)容介紹12InternetInternetMAIL SERVERMAIL SERVERNATHOSTHOST實例1：為什么無法登錄郵箱？13現(xiàn)象現(xiàn)象：內(nèi)網(wǎng)的用戶反映可以訪問A網(wǎng)站的WWW頁面，但無法成功登錄訪問A網(wǎng)站的WEB EMAIL服務(wù)。分析分析：通過跟蹤NAT轉(zhuǎn)換后的報文發(fā)現(xiàn)，在第1次登錄A網(wǎng)站W(wǎng)WW首頁時，新建了1個TCP連接，在隨后的登錄WEB EMAIL服務(wù)頁面時，又建立了一個TCP連接，所不同的是，這次對源

9、IP（私網(wǎng)地址）轉(zhuǎn)換采用的公網(wǎng)IP不同于第1次，隨后出現(xiàn)無法登錄WEB EMAIL服務(wù)頁面的情況。處理處理：不采用NAT IP POOL的方式，而是只配置1個公網(wǎng)IP做地址轉(zhuǎn)換，同樣測試WEB EMAIL服務(wù)，這次登錄成功。結(jié)論結(jié)論：可以斷定，A網(wǎng)站的WEB EMAIL服務(wù)對訪問的用戶進行了源IP地址的鑒別，如果登錄WWW頁面和登錄WEB EMAIL頁面IP報文的源IP地址不同（可以對HTTP報文中的cookie來判斷2次連接均屬同一個用戶所為），則拒絕登錄。問題解決問題解決：為解決這個問題，NAT軟件做了修改，保證從同一個采用私網(wǎng)地址的主機IP報文經(jīng)過NAT轉(zhuǎn)換后，使用相同的公網(wǎng)IP地址進行

10、轉(zhuǎn)換，以避免上述的問題。實例1：為什么無法登錄郵箱？14NATP CP CP CP C實例2：分片IP報文的處理15現(xiàn)象現(xiàn)象：從內(nèi)網(wǎng)的PC終端通過NAT轉(zhuǎn)換后，ping 外網(wǎng)的PC，小于1500的包能通，大于1500的包不能通。分析分析：1500是IP包分片的界限，可以推斷是NAT在IP包的分片過程中出現(xiàn)問題。通過分析多個分片后的ICMP包 的結(jié)構(gòu)，了解到第一個分片包包含ICMP頭的Identifier字段，而其后的分片不包括ID字段，這就是問題的原因。結(jié)論結(jié)論：在ICMP報文分片后，只有在第1片ICMP報文中包含ICMP頭的Identifier字段。當?shù)?片報文到達NAT路由器后，根據(jù)正常的

11、轉(zhuǎn)換流程，根據(jù)源IP地址和Identifier信息生成轉(zhuǎn)換表項并轉(zhuǎn)發(fā)出去，在第2個及后續(xù)分片到達后，由于只包含IP地址卻無Identifier信息，因此無法正確進行NAT轉(zhuǎn)換。問題解決問題解決：在第1個分片到達并轉(zhuǎn)換后，NAT程序記錄保存轉(zhuǎn)換第1個分片使用的IP及Idnentifier信息，并在后續(xù)分片到達后應(yīng)用同樣的轉(zhuǎn)換表項進行轉(zhuǎn)換。實例2：分片IP報文的處理16實例3：NAT的負荷分擔I In ns si id de eO Ou ut ts si id de eN NA AT TE1*2R RT TA AR RT TB BI In nt te er rn ne et ts0s117需求需求

12、1 1：NE16上行采用兩個E1鏈路，并想實現(xiàn)easy ip 方式的NAT 轉(zhuǎn)換。解決方法解決方法：在RTA上配置2條等值的靜態(tài)路由，目的網(wǎng)絡(luò)是Outside的網(wǎng)段，下一跳的出接口分別是s0和s1。s0和s1采用EASY IP的方式（將接口的公網(wǎng)地址作為NAT轉(zhuǎn)換的唯一地址），這樣可以不用任何其他配置就可以實現(xiàn)NAT功能。這是因為RTB上指向Inside網(wǎng)絡(luò)路由的目的網(wǎng)絡(luò)地址即是RTA的接口地址，而RTA的接口地址是RTB的直連路由，自然的，從s0口發(fā)往RTB的IP包返回時，RTB也會選擇從s0口返回。實例3：NAT的負荷分擔18進一步考慮進一步考慮需求需求2 2：NE16上行采用兩個E1鏈路

13、，并想實現(xiàn)NAT POOL 方式的NAT 轉(zhuǎn)換。解決方法解決方法：RTA的兩個接口都采用NAT POOL的方式，在兩個接口上分別設(shè)置NAT POOL1和NAT POOL2，這里必須保證POOL1和POOL2不能重疊。在RTA上配置2條等值的靜態(tài)路由，目的網(wǎng)絡(luò)是Outside的網(wǎng)段，下一跳的出接口分別是s0和s1。在RTB也要配置2條靜態(tài)路由，目的網(wǎng)絡(luò)是POOL1和POOL2，下一跳分別指向S0和S1。問題問題：為什么 POOL1和POOL2不能重疊呢？實例3：NAT的負荷分擔19實例3：NAT的負荷分擔再進一步想想呢再進一步想想呢I In ns si id de eO Ou ut ts si

