NAT常見(jiàn)問(wèn)題及處理

1、1 NAT常見(jiàn)問(wèn)題及處理常見(jiàn)問(wèn)題及處理 固網(wǎng)技術(shù)支持北京分部固網(wǎng)技術(shù)支持北京分部 2002.9 2NAT基本概念 為什么作NAT NAT基本原理 轉(zhuǎn)換轉(zhuǎn)換的優(yōu)缺點(diǎn) NAT的分類(lèi) NAT性能指標(biāo)NAT應(yīng)用實(shí)例為什么無(wú)法登錄郵箱分片IP報(bào)文的處理NAT的負(fù)荷分擔(dān)配置不當(dāng)造成的路由環(huán)路DNS在外部的訪問(wèn)DNS在內(nèi)部的訪問(wèn)內(nèi)容介紹3緩解IP地址匱乏的問(wèn)題RFC1918規(guī)定的3個(gè)私網(wǎng)地址網(wǎng)段： - 55 (10/8 prefix) - 55 (172.16/12 prefix) - 192.168.

2、255.255 (192.168/16 prefix)為什么作NAT4NAT基本原理基本原理Internet企業(yè)網(wǎng)/8NAT路由器NAT機(jī)制：機(jī)制：就是內(nèi)部網(wǎng)主機(jī)報(bào)文的IP地址和端口，與路由器上配置的外部網(wǎng)絡(luò)地址和端口的相互轉(zhuǎn)換過(guò)程。5優(yōu)點(diǎn)：優(yōu)點(diǎn)： 1、內(nèi)部網(wǎng)絡(luò)的主機(jī)可以通過(guò)該功能訪問(wèn)網(wǎng)外資源。 2、為內(nèi)部主機(jī)提供了“隱私”保護(hù)。 缺點(diǎn)：缺點(diǎn)： 1、由于需要對(duì)數(shù)據(jù)報(bào)文進(jìn)行IP地址的轉(zhuǎn)換，涉及IP地址的數(shù)據(jù)報(bào)的報(bào)頭不能被加密。在應(yīng)用協(xié)議中，不能使用加密的FTP連接。否則FTP的port命令不能被正確轉(zhuǎn)換。 2、網(wǎng)絡(luò)調(diào)試變得更加困難。比如，某一臺(tái)內(nèi)部網(wǎng)絡(luò)的主機(jī)試圖攻擊其它網(wǎng)絡(luò)，則很

3、難指出究竟是哪一臺(tái)機(jī)器是惡意的，因?yàn)橹鳈C(jī)的IP地址被屏蔽了。 地址轉(zhuǎn)換的優(yōu)缺點(diǎn)6NAT的分類(lèi)esay ip 直接使用NAT的接口的IP地址作為轉(zhuǎn)換后的公網(wǎng)的地址，這是多對(duì)一的NAT模式。NAT pool 在接口上配置一個(gè)地址池，地址池內(nèi)包含有多個(gè)公網(wǎng)的IP地址，內(nèi)網(wǎng)用戶(hù)可以選取多個(gè)公網(wǎng)IP中的一個(gè)進(jìn)行轉(zhuǎn)換，這是多對(duì)多的NAT模式。內(nèi)部服務(wù)器內(nèi)部服務(wù)器通過(guò)配置，建立內(nèi)部服務(wù)器的內(nèi)部地址、端口和外部地址、端口的對(duì)應(yīng)關(guān)系，提供了外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部服務(wù)器的功能。 7配置步驟：1、配置訪問(wèn)列表2、配置直接使用接口的IP作地址轉(zhuǎn)換例：允許/24網(wǎng)段的主機(jī)進(jìn)行地址轉(zhuǎn)換，選用接口Seria

