NAT协议原理-B

宇信培训中心
NAT基本概念
• 公有地址和私有地址 • 私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址 （在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络 地址保留用做私有地址： – 10.0.0.0 - 10.255.255.255 – 172.16.0.0 - 172.31.255.255 – 192.168.0.0 - 192.168.255.255
宇信培训中心
NAT的基本工作原理
• NPAT方式 – ( 10.0.0.10: 1001 – (100.100.100.100:12964 – (192.168.1.1:2001 – (100.100.100.200:12964 – – – – (200.0.0.66: (200.0.0.66: (200.0.0.67: (200.0.0.67: 23 23 25 25 -
NAT的基本工作原理
• 透明的地址分配 – 静态的地址分配指一个特定的主机使用固定的地址访问外部的网 络。 – 动态的地址分配是指NAT在一些地址中挑选一个地址，做为内部 网络的主机访问外部网络的IP地址。无论是那种，地址的分配应 该对用户来说是透明的。
宇信培训中心
• NAT(Network Address Translator) – 网络地址转换，即改变IP报文中的源或目的地址的一种处理方式； – 使一个局域网中的多台主机使用少数的合法地址访问外部资源，也可以按照要 求设定内部的WWW、FTP、TELNET的服务提供给外部网络使用； – 有效的隐藏了内部局域网的主机IP地址，起到了安全保护的作用。
宇信培训中心
NAT的基本工作原理
• PAT方式 – PAT（Port Address Translation）方式的地址转换利用了TCP/UDP协议的端 口号，进行地址转换。 – PAT方式的地址转换是采用了“地址＋端口”的映射方式，因此可以使内部局 域网的许多主机共享一个IP地址访问Internet。在私有网络地址和外部网络地 址之间建立多对一映射。 – 不同的内部网地址，转换时采用相同的公网地址，并依靠不同的端口号来区分 每一个内部网主机。
IP报头 TCP/UDP报头
数据
协议号 源地址 目的地址
源端口
目的端口
对于TCP/UDP来说，这5个 元素组成了一个TCP/UDP相 关，访问控制列表就是利用 这些元素定义的规则
宇信培训中心
NAT基本概念
• 转换关联 – 转换关联就是将一个地址池和一个访问列表关联起来，这种关联 指定了“具有某些特征的IP报文”是使用“这样的地址池中的地 址”，而另一些可能是使用另外一个地址池中的地址。在地址转 换时，是根据这样的对应进行地址转换的。当一个内部网络的数 据包文发往外部网络时，首先根据访问列表判定是否是允许的数 据包，然后根据转换的关联找到于之相对应的地址池，我们就可 以把源地址转换成这个地址池中的某一个地址 200.0.0.66: 200.0.0.67: 200.0.0.67:
23) ------> 23) 25) 25)
100.100.100.100:12964) ------> 10.0.0.10: 1001) 100.100.100.200:12964) 192.168.1.1:2001)
宇信培训中心
• 学习完此课程，您将会： – NAT基本概念 – NAT工作原理 – NAT数据配置
宇信培训中心
第1章 NAT基本概念 第2章 NAT工作原理 第3章 NAT数据配置
宇信培训中心
NAT基本概念
宇信培训中心
NAT的基本工作原理
• PAT方式 – (10.0.0.10: 1001 200.0.0.66: 23) ------> – (100.100.100.100:12964 200.0.0.66: 23) – (20.0.0.10: 1001 200.0.0.66: 23) ------> – (100.100.100.100:129645 200.0.0.66: 23)
宇信培训中心
第1章 NAT基本概念 第2章 NAT工作原理 第3章 NAT数据配置
宇信培训中心
NAT的基本工作原理
• NAT在系统中的位置
TCP/UDP IP NAT
Link Layer
宇信培训中心
NAT的基本工作原理
• NAT基本工作原理（以出口NAT为例） • 在IP层的出口处调用NAT
IP层 由NAT SERVER命 令形成的 关联表 Yes
No
是否是内部服务器的数据报
是否是LIST中允许的地址？ Yes
转换源地址、源端口
HASH表
No 建立新的HASH表项，记 录有关转换信息,转换地 址以及端口
宇信培训中心
NAT的基本工作原理
• 以FTP ALG为例（续）： – 在通知服务器的时候，会用到“PORT命令”，其中在这次TCP 连接的数据中是这样的：“PORT 10,110,1,2,13,23\A\D”（表 示：端口=13<<8 + 23，地址=10.110.1.2)，于是服务器就可以知 道客户端的数据连接的地址和端口了。在地址转换的过程中，对 于PORT命令，我们除了改变IP地址以及端口信息，同时必须改 变相应TCP中的数据，这样才可以保证使FTP服务器端可以把数 据发送到正确的客户端。这样，有可能会使TCP数据包的长度发 生变化，所以对于PORT命令还需要对TCP数据头中的序号 （SEQUENCE NUMBER）进行调整。
