分享會-NAT企業(yè)網(wǎng)應(yīng)用實(shí)戰(zhàn)_第1頁
分享會-NAT企業(yè)網(wǎng)應(yīng)用實(shí)戰(zhàn)_第2頁
分享會-NAT企業(yè)網(wǎng)應(yīng)用實(shí)戰(zhàn)_第3頁
分享會-NAT企業(yè)網(wǎng)應(yīng)用實(shí)戰(zhàn)_第4頁
分享會-NAT企業(yè)網(wǎng)應(yīng)用實(shí)戰(zhàn)_第5頁
已閱讀5頁,還剩25頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

NAT企業(yè)網(wǎng)應(yīng)用實(shí)戰(zhàn)

陳珵CCIENO.37448華為認(rèn)證講師Page2前言隨著Internet的發(fā)展和網(wǎng)絡(luò)應(yīng)用的增多,IPv4地址枯竭已經(jīng)成為制約網(wǎng)絡(luò)發(fā)展的瓶頸。盡管IPv6可以從根本上解決IPv4地址空間不足的問題,但目前眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用仍是基于IPv4的,因此在IPv6廣泛應(yīng)用之前,一些過渡技術(shù)的使用是解決這個(gè)問題的主要技術(shù)手段。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)NAT(NetworkAddressTranslation)主要用于實(shí)現(xiàn)位于內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問外部網(wǎng)絡(luò)的功能。當(dāng)局域網(wǎng)內(nèi)的主機(jī)需要訪問外部網(wǎng)絡(luò)時(shí),通過NAT技術(shù)可以將其私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址,并且多個(gè)私網(wǎng)用戶可以共用一個(gè)公網(wǎng)地址,這樣既可保證網(wǎng)絡(luò)互通,又節(jié)省了公網(wǎng)地址。NAT的分類:Page3一對一(靜態(tài)NAT)一對多(PAT、NAPT)NAT處理報(bào)文的幾個(gè)關(guān)鍵特點(diǎn):■網(wǎng)絡(luò)被分為私網(wǎng)和公網(wǎng)兩個(gè)部分,NAT網(wǎng)關(guān)設(shè)置在私網(wǎng)到公網(wǎng)的路由出口位置,雙向流量必須都要經(jīng)過NAT網(wǎng)關(guān);■網(wǎng)絡(luò)訪問只能先由私網(wǎng)側(cè)發(fā)起,公網(wǎng)無法主動訪問私網(wǎng)主機(jī);■NAT網(wǎng)關(guān)在兩個(gè)訪問方向上完成兩次地址的轉(zhuǎn)換或翻譯,出方向做源信息替換,入方向做目的信息替換;■NAT網(wǎng)關(guān)的存在對通信雙方是保持透明的;■NAT網(wǎng)關(guān)為了實(shí)現(xiàn)雙向翻譯的功能,需要維護(hù)一張關(guān)聯(lián)表,把會話的信息保存下來。Page4NAT應(yīng)用場景Page5私有網(wǎng)絡(luò)公共網(wǎng)絡(luò)/24SWASWA/24/24企業(yè)或家庭所使用的網(wǎng)絡(luò)為私有網(wǎng)絡(luò),使用的是私有地址;運(yùn)營商維護(hù)的網(wǎng)絡(luò)為公共網(wǎng)絡(luò),使用的是公有地址。私有地址不能在公網(wǎng)中路由。NAT一般部署在連接內(nèi)網(wǎng)和外網(wǎng)的網(wǎng)關(guān)設(shè)備上。RTA主機(jī)A主機(jī)BPage6NAT實(shí)現(xiàn)技術(shù)靜態(tài)一對一地址映射這種工作方式下,NAT把一個(gè)私網(wǎng)地址和一個(gè)公網(wǎng)地址做靜態(tài)關(guān)聯(lián),在從內(nèi)而外的方向,將源IP匹配的私網(wǎng)IP替換為公網(wǎng)IP,反方向則將目的IP匹配公網(wǎng)IP的報(bào)文替換為私網(wǎng)IP。網(wǎng)絡(luò)層以上的部分不進(jìn)行替換處理,只修正校驗(yàn)和。靜態(tài)多對多地址映射這種方式與上一種類似,只是把一段私網(wǎng)地址映射到一段公網(wǎng)址。工作機(jī)制與前述的方式?jīng)]有差別,只是簡化配置工作量。靜態(tài)NATPage7S:D:D:S:S:D:SWASWARTAS:D:靜態(tài)NAT實(shí)現(xiàn)了私有地址和公有地址的一對一映射。一個(gè)公網(wǎng)IP只會分配給唯一且固定的內(nèi)網(wǎng)主機(jī)。主機(jī)A主機(jī)BD:S:D:S:S:D:S:D:/24/24/24主機(jī)C靜態(tài)NAT配置Page8[RTA]interfaceGigabitEthernet0/0/1[RTA-GigabitEthernet0/0/1]ipaddress5424[RTA-GigabitEthernet0/0/1]interfaceSerial1/0/0[RTA-Serial1/0/0]ipaddress24[RTA-Serial1/0/0]natstaticglobalinside[RTA-Serial1/0/0]natstaticglobalinsideSWARTAS1/0/0G0/0/1主機(jī)A主機(jī)B/24/24/24主機(jī)CNAT的映射表[R1]disnatsessionallNATSessionTableInformation:Protocol:ICMP(1)SrcAddrVpn:

