华为路由NAT配置管理系统.docx
- 文档编号:6174773
- 上传时间:2023-05-09
- 格式:DOCX
- 页数:22
- 大小:187.39KB
华为路由NAT配置管理系统.docx
《华为路由NAT配置管理系统.docx》由会员分享,可在线阅读,更多相关《华为路由NAT配置管理系统.docx(22页珍藏版)》请在冰点文库上搜索。
华为路由NAT配置管理系统
NAT配置管理
一、简介
网络地址转换NAT〔NetworkAddressTranslation〕是将IP数据报文头中的IP地址转换为另一个IP地址的过程。
随着Internet的开展和网络应用的增多,IPv4地址枯竭已成为制约网络开展的瓶颈。
尽管IPv6可以从根本上解决IPv4地址空间不足问题,但目前众多网络设备和网络应用大多是基于IPv4的,因此在IPv6广泛应用之前,一些过渡技术〔如CIDR、私网地址等〕的使用是解决这个问题最主要的技术手段。
NAT主要用于实现内部网络〔简称内网,使用私有IP地址〕访问外部网络〔简称外网,使用公有IP地址〕的功能。
当内网的主机要访问外网时,通过NAT技术可以将其私网地址转换为公网地址,可以实现多个私网用户共用一个公网地址来访问外部网络,这样既可保证网络互通,又节省了公网地址。
作为减缓IP地址枯竭的一种过渡方案,NAT通过地址重用的方法来满足IP地址的需要,可以在一定程度上缓解IP地址空间枯竭的压力。
NAT除了解决IP地址短缺的问题,还带来了两个好处:
1、有效防止来自外网的攻击,可以很大程度上提高网络安全性。
2、控制内网主机访问外网,同时也可以控制外网主机访问内网,解决了内网和外网不能互通的问题。
二、原理
一、NAT概述
NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络〔私有IP地址〕访问外部网络〔公有IP地址〕的功能。
BasicNAT是实现一对一的IP地址转换,而NAPT可以实现多个私有IP地址映射到同一个公有IP地址上。
1、BasicNAT
BasicNAT方式属于一对一的地址转换,在这种方式下只转换IP地址,而不处理TCP/UDP协议的端口号,一个公网IP地址不能同时被多个私网用户使用。
图1BasicNAT示意图
上图1描述了BasicNAT的根本原理,实现过程如下:
1.Router收到内网侧Host发送的访问公网侧Server的报文,其源IP地址为10.1.1.100。
2.Router从地址池中选取一个空闲的公网IP地址,建立与内网侧报文源IP地址间的NAT转换表项〔正反向〕,并依据查找正向NAT表项的结果将报文转换后向公网侧发送,其源IP地址是162.105.178.65,目的IP地址是211.100.7.34。
3.Router收到公网侧的回应报文后,根据其目的IP地址查找反向NAT表项,并依据查表结果将报文转换后向私网侧发送,其源IP地址是162.105.178.65,目的IP地址是10.1.1.100。
由于BasicNAT这种一对一的转换方式并未实现公网地址的复用,不能有效解决IP地址短缺的问题,因此在实际应用中并不常用。
NAT设备拥有的公有IP地址数目要远少于内部网络的主机数目,这是因为所有内部主机并不会同时访问外部网络。
公有IP地址数目确实定,应根据网络顶峰期可能访问外部网络的内部主机数目的统计值来确定。
2、NAPT
除了一对一的NAT转换方式外,网络地址端口转换NAPT〔NetworkAddressPortTranslation〕可以实现并发的地址转换。
它允许多个内部地址映射到同一个公有地址上,因此也可以称为“多对一地址转换〞或地址复用。
NAPT方式属于多对一的地址转换,它通过使用“IP地址+端口号〞的形式进展转换,使多个私网用户可共用一个公网IP地址访问外网。
图2NAPT示意图
上图2描述了NAPT的根本原理,实现过程如下:
1.Router收到内网侧Host发送的访问公网侧Server的报文。
比如收到HostA报文的源地址是10.1.1.100,端口号1025。
2.Router从地址池中选取一对空闲的“公网IP地址+端口号〞,建立与内网侧报文“源IP地址+源端口号〞间的NAPT转换表项〔正反向〕,并依据查找正向NAPT表项的结果将报文转换后向公网侧发送。
比如HostA的报文经Router转换后的报文源地址为162.105.178.65,端口号16384。
3.Router收到公网侧的回应报文后,根据其“目的IP地址+目的端口号〞查找反向NAPT表项,并依据查表结果将报文转换后向私网侧发送。