宇信培训中心
NAT的基本工作原理
• 以FTP ALG为例： – 在TCP的应用FTP中，包含两种连接：控制连接（会话）、数据 连接（传输）。 – 其中控制连接是用大家都熟悉的21端口的TCP连接。数据连接却 是由客户端“发起”的，它通过控制连接“通知”服务器它已经 初始化完的端口，FTP服务器通过20端口（默认情况）将数据传 送到客户端。
宇信培训中心
NAT的基本工作原理
• 在IP层的入口出调用NAT
IP层
由NAT SERVER命 令形成的 关联表
Yes
是否是到内部服务器的数据 报？
No
转换目的地址和端口
Yes
是否是HASH表中的地址 HASH表
还原数据目的地址以 及端口
No
宇信培训中心
[H300201-01]NAT协议原理-B.ppt
宇信培训中心
• NAT技术实现了私网与公网的互访，为 私网提供了安全保障，也给公网带来了 安全隐患。
宇信培训中心
学习指南
• 开篇会介绍一些和NAT相关的基本概念 • 重点理解NAT的入口和出口转换流程
• 支持特殊协议（ALG应用程序网关） – 地址转换改变了IP数据包头的IP地址信息，如果数据报文的载荷 中含有地址信息，地址转换就需要特殊处理，除了改变IP包头的 地址信息以外还需要改变数据报文中载荷中的地址信息。比较典 型的应用是FTP – 目前VRP NAT平台支持FTP、Radius、L2tp、PPTP、CMC几种 特殊的协议。以及后来支持的H.323、SMTP、DNS等。 – 配置命令： nat alg enable { dns | ftp | h323 | hwcc | icmp | ils | msn | netbios | pptp | qq }
宇信培训中心
NAT的基本工作原理
• 内部服务器 – 内部服务器是一种反相的地址转换。 – 地址转换屏蔽了内部网络中的主机，而内部服务器可以提供外部网络访问内部 网络的服务。可以配置WWW、FTP、Telnet等服务。 – 内部服务器映射表是由NAT SERVER命令配置的，在转换时，根据用户的配 置查找外部数据包的目的地址，如果是访问内部的服务器，则转换成相应的内 部服务器的目的地址和端口，达到访问内部服务器的目的。还原时对源地址进 行查找，判断是否是从内部服务器出去的报文，如果是将源地址转换成相应的 外部地址。
宇信培训中心
NAT的基本工作原理
• 内部服务器
宇信培训中心
NAT的基本工作原理
• 利用ACL控制地址转换
可以使用地 址转换访问 Internet
不能访问 Internet
宇信培训中心
NAT的基本工作原理
宇信培训中心
NAT的基本工作原理
• NAT地址转换的DNS运用 – DNS服务器处于私网中 – DNS服务器处于公网中
NAT的基本工作原理
• NAT的基本工作方式： – NAT－一对一的地址转换 – PAT－多对一的地址转换 – NPAT－多对多的地址转换
宇信培训中心
NAT的基本工作原理
• NAT方式
宇信培训中心
NAT的基本工作原理
• NAT方式 – 在出方向上转换IP报文头中的源IP地址，而不对端口进行转换。 – 在私有网络地址和外部网络地址之间建立一对一映射，实现比较简单 – 只转换IP报文头中的IP地址，所以适用于所有IP报文转换
宇信培训中心
NAT基本概念
• 地址池 – 地址池是由一些外部地址（全球唯一的IP地址）组合而成的，我 们称这样的一个地址集合为地址池。在内部网络的数据包通过地 址转换达到外部网络时，将会选择地址池中的某个地址作为转换 后的源地址，这样可以有效利用用户的外部地址，提高内部网络 访问外部网络的能力。
宇信培训中心
NAT基本概念
• 内部服务器映射表 – 内部服务器映射表是由NAT SERVER命令配置的，允许用户依照 自己的需要提供内部服务。在转换时，根据用户的配置查找外部 数据包的目的地址，如果是访问内部的服务器，则转换成相应的 内部服务器的目的地址和端口，达到访问内部服务器的目的。还 原时对源地址进行查找，判断是否是从内部服务器出去的报文， 如果是将源地址转换成相应的外部地址。
– – – –
(200.0.0.66: (200.0.0.66: (200.0.0.66: (200.0.0.66:
23 23 23 23
-
100.100.100.100:12964) ------> 10.0.0.10: 1001) 100.100.100.100:12965) ------> 20.0.0.10: 1001)
宇信培训中心
NAT的基本工作原理
• NPAT方式 – NPAT（Nat & Port Address Translation）方式的地址转换也是利用了 TCP/UDP协议的端口号，进行地址转换。 – 私网地址和公网地址之间建立了多对多的映射关系。 – NPAT方式也是采用“地址＋端口”的映射关系，因此可以使内部局域网的多 个主机共享多个IP地址访问Internet。
宇信培训中心
NAT基本概念
• 访问控制列表 – 访问列表是由ACCESS-LIST命令生成的，它依据IP数据包报头 以及它承载的上层协议数据包头的格式定义了一定的规则，可以 表示允许或者是禁止具有某些特征(包头数据可以描述的）的数据 包，地址转换按照这样的规则判定哪些包是被允许转换或者是禁 止转换，这样可以禁止一些内部的主机访问外部网络，提高一些 网络的安全性问题。有关的详细概念可以参考防火墙中的有关内 容。