4、l1/0/0 的地址作為轉(zhuǎn)換后的地址。假設(shè)Serial1/0/0是NAT的出口。 Quidway(config)# access-list 1 permit 55Quidway(config)# access-list 1 deny any Quidway(config-if-Serial1/0/0)# nat inside list 1 easy ip 8配置步驟：1、配置訪問(wèn)列表2、配置地址池 3、配置訪問(wèn)控制列表和地址池的關(guān)聯(lián) 例：允許/24網(wǎng)段的主機(jī)進(jìn)行地址轉(zhuǎn)換，選用0 到2之間

5、的地址作為轉(zhuǎn)換后的地址。假設(shè)Serial1/0/0是NAT的出口。 Quidway(config)# access-list 1 permit 55Quidway(config)# access-list 1 deny any Quidway(config)# nat pool pool1 0 2 Quidway(config-if-Serial1/0/0)# nat inside list 1 pool pool1 NAT POOL9配置步驟：定義一個(gè)內(nèi)部服務(wù)器的外部地址和內(nèi)部地址的映射表， 例：指定局域網(wǎng)

6、內(nèi)部的www服務(wù)器的IP地址是0，希望外部通過(guò)http:/ 0:8080可以訪問(wèn)WEB，Quidway(config-if-Serial1/0/0)# nat server protocol tcp global 0 8080 inside 0 www 配置內(nèi)部服務(wù)器101、吞吐量吞吐量是指系統(tǒng)在不丟包的條件下的包處理能力，屬3層性能指標(biāo)。NAT的引入需要CPU額外的處理，使路由器的吞吐量大幅降低。當(dāng)用戶(hù)連接數(shù)加大時(shí)NAT 地址轉(zhuǎn)換表項(xiàng)增多，吞吐量還會(huì)持續(xù)下降。2、丟包率丟包率是指在恒定的負(fù)載下，由于資

7、源缺乏而不能轉(zhuǎn)發(fā)的報(bào)文的比例，屬3層性能指標(biāo)。NAT的引入增加了處理的復(fù)雜度，使得同等條件下比配置NAT之前丟包幾率增加。 用戶(hù)連接數(shù)越大復(fù)雜度越高，丟包也越多。3、最大連接數(shù)在NAT應(yīng)用中被測(cè)設(shè)備所能允許建立的最大TCP或UDP連接數(shù)，每個(gè)連接相應(yīng)占用一塊內(nèi)存，通過(guò)內(nèi)存占用情況可以得到已建立連接數(shù)。不同的網(wǎng)絡(luò)產(chǎn)品能支持的網(wǎng)絡(luò)連接數(shù)是不同的。R002版本的NAT能支持5萬(wàn)連接，而R005版本支持NAT的連接數(shù)是10萬(wàn)（甚至是25萬(wàn)），對(duì)于每個(gè)私網(wǎng)地址的可同時(shí)建立的最大連接個(gè)數(shù)，我們現(xiàn)在給定為(26)*4 + 255 = 511個(gè)，NAT的性能指標(biāo)11NAT基本概念 為什么作NAT NAT基本原

8、理 轉(zhuǎn)換轉(zhuǎn)換的優(yōu)缺點(diǎn) NAT的分類(lèi) NAT性能指標(biāo)NAT應(yīng)用實(shí)例為什么無(wú)法登錄郵箱分片IP報(bào)文的處理NAT的負(fù)荷分擔(dān)配置不當(dāng)造成的路由環(huán)路DNS在外部的訪問(wèn)DNS在內(nèi)部的訪問(wèn)內(nèi)容介紹12InternetInternetMAIL SERVERMAIL SERVERNATHOSTHOST實(shí)例1：為什么無(wú)法登錄郵箱？13現(xiàn)象現(xiàn)象：內(nèi)網(wǎng)的用戶(hù)反映可以訪問(wèn)A網(wǎng)站的WWW頁(yè)面，但無(wú)法成功登錄訪問(wèn)A網(wǎng)站的WEB EMAIL服務(wù)。分析分析：通過(guò)跟蹤NAT轉(zhuǎn)換后的報(bào)文發(fā)現(xiàn)，在第1次登錄A網(wǎng)站W(wǎng)WW首頁(yè)時(shí)，新建了1個(gè)TCP連接，在隨后的登錄WEB EMAIL服務(wù)頁(yè)面時(shí)，又建立了一個(gè)TCP連接，所不同的是，這次對(duì)源