DestAddrVpn:8

TypeCodeIcmpId:0811185NAT-InfoNewSrcAddr:00NewDestAddr:NewIcmpId:Page9IP報(bào)文Page10PING的ICMP報(bào)文Page11Page12NAT實(shí)現(xiàn)技術(shù)動態(tài)端口映射這是最基本的工作方式,即前面多次介紹的將一段內(nèi)網(wǎng)地址動態(tài)翻譯為一個(gè)或多個(gè)公網(wǎng)IP,同時(shí)對傳輸層端口或其他上層協(xié)議信息進(jìn)行轉(zhuǎn)換,以實(shí)現(xiàn)IP復(fù)用。對由內(nèi)而外的報(bào)文,替換源地址和端口,反向報(bào)文替換目的地址和端口。僅以連接公網(wǎng)的接口IP作為NAT轉(zhuǎn)換的公網(wǎng)地址時(shí),這種配置最簡化,又被稱為EasyIP。當(dāng)以一段公網(wǎng)IP地址作為NAT轉(zhuǎn)換地址時(shí),需要配置一個(gè)地址NAT會自動在地址池中選擇使用公網(wǎng)IP。EasyIPPage130/24SWASWARTAS1/0/0EasyIP允許將多個(gè)內(nèi)部地址映射到網(wǎng)關(guān)出接口地址上的不同端口。S::1028D::80S::1025D::80S:0:2844D::80S:0:2843D::80主機(jī)A主機(jī)B/24/24/24主機(jī)CEasyIP配置Page14[RTA]acl2000[RTA-acl-basic-2000]rule5permitsource55[RTA-acl-basic-2000]quit[RTA]interfaceserial1/0/0[RTA-Serial1/0/0]natoutbound2000SWASWARTA/24S1/0/0主機(jī)A主機(jī)B/24/24主機(jī)CPage15NAT實(shí)現(xiàn)技術(shù)動態(tài)地址映射(No-PAT)這是介于靜態(tài)多對多地址映射和動態(tài)端口映射方式之間的一種工作機(jī)制。當(dāng)有一個(gè)私網(wǎng)向公網(wǎng)側(cè)訪問到達(dá)NAT網(wǎng)關(guān)時(shí),NAT網(wǎng)關(guān)會檢查這個(gè)私網(wǎng)IP是否已經(jīng)有關(guān)聯(lián)的公網(wǎng)IP映射。如果已經(jīng)存在,則按照轉(zhuǎn)換表直接替換IP,不修改上層協(xié)議。如果不存在關(guān)聯(lián)表項(xiàng),則在空閑的公網(wǎng)IP池中占用一個(gè)IP,并寫入關(guān)聯(lián)表中,以后按照這個(gè)關(guān)聯(lián)關(guān)系進(jìn)行地址轉(zhuǎn)換。當(dāng)這個(gè)私網(wǎng)主機(jī)發(fā)起的所有對外訪問均關(guān)閉或超時(shí)后,回收公網(wǎng)IP。這種方式可以理解為一組內(nèi)網(wǎng)主機(jī)搶占式地共享一個(gè)公網(wǎng)IP地址池。當(dāng)公網(wǎng)IP地址池用完以后,新連接將無法建立。動態(tài)NAT配置Page16…………[RTA]nataddress-group100[RTA]acl2000[RTA-acl-basic-2000]rule5permitsource55[RTA-acl-basic-2000]quit[RTA]interfaceserial1/0/0[RTA-Serial1/0/0]natoutbound2000address-group1no-patSWARTAS1/0/0G0/0/1主機(jī)A主機(jī)B/24/24/24主機(jī)CPage17NAT實(shí)現(xiàn)技術(shù)靜態(tài)端口映射通過靜態(tài)配置,把一個(gè)固定的私網(wǎng)IP地址和端口關(guān)聯(lián)到一個(gè)公網(wǎng)地址和端口上。這種方式等同于前面介紹過的全錐模式,但是不需要內(nèi)網(wǎng)主機(jī)首先發(fā)出報(bào)文。這種方式適用于在NAT網(wǎng)關(guān)上把一個(gè)知名服務(wù)(如HTTP)映射到一個(gè)內(nèi)部主機(jī)上,也稱為portforwarding。NAT服務(wù)器Page18服務(wù)器D:00:80D::8000/24RTA通過配置NAT服務(wù)器,可以使外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器。S::2844S::2844S:00:80S::80D::2844D::2844/24主機(jī)CNAT服務(wù)器配置Page19/24[RTA]interfaceGigabitEthernet0/0/1[RTA-GigabitEthernet0/0/1]ipaddress5424[RTA-GigabitEthernet0/0/1]interfaceSerial1/0/0[RTA-Serial1/0/0]ipaddress24[RTA-Serial1/0/0]natserverprotocoltcpglobalwwwinside8080服務(wù)器G0/0/1S1/0/0RTA/24主機(jī)CPage20NAT實(shí)現(xiàn)技術(shù)NAT轉(zhuǎn)換關(guān)聯(lián)表無論哪一種NAT工作方式,都要用到地址轉(zhuǎn)換關(guān)聯(lián)表,在不同產(chǎn)品的實(shí)現(xiàn)中,這個(gè)關(guān)聯(lián)表的存儲結(jié)構(gòu)和在IP轉(zhuǎn)發(fā)中調(diào)用的方式有很大不同。