第一篇:NAT教案
NAT基本知识及其配置、无线接入模块、广域网接入
引入:
通过讲述网络地址的用尽带来的影响,如何解决网络地址少的问题,将课堂引入到NAT知识上来,描述IPV6的相关信息,提高学生的积极性。
新授:
一、NAT基本知识
网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。概述:
NAT(Network Address Translation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用IP地址空间的枯竭。
说明:
私有 IP 地址是指内部网络或主机的IP 地址,公有IP 地址是指在因特网上全球唯一的IP 地址。
RFC 1918 为私有网络预留出了三个IP 地址块,如下: A 类:10.0.0.0~10.255.255.255 B 类:172.16.0.0~172.31.255.255 C 类:192.168.0.0~192.168.255.255 上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。实现方式:
NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。实例:
在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。1).静态地址转换的实现
假设内部局域网使用的lP地址段为192.168.0.1~192.168.0.254,路由器局域网端(即默认网关)的IP地址为192.168.0.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.128~61.159.62.135,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.248可用于转换的IP地址范围为61.159.62.130~61.159.62.134。要求将内部网址192.168.0.2~192.168.0.6分别转换为合法IP地址61.159.62.130~61.159.62.134。
第一步,设置外部端口。interface serial 0 ip address 61.159.62.129 255.255.255.248 ip nat outside 第二步,设置内部端口。interface ethernet 0 ip address 192.168.0.1 255.255.255.0 ip nat inside 第三步,在内部本地与外部合法地址之间建立静态地址转换。ip nat inside source static 内部本地地址 外部合法地址。2).动态地址转换的实现
假设内部网络使用的IP地址段为172.16.100.1~172.16.100.254,路由器局域网端口(即默认网关)的IP地址为172.16.100.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.128~61.159.62.191,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.192,可用于转换的IP地址范围为61.159.62.130~61.159.62.190。要求将内部网址172.16.100.1~172.16.100.254动态转换为合法IP地址61.159.62.130~61.159.62.190。
第一步,设置外部端口。
设置外部端口命令的语法如下: ip nat outside 第二步,设置内部端口。
设置内部接口命令的语法如下: ip nat inside 第三步,定义合法IP地址池。
定义合法IP地址池命令的语法如下:
ip nat pool 地址池名称起始IP地址 终止IP地址子网掩码 其中,地址池名字可以任意设定。
第四步,定义内部网络中允许访问Internet的访问列表。定义内部访问列表命令的语法如下:
access-list 标号 permit 源地址通配符(其中,标号为1~99之间的整数)
access-list 1 permit 172.16.100.0 0.0.0.255 //允许访问Internet的网段为172.16.100.0~172.16.100.255,反掩码为0.0.0.255。需要注意的是,在这里采用的是反掩码,而非子网掩码。反掩码与子网掩码的关系为:反掩码+子网掩码=255.255.255.255。例如,子网掩码为255.255.0.0,则反掩码为0.0.255.255;子网掩码为255.0.0.0,则反掩码为0.255.255.255;子网掩码为255.252.0.0,则反掩码为0.3.255.255;子网掩码为255.255.255.192,则反掩码为0.0.0.63。
另外,如果想将多个IP地址段转换为合法IP地址,可以添加多个访问列表。例如,当欲将172.16.98.0~172.16.98.255和172.16.99.0~172.16.99.255转换为合法IP地址时,应当添加下述命令:
access-list2 permit 172.16.98.0 0.0.0.255 access-list3 permit 172.16.99.0 0.0.0.255 第五步,实现网络地址转换。
在全局设置模式下,将第四步由access-list指定的内部本地地址列表与第三步指定的合法IP地址池进行地址转换。命令语法如下:
ip nat inside source list 访问列表标号 pool 内部合法地址池名字 3).端口复用动态地址转换(PAT)内部网络使用的IP地址段为10.100.100.1~10.100.100.254,路由器局域网端口(即默认网关)的IP地址为10.100.100.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为202.99.160.0~202.99.160.3,路由器广域网中的IP地址为202.99.160.1,子网掩码为255.255.255.252,可用于转换的IP地址为202.99.160.2。要求将内部网址10.100.100.1~10.100.100.254 转换为合法IP地址202.99.160.2。
