目 录
目 录
3 NAT..............................................................................................................................................3-1
3.1 NAT简介......................................................................................................................................................3-2
3.1.1 NAT的基本概念.................................................................................................................................3-2 3.1.2 NAT的转换机制.................................................................................................................................3-3 3.1.3 NAT地址转换.....................................................................................................................................3-4 3.1.4 NAT的优缺点.....................................................................................................................................3-5 3.1.5 应用级网关ALG...............................................................................................................................3-6 3.1.6 NAT在MA5200G上的实现..............................................................................................................3-6 3.2 参考资料清单..............................................................................................................................................3-9
文档版本 01 (2007-08-10) 华为技术有限公司 i
插图目录
Quidway MA5200G
特性描述-安全
插图目录
图3-1 NAT示意图.............................................................................................................................................3-3 图3-2 NAT转换示意图.....................................................................................................................................3-4 图3-3 基于NAT PAT的地址转换...................................................................................................................3-5 图3-4 NAT利用地址池的多对多地址转换.....................................................................................................3-5 图3-5 多对多地址转换及地址池.....................................................................................................................3-7 图3-6 地址转换支持VPN................................................................................................................................3-8 图3-7 内部服务器的多实例.............................................................................................................................3-9
ii 华为技术有限公司 文档版本 01 (2007-08-10)
Quidway MA5200G 特性描述-安全
3 NAT
3 关于本章
本章描述内容如下表所示。 标题 3.1 NAT简介 3.2 参考资料清单
内容
了解NAT的引入、基本概念和原理。 查阅其他的参考资料。
NAT
文档版本 01 (2007-08-10) 华为技术有限公司 3-1
3 NAT
Quidway MA5200G
特性描述-安全
3.1 NAT简介
本节介绍NAT的基本概念、基本原理,包括以下内容。
z z z z z z
NAT的基本概念 NAT的转换机制 NAT地址转换 NAT的优缺点 应用级网关ALG
NAT在MA5200G上的实现
3.1.1 NAT的基本概念
如RFC1631所描述,NAT是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问外部网络的功能。这种通过使用少量的公有IP地址映射多数的私有IP地址的方式,可以在一定程度上缓解IP地址空间枯竭的压力。
私有网络地址和公有网络地址
私有网络地址(以下简称私网地址)是指内部网络或主机的IP地址,公有网络地址(以下简称公网地址)是指在互联网上全球唯一的IP地址。IANA(Internet Assigned Number Authority)规定将下列的IP地址保留用作私网地址,不在Internet上被分配,可在任何单位或公司内部使用。
z z z
A类私有地址:10.0.0.0~10.255.255.255 B类私有地址:172.16.0.0~172.31.255.255 C类私有地址:192.168.0.0~192.168.255.255
各企业在预见未来内部主机和网络的数量后,选择合适的内部网络地址。不同企业的内部网络地址可以相同。如果一个公司选择上述三个范围之外的其它网段作为内部网络地址,则当与其他网络互通时有可能会造成混乱。
上述三个范围内的地址不会在因特网上被分配,因而可以不必向ISP或注册中心申请而在公司或企业内部自由使用。
NAT基本原理
如图3-1所示,当内部网络的主机访问互联网或与公有网络的主机通信时,需要进行网络地址转换。
3-2 华为技术有限公司 文档版本 01 (2007-08-10)
Quidway MA5200G 特性描述-安全
3 NAT
图3-1 NAT示意图
PC10.1.1.10WWW client10.1.1.48PC........