比如Server回应HostA的报文经Router转换后,目的地址为10.1.1.100,端口号1025。
二、NAT实现
BasicNAT和NAPT是私网IP地址通过NAT设备转换成公网IP地址的过程,分别实现一对一和多对一的地址转换功能。
在现网环境下,NAT功能的实现还得依据BasicNAT和NAPT的原理,NAT实现主要包括:
EasyIP、地址池NAT、NATServer和静态NAT/NAPT。
地址池NAT和EasyIP类似,此处只介绍EasyIP。
1、EasyIP
EasyIP方式可以利用访问控制列表来控制哪些内部地址可以进展地址转换。
EasyIP方式特别适合小型局域网访问Internet的情况。
这里的小型局域网主要指中小型网吧、小型办公室等环境,一般具有以下特点:
内部主机较少、出接口通过拨号方式获得临时公网IP地址以供内部主机访问Internet。
对于这种情况,可以使用EasyIP方式使局域网用户都通过这个IP地址接入Internet。
图1EasyIP示意图
如上图1所示,EasyIP方式的处理过程如下:
1.Router收到内网侧主机发送的访问公网侧服务器的报文。
比如收到HostA报文的源地址是10.1.1.100,端口号1540。
2.Router利用公网侧接口的“公网IP地址+端口号〞,建立与内网侧报文“源IP地址+源端口号〞间的EasyIP转换表项〔正反向〕,并依据查找正向EasyIP表项的结果将报文转换后向公网侧发送。
比如HostA的报文经Router转换后的报文源地址为162.10.2.8,端口号5480。
3.Router收到公网侧的回应报文后,根据其“目的IP地址+目的端口号〞查找反向EasyIP表项,并依据查表结果将报文转换后向内网侧发送。
比如Server回应HostA的报文经Router转换后,目的地址为10.1.1.100,端口号1540。
2、NATServer
NAT具有“屏蔽〞内部主机的作用,但有时内网需要向外网提供服务,比如提供服务或者FTP服务。
这种情况下需要内网的服务器不被“屏蔽〞,外网用户可以随时访问内网服务器。
NATServer可以很好地解决这个问题,当外网用户访问内网服务器时,它通过事先配置好的“公网IP地址+端口号〞与“私网IP地址+端口号〞间的映射关系,将服务器的“公网IP地址+端口号〞根据映射关系替换成对应的“私网IP地址+端口号〞。
图2NATServer实现原理图
如上图2所示,NATServer的地址转换过程如下:
1.在Router上配置NATServer的转换表项。
2.Router收到公网用户发起的访问请求,设备根据该请求的“目的IP+端口号〞查找NATServer转换表项,找出对应的“私网IP+端口号〞,然后用查找结果替换报文的“目的IP+端口号〞。
外网主机发送的报文,其目的地址是209.102.1.68,端口号80,经Router转换后目的地址转换为192.168.1.68,端口号80。
3.Router收到内网服务器的回应报文后,根据该回应报文的“源IP地址+源端口号〞查找NATServer转换表项,找出对应的“公网IP+端口号〞,然后用查找结果替换报文的“源IP地址+源端口号〞。
内网服务器回应外网主机的报文,其源地址是192.168.1.68,端口号80,经Router转换后源地址转换为209.102.1.68,端口号80。
3、静态NAT/NAPT
静态NAT是指在进展NAT转换时,内部网络主机的IP同公网IP是一对一静态绑定的,静态NAT中的公网IP只会给唯一且固定的内网主机转换使用。
静态NAPT是指“内部网络主机的IP+协议号+端口号〞同“公网IP+协议号+端口号〞是一对一静态绑定的,静态NAPT中的公网IP可以为多个私网IP使用。
静态NAT/NAPT还支持将指定私网X围内的主机IP转换为指定的公网X围内的主机IP。
当内部主机访问外部网络时,如果该主机地址在指定的内部主机地址X围内,会被转换为对应的公网地址;同样,当公网主机对内部主机进展访问时,如果该公网主机IP经过NAT转换后对应的私网IP地址在指定的内部主机地址X围内,也是可以直接访问到内部主机。
三、NATALG
NAT和NAPT只能对IP报文的头部地址和TCP/UDP头部的端口信息进展转换。
对于一些特殊协议,例如FTP等,它们报文的数据局部可能包含IP地址信息或者端口信息,这些内容不能被NAT有效的转换。
解决这些特殊协议的NAT转换问题的方法就是在NAT实现中使用应用层网关ALG〔ApplicationLevelGateway〕功能。
ALG是对特定的应用层协议进展转换,在对这些特定的应用层协议进展NAT转换过程中,通过NAT的状态信息来改变封装在IP报文数据局部中的特定数据,最终使应用层协议可以跨越不同X围运行。