第一步,设置外部端口。interface serial 0 ip address 202.99.160.1 255.255.255.252 ip nat outside 第二步,设置内部端口。interface ethernet 0 ip address 10.100.100.1 255.255.255.0 ip nat inside 第三步,定义合法IP地址池。
ip nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252 // 指明地址缓冲池的名称为onlyone,IP地址范围为202.99.160.2,子网掩码为255.255.255.252。由于本例只有一个IP地址可用,所以,起始IP地址与终止IP地址均为202.99.160.2。如果有多个IP地址,则应当分别键入起止的IP地址。
第四步,定义内部访问列表。
access-list 1 permit 10.100.100.0 0.0.0.255 允许访问Internetr的网段为10.100.100.0~10.100.100.255,子网掩码为255.255.255.0。需要注意的是,在这里子网掩码的顺序跟平常所写的顺序相反,即0.0.0.255。
第五步,设置复用动态地址转换。
在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。命令语法如下:
ip nat inside source list访问列表号pool内部合法地址池名字overload 操作实例:
二、无线接入技术
无线接入技术RIT(radio interface technologies)无线接入技术(也称空中接口)是无线通信的关键问题。它是指通过无线介质将用户终端与网络节点连接起来,以实现用户与网络间的信息传递。无线信道传输的信号应遵循一定的协议,这些协议即构成无线接入技术的主要内容。无线接入技术与有线接入技术的一个重要区别在于可以向用户提供移动接入业务。无线接入网是指部分或全部采用无线电波这一传输媒质连接用户与交换中心的一种接入技术。在通信网中,无线接入系统的定位:是本地通信网的一部分,是本地有线通信网的延伸、补充和临时应急系统。组成:
典型的无线接入系统主要由控制器、操作维护中心、基站、固定用户单元和移动终端等几个部分组成。各部分所完成的功能如下。
控制器
控制器通过其提供的与交换机、基站和操作维护中心的接口与这些功能实体相连接。控制器的主要功能是处理用户的呼叫(包括呼叫建立、拆线等)、对基站进行管理,通过基站进行无线信道控制、基站监测和对固定用户单元及移动终端进行监视和管理。
操作维护中心
操作维护中心负责整个无线接入系统的操作和维护,其主要功能是对整个系统进行配置管理,对各个网络单元的软件及各种配置数据进行操作:在系统运转过程中对系统的各个部分进行监测和数据采集;对系统运行中出现的故障进行记录并告警。除此之外,还可以对系统的性能进行测试。
基站
基站通过无线收发信机提供与固定终接设备和移动终端之间的无线信道,并通过无线信道完成话音呼叫和数据的传递。控制器通过基站对无线信道进行管理。基站与固定终接设备和移动终端之间的无线接口可以使用不同技术,并决定整个系统的特点,包括所使用的无线频率及其一定的适用范围。
固定终接设备
固定终接设备为用户提供电话、传真、数据调制解调器等用户终端的标准接口——Z接
口。它与基站通过无线接口相接。并向终端用户透明地传送交换机所能提供的业务和功能。固定终接设备可以采用定向天线或无方向性天线,采用定向天线直接指向基站方向可以提高无线接口中信号的传输质量、增加基站的覆盖范围。根据所能连接的用户终端数量的多少;固定终接设备可分为单用户单元和多用户单元。单用户单元(SSU)只能连接一个用户终端;适用于用户密度低、用户之间距离较远的情况;多用户单元则可以支持多个用户终端,一般较常见的有支持4个、8个、16个和32个用户的多用户单元,多用户单元在用户之间距离很近的情况下(比如一个楼上的用户)比较经济。
移动终端
移动终端从功能上可以看作是将固定终接设备和用户终端合并构成的一个物理实体。由于它具备一定的移动性,因此支持移动终端的无线接入系统除了应具备固定无线接入系统所具有的功能外,还要具备一定的移动性管理等蜂窝移动通信系统所具有的功能。如果在价格上有所突破,移动终端会更受用户及运营商的欢迎。
三、无线接入系统的接口 无线接入系统中的各个功能实体通过一系列接口相互连接,并通过标准的接口与本地交换机和用户终端相互连接。在无线接入系统中最重要的两个接口是控制器与交换机之间的接口和基站与固定终接设备之间的无线接口。除此之外,无线接入系统所包含的接口还有控制器与基站之间的接口、控制器与网管中心之间的接口以及固定终接设备与用户终端之间的接口。技术类型:
无线接入系统可分以下几种技术类型: 模拟调频技术
工作在470MHz频率以下,通过FDMA方式实现,因载频带宽小于25KHz,其用户容量小,仅可提供话音通信或传真等低速率数据通信业务,适用于用户稀少、业务量低的农村地区。在超短波频率已大量使用的情况下,在超短波频段给无线接入技术规划专用的频率资源不会很多。因此,无线接入系统在与其他固定、移动无线电业务互不干扰的前提下可共用相同频率。
数字直接扩频技术
工作在1700MHz频率以上,宽带载波可提供话音通信或高速率、图像通信等业务,其具有通信范围广、处理业务量大的特点,可满足城市和农村地区的基本需求。
数字无绳电话技术
可提供话音通信或中速率数据通信等业务。欧洲的DECT、日本的PHS等技术体制和采用PHS体制的UT斯达康的小灵通等系统用途比较灵活,既可用于公众网无线接入系统,也可用于专用网无线接入系统。最适宜建筑物内部或单位区域内的专用无线接入系统。也适宜公众通信运营企业在用户变换频繁、业务量高的展览中心、证券交易场所、集贸市场组建小区域无线接入系统,或在小海岛上组建公众无线接入系统。
蜂窝通信技术
