網(wǎng)絡技術培訓PPTDA000021 NAT技術原理

DA000021NAT技術原理固網(wǎng)產(chǎn)品課程開發(fā)部引入按照目前Internet網(wǎng)絡迅猛發(fā)展的速度，到2010年IPv4的地址將消耗殆盡。目前IPv6(IPng)的推廣和部署受到一定的阻力，無法在短時間內(nèi)完成網(wǎng)絡從IPv4到IPv6的過渡。目前解決IP地址短缺的有效方法：NAT和CIDR學習目標掌握NAT的基本概念掌握NAT的基本工作原理掌握NE80/NE40產(chǎn)品的NAT實現(xiàn)學習完本課程，您應該能夠：課程內(nèi)容

第一章NAT基本概念第二章NAT基本工作原理第三章NE80/NE40產(chǎn)品NAT實現(xiàn)第一章NAT基本概念第一章NAT基本概念共有地址和私有地址私有地址是指內(nèi)部網(wǎng)絡(局域網(wǎng)內(nèi)部)的主機地址，而公有地址是局域網(wǎng)的外部地址（在因特網(wǎng)上的全球唯一的IP地址）。因特網(wǎng)地址分配組織規(guī)定以下的三個網(wǎng)絡地址保留用做私有地址：-55-55-55第一章NAT基本概念地址池

地址池是由一些外部地址（全球唯一的IP地址）組合而成的，我們稱這樣的一個地址集合為地址池。在內(nèi)部網(wǎng)絡的數(shù)據(jù)包通過地址轉換達到外部網(wǎng)絡時，將會選擇地址池中的某個地址作為轉換后的源地址，這樣可以有效利用用戶的外部地址，提高內(nèi)部網(wǎng)絡訪問外部網(wǎng)絡的能力。第一章NAT基本概念訪問控制列表

訪問列表是由ACCESS-LIST命令生成的，它依據(jù)IP數(shù)據(jù)包報頭以及它承載的上層協(xié)議數(shù)據(jù)包頭的格式定義了一定的規(guī)則，可以表示允許或者是禁止具有某些特征(包頭數(shù)據(jù)可以描述的）的數(shù)據(jù)包，地址轉換按照這樣的規(guī)則判定哪些包是被允許轉換或者是禁止轉換，這樣可以禁止一些內(nèi)部的主機訪問外部網(wǎng)絡，提高一些網(wǎng)絡的安全性問題。有關的詳細概念可以參考防火墻中的有關內(nèi)容。第一章NAT基本概念轉換關聯(lián)

轉換關聯(lián)就是將一個地址池和一個訪問列表關聯(lián)起來，這種關聯(lián)指定了“具有某些特征的IP報文”是使用“這樣的地址池中的地址”，而另一些可能是使用另外一個地址池中的地址。在地址轉換時，是根據(jù)這樣的對應進行地址轉換的。當一個內(nèi)部網(wǎng)絡的數(shù)據(jù)包文發(fā)往外部網(wǎng)絡時，首先根據(jù)訪問列表判定是否是允許的數(shù)據(jù)包，然后根據(jù)轉換的關聯(lián)找到于之相對應的地址池，我們就可以把源地址轉換成這個地址池中的某一個地址，完成地址轉換。

第一章NAT基本概念內(nèi)部服務器映射表

內(nèi)部服務器映射表是由NATSERVER命令配置的，允許用戶依照自己的需要提供內(nèi)部服務。在轉換時，根據(jù)用戶的配置查找外部數(shù)據(jù)包的目的地址，如果是訪問內(nèi)部的服務器，則轉換成相應的內(nèi)部服務器的目的地址和端口，達到訪問內(nèi)部服務器的目的。還原時對源地址進行查找，判斷是否是從內(nèi)部服務器出去的報文，如果是將源地址轉換成相應的外部地址。課程內(nèi)容

第一章NAT基本概念第二章NAT基本工作原理第三章8070產(chǎn)品NAT實現(xiàn)第四章8011產(chǎn)品NAT 實現(xiàn)第二章NAT的基本工作原理NAT在系統(tǒng)中的位置