例如,一个使用内部IP地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。
而这个地址信息是放到IP报文的数据局部,NAT无法对它进展转换。
当外部网络主机接收了这个私有地址并使用它,这时FTP服务器将表现为不可达。
目前支持ALG功能的协议包括:
DNS、FTP、SIP、PPTP和RTSP。
不同协议支持的NAT转换字段如表1所示。
表1 不同协议支持的NAT转换字段表
应用协议
做NAT变换的字段
DNS
响应报文中的IP和Port
FTP
∙Port请求报文中载荷里的IP和Port
∙Passive响应报文中载荷里的IP和Port
SIP
∙Requestline
∙From
∙To
∙Contact
∙Via
∙O
∙Messagebody的C字段地址和M字段的端口
∙record-router
PPTP
分PPTPClient在私网还是PPTPServer在私网两种场景:
∙PPTPClient在私网,PPTPServer在公网时,仅对Client-Call-ID进展端口替换
∙PPTPServer在私网,PPTPClient在公网时,仅对Server-Call-ID进展端口替换
RTSP
setup/replyOK报文中的端口字段
四、DNSMapping
在某些应用中,私网用户希望通过域名访问位于同一私网的内部服务器,而DNS服务器却位于公网。
由于通常DNS响应报文中携带的是内部服务器的公网IP地址,因此假如NAT设备未将DNSServer解析的公网IP替换成内部服务器对应的私网IP,私网用户将无法通过域名访问到内部服务器。
这个问题可以使用DNSMapping方式来解决,通过配置“域名—公网IP地址—公网端口—协议类型〞映射表,建立内部服务器的域名与其公网信息间的对应关系。
如下图1描述了DNSMapping的根本原理。
图1DNSMapping示意图
如上图1所示,私网用户Host希望通过域名方式访问WebServer,Router作为NAT服务器。
当Router设备收到DNS响应报文后,先根据其中携带的域名查找DNSMapping映射表,再根据“公网IP地址—公网端口—协议类型〞查找WebServer,然后将DNS响应报文中的公网IP地址替换成WebServer的私网IP地址。
这样,Host收到的DNS响应报文中就携带了WebServer的私网IP地址,从而可以通过域名来访问WebServer。
五、NAT关联VPN
NAT不仅可以使内部网络的用户访问外部网络,还允许内部网络中分属于不同VPN〔VirtualPrivateNetwork〕的用户通过同一个出口访问外部网络,解决内部网络中IP地址重叠的VPN同时访问外网主机的问题;NAT还支持VPN关联的NATServer,允许外部网络中的主机访问内网中分属不同VPN的服务器,同时支持内网多个VPN地址重叠的场景。
1、VPN关联的源NAT
VPN关联的源NAT是指内部网络中分属于不同VPN的用户通过NAT技术访问外部网络,组网如如下图1所示。
图1VPN关联的源NAT
VPN关联的源NAT的实现方式如下:
1.VPN1内的主机A和VPN2内的主机B地址重叠,都为私网地址10.1.1.1,都要同时访问外部网络的一个服务器。
2.Router在做源NAT时,将内部VPN作为一个NAT的匹配条件,将主机A发出报文的源IP转换为202.1.1.1,将主机B发出报文的源IP转换为202.1.2.1,同时在建立的NAT转换表中,记录用户的VPN信息。
3.当外部网络服务器回应内部网络主机A和B的报文经过Router时,根据已建立的NAT映射表,NAT模块将发往主机A报文的目的IP从202.1.1.1转换为10.1.1.1,然后再发往VPN1的目的主机;将发往主机B报文的目的IP从202.1.2.1转换为10.1.1.1,然后再发往VPN2的目的主机。
2、VPN关联的NATServer
VPN关联的NATServer是指外网主机通过NAT技术访问内网中分属不同VPN的服务器。
图2VPN关联的NATServer
组网如上图2所示,VPN1内ServerA和VPN2内的ServerB的地址都是10.1.1.1;使用202.1.10.1做为VPN1内的ServerA的外部地址,使用202.1.20.1做为VPN2内的ServerB的外部地址。
这样,外部网络的用户使用202.1.10.1就可以访问到VPN1提供的服务,使用202.1.20.1就可以访问VPN2提供的服务。
