华为NAT原理与基本应用
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 5
NAT基本概念
NAT(Network Address Translator)
网络地址转换,即改变IP报文中的源或目的地址的一种处理方 式; 使一个局域网中的多台主机使用少数的合法地址访问外部资源, 也可以按照要求设定内部的WWW、FTP、TELNET的服务提供 给外部网络使用; 有效的隐藏了内部局域网的主机IP地址,起到了安全保护的作 用。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 21
NAT的基本工作原理
NPAT方式
( 10.0.0.10: 1001 (100.100.100.100:12964 (192.168.1.1:2001
-
200.0.0.66: 23) ------> 200.0.0.66: 23) 200.0.0.67: 25)
Page 15
NAT的基本工作原理
透明的地址分配
静态的地址分配指一个特定的主机使用固定的地址访问外部的 网络。 动态的地址分配是指NAT在一些地址中挑选一个地址,做为内 部网络的主机访问外部网络的IP地址。无论是那种,地址的分 配应该对用户来说是透明的。
HUAWEI TECHNOLOGIES CO., LTD.
(200.0.0.66: 23 (200.0.0.66: 23 (200.0.0.67: 25
-
100.100.100.100:12964) ------> 2.0.0.10: 1001) 192.168.1.1:2001)
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
地址池是由一些外部地址(全球唯一的IP地址)组合而成的, 我们称这样的一个地址集合为地址池。在内部网络的数据包通 过地址转换达到外部网络时,将会选择地址池中的某个地址作 为转换后的源地址,这样可以有效利用用户的外部地址,提高 内部网络访问外部网络的能力。
HUAWEI TECHNOLOGIES CO., LTD.
NAT的基本工作原理
NAT方式
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 18
NAT的基本工作原理
NAT方式
在出方向上转换IP报文头中的源IP地址,而不对端口进行转换。 在私有网络地址和外部网络地址之间建立一对一映射,实现比 较简单 只转换IP报文头中的IP地址,所以适用于所有IP报文转换
TCP/UDP IP NAT
Link Layer
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 13
NAT的基本工作原理
NAT基本工作原理(以出口NAT为例)
在IP层的出口处调用NAT
IP层 由N A T SERVER命 令形成的 关联表 Yes
Page 22
NAT的基本工作原理
NPAT方式
NPAT(Nat & Port Address Translation)方式的地址转换也是 利用了TCP/UDP协议的端口号,进行地址转换。 私网地址和公网地址之间建立了多对多的映射关系。 NPAT方式也是采用“地址+端口”的映射关系,因此可以使内 部局域网的多个主机共享多个IP地址访问Internet。
在IP层的入口出调用NAT
IP层
由NAT SERVER命 令形成的 关联表
Yes
是否是到内部服务器的数据 报?
No
转换目的地址和端口
Yes
是否是HASH表中的地址 HASH表
还原数据目的地址以 及端口
No
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 10
NAT基本概念
内部服务器映射表
内部服务器映射表是由NAT SERVER命令配置的,允许用户依 照自己的需要提供内部服务。在转换时,根据用户的配置查找 外部数据包的目的地址,如果是访问内部的服务器,则转换成 相应的内部服务器的目的地址和端口,达到访问内部服务器的 目的。还原时对源地址进行查找,判断是否是从内部服务器出 去的报文,如果是将源地址转换成相应的外部地址。
HUAWEI Confidential
Page 8
NAT基本概念Fra Baidu bibliotek
访问控制列表
访问列表是由ACCESS-LIST命令生成的,它依据IP数据包报头 以及它承载的上层协议数据包头的格式定义了一定的规则,可 以表示允许或者是禁止具有某些特征(包头数据可以描述的)的 数据包,地址转换按照这样的规则判定哪些包是被允许转换或 者是禁止转换,这样可以禁止一些内部的主机访问外部网络, 提高一些网络的安全性问题。有关的详细概念可以参考防火墙 中的有关内容。
HUAWEI Confidential
Page 16
NAT的基本工作原理
NAT的基本工作方式:
NAT-一对一的地址转换 PAT-多对一的地址转换 NPAT-多对多的地址转换
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 17
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 24
NAT的基本工作原理
内部服务器
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 25
NAT的基本工作原理
利用ACL控制地址转换
HUAWEI Confidential
Page 1
学习指南
开篇会介绍一些和NAT相关的基本概念
重点理解NAT的入口和出口转换流程
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 2
参考资料
RFC 3022
Traditional IP Network Address Translator (Traditional NAT)
Security Level:
NAT原理与基本应用
ISSUE 4.0
www.huawei.com
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
NAT技术实现了私网与公网的互访,
为私网提供了安全保障,也给公网带 来了安全隐患。
HUAWEI TECHNOLOGIES CO., LTD.