14、id de eN NA AT TE1*2R RT TA AR RT TB BI In nt te er rn ne et ts0s1R RT TC C20需求需求3 3：NE16上行采用兩個E1鏈路，分別接到不同的路由器上，并想實現(xiàn)NAT POOL 方式的NAT 轉(zhuǎn)換。解決方法解決方法：RTA的兩個接口都采用NAT POOL的方式，在兩個接口上分別設(shè)置NAT POOL1和NAT POOL2，這里仍然保證POOL1和POOL2不能重疊。在RTA上配置2條等值的靜態(tài)路由，目的網(wǎng)絡(luò)是Outside的網(wǎng)段，下一跳的出接口分別是s0和s1。在RTB配置一條靜態(tài)路由，目的網(wǎng)絡(luò)是POOL1，下一跳指向S01

15、。在RTC配置一條靜態(tài)路由，目的網(wǎng)絡(luò)是POOL2，下一跳指向S02。實例3：NAT的負荷分擔21實例3：NAT的負荷分擔為什么我們不這樣想呢為什么我們不這樣想呢假設(shè)S0鏈路中斷了，這樣S0所對應(yīng)的POOL1還能生效嗎？22分析分析4 4：前面所羅列的三種情況，其實沒有真正的實現(xiàn)NAT POOL的負荷分擔。因為如果S0鏈路中斷了，這樣S0所對應(yīng)的POOL1就不能生效了。真正的負荷分擔應(yīng)該是在S0和S1上都對POOL（POOL1+POOL2）作NAT，這樣，當一條鏈路中斷，POOL內(nèi)的任何地址都不會丟失了。 那么，前面考慮的三種是多余的嗎？實例3：NAT的負荷分擔23再分析再分析4 4：當然不是了

16、。因為在R005B02D010版本以前就沒能實現(xiàn)真正的負荷分擔，因為這些版本中，NAT的轉(zhuǎn)換表項基于接口，因此從那個接口發(fā)出的IP包，返回時也必須從相同的接口返回。而R005B02D010及以后的版本，做得還是不夠好，它的NAT轉(zhuǎn)換表項是基于接口板的，也就是說，如果s0和s1在同一塊接口板上，從s0口出的IP包從s1口返回也能查詢到NAT轉(zhuǎn)換表項進行相應(yīng)的反向地址轉(zhuǎn)換。我們現(xiàn)在也許只能想象一下理想的狀態(tài)：如果NAT轉(zhuǎn)換表是基于路由器的（基于全局的），那么，從任何NAT的接口出的IP包從其他非NAT接口返回都能查詢到NAT轉(zhuǎn)換表項進行相應(yīng)的反向地址轉(zhuǎn)換。實例3：NAT的負荷分擔24大家對大家對N

17、ATNAT的負荷分擔是不是有了一些的負荷分擔是不是有了一些了解了呢？如果沒有，很好的辦法就是再從了解了呢？如果沒有，很好的辦法就是再從需求一看起需求一看起實例3：NAT的負荷分擔25實例4：配置不當造成的路由環(huán)路R RT TA AR RT TB BN NA AT T12/3011/30NAT POOL120 TO 50NAT POOL200 TO 44NOTE: 地址池里不包括60E ET TH H在RTA上配置一

18、條缺省路由為：RTA(config)#ip route 12在RTB上配置一條到地址池的網(wǎng)段路由RTB(config)#ip route 1126現(xiàn)象現(xiàn)象：出現(xiàn)RTA下面所帶的部分用戶丟包和不能上網(wǎng)的現(xiàn)象。分析分析：當RTA上收到一個目的地址為60的報文時，在經(jīng)過NAT轉(zhuǎn)換表后發(fā)現(xiàn)沒有匹配的項，因此查找路由表，選擇缺省路由，將報文轉(zhuǎn)發(fā)給RTB，而RTB查路由表發(fā)現(xiàn)到該地址是到RTA的，且下一跳是RTA的1

19、1接口，這樣把報文又發(fā)回給RTA，形成報文的環(huán)路，路由環(huán)路引起了擁塞，導(dǎo)致正常的用戶不能上網(wǎng)。結(jié)論：結(jié)論：對于目的地址為地址池的報文，如果在NAT轉(zhuǎn)換表中沒有匹配項，沒有進行丟棄。造成配置不當引起的環(huán)路。解決方法：解決方法：可通過配置“黑洞”路由來避免形成環(huán)路。在RTA上，當轉(zhuǎn)換表沒有相應(yīng)的轉(zhuǎn)換表項時，應(yīng)該丟棄。RTA(config)#ip route 12 blackhole其中下一跳地址必須可達，以保證這個黑洞路由生效。實例4：配置不當造成的路由環(huán)路27實例5：DNS在外部的訪問N NA AT TW WW WW WF FT TP PH HO OS ST T A AI In ns si id de eO Ou ut ts si id de eD DN NS S28現(xiàn)象現(xiàn)象：內(nèi)部網(wǎng)的pc不能通過域名訪問內(nèi)部的www服務(wù)器及ftp等服