VPN关联的NATServer的实现方式如下:
1.外部网络的主机访问VPN1内的ServerA,报文目的IP是202.1.10.1;访问VPN2内的ServerB,报文目的IP是202.1.20.1。
2.Router在做NATserver时,根据报文的目的IP与VPN信息进展判断,将目的IP是202.1.10.1的报文的目的IP转换为10.1.1.1,然后发往VPN1的目的ServerA;将目的IP是202.1.20.1的报文的目的IP转换为10.1.1.1,然后发往VPN2的目的ServerB;同时在新建的NAT映射表中,记录下关联的VPN信息。
3.当内部ServerA和B回应外部网络主机的报文经过Router时,根据已建立的NAT映射表,NAT模块将从ServerA发出的报文的源IP从10.1.1.1转换为202.1.10.1,再发往外部网络;将从ServerB发出的报文的源IP从10.1.1.1转换为202.1.20.1,再发往外部网络。
六、两次NAT
两次NAT即TwiceNAT,指源IP和目的IP同时转换,该技术应用于内部网络主机地址与外部网络上主机地址重叠的情况。
图1两次NAT示意图
如上图1所示,两次NAT转换的过程如下:
1.内网HostA要访问地址重叠的外部网络HostB,HostA向位于外部网络的DNS服务器发送访问外网HostB的DNS请求,DNS服务器应答HostB的IP地址为1.1.1.1,DNS应答报文在经过Router时,进展DNSALG,Router将DNS应答报文中的重叠地址1.1.1.1转换为唯一的临时地址3.3.3.1,然后再转发给HostA。
2.HostA访问HostB,目的IP为临时地址3.3.3.1,报文在经过Router时,Router检查到目的IP是临时地址,进展目的地址转换,将报文的目的IP转换为HostB的真实地址1.1.1.1,同时进展正常的NATOutbound转换,将报文的源IP转换为源NAT地址池地址;Router将报文转发到HostB。
3.HostB回应HostA,目的IP为HostA的NATOutbound地址池地址,源IP为HostB的地址1.1.1.1,报文在经过Router时,Router检查到源IP是重叠地址,进展源地址转换,将报文的源IP转换为对应的临时地址3.3.3.1,同时进展正常的目的地址转换,将报文的目的IP从源NAT地址池地址转换为HostA的内网地址1.1.1.1;Router将报文转发到HostA。
图2内网多VPN情况下的两次NAT示意图
考虑到内网有多个VPN的场景,且内网多个VPN的地址一样的情况下,在Router上DNSALG时,增加内网VPN信息作为重叠地址池到临时地址的映射关系匹配条件之一,如上图2所示。
内网多VPN情况下的两次NAT转换过程和两次NAT转换的过程类似,只是VPNA中的HostA转换为临时地址3.3.3.1,而VPNB中的HostB转换为临时地址4.4.4.1。
七、NAT过滤和映射方式
NAT过滤功能可以让NAT设备对外网发到内网的流量进展过滤;NAT映射功能可以让内部网络中的一组主机通过NAT映射表映射到一个外部IP地址,共享这一个IP地址,所有不同的信息流看起来好似来源于同一个IP地址。
1、NAT过滤
NAT过滤是指NAT设备对外网发到内网的流量进展过滤,包括三种类型:
∙与外部地址无关的NAT过滤行为
∙与外部地址相关的NAT过滤行为
∙与外部地址和端口都相关的NAT过滤行为
应用场景如如下图1所示:
图1NAT过滤应用组网图
上图中,私网用户PC-1通过NAT设备与外网用户PC-2、PC-3进展通信。
数据报文1代表私网主机PC-1访问公网PC-2,PC-1使用的端口号为1111,访问PC-2的端口2222;经过NAT设备时,源IP转换为202.169.10.1。
当私网主机向某公网主机发起访问后,公网主机发向私网主机的流量经过NAT设备时需要进展过滤。
数据报文2’、数据报文3’和数据报文4’代表三种场景,分别对应上述三种NAT过滤类型:
∙数据报文2’代表公网主机PC-3〔与报文1的目的地址不同〕访问私网主机PC-1,目的端口号为1111,只有配置了外部地址无关的NAT过滤行为,才允许此报文通过,否如此被NAT设备过滤掉。
∙数据报文3’代表公网服务器PC-2〔与报文1的目的地址一样〕访问私网主机PC-1,目的端口号为1111,源端口号为3333〔与报文1的目的端口不同〕,只有配置了外部地址相关的NAT过滤行为或者配置了外部地址无关的NAT过滤行为,才允许此报文通过〔均不涉与端口号〕,否如此被NAT设备过滤掉。