9、IP（私網(wǎng)地址）轉(zhuǎn)換采用的公網(wǎng)IP不同于第1次，隨后出現(xiàn)無(wú)法登錄WEB EMAIL服務(wù)頁(yè)面的情況。處理處理：不采用NAT IP POOL的方式，而是只配置1個(gè)公網(wǎng)IP做地址轉(zhuǎn)換，同樣測(cè)試WEB EMAIL服務(wù)，這次登錄成功。結(jié)論結(jié)論：可以斷定，A網(wǎng)站的WEB EMAIL服務(wù)對(duì)訪問(wèn)的用戶(hù)進(jìn)行了源IP地址的鑒別，如果登錄WWW頁(yè)面和登錄WEB EMAIL頁(yè)面IP報(bào)文的源IP地址不同（可以對(duì)HTTP報(bào)文中的cookie來(lái)判斷2次連接均屬同一個(gè)用戶(hù)所為），則拒絕登錄。問(wèn)題解決問(wèn)題解決：為解決這個(gè)問(wèn)題，NAT軟件做了修改，保證從同一個(gè)采用私網(wǎng)地址的主機(jī)IP報(bào)文經(jīng)過(guò)NAT轉(zhuǎn)換后，使用相同的公網(wǎng)IP地址進(jìn)行

10、轉(zhuǎn)換，以避免上述的問(wèn)題。實(shí)例1：為什么無(wú)法登錄郵箱？14NATP CP CP CP C實(shí)例2：分片IP報(bào)文的處理15現(xiàn)象現(xiàn)象：從內(nèi)網(wǎng)的PC終端通過(guò)NAT轉(zhuǎn)換后，ping 外網(wǎng)的PC，小于1500的包能通，大于1500的包不能通。分析分析：1500是IP包分片的界限，可以推斷是NAT在IP包的分片過(guò)程中出現(xiàn)問(wèn)題。通過(guò)分析多個(gè)分片后的ICMP包 的結(jié)構(gòu)，了解到第一個(gè)分片包包含ICMP頭的Identifier字段，而其后的分片不包括ID字段，這就是問(wèn)題的原因。結(jié)論結(jié)論：在ICMP報(bào)文分片后，只有在第1片ICMP報(bào)文中包含ICMP頭的Identifier字段。當(dāng)?shù)?片報(bào)文到達(dá)NAT路由器后，根據(jù)正常的

11、轉(zhuǎn)換流程，根據(jù)源IP地址和Identifier信息生成轉(zhuǎn)換表項(xiàng)并轉(zhuǎn)發(fā)出去，在第2個(gè)及后續(xù)分片到達(dá)后，由于只包含IP地址卻無(wú)Identifier信息，因此無(wú)法正確進(jìn)行NAT轉(zhuǎn)換。問(wèn)題解決問(wèn)題解決：在第1個(gè)分片到達(dá)并轉(zhuǎn)換后，NAT程序記錄保存轉(zhuǎn)換第1個(gè)分片使用的IP及Idnentifier信息，并在后續(xù)分片到達(dá)后應(yīng)用同樣的轉(zhuǎn)換表項(xiàng)進(jìn)行轉(zhuǎn)換。實(shí)例2：分片IP報(bào)文的處理16實(shí)例3：NAT的負(fù)荷分擔(dān)I In ns si id de eO Ou ut ts si id de eN NA AT TE1*2R RT TA AR RT TB BI In nt te er rn ne et ts0s117需求需求