第二章NAT的基本工作原理NAT基本工作原理（以出口NAT為例）

在IP層的出口處調(diào)用NAT第二章NAT的基本工作原理在IP層的入口出調(diào)用NAT第二章NAT的基本工作原理透明的地址分配靜態(tài)的地址分配指一個特定的主機使用固定的地址訪問外部的網(wǎng)絡。動態(tài)的地址分配是指NAT在一些地址中挑選一個地址，做為內(nèi)部網(wǎng)絡的主機訪問外部網(wǎng)絡的IP地址。無論是那種，地址的分配應該對用戶來說是透明的。第二章NAT的基本工作原理NAT的基本工作方式：NAT－一對一的地址轉換PAT－多對一的地址轉換NPAT－多對多的地址轉換第二章NAT的基本工作原理NAT方式第二章NAT的基本工作原理NAT方式在出方向上轉換IP報文頭中的源IP地址，而不對端口進行轉換。在私有網(wǎng)絡地址和外部網(wǎng)絡地址之間建立一對一映射，實現(xiàn)比較簡單只轉換IP報文頭中的IP地址，所以適用于所有IP報文轉換第二章NAT的基本工作原理PAT方式(0:1001-6:23)------>(00:12964-6:23)(6:23-00:12964)------>(6:23-0:1001)第二章NAT的基本工作原理PAT方式PAT（PortAddressTranslation）方式的地址轉換利用了TCP/UDP協(xié)議的端口號，進行地址轉換。PAT方式的地址轉換是采用了“地址＋端口”的映射方式，因此可以使內(nèi)部局域網(wǎng)的許多主機共享一個IP地址訪問Internet。在私有網(wǎng)絡地址和外部網(wǎng)絡地址之間建立多對一映射。不同的內(nèi)部網(wǎng)地址，轉換時采用相同的公網(wǎng)地址，并依靠不同的端口號來區(qū)分每一個內(nèi)部網(wǎng)主機。第二章NAT的基本工作原理NPAT方式(0:1001-6:23)------>(00:12964-6:23)(1:2001-7:21)------>(01.12987-7:21)(6:23-00:12964)------>(6:23-0:1001)(7:21-01:12987)------>(7:21-1:2001)第二章NAT的基本工作原理NPAT方式NPAT（Nat&PortAddressTranslation）方式的地址轉換也是利用了TCP/UDP協(xié)議的端口號，進行地址轉換。私網(wǎng)地址和公網(wǎng)地址之間建立了多對多的映射關系。NPAT方式也是采用“地址＋端口”的映射關系，因此可以使內(nèi)部局域網(wǎng)的多個主機共享多個IP地址訪問Internet。第二章NAT的基本工作原理第二章NAT的基本工作原理內(nèi)部服務器第二章NAT的基本工作原理利用ACL控制地址轉換第二章NAT的基本工作原理支持特殊協(xié)議（ALG應用程序網(wǎng)關）地址轉換改變了IP數(shù)據(jù)包頭的IP地址信息，如果數(shù)據(jù)報文的載荷中含有地址信息，地址轉換就需要特殊處理，除了改變IP包頭的地址信息以外還需要改變數(shù)據(jù)報文中載荷中的地址信息。比較典型的應用是FTP目前VRPNAT平臺支持FTP、Radius、L2tp、PPTP、CMC幾種特殊的協(xié)議。以及后來支持的H.323、SMTP、DNS等。第二章NAT的基本工作原理以FTPALG為例：在TCP的應用FTP中，包含兩種連接：控制連接（會話）、數(shù)據(jù)連接（傳輸）。其中控制連接是用大家都熟悉的21端口的TCP連接。數(shù)據(jù)連接卻是由客戶端“發(fā)起”的，它通過控制連接“通知”服務器它已經(jīng)初始化完的端口，F(xiàn)TP服務器通過20端口（默認情況）將數(shù)據(jù)傳送到客戶端。第二章NAT的基本工作原理以FTPALG為例（續(xù)）：

在通知服務器的時候，會用到“PORT命令”，其中在這次TCP連接的數(shù)據(jù)中是這樣的：“PORT10,110,1,2,13,23\A\D”（表示，地址=)，于是服務器就可以知道客戶端的數(shù)據(jù)連接的地址和端口了。在地址轉換的過程中，對于PORT命令，我們除了改變IP地址以及端口信息，同時必須改變相應TCP中的數(shù)據(jù)，這樣才可以保證使FTP服務器端可以把數(shù)據(jù)發(fā)送到正確的客戶端。這樣，有可能會使TCP數(shù)據(jù)包的長度發(fā)生變化，所以對于PORT命令還需要對TCP數(shù)據(jù)頭中的序號（SEQUENCENUMBER）進行調(diào)整。第二章NAT的基本工作原理NAT地址轉換的DNS運用DNS服務器處于私網(wǎng)中DNS服務器處于公網(wǎng)中第二章NAT的基本工作原理第二章NAT的基本工作原理DNS在公網(wǎng)上，內(nèi)部主機無法使用域名訪問內(nèi)部服務器