利用模拟蜂窝移动通信技术,如TACS、AMPS等技术体制和数字蜂窝移动通信技术?如GSM、DAMPS、IS-95CDMA和正在讨论的第3代无线传输技术等技术体制组建无线接入系统,但不具备漫游功能。这类技术适用于高业务量的城市地区。通讯技术 无线接入 调频技术
三、广域网接入技术
目前可供接入广域网的方式有十种,即:PSTN、ISDN、ADSL、VDSL、DDN、Cable-Modem、LAN、PON、LMDS和 PLC。简介如下: PSTN(拨号上网)
PSTN(公用电话交换网)通过普通电话线“-拨号接入”上网。最高速率为56kbps,实际速率为20-50kbps,其速率远远不能满足多媒体信息传输需求,但方便,只要能打电话,再加上MODEM(调制解调器)即可。不足之处是在上网时不能拨打电话。ISDN(一线通)、ISDN(综合业务数字网)在上网时可任意拨打电话。普通Modem拨号需要等待1到5分钟才能接入,ISDN只需要1至3秒钟就可实现接入,速度可达56-128kbps。窄带ISDN也不能满足高质量的VOD等宽带应用。使用ISDN需要专用终端设备。
ADSL
ADSL(非对称数字用户环路)是一种通过普通电话线路提供宽带数据业务的技术。它支持上行640kbps-1Mbps与下行1Mbps-8Mbps的速率,其有效传输距离为3-5公里。
ADSL无需拨号,始终在线,用户到机房是专线,局端出口是共享方式。ADSL接入需要网卡或USB接口和ADSL MODEM。VDSL
VDSL(甚高速数字用户环路),它是ADSL的快速版,其短距离内的最大下载速率可达55Mbps,上传速率可达2.3Mbps。DDN
DDN(数字数据网),进网速率最高可达2M,接入方式一般为专线。
DDN专线向用户提供永久性的数据连接,沿途不进行复杂的软件处理,因此延时较短,避免了传统分组网中传输协议复杂等缺点。DDN专线接入采用交叉连接装置,可根据用户需要,在约定的时间内接通。
有线宽带网
Cable-Modem(线缆调制解调器)是一种超高速Modem,它利用现成的有线电视网进行数据传输。它有对称速率型和非对称速率型两种连接方式,前者上传和下载速率相同,在500kbps-2Mbps之间,后者上传速率在500kbps-10Mbps之间,下载速率为2Mbps-10Mbps。由于采用共享结构,随着用户的增加,接入速度会有所下降。有线宽带网需租用电信运营商的互联网出口。LAN(小区宽带)
LAN方式介入是利用以太网技术,采用光缆加双绞线的方式对社区进行综合布线,形成局域网,用户的电脑通过网线与网卡相连,实现上网。LAN可提供10M以上的共享带宽。
PON(无源光网络)
PON是一种点对点的光纤传输和接入技术,在此网中不含有任何电子器件及电子电源,全部由光分路器等无源器件组成。PON每个用户使用的带宽可从66kbps到155Mbps间灵活划分。LMDS(无线接入宽带)
LMDS(本地多点分配接入系统)是目前可用于社区宽带接入的一种无线接入技术。每个终端用户带宽可达25Mbps,总入量为600Mbps。每基站下的用户共享带宽。
PLC(电力线上网)
PLC(电力通讯技术)是利用电力线传输数据和语音信号的一种通讯方式,需要上网时,通过连接在电脑上的“电力猫”,再与电源插座连接即可。多数电力线网采用宽带共享,可实现14Mbps或45Mbps的传输率。
小结:
通过本次课程的学习,学生能掌握NAT的相关配置,熟悉当前无线接入技术方案,形成统一的广域网接入方案。
作业:
通过绘制简单网络拓扑,在其中进行NAT配置,实现NAT网络地址转换功能。
第二篇:NAT个人学习总结
个人学习总结---NAT
1、NAT本原理
NAT即网络地址转换,最初是由RFC1631(目前已由RFC3022替代)定义,用于私有地址向公有地址的转换,以解决公有IP地址短缺的问题。后来随着NAT技术的发展及应用的不断深入,NAT更被证明是一项非常有用的技术,可用于多种用途,如:提供了单向隔离,具有很好的安全特性;可用于目标地址的映射,使公有地址可访问配置私有地址的服务器;另外还可用于服务器的负载均衡和地址复用等。
NAT分为源NAT和目的NAT。源NAT是基于源地址的NAT,可细分为动态NAT、PAT和静态NAT。动态NAT和PAT是一种单向的针对源地址的映射,主要用于内网访问外网,减少公有地址的数目,隐藏内部地址。动态NAT指动态地将源地址转换映射到一个相对较小的地址池中,对于同一个源IP,不同的连接可能映射到地址池中不同的地址;PAT是指将所有源地址都映射到同一个地址上,通过端口的映射实现不同连接的区分,实现公网地址的共享。静态NAT是一种一对一的双向地址映射,主要用于内部服务器向外提供服务的情况。在这种情况下,内部服务器可以主动访问外部,外部也可以主动访问这台服务器,相当于在内、外网之间建立了一条双向通道。
基于目标地址的NAT,我们称为目的NAT,可分为目标地址映射、目标端口映射、服务器负载均衡等。基于目标地址的NAT也称为反向NAT或地址映射。目的NAT是一种单向的针对目标地址的映射,主要用于内部服务器向外部提供服务的情况,它与静态NAT的区别在于它是单向的。外部可以主动访问内部,内部却不可以主动访问外部。另外,可使用目的NAT实现负载均衡的功能,即可以将一个目标地址转换为多个内部服务器地址。也可以通过端口的映射将不同的端口映射到不同的机器上。另外,掌握NAT的基本原理之后,NAT不仅仅可用于公有地址和私有地址之间的转换,还可用于公有地址与公有地址之间、私有地址与私有地址之间的转换。
2、Nat功能
NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。1.宽带分享:这是 NAT 主机的最大功能。
2.安全防护:NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 portscan(端口扫描)的时候,就侦测不到源Client 端的 PC。
3、Nat的分类
系统中把NAT的配置分为: 源地址转换(Source)、目的地址转换(Destination)及静态地址转换(Static)三种类型。
每条NAT规则都是和某个特定的接口关联的,需要注意的是,源地址转换是在离开接口时进行转换的,目的地址转换是在进入接口时进行转换的,所以配置源地址转换的时候必须和对应的出接口关联,而配置目的地址转换的时候需要和对应的入接口关联。