12、1 1：NE16上行采用兩個(gè)E1鏈路，并想實(shí)現(xiàn)easy ip 方式的NAT 轉(zhuǎn)換。解決方法解決方法：在RTA上配置2條等值的靜態(tài)路由，目的網(wǎng)絡(luò)是Outside的網(wǎng)段，下一跳的出接口分別是s0和s1。s0和s1采用EASY IP的方式（將接口的公網(wǎng)地址作為NAT轉(zhuǎn)換的唯一地址），這樣可以不用任何其他配置就可以實(shí)現(xiàn)NAT功能。這是因?yàn)镽TB上指向Inside網(wǎng)絡(luò)路由的目的網(wǎng)絡(luò)地址即是RTA的接口地址，而RTA的接口地址是RTB的直連路由，自然的，從s0口發(fā)往RTB的IP包返回時(shí)，RTB也會(huì)選擇從s0口返回。實(shí)例3：NAT的負(fù)荷分擔(dān)18進(jìn)一步考慮進(jìn)一步考慮需求需求2 2：NE16上行采用兩個(gè)E1鏈路

13、，并想實(shí)現(xiàn)NAT POOL 方式的NAT 轉(zhuǎn)換。解決方法解決方法：RTA的兩個(gè)接口都采用NAT POOL的方式，在兩個(gè)接口上分別設(shè)置NAT POOL1和NAT POOL2，這里必須保證POOL1和POOL2不能重疊。在RTA上配置2條等值的靜態(tài)路由，目的網(wǎng)絡(luò)是Outside的網(wǎng)段，下一跳的出接口分別是s0和s1。在RTB也要配置2條靜態(tài)路由，目的網(wǎng)絡(luò)是POOL1和POOL2，下一跳分別指向S0和S1。問(wèn)題問(wèn)題：為什么 POOL1和POOL2不能重疊呢？實(shí)例3：NAT的負(fù)荷分擔(dān)19實(shí)例3：NAT的負(fù)荷分擔(dān)再進(jìn)一步想想呢再進(jìn)一步想想呢I In ns si id de eO Ou ut ts si

14、id de eN NA AT TE1*2R RT TA AR RT TB BI In nt te er rn ne et ts0s1R RT TC C20需求需求3 3：NE16上行采用兩個(gè)E1鏈路，分別接到不同的路由器上，并想實(shí)現(xiàn)NAT POOL 方式的NAT 轉(zhuǎn)換。解決方法解決方法：RTA的兩個(gè)接口都采用NAT POOL的方式，在兩個(gè)接口上分別設(shè)置NAT POOL1和NAT POOL2，這里仍然保證POOL1和POOL2不能重疊。在RTA上配置2條等值的靜態(tài)路由，目的網(wǎng)絡(luò)是Outside的網(wǎng)段，下一跳的出接口分別是s0和s1。在RTB配置一條靜態(tài)路由，目的網(wǎng)絡(luò)是POOL1，下一跳指向S01

15、。在RTC配置一條靜態(tài)路由，目的網(wǎng)絡(luò)是POOL2，下一跳指向S02。實(shí)例3：NAT的負(fù)荷分擔(dān)21實(shí)例3：NAT的負(fù)荷分擔(dān)為什么我們不這樣想呢為什么我們不這樣想呢假設(shè)S0鏈路中斷了，這樣S0所對(duì)應(yīng)的POOL1還能生效嗎？22分析分析4 4：前面所羅列的三種情況，其實(shí)沒(méi)有真正的實(shí)現(xiàn)NAT POOL的負(fù)荷分擔(dān)。因?yàn)槿绻鸖0鏈路中斷了，這樣S0所對(duì)應(yīng)的POOL1就不能生效了。真正的負(fù)荷分擔(dān)應(yīng)該是在S0和S1上都對(duì)POOL（POOL1+POOL2）作NAT，這樣，當(dāng)一條鏈路中斷，POOL內(nèi)的任何地址都不會(huì)丟失了。 那么，前面考慮的三種是多余的嗎？實(shí)例3：NAT的負(fù)荷分擔(dān)23再分析再分析4 4：當(dāng)然不是了