關(guān)聯(lián)表中會記錄源IP、目的IP、連接協(xié)議類型、傳輸層源端口、目的端口,以及轉(zhuǎn)換后的源IP、源端口,目的IP、目的端口信息,這里的源和目的都是對應(yīng)于從內(nèi)網(wǎng)到外網(wǎng)的訪問方向。依據(jù)NAT具體工作方式,這些信息可能全部填充,也可能部分填充。例如只按照IP做靜態(tài)映射的方式,就不需要填入任何端口相關(guān)信息;對于靜態(tài)端口映射,則只填入源相關(guān)的內(nèi)容,而目的端的信息為空。Page21NAT表項(xiàng)的老化時(shí)間各協(xié)議的老化時(shí)間為:DNS(120s)、ftp(120s)、ftp-data(120s)、HTTP(120s)、icmp(20s)、tcp(600s)、tcp-proxy(10s)、udp(120s)、sip(1800s)、sip-media(120s)、rtsp(60s)、rtsp-media(120s)Page22Page23NAT的問題-對端到端通信模型的破壞Page24NATALGPage25NATALG1、Client1訪問WWW服務(wù)器,向外網(wǎng)的DNS服務(wù)器發(fā)送DNS解析請求,源IP為,目的IP為DNS服務(wù)器地址;2、DNS請求經(jīng)過NAT網(wǎng)關(guān)轉(zhuǎn)換源地址后發(fā)送給DNS服務(wù)器;3、DNS服務(wù)器對Client1的請求進(jìn)行響應(yīng),響應(yīng)內(nèi)容包括WWW域名與IP地址的對應(yīng)關(guān)系,注意,外網(wǎng)DNS服務(wù)器上www域名對應(yīng)的IP地址是NAT網(wǎng)關(guān)上配置的外網(wǎng)地址;4、NAT網(wǎng)關(guān)收到響應(yīng)報(bào)文后轉(zhuǎn)換目的地址發(fā)向Client1;5、Client1收到該響應(yīng)報(bào)文后向外網(wǎng)地址發(fā)起TCP的三次握手,而真實(shí)的服務(wù)器在內(nèi)網(wǎng),顯然這樣的訪問不會成功。Page26NATALG普通NAT實(shí)現(xiàn)了對UDP或TCP報(bào)文頭中的的IP地址及端口轉(zhuǎn)換功能,但對應(yīng)用層數(shù)據(jù)載荷中的字段無能為力,在許多應(yīng)用層協(xié)議中,比如多媒體協(xié)議(H.323、SIP等)、FTP、SQLNET等,TCP/UDP載荷中帶有地址或者端口信息,這些內(nèi)容不能被NAT進(jìn)行有效的轉(zhuǎn)換,就可能導(dǎo)致問題。NATALG(ApplicationLevelGateway,應(yīng)用層網(wǎng)關(guān))技術(shù)能對多通道協(xié)議進(jìn)行應(yīng)用層報(bào)文信息的解析和地址轉(zhuǎn)換,將載荷中需要進(jìn)行地址轉(zhuǎn)換的IP地址和端口或者需特殊處理的字段進(jìn)行相應(yīng)的轉(zhuǎn)換和處理,從而保證應(yīng)用層通信的正確性。Page27解決方案1、在企業(yè)內(nèi)部DNS中建立A記錄2、NATALG和dnsmappingnatalgdnsenablenatdns-map80tcpNAT網(wǎng)關(guān)收到DNS響應(yīng)報(bào)文,由于開啟了DNSALG功能,所以NAT網(wǎng)關(guān)會監(jiān)聽DNS服務(wù)器的響應(yīng)報(bào)文,在本例中由于外網(wǎng)接口上配置的NATserver公網(wǎng)地址為,返回的DNS響應(yīng)報(bào)文中域名對應(yīng)的地址也是

,所以NAT網(wǎng)關(guān)會修改DNS響應(yīng)報(bào)文,將DNS響應(yīng)報(bào)文中域名對應(yīng)的地址修改為內(nèi)網(wǎng)服務(wù)器真實(shí)地址00,同時(shí)將響應(yīng)報(bào)文的目的IP進(jìn)行轉(zhuǎn)換目的地址后發(fā)向PC1Page28解決方案3、natoutbond和natserveraclnumber3000rule5permitipsource55destinationinterfaceGigabitEthernet0/0/0ipaddress54natserverprotocoltcpglobal

wwwinside00wwwnatoutbound3000Page29解決方案4、PBRaclnumber3000rule5

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論