内网环境:PC1----ge0/1口 外网环境:PC2----ge0/7口
外部地址:需要转换的外部地址:101.1.1.101 内部地址:需要转换的内部地址:100.1.1.77 内部接口:和内部网络连接的接口名 ge0/1 外部接口:和外部网络相连的接口名ge0/7 3.1 源NAT:
源地址转换是一种单向的针对源地址的映射,主要用于内网访问外网,减少公有地址的数目,隐藏内部地址。
ips# show ip nat source
ip nat source ge0/7 yuanip mudi any interface enable log 1
ips#
PC1和PC2进行通信,在内网主机PC1上显示,源IP为:100.1.1.77,目的IP为101.1.1.101 报文的处理流程:接口收包,交三层处理,然后对其查路由,找到下一跳出接口,在出接口检查是否做源地址转换。如果要做源地址转换,查NAT表,检查nat表中是否有对应的转换条目,如果有,做转换;如果没有,从设置的全局地址中找要转换的地址,对源地址做转换。转换后,重新封装报文,交下层处理,将报文从出接口转发。
在外网主机上面显示源IP为:101.1.1.1,目的IP为101.1.1.101
内部客户机向外部网络发送一个请求时,本来源地址是100.1.1.77,而目标地址应该是101.1.1.101。但经过源NAT的转换之后,源地址就变成了101.1.1.1,目标地址仍会是101.1.1.101。
反过来,外部网络会回应我们的请求,那么这时源地址将会是101.1.1.101,目标地址是101.1.1.1。同样地,IPS会处理这一请求,变成了源地址是101.1.1.1,目标地址是101.1.1.101。
实际上,网络中数据的传输总是双向的,那么IPS会同时转换请求与应答设备的源地址,以达到路由目的。
3.2 目的NAT 目的地址转换根据应用场不同,可以分为以下三种: 服务器地址、端口映射:实现外网地址和内部地址的单向映射或同时实现转换端口;
服务器业务分流:根据访问的业务不同,系统把目的地址转换为内部不同的服务器地址;
服务器负载分担:把一个外部IP映射到内部的一个地址池中,即一到多的映射功能;
接口映射:根据外网出接口的IP自动更改目的NAT规则,主要用于PPPoE等拨号上网获得动态IP的情况。配置目的nat
ips# show ip nat destination ip nat destination ge0/1 yuan d any f enable log 1 ips# PC1和PC2进行通信,在内网主机PC1上显示,源IP为:100.1.1.77,目的IP为100.1.1.1 报文的处理流程:接口收包,在入接口检查是否做目的地址转换。如果要做目的地址转换,查NAT表,检查nat表中是否有对应的转换条目,如果有,做转换;如果没有,从设置的全局地址中找要转换的地址,对目的地址做转换。转换后,重新封装报文,交下层处理,将报文从出接口转发。
内部客户机向外部网络发送一个请求时,本来目的地址是100.1.1.77,而目标地址应该是100.1.1.1。但经过目的NAT的转换之后,目的地址就变成了101.1.1.101,源地址仍会是100.1.1.77。3.3静态NAT 静态地址转换是一对一的双向地址映射。在这种情况下,被映射的内部主机可以主动访问外部,外部也可以主动访问这台内部主机,相当于在内、外网之间建立了一条双向通道。
外部地址:需要转换的外部地址。101.1.1.102 内部地址:需要转换的内部地址。100.1.1.77 外部接口:和外部网络相连的接口名。ge0/7
ips# show ip nat static ip nat static ge0/7 100.1.1.77 101.1.1.102 enable log 1 ips#
PC1和PC2进行通信,在内网主机PC1上显示,源IP为:100.1.1.77,目的IP为101.1.1.101
在外网主机PC2上抓包显示,源IP已经变为:101.1.1.102。
4、NAT的意义
1,环境ip资源的紧缺
2,通过nat的使用,可以很好的隐藏内网的内部网络结构,避免来自外网的攻击,保护内网的安全。
3,当两个使用相同的私网网段的私网进行互通时,可以解决地址重叠的问题
4,当内网存在多个服务器时,可以将外网对服务器的访问映射到不同的服务器上面,这样可以达到负载分担的效果。
5、问题补充
5.1我们的设备端口映射在哪里配置
端口映射配置在目的NAT。目标端口映射是目的NAT的一种。基于目标地址的NAT也称为反向NAT或地址映射。目的NAT是一种单向的针对目标地址的映射,主要用于内部服务器向外部提供服务的情况。外部可以主动访问内部,内部却不可以主动访问外部。另外,可使用目的NAT实现负载均衡的功能,即可以将一个目标地址转换为多个内部服务器地址。也可以通过端口的映射将不同的端口映射到不同的机器上。
PC1(client)-------------------IPS-------------------PC2(server)100.1.1.77
100.1.1.1
101.1.1.1
101.1.1.101 在PC2创建http server,端口号设置成1234
配置目的地址转换,源ip为100.1.1.77 目的ip为100.1.1.1 转换之后的ip为101.1.1.101,转换后的端口配置成1234
在PC1上面的浏览器上面访问http://100.1.1.1:4444 若目的NAT不配置端口转换是无法访问成功的 配置之后可访问成功
在PC1上面抓包,查看端口是原来的端口
经过IPS的目的地址转换,转换之后的端口号变成了1234 在server上面抓包观察报文如下;
5.2为什么源NAT不支持端口映射?
端口映射是基于目的NAT生效,转换端口之后才能正常访问server。假如源NAT配置了端口映射,本身client的源端口号在访问server的时候是不关心的,所以源端口号转换不转换对server是没有任何意义的。
5.3Http和ftp在经过NAT时有没有区别?如果有,区别在哪里?