16、。因?yàn)樵赗005B02D010版本以前就沒(méi)能實(shí)現(xiàn)真正的負(fù)荷分擔(dān)，因?yàn)檫@些版本中，NAT的轉(zhuǎn)換表項(xiàng)基于接口，因此從那個(gè)接口發(fā)出的IP包，返回時(shí)也必須從相同的接口返回。而R005B02D010及以后的版本，做得還是不夠好，它的NAT轉(zhuǎn)換表項(xiàng)是基于接口板的，也就是說(shuō)，如果s0和s1在同一塊接口板上，從s0口出的IP包從s1口返回也能查詢(xún)到NAT轉(zhuǎn)換表項(xiàng)進(jìn)行相應(yīng)的反向地址轉(zhuǎn)換。我們現(xiàn)在也許只能想象一下理想的狀態(tài)：如果NAT轉(zhuǎn)換表是基于路由器的（基于全局的），那么，從任何NAT的接口出的IP包從其他非NAT接口返回都能查詢(xún)到NAT轉(zhuǎn)換表項(xiàng)進(jìn)行相應(yīng)的反向地址轉(zhuǎn)換。實(shí)例3：NAT的負(fù)荷分擔(dān)24大家對(duì)大家對(duì)N

17、ATNAT的負(fù)荷分擔(dān)是不是有了一些的負(fù)荷分擔(dān)是不是有了一些了解了呢？如果沒(méi)有，很好的辦法就是再?gòu)牧私饬四?？如果沒(méi)有，很好的辦法就是再?gòu)男枨笠豢雌鹦枨笠豢雌饘?shí)例3：NAT的負(fù)荷分擔(dān)25實(shí)例4：配置不當(dāng)造成的路由環(huán)路R RT TA AR RT TB BN NA AT T12/3011/30NAT POOL120 TO 50NAT POOL200 TO 44NOTE: 地址池里不包括60E ET TH H在RTA上配置一

18、條缺省路由為：RTA(config)#ip route 12在RTB上配置一條到地址池的網(wǎng)段路由RTB(config)#ip route 1126現(xiàn)象現(xiàn)象：出現(xiàn)RTA下面所帶的部分用戶(hù)丟包和不能上網(wǎng)的現(xiàn)象。分析分析：當(dāng)RTA上收到一個(gè)目的地址為60的報(bào)文時(shí)，在經(jīng)過(guò)NAT轉(zhuǎn)換表后發(fā)現(xiàn)沒(méi)有匹配的項(xiàng)，因此查找路由表，選擇缺省路由，將報(bào)文轉(zhuǎn)發(fā)給RTB，而RTB查路由表發(fā)現(xiàn)到該地址是到RTA的，且下一跳是RTA的1

19、1接口，這樣把報(bào)文又發(fā)回給RTA，形成報(bào)文的環(huán)路，路由環(huán)路引起了擁塞，導(dǎo)致正常的用戶(hù)不能上網(wǎng)。結(jié)論：結(jié)論：對(duì)于目的地址為地址池的報(bào)文，如果在NAT轉(zhuǎn)換表中沒(méi)有匹配項(xiàng)，沒(méi)有進(jìn)行丟棄。造成配置不當(dāng)引起的環(huán)路。解決方法：解決方法：可通過(guò)配置“黑洞”路由來(lái)避免形成環(huán)路。在RTA上，當(dāng)轉(zhuǎn)換表沒(méi)有相應(yīng)的轉(zhuǎn)換表項(xiàng)時(shí)，應(yīng)該丟棄。RTA(config)#ip route 12 blackhole其中下一跳地址必須可達(dá)，以保證這個(gè)黑洞路由生效。實(shí)例4：配置不當(dāng)造成的路由環(huán)路27實(shí)例5：DNS在外部的訪問(wèn)N NA AT TW WW WW WF FT TP PH HO OS ST T A AI In ns si id de eO Ou ut ts si id de eD DN NS S28現(xiàn)象現(xiàn)象：內(nèi)部網(wǎng)的pc不能通過(guò)域名訪問(wèn)內(nèi)部的www服務(wù)器及ftp等服