GE1/0/0RouterInternal network203.196.3.23POS2/0/0External networkWWW Server202.18.245.251Internet
内部网络的地址是10.0.0.0网段,而对外的公有网络IP地址是203.196.3.23。内部的主机10.1.1.48以WWW方式访问外部网络的服务器202.18.245.251。
主机10.1.1.48发出一个数据报文,选择一个源端口6084,目的端口为80。在通过NAT后,该报文的源地址和端口可能改为203.196.3.23:32814,目的地址与端口不做改变。在路由器中维护着一张地址和端口对应表。
当外部网络的WWW服务器返回结果时,路由器会将结果数据报文中目的IP地址及端口转化为10.1.1.48:6084。这样内部主机10.1.1.48就可以访问外部服务器了。
3.1.2 NAT的转换机制
路由器中维护着一张地址端口对应表,所有经过路由器并且需要进行地址转换的报文,都会通过这个对应表做相应的修改,进行<私有地址+端口>与<公有地址+端口>之间的转换。转换过程如下所示:
1. 内部网络主机向外发送报文时,路由器将报文的源IP地址和端口替换为路由器的
外部网络地址和端口。 2. 当外部的报文进入内部网络时,路由器会查找地址端口对应表,将报文的目的地
址和端口进行转换,转换为真正的目的地址。
文档版本 01 (2007-08-10) 华为技术有限公司 3-3
3 NAT
Quidway MA5200G
特性描述-安全
图3-2 NAT转换示意图
(1)
IP报文
源地址:1.1.1.1:5000目的地址:2.2.2.2:5000(2)
IP报文
源地址:2.2.2.1:2000目的地址:2.2.2.2:5000用户
IP报文
源地址:2.2.2.2:5000(4)
目的地址:1.1.1.1:5000
路由器
IP报文
源地址:2.2.2.2:5000(3)
目的地址:2.2.2.1:2000
服务器
如图3-2所示。内部用户访问外部服务器的流程如下:
1. 用户向服务器发送源地址为1.1.1.1:5000、目的地址为2.2.2.2:5000的报文。 2. 用户发至服务器的报文,在经过路由器的时候,经过地址转换,报文的源地址由
1.1.1.1:5000改变为2.2.2.1:2000。 3. 服务器收到用户的报文后,向用户回送报文,报文的源地址为2.2.2.2:5000,目
的地址为2.2.2.1:2000。 4. 服务器发至用户的报文,在经过路由器的时候,经过地址转换,目的地址由
2.2.2.1:2000改变为1.1.1.1:5000。 上述的地址转换过程对终端(如图中的用户和服务器)来说是透明的。对外部服务器而言,它认为客户的IP地址就是2.2.2.1,并不知道有1.1.1.1这个地址。因此,NAT“隐藏”了企业私有网络的拓扑。
3.1.3 NAT地址转换
在内部网络的主机访问外部网络的时候,当内部网络的主机非常多,外部IP地址却只有一个时,地址转换可能就会显得效率比较低。解决这个问题需要一个私有网络拥有多个外部地址,可以通过以下两种方式来实现多对多地址转换。
PAT地址转换
该方式通过IP地址与端口号绑定的方式来实现一对多或多对多的地址转换。几个私网地址转换后可以对应同一个公网地址,但是端口号不同。在连接内部网络和外部网络的路由器上,存在一张内部网络和外部网络的(IP地址,端口号)地址端口对应表。当主机从内部网络访问外部网络时,路由器对IP地址和端口号分别进行转换。如图3-3所示。
3-4 华为技术有限公司 文档版本 01 (2007-08-10)
Quidway MA5200G 特性描述-安全
3 NAT
图3-3 基于NAT PAT的地址转换
用户A的IP报文源地址:1.1.1.1端口号:81
目的地址:2.2.2.2用户A
1.1.1.1/24路由器用户B的IP报文源地址:1.1.1.2端口号:82目的地址:2.2.2.2用户A的IP报文源地址:2.2.2.3端口号:100目的地址:2.2.2.2服务器用户B(1.1.1.1,81;2.2.2.3,100)用户B的IP报文(1.1.1.2,82;2.2.2.3,200)源地址:2.2.2.3......200端口号:目的地址:2.2.2.22.2.2.2/241.1.1.2/24
基于地址池的转换
顾名思义,地址池就是一些合法IP地址(公有网络IP地址)的集合。用户可根据自己拥有的合法IP地址的多少、内部网络主机的多少、以及实际应用情况,配置合适的IP地址池。当主机从内部网络访问外部网络时,将会从地址池中挑选一个IP地址做为转换后的报文源地址。如图3-4所示。 图3-4 NAT利用地址池的多对多地址转换
用户A
用户A的IP报文源地址:1.1.1.1目的地址:2.2.2.21.1.1.1/24路由器用户A的IP报文源地址:2.2.2.3目的地址:2.2.2.2服务器用户B用户B的IP报文源地址:1.1.1.2目的地址:2.2.2.2 地址池:2.2.2.32.2.2.4......用户B的IP报文源地址:2.2.2.4目的地址:2.2.2.22.2.2.2/241.1.1.2/24
NAT服务器拥有的公有IP地址数目要远少于内部网络的主机数目,因为所有内部主机并不会同时访问外部网络。公有IP地址数目的确定,应根据网络高峰期可能访问外部网络的内部主机数目的统计值来确定。
3.1.4 NAT的优缺点
地址转换的优点如下:
文档版本 01 (2007-08-10) 华为技术有限公司 3-5
3 NAT
z z
Quidway MA5200G
特性描述-安全