FTP客户端的报文经过了路由器NAT之后,服务器端看到的报文的客户端的报文的IP源地址和端口都已经被改变了,当然对于控制连接来说这没有影响,因为有网关或者路由器的NAT模块在中间做管理,但是对于正要通过控制连接建立的数据连接就有问题了,因为NAT改变的仅仅是IP报文头,而对于因为报文中PORT命令中包含的地址和端口信息没有做任何改动,这样服务器是无法和一个内部地址建立连接的,所以这个时候就出现了ALG这个功能。ALG就是在发现如果报文头做了NAT,在这个时候如果发现这个是一个FTP的连接的时候,就需要同时改变PORT命令中的地址和端口。HTTP在经过NAT网关时只需要使用普通的NAT转换处理,但是对于FTP,由于FTP在应用层中携带了IP地址或端口等信息,因此需要ALG的帮助才能正常穿越NAT网关。FTP协议PORT模式的FTP在经过NAT时需要ALG的处理,因此NAT网关需要关注用户的每一个FTP命令,并识别需要进行ALG处理的命令,进行相应的ALG处理
第三篇:Juniper Netscreen NAT简单总结
Juniper Netscreen NAT简单总结
1、源网络地址转换
执行源网络地址转换(NAT-src)时,安全设备将初始源 IP 地址转换成不同的地址。已转换地址可以来自动态 IP(DIP)池或安全设备的出口接口。如果从 DIP 池中提取已转换的地址,安全设备可以随机提取或提取明确的地址,也就是说,既可以从DIP 池中随机提取地址,也可以持续提取与初始源 IP 地址有关的特定地址。可以配置安全设备,在接口级或策略级应用 NAT-src。如果配置策略以应用 NAT-src,且入口接口处于 NAT 模式下,则基于策略的 NAT-src 设置会覆盖基于接口的 NAT。基于策略的NAT-SRC优先级高于接口级的NAT-src。
2、目标网络地址转换
基于策略的 NAT-dst:
MIP:MIP的地址转换双向执行,因此安全设备可以将到达 MIP 地址的所有信息流中的目标
IP 地址转换成主机 IP 地址,并将主机 IP 地址发出的所有信息流中的源 IP 地址转
换成 MIP 地址。
VIP:是从一个 IP 地址到基于目标端口号的另一个 IP 地址的映射。在同一子网中定义为接口的单个 IP 地址可以托管从若干服务(使用不同的目标端口号标识)到同样多主机的映射。VIP 还支持端口映射。与 MIP 不同,VIP的地址转换将单向执行。安全设备可以将到达VIP 地址的所有信息流中的目标 IP地址转换成主机 IP 地址。
ScreenOS 不支持同时将基于策略的 NAT-dst 与 MIP、VIP 配合使用。如果您配置了 MIP 或 VIP,安全设备会在应用了基于策略的 NAT-dst 的任何信息流上应用MIP 或 VIP。换言之,如果安全设备偶然将 MIP 和 VIP 应用于同一信息流,则MIP 和 VIP 将禁用基于策略的 NAT-dst。感觉是MIP,VIP优先级高于基于策略的NAT-DST。
虽然 MIP 和 VIP 的地址转换机制是双向的,但基于策略的 NAT-src 和 NAT-dst 能够将入站和出站信息流的地址转换分开,以提供较好的控制与安全性能。基于策略的 NAT-src 和 NAT-dst 各提供一种单一方法,加起来可以取代基于接口的 MIP 和 VIP 功能,而且超过了后者。这一点太重要了,也就是在Netscreen可以用基于策略的NAT-src,NAT-dst实现所有的NAT功能,而且安全性、灵活性、控制粒度都优于其他方法。
Comment:
1、个人从不让接口工作在NAT模式,不论是trust, untrust zone,还是DMZ Zone的接口都工作在route mode。
2、对于转换的IP地址,一定要检查是否存在该IP的路由。
eg 把trust zone的一台服务器 10.180.0.25 对外发布为 59.42.5x.6x, 除了配置相应的NAT策略外,还一定 要添加路由59.42.5x.6x/32
set vrouter trust-vr route 59.42.5x.6x/32 interface ethernet13、在工作中尝试用基于策略NAT-src,NAT-dst完成所有的NAT
第四篇:IPSec与NAT兼容性研究论文
摘 要 网络地址转换技术(NAT)与IpSec在因特网上都是得到广泛应用的技术,但是它们之间却是不兼容的。该文首先分别介绍了NAT和IpSec两种协议的基本原理,分析了两者的不兼容性,然后讨论了解决该问题必须满足的要求,最后给出了利用UDp封装法实现NAT透明穿透的解决方案。关键词 IpSec;NAT;IKE;UDp封装 1 引言 基于Ip技术的虚拟专用网(Virtual professional Network,简称VpN)是通过Internet平台将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的方法。随着网络安全技术的飞快发展,越来越多大型企业利用互联网采用IpSec技术建立VpN网络,IpSec已逐渐成为VpN构建的主流技术。Ip安全协议(Ip Security protocol,简称IpSec)是由互联网工程工业组(Internet Engineering Task Force,简称IETF)1998年底规划并制定的网络Ip层标准。IpSec不仅可以为Ip协议层以上所有的高层协议和应用提供一致性的安全保护,而且除了可用于Ipv4之外,也可用于下一代Ip协议Ipv6。另外,NAT(Network Address Translation)技术通过改变进出内部网络的Ip数据包的源和目的地址,把无效的内部网络地址翻译成合法的Ip地址在Internet上使用。该技术一方面可以把私有Ip地址隐藏起来,使外界无法直接访问内部网络,对内部网络起到保护作用;另一方面,它可以缓解由于Ipv4先天设计上的不足,而导致的Ip地址严重短缺的现状。但是,被广泛使用的网络地址转换(NAT)设备却制约着基于IpSec技术的VpN的发展,这是因为IpSec 协议在VpN 中承担保护传输数据的安全性任务。