可以使用地 址转换访问 Internet
不能访问 Internet
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 26
NAT的基本工作原理
支持特殊协议(ALG应用程序网关)
地址转换改变了IP数据包头的IP地址信息,如果数据报文的载 荷中含有地址信息,地址转换就需要特殊处理,除了改变IP包 头的地址信息以外还需要改变数据报文中载荷中的地址信息。 比较典型的应用是FTP 目前VRP NAT平台支持FTP、Radius、L2tp、PPTP、CMC几 种特殊的协议。以及后来支持的H.323、SMTP、DNS等。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 9
NAT基本概念
转换关联
转换关联就是将一个地址池和一个访问列表关联起来,这种关 联指定了“具有某些特征的IP报文”是使用“这样的地址池中 的地址”,而另一些可能是使用另外一个地址池中的地址。在 地址转换时,是根据这样的对应进行地址转换的。当一个内部 网络的数据包文发往外部网络时,首先根据访问列表判定是否 是允许的数据包,然后根据转换的关联找到于之相对应的地址 池,我们就可以把源地址转换成这个地址池中的某一个地址, 完成地址转换。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 3
学习完此课程,您将会:
NAT基本概念
NAT工作原理
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 4
第1章 NAT基本概念 第2章 NAT工作原理
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 23
NAT的基本工作原理
内部服务器
内部服务器是一种反相的地址转换。 地址转换屏蔽了内部网络中的主机,而内部服务器可以提供外 部网络访问内部网络的服务。可以配置WWW、FTP、Telnet等 服务。 内部服务器映射表是由NAT SERVER命令配置的,在转换时, 根据用户的配置查找外部数据包的目的地址,如果是访问内部 的服务器,则转换成相应的内部服务器的目的地址和端口,达 到访问内部服务器的目的。还原时对源地址进行查找,判断是 否是从内部服务器出去的报文,如果是将源地址转换成相应的 外部地址。
RFC2993
Architectural Implications of NAT
RFC 2663
IP Network Address Translator (NAT) Terminology and Considerations
RFC 3027
Protocol Complications with the IP Network Address Translator
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 11
第1章 NAT基本概念 第2章 NAT工作原理
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 12
NAT的基本工作原理
NAT在系统中的位置
10.0.0.0
172.16.0.0 192.168.0.0
- 10.255.255.255
- 172.31.255.255 - 192.168.255.255
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 7
NAT基本概念
地址池
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 19
NAT的基本工作原理
PAT方式
(10.0.0.10: 1001
-
200.0.0.66: 23) ------> 200.0.0.66: 23)
(100.100.100.100:12964 -
PAT(Port Address Translation)方式的地址转换利用了 TCP/UDP协议的端口号,进行地址转换。 PAT方式的地址转换是采用了“地址+端口”的映射方式,因 此可以使内部局域网的许多主机共享一个IP地址访问Internet。 在私有网络地址和外部网络地址之间建立多对一映射。 不同的内部网地址,转换时采用相同的公网地址,并依靠不同 的端口号来区分每一个内部网主机。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 6
NAT基本概念
公有地址和私有地址
私有地址是指内部网络(局域网内部)的主机地址,而公有地址是局
域网的外部地址(在因特网上的全球唯一的IP地址)。因特网地址 分配组织规定以下的三个网络地址保留用做私有地址:
(200.0.0.66: 23 (200.0.0.66: 23
-
100.100.100.100:12964) ------> 2.0.0.10: 1001)
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 20
NAT的基本工作原理
PAT方式
No
是否是内部服务器的数据报
是否是L I S T 中允许的地址? Yes No 建立新的H A S H 表项,记 录有关转换信息, 转换地 址以及端口
转换源地址、源端口
HASH表
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 14
NAT的基本工作原理