當內(nèi)部pc通過域名訪問時，會到外部的DNS上請求IP地址，由于DNS是在外部，所以它會返回一個公網(wǎng)的地址或找不到地址。這樣導致內(nèi)部PC通過域名訪問時，得到是個外部的地址或者得不到地址，導致內(nèi)部用戶不能正常訪問內(nèi)部服務器。Qusetion：有什么好的方法可以解決DNS問題？第二章NAT的基本工作原理以太網(wǎng)口支持地址池在以太網(wǎng)環(huán)境中，如果地址池中的地址與接口的地址在不同的網(wǎng)段上，那么可以通過添加路由的方式來解決。而如果在同一個網(wǎng)段上，則對方不會缺省的將報文發(fā)送到此設備上，因為對方發(fā)現(xiàn)這是一個同網(wǎng)段的地址，會發(fā)送ARP請求，如果得不到響應，將認為這個地址不存在，當然報文將無法到達本端。因此需要對以太網(wǎng)接口做特殊處理，使得當?shù)刂烦刂械牡刂泛徒涌诘牡刂吩谕粋€網(wǎng)段也可以支持。第二章NAT的基本工作原理以太網(wǎng)口支持地址池（續(xù)）如果一個ARP請求報請求的地址不是以太網(wǎng)接口的IP地址，ARP模塊將這個ARP請求丟棄，現(xiàn)在NAT模塊提供一個函數(shù)，根據(jù)地址、接口判斷這個地址是否是在這個接口上的一個地址池中的地址。如果是，告訴ARP對這個IP地址發(fā)送ARP應答，MAC地址就是這個以太網(wǎng)接口的MAC地址。第二章NAT的基本工作原理支持多個方向上負載分擔應用NAT基本工作原理小結NAT基本工作原理小結地址轉換的缺點：地址轉換對于報文內(nèi)容中含有有用的地址信息的情況很難處理。地址轉換不能處理IP報頭加密的情況。地址轉換由于隱藏了內(nèi)部主機地址，有時候會使網(wǎng)絡調(diào)試變得復雜。影響報文轉發(fā)的效率。無法確定源地址。因為同樣的內(nèi)部地址在不同時刻的外部地址是不一樣的，所以如果從內(nèi)部網(wǎng)絡攻擊外部網(wǎng)絡，將造成定位攻擊源的困難。NAT基本工作原理小結NAT地址轉換的改進

為滿足公安部以及一些企事業(yè)單位的需求，對NAT流（FLOW）信息進行日志記錄，通過日志信息了解NAT轉換前的地址信息。用戶日志只在NAT的出方向進行日志記錄，根據(jù)報文的源IP地址、轉換后的源IP地址、目的IP地址、源端口、轉換后的源端口、目的端口、協(xié)議號等7元組來標識一條流，并生成該NAT流的日志記錄。根據(jù)這些日志信息進行分析查詢，可以方便地追蹤一些非法活動以及不正當?shù)牟僮鞯?，提高網(wǎng)絡設備的可用性和安全性課程內(nèi)容

第一章NAT基本概念第二章NAT基本工作原理第四章NE80/NE40產(chǎn)品NAT實現(xiàn)第四章NE80/NE40產(chǎn)品的NAT實現(xiàn)NE80/NE40產(chǎn)品支持NAT轉換的方式：NAT、PAT、PNAT。NE80/NE40產(chǎn)品采用IBM網(wǎng)絡處理器NP4GS3(rainier)，使用微碼來實現(xiàn)基本的地址轉換功能，ALG由微碼上送CPU處理。NAT功能采用單獨NAT板完成，采用地址池與NAT板綁定的方式支持多NAT板，即配置地址池時指定NAT板號。NE80/NE40產(chǎn)品采用入口NAT的方式，在單獨一塊NAT單板的情況下，無法實現(xiàn)多出口的負載分擔。第四章NE80/NE40產(chǎn)品的NAT實現(xiàn)NE80/NE40NAT的工作流程（入口NAT）正向NAT：IP上行->IP入端口->FIB查找->ACL匹配重定向到NAT板下行->查找NAT轉換表進行轉換->（查找不成功按照報文類型決定添加表項還是丟棄，添加表項由微碼完成）送自環(huán)物理接口至NAT板上行->NAT板上行查找FIB->送目的LPU板下行->目的LPU板下行封裝、轉發(fā)第四章NE80/NE40產(chǎn)品的NAT實現(xiàn)反向NAT：IP上行->IP入端口->FIB查找重定向到NAT板->NAT板下行->查找NAT轉換表進行轉換->送自環(huán)物理接口至NAT板上行->NAT板上行查找FIB->送目的LPU板下行->目的LPU板下行封裝、轉發(fā)參考資料RFC