在数据传输过程中,任何对Ip 地址及传输标志符的修改,都被视作对该协议的违背,并导致数据包不能通过安全检查而被丢弃。但在VpN 中运用NAT技术,则不可避免地要将私网地址映射为公网地址,即对Ip 地址要进行修改。因此,在VpN网络中如何使IpSec和NAT协同工作,实现NAT的透明穿透具有现实意义。2 协议介绍 2.1 IpSec IpSec包括安全协议和密钥管理两部分。其中,AH和ESp是两个安全协议,提供数据源验证、面向无连接的数据完整性、抗重放、数据机密性和有限抗流量分析等安全任务。为了能够将相应的安全服务、算法和密钥应用于需要保护的安全通道,IpSec 规定两个通信实体进行IpSec 通信之前首先构建安全关联SA。SA 规定了通信实体双方所需要的具体安全协议、加密算法、认证算法以及密钥。IKE提供了用来协商、交换和更新SA 以及密钥的完整机制。IpSec定义了两种类型的封装模式——传输模式和隧道模式。传输模式只对Ip分组应用IpSec协议,对Ip报头不进行任何修改,它只能应用于主机对主机的IpSec虚拟专用网VpN中。隧道模式中IpSec将原有的Ip分组封装成带有新的Ip报头的IpSec分组,这样原有的Ip分组就被有效地隐藏起来了。隧道主要应用于主机到网关的远程接入的情况。2.2 NAT NAT能解决目前Ip地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。它解决问题的办法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的Ip地址在Internet上使用,其具体的做法是把Ip包内的地址或用合法的Ip地址来替换。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT有三种类型:静态NAT、动态地址NAT、网络地址端口转换NApT。其中静态NAT设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。NApT则是把内部地址映射到外部网络的一个Ip地址的不同端口上。根据不同的需要,三种NAT方案各有利弊。3 IpSec与NAT的不兼容性分析 根据协议的定义,我们知道IpSec 和NAT 两个协议之间存在一定的不兼容性。其不兼容性主要有以下几种形式: 1)NAT对AH的影响 IpSec AH进行验证的时候,处理的是整个Ip包,包括源地址和目的地址。如果IpSec通信双方存在NAT设备,NAT设备就会修改外层Ip包头的源地址并修改其校验和,这样接收方会因认证失败而丢弃该包。2)NAT对ESp的影响 TCp/UDp校验和地计算涉及一个虚构的Ip包头,该包头含有Ip源和目的地址。因此,当NAT设备改变Ip地址时也需要更新Ip头和TCp/UDp校验和。如果采用ESp传输模式,Ip包经过NAT设备时,NAT设备修改了Ip包头,但是TCp/UDp校验和由于处于加密负载中而无法被修改。这样,该信包经过IpSec层后将因为TCp协议层的校验和的错误而被丢弃。另外,由于TCp/UDp校验和只与内层原始Ip包头有关,外层Ip包头的修改并不对其造成影响,因此采用ESp隧道模式和仅静态或动态NAT的情况下不存在TCp校验和的问题。但是,在NApT情况下,因为NApT需要TCp/UDp端口来匹配出入信包,而端口号受到ESp加密保护,所以ESp分组通信将会失败。3)NAT对IKE的影响 IKE 主模式与快速模式中如果使用Ip 地址作为身份信息,经过NAT 后,会导致IKE 协商的失败。IKE 协议使用固定目的端口500,当NApT 设备后的多个主机向同一响应者发起SA 协商时,为了实现多路分发返回的IKE 包,NApT 修改外出的IKE 包的UDp 源端口。因此,响应者应该能处理端口号并非500 的IKE 协商请求,但往往NApT 对UDp 端口的映射很快会被删除,再协商的过程就将出现一些不可预见的问题,很容易导致NApT 设备无法将协商包送到正确的目的地。综上所述,IpSec组件的支持能力 从表1中可以看出,只有在隧道模式和地址转换情况下才可以实现IpSec 数据流的NAT穿越。这一方法既降低了IpSec 协议的安全性,又限制了NAT 的工作方式,因此在实际应用中可行度较差。4 IpSec与NAT的兼容性要求 在现有的条件下,为了推动基于IpSec的VpN的发展,IpSec和NAT兼容性解决方案需要满足下列要求: 1)可部署性 IpSec和NAT兼容性解决方案作为一个过渡的解决办法必须比Ipv6易于部署。应该只需修改主机,无需改变路由器,在短时间内能与现存的路由器和NAT产品协同工作。2)远程访问 IpSec的一个重要应用是远程访问公司的内部网络。NAT穿越方案必须考虑远程客户端与VpN网关之间存在多个NAT的情况。3)防火墙兼容性 IpSec和NAT兼容性方案应该避免对IKE或IpSec目的端口的动态分配,使防火墙管理员进行简单的配置,就可以控制穿越NAT的IpSec数据流。4)可扩展性 IpSec和NAT兼容性方案应具有良好的扩展性,必须保证在大规模远程访问的环境中,在大量远程接入的环境下,同一时间段多个主机和远程安全网关建立连接。5)后向兼容性 IpSec和NAT兼容性方案中必须能与已有的IpSec实现互操作。穿越方案应该能自动检测是否存在NAT,能判断通信对方的IKE实现是否支持NAT穿越。6)安全性 IpSec和NAT兼容性解决方案的引入必须保证不得带来新的安全漏洞。5 利用UDp封装法实现NAT的穿透 本文中的解决方案是采用UDp 封装法实现NAT 的透明穿透,不需要修改现有的NAT 网关和路由器。所以该方案具有简单且易于实现的优点,缺点是由于添加了一个UDp 报文头,而加大了带宽开销,但相对于目前持续扩大的传输带宽来说,这个UDp 报文头的带宽开销可以忽略不计。下面详细讨论其原理和实现过程。5.1 封装格式 UDp封装法是在原有的Ip包的Ip头和AH/ESp的数据之间再封装一个UDp头,这样封装后的数据包端口值对NAT可见,就可以正确的实现端口转换。