NAT技术V0.1版本.docx

PAGE14 / NUMPAGES14 NAT技术 NAT介绍 NAT产生背景 全球公网IP地址不足（虽然当时设计32位，以为已经很大了），为了实现网络互连，使用NAT技术，实现私有地址到公网地址的转化，实现公网地址的复用（使用不同端口号）； NAT实现方式 源NAT 多个私有地址通过一个或多个公有地址实现到公网地址的转换； 源NAT常见部署环境 实现内网用户，通过NAT设备转换为公网地址，访问互联网； 流量只能从内网发起（相当于outbound方向的SNAT）； 华为也有inbound方向的SNAT，解决外网用户访问内网资源时内网无返程路由或者VPN组网中源地址与内网私有地址冲突； 源NAT发送免费ARP功能 当NAT地址池关闭发送免费ARP功能时，如果转换后用到某个公网地址池地址时，设备就会发送该公网IP地址免费ARP； 如果开启发送免费ARP功能，地址池地址采用2的1次方到5次方，连续发送6次免费ARP； 注：需要NAT网关的下一跳设备开启免费ARP学习功能，才能正常学习到该ARP表项； 目的NAT 公网用户通过访问对应公网地址和端口，转换为对应内网地址和端口，实现外网用户对内网服务器资源的访问； 流量只能从外网发起，且可以配置公网IP、端口、协议的匹配项； 目的NAT常见部署环境 提供内网服务器资源给公网用户访问； 静态NAT 实现私有地址到公有地址一对一的映射，且只转换IP地址，不改变原有的端口号； 静态NAT是双向的，流量无论从哪端发起都能转换； 静态NAT使用场景 这种一对一的转换方式并未实现公网地址的复用，不能有效解决IP地址短缺的问题，因此在实际应用中并不常用； NAT防止路由回环 SNAT防回环（地址池和出接口不在相同网段） 组网分析 出口设备写一条缺省路由交给下一条路由器，路由器需要写一条路由到出口设备地址池IP，这样路由才可达； 正常情况下，内网PC访问外网，反向报文匹配会话就能正常返回； 产生环路的情形 如果反向报文到达出口设备后，无法查询到会话，或者公网用户产生攻击报文，直接访问地址池地址； 报文到达出口设备无法查询到会话，且不知道该地址属于自己（仅仅是配置在地址池里面，无主机路由），那么查缺省路由交给下一跳路由，由于报文从同一个接口进入和流出，缺省情况下不受安全策略控制； 下一跳路由收到报文以后，查询路由发现又是出口设备地址池地址，又交回给出口设备，此时路由环路就产生了； SNAT防路由环路配置 不同厂商采用不同配置方式，但实现原理均相同； 通过给地址池地址配置32位掩码的黑洞路由，当返程流量无法匹配上会话或者主动来访问地址池地址的流量，查询路由时，匹配上黑洞路由就丢包； S* /32 [1/0] fmap : 0x1 is directly connected, Null0, bh, addrpool SNAT防回环（地址池和接口地址在相同网段） 组网分析 如果外网用户访问SNAT地址池地址，路由器收到该报文以后，发现为自己直连网段，发送ARP请求，此时防火墙配置了该地址池会响应该ARP请求； 数据报文到达防火墙以后，防火墙没有意识到目的地址是自己地址池地址，查询路由发现是自己直连网段，也发送ARP请求，此时没有人响应该ARP请求； 如果攻击者发送大量的请求报文到防火墙，此时防火墙会不断的发送ARP请求，消耗防火墙资源； 处理方法 SNAT地址池和出接口在相同网段是不会产生路由环路，但是会出现ARP请求； 此时也建议配置黑洞路由，去地址池地址的报文，都被丢弃就不会发送ARP请求报文了； 目的NAT防回环 正常情形 如果DNAT配置为粗犷型，将内网端口全部放开，此时所以类型请求报文都能命中该DNAT实现转换，而且这种配置不常见也不安全； 产生环路情形 通常情况，DNAT只将某个端口如80映射到内网的80端口。此时如果公网使用Ping访问该DNAT地址，无法命中； 防火墙设备地址池地址如果和出接口地址不在同一个网段，此时也就产生了路由环路； 如果防火墙地址池和出接口在同一个网段，此时也会发送ARP请求； 如果DNAT地址为出接口地址，如果匹配上DNAT就转到内网。如果无法匹配上DNAT就让我改流量是访问防火墙本身的流量，此时就需要匹配安全策略看如何转发了； 注：DNAT地址池和接口的网段不一致，能正常访问，只要路由能通； NAT ALG DNS ALG 下图为DNS ALG常见组网及处理流程； 内网用户通过公网DNS服务器解决域名地址后，访问内网Web服务器地址； DNS ALG组网常见故障 内网DNS服务器给内网用户访问的域名解析为公网IP地址（类似于DNS ALG功能不生效），有以下解决方案； 故障分析 内网PC访问该公网IP地址，报文到达NAT设备后，无法命中会话（此时根本