∙数据报文4’代表公网服务器PC-2〔与报文1的目的地址一样〕访问私网主机PC-1,目的端口号为1111,源端口号为2222〔与报文1的目的端口一样〕,这属于外部地址和端口都相关的NAT过滤行为,是缺省的过滤行为,不配置或者配置任何类型的NAT过滤行为,都允许此报文通过,不会被过滤掉。
2、NAT映射
在Internet中使用NAT映射功能,所有不同的信息流看起来好似来源于同一个IP地址。
因为NAT映射使得一组主机可以共享唯一的外部地址,当位于内部网络中的主机通过NAT设备向外部主机发起会话请求时,NAT设备就会查询NAT表,看是否有相关会话记录,如果有相关记录,就会将内部IP地址与端口同时进展转换,再转发出去;如果没有相关记录,进展IP地址和端口转换的同时,还会在NAT表增加一条该会话的记录。
NAT映射是NAT设备对内网发到外网的流量进展映射,包括以下两种类型:
外部地址无关的映射:
对一样的内部IP和端口重用一样的地址端口映射。
外部地址和端口相关的映射:
对一样的内部IP地址和端口号访问一样的外部IP地址和端口号重用一样的端口映射〔如果此映射条目还处在活动状态〕。
三、具体配置
一、动态NAT配置
1、根本配置
配置思路主要有三步:
1、通过acl指定使用需要进展NAT转换的内网IP地址X围
2、创建用于动态NAT转换的公网地址池
3、在出接口把acl和公网地址池进展关联
4、根据需求使用后面的扩展应用
具体配置:
1、通过acl指定需要转换的内部地址、X围、协议
网段的用户进展NAT转换
[Huawei-acl-basic-2000]rule1permitsource10.10.10.100用户进展NAT转换
[Huawei-acl-adv-3000]rule1permittcpTCP通信时进展NAT转换
2、设置公网映射地址池IP地址〔可选〕
3、设置出接口与acl和地址池直接的关联
Huawei-GigabitEthernet0/0/2]natoutbound2000address-group1?
no-patNotusePAT#表示一对一转换,只转换地址不转换端口信息
interface#指定某个接口〔一般为NAT的出接口〕的IP作为转换后的公网IP地址
或〔easyIP地址转换〕
[Huawei-GigabitEthernet0/0/2]natoutbound2000#直接使用出接口的IP地址进展转换〔可静态可动态〕
如果需要在Router上执行ping-asource-ip-address命令通过指定发送ICMPECHO-REQUEST报文的源IP地址来验证内网用户可以访问因特网,需要配置命令ipsoft-forwardenhanceenable使能设备产生的控制报文的增强转发功能,这样,私网的源地址才能通过NAT转换为公网地址。
缺省情况下,设备产生的控制报文的增强转发功能处于使能状态。
2、可选配置
1、NATALG
NATALG〔applicationlevelgateway,应用层网关〕
一般情况下,NAT只能对IP报文头的IP地址和TCP/UDP头部的端口信息进展转换。
对于一些特殊协议,例如DNS、FTP等,它们报文的数据局部可能包含IP地址或端口信息,这些内容不能被NAT有效的转换,从而无法正确完成通信。
使能ALG〔ApplicationLevelGateway〕功能可以使NAT设备识别被封装在报文数据局部的IP地址或端口信息,并根据映射表项进展替换,实现报文正常穿越NAT。
目前设备的ALG功能所支持的协议包括:
DNS、FTP、SIP、PPTP和RTSP。
具体配置:
[Huawei]natalg?
allAllprotocol
dnsDnsprotocol
ftpFtpprotocol
rtspRtspprotocol
sipSipprotocol
2、配置NAT设备上的SIP呼叫带宽限制功能
针对SIPServer在公网侧,私网的SIPPhone和公网的SIPPhone互通的场景,如果NAT设备上的带宽不够,就会影响通话质量。
我们可以在NAT设备上使能呼叫会话控制CAC〔CallAdmissionControl〕功能并配置总带宽,对SIP呼叫进展带宽限制,超过指定带宽的SIP呼叫将被拒绝,无法呼叫成功。
具体配置
[Huawei]natsipcacenablebandwidth?
#模拟器暂无法模拟
3、配置NAT过滤方式和映射模式
由于IPv4地址的短缺以与出于安全考虑等因素,在因特网中广泛采用了NAT技术。
由于不同厂商实现的NAT功能不
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 路由 NAT 配置管理 系统