UDp封装格式如图1所示。端口,为了简化配置和避免多个端口带来的安全隐患,UDp 封装的 ESp也使用该端口。这样就需要采取一定的方法来区分端口500的数据包是IKE消息还是UDp 封装的 ESp。为了区分两者,我们采用在IKE 报头添加Non-ESp 标记。在确定存在一个中间 NAT 之后,支持 IpSec NAT-T 的对话方开始使用新的 IKE 报头。5.2 IKE协商过程 IpSec 通信实体双方是否采用UDp 封装取决于对话对方是否支持该方法以及是否存在NAT设备,这个过程通过IKE 协商来完成。在IKE协商过程中增添了新的 NAT-D 和 NAT-OA 有效载荷和以及UDp 通道类型。1)新的 NAT-Discovery(NAT-D)有效载荷 这个新的有效载荷包含一个散列值,它整合了一个地址和端口号。在主模式协商期间,即IKE协商第一阶段第三、四条消息中,IpSec 对话方包括两个 NAT-Discovery 有效载荷——一个用于目标地址和端口,另一个用于源地址和端口。接收方使用 NAT-Discovery 有效载荷来发现 NAT 之后是否存在一个经 NAT 转换过的地址或端口号,并基于被改变的地址和端口号来确定是否有对话方位于NAT之后。2)新的NAT-Original Address(NAT-OA)有效载荷:这个新的有效载荷包含 IpSec 对话方的原始地址。对于 UDp 封装的 ESp 传输模式,每个对话方在快速模式协商期间发送 NAT-OA有效载荷。接收方将这个地址存储在用于 SA 的参数中。3)用于UDp封装的ESp传输模式和隧道模式的新的封装模式 这两种新的封装模式是在快速模式协商期间指定的,用于通知 IpSec 对话方应该对 ESp使用 UDp 封装。5.3 地址通告和Keepalive包 由于用UDp 来封装IpSec 分组的思想只解决了NApT 设备不支持AH 和ESp 通信的问题。例如TCp 校验和错误、UDp端口映射的保持等问题还需要辅助方法来解决。为保证校验和正确无误,通信双方需将自身的原始Ip地址和端口发送给对方,即实现地址通告。地址通告的实现通过IKE第二阶段的前两条消息中的NAT-OA有效载荷。因为NAT-OA有效载荷中包含 IpSec 对话方的原始地址,为此,接收方就拥有了检验解密之后的上层校验和所需的信息。消息发起者在NAT 中创建了一个 UDp 端口映射,它在初始主模式和快速模式 IKE 协商期间使用。然而,NAT 中的 UDp 映射通常超过一定时间没用就会被删除掉。如果响应者随后向发起者发送 IKE 消息却没有提供 UDp 端口映射,那么这些消息将被 NAT 丢弃。这个问题的解决办法是通过定期发送Keepalive 包,用于后续 IKE 协商和 UDp 封装的 ESp的 UDp 端口映射同时在 NAT 中得到刷新,从而保证通信的正常运行。6 结束语 IpSec 作为网络层的安全协议,目前的应用越来越广泛,已成为构建VpN的基础协议之一。而由于Ipv6 取代Ipv4 将是一个漫长的过程,NAT 设备的广泛存在极大地限制了Ip 层安全协议IpSec 的推广,因此在目前的条件下,UDp封装方法无疑是一种在当前环境下无需修改NAT 网关和路由器、简单可接受的解决IpSec 和NAT 兼容性的方法,具有一定的现实意义。但是该方案还不完善,有待进一步讨论和研究。参考文献 [1] RFC 3022-2001.Traditional Ip network address translator(Traditional NAT)[S].[2] RFC 2401-1998.Security Architecture of the Internet protocol[S].[3] RFC 2402-1998.Ip Authentication Header[S].[4] RFC 2406-1998.Ip Encapsulating Security payload(ESp)[S].[5] RFC 2409-1998.The Internet Key Exchange(IKE)[S].[6] RFC 3103-2001.Realm Specific Ip protocol Specification[S].[7] Aboba B, William Dixon.IpSec-NAT compatibility requirements[Z].Internet draft, draft-ietf-ipsec-nat-reqts txt, 2001 [8] AriHuttunen.UDp encapsulate of IpSec packets[Z].Internet draft, draft-ietf-ipsec-udp-encaps txt, 2001.[9] Kiviren T.Negotiation of NAT-traversal in the IKE[Z].Internet draft, draft-ietf-ipsec-udp-ike txt, 2001
第五篇:NAT类型整理总结[小编推荐]
NAT类型整理总结(以思科为例)
本文例子:
公网地址段:100.1.1.0/24 内网地址段:192.168.100.0/24
一、静态转换
IP地址的对应关系是一对一,且是不变的,借助静态转换能实现外部网络对内部网络中某些指定的访问,一个内网IP固定对应一个公网IP,常用于内网服务器允许公网访问的情况。
出接口配置 ip nat outside 入接口配置 ip nat inside 全局:ip nat inside source static 192.168.100.1 100.1.1.10
二、动态转换
IP地址的对应关系是N对N,且随机、不确定的,所有被授权访问的内网IP可随机转换为任何指定的合法的公网IP地址。公网IP地址池有几个IP,那么同一时间就只能有几台电脑可以访问公网,其他主机要上网必须等临时映射关系结束才能使用被释放的公网IP进行转换。一般用于公网IP地址充足,同时访问Internet的内网主机数少于公网地址池IP个数时使用。
出接口配置 ip nat outside 入接口配置 ip nat inside 全局:access-list 1 permit 192.168.100.0 0.0.0.255 全局:ip nat pool NatTest 100.1.1.10 100.1.1.12 netmask 255.255.255.0(定义地址池IP范围)
全局:ip nat inside source list 1 pool NatTest
三、端口多路复用PAT(常用)
IP地址的对应关系是多对一,通过改变外出数据包的源IP地址和源端口并进行端口转换,多台内网主机可共享一个公网IP地址实现互联网的访问,以随机分配的端口号区分。常用于只有一个公网IP的情况,配置时注意后缀overload关键字不能缺少。
出接口配置 ip nat outside 入接口配置 ip nat inside 全局:access-list 1 permit 192.168.100.0 0.0.0.255 全局:ip nat inside source list 1 interface g0/0/1 overload(公网出接口)
四、动态 + 端口多路复用(常用)
IP地址的对应关系是N对M,与PAT类似,区别在于该类型有多个公网IP,内网主机随机选择其中一个公网IP,且每个公网IP允许多台内网主机同时使用,以随机分配的端口号区分。常用于有多个公网IP或双出口的情况。出接口配置 ip nat outside 入接口配置 ip nat inside 全局:access-list 1 permit 192.168.100.0 0.0.0.255 全局:ip nat pool NatTest 100.1.1.10 100.1.1.12 prefix-length 24 全局:ip nat inside source list 1 pool NatTest overload(公网地址池)
五、区域无关NAT 这个类型用得很少,相关资料也不多,以下介绍是从某博客复制过来的:
Domainless NAT就是说不再区分inside和outside,只是单纯地做NAT,没有用所谓的平衡点,进而两个方向NAT的处理HOOK点也不再基于平衡点对称,所有的NAT操作全部在PREROUTING上做,它用一个叫做NATVirtual Interface(NVI)的虚拟接口来实现,通过路由的方式将带有ipnat enable配置的接口进来的包全部导入这个虚拟接口NVI0中。然后用数据包的源地址和目标地址分别查询SNAT表和DNAT表,根据结果进行NAT操作,随后进入真正的路由查询,可见,不管方向,不管路由,只要数据包进入了一块带有ip natenable配置的物理网卡,就会先路由再NAT然后再路由(第一个路由只是匹配一下路由,而没有真正的路由行为,第二个路由则是真实的路由行为),不管是SNAT和DNAT都在这里进行。数据包在进入真正的路由查询前,NAT就已经完成了,在路由器看来,NAT操作被藏起来了,就好像数据包本来就是那个样子一样。当然Domainless的NAT也不再和任何其它操作关联,ACL,VPN感兴趣流匹配,policyrouting等都和NAT无关。
出接口配置 ip nat enable 入接口配置 ip nat enable 全局:access-list 1 permit 192.168.100.0 0.0.0.255 全局:ip nat source list 1 interface g0/0/1 overload(注意source前没有inside)
查看NAT规则状态: show ip nat statistics rule 查看NAT转换记录: show ip nat translations
NAT与PAT的区别 :
NAT(包括动态和静态)的地址转换是指每个内网地址都被转换成IP地址+源端口的方式,这需要公网IP地址为多个,即有多少个内网IP访问互联网就需要多少个公网IP转换,内外端口号一致。
PAT可以节省公网IP,公网IP地址不足时,就会出现内网地址被转换成IP地址+端口段的形式,即一个公网IP允许多个内网IP共同使用,以随机分配的端口号区分。
举例如下:
NAT:
192.168.100.1:4444----〉100.1.1.2:4444 192.168.100.2:5555----〉100.1.1.1:5555 192.168.100.3:1233----〉100.1.1.4:1233
PAT:
192.168.100.1:4444----〉100.1.1.1:50003 192.168.100.2:5555----〉100.1.1.1:50004 192.168.100.3:1233----〉100.1.1.1:50005
动态 + 端口多路复用
192.168.100.1:4444----〉100.1.1.1:50003 192.168.100.2:5555----〉100.1.1.1:50004 192.168.100.3:1233----〉100.1.1.2:50004 192.168.100.4:1233----〉100.1.1.2:50005
ip nat inside source与ip nat source的区别 :
ip nat inside source :数据包由inside接口向outside接口发包时,是先路由再NAT转换;而数据包由outside接口向inside接口发包时是先NAT转换再路由,数据包的发送方向不同,则处理过程也不同。
ip nat source :做NAT转换时,在需要NAT转换接口上使用的命令为ip nat enable,数据包在由一个接口向另一个接口发包时,顺序是先路由再NAT然后再路由(第一个路由只是匹配一下路由,而没有真正的路由行为,第二个路由则是真实的路由行为),不管数据包从哪个接口发向哪个接口,处理过程都是一样的。
点击咨询 