使内部网络的大量主机可以使用少量公网IP地址就可以访问外部网络资源。 为内部主机提供了“隐私”(Privacy)保护。
地址转换的缺点如下:
z
涉及IP地址的数据报文不能被加密,否则无法对数据报文进行地址转换。在应用层协议中,如果报文中有地址或端口需要转换,则报文不能被加密。例如,不能使用加密的FTP连接,否则FTP的port命令不能被正确转换。
网络调试变得更加困难。比如,某一台内部网络的主机试图攻击其它网络,则很难指出究竟是哪一台机器是恶意的,因为主机的IP地址被屏蔽了。
z
3.1.5 应用级网关ALG
NAT只能对IP地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议,例如ICMP、FTP等,它们报文的数据部分可能包含IP地址或端口信息。如果对这些报文进行地址转换,就会出现不一致的情况,导致错误。例如,一个使用内部IP地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。而这个地址信息是放到IP报文的数据部分,NAT无法对它进行转换。外部网络主机接收了这个私有地址并使用它,这时FTP服务器将表现为不可达。
解决这些特殊协议的NAT转换问题的方法就是在NAT实现中使用应用级网关ALG(Application Level Gateway)功能。ALG是特定的应用协议的转换代理,它和NAT交互以建立状态,使用NAT的状态信息来改变封装在IP报文数据部分中的特定数据,并完成其他必需的工作以使应用协议可以跨越内外网运行。
例如,内网某主机的数据包A发送到外网后出现错误,外网返回一个“目的站点不可达”的ICMP报文,该报文数据部分包含了造成错误的数据报A的首部(注意,NAT发送A之前进行了地址转换,所以源地址不是内部主机的真实地址)。如果开启了ICMP ALG功能,在NAT转发ICMP报文之前,它将与NAT交互,打开ICMP报文并转换其数据部分的报文A首部的地址,使这些地址表现为内部主机的确切地址形式,并完成其他一些必需工作后,由NAT将这个ICMP报文转发给内部主机。
3.1.6 NAT在MA5200G上的实现
利用访问控制列表控制地址转换
在实际应用中,我们可能希望某些内部的主机具有访问Internet(外部网络)的权利,而某些主机不允许访问。
利用访问控制列表,可以控制地址转换的使用范围。只有满足访问控制列表条件的数据报文才可以进行地址转换,这样就能够使内部网络的特定主机能够有权访问Internet。
访问控制列表是由命令acl生成的,它依据数据包的IP头及其承载的上层协议数据包头的格式定义了一定的规则,表示允许或是禁止具有某些特征的数据包。地址转换按照这样的规则判定哪些包是被允许转换或者是被禁止转换,这样可以禁止一些内部的主机访问外部网络,保证具有一定特征的数据包才可以被允许进行地址转换,提高网络的安全性。
“转换关联”就是将一个地址池和一个访问控制列表关联起来,这种关联指定了“具有某些特征的IP报文”才可以使用“这样的地址池中的地址”。当内部网络有数据包要
3-6 华为技术有限公司 文档版本 01 (2007-08-10)
Quidway MA5200G 特性描述-安全
3 NAT
发往外部网络时,首先根据访问列表判定是否是允许的数据包,然后根据转换关联找到与之对应的地址池,这样就把源地址转换成这个地址池中的某一个地址,完成了地址转换。
设备在处理报文时,如果发现该报文是需要从内网发往外网的数据,并且允许进行地址转换,根据“转换关联”可以利用地址池将内部网络主机的IP地址和端口替换为路由器的外部网络地址和端口。对于外网需要发往内网的数据,通过查找地址端口对应表,把路由器的外部网络地址和端口转换为内部网络主机的IP地址和端口。
如图3-5所示。路由器上配置了外部地址池,池中的地址有2.2.2.1、2.2.2.2等。同时,路由器上也配置了ACL规则,允许用户A的报文通过,并进行地址转换,不允许B的报文进行地址转换,即对于B的报文不予处理。这样,就使得用户B不能访问网络。
图3-5 多对多地址转换及地址池
用户A
MA5200G服务器用户B 地址池:2.2.2.12.2.2.22.2.2.3......用户发出的报文
用户A发出的,经过NAT转换后的报文
应用级网关的实现
MA5200G不仅实现了一般的地址转换功能,还提供了完善的地址转换应用级网关机制,使其在流程上可以支持各种特殊的应用协议,而不需要对NAT平台进行任何的修改,具有良好的可扩充性。可支持的特殊协议包括:DNS、FTP、H.323、HWCC、ICMP、RAS/ICMP、ILS(Internet Locator Service)、MSN、NetBIOS(Network Basic Input/Output System)、PPTP(Point-to-Point Tunneling Protocol)、QQ。
MA5200G地址转换支持VPN
MA5200G的NAT不仅可以使内部网络的用户访问外部网络,还允许分属于不同VPN(Virtual Private Network)的用户通过同一个出口访问外部网络。
当VPN用户访问Internet时,MA5200G的NAT将内部网络主机的IP地址和端口替换为路由器的外部网络地址和端口,同时还记录了用户的VPN信息。报文还原时,NAT
文档版本 01 (2007-08-10) 华为技术有限公司 3-7
3 NAT
Quidway MA5200G
特性描述-安全
将外部网络地址和端口还原为内部网络主机的IP地址和端口,同时获得了VPN用户信息。如图3-6所示。 图3-6 地址转换支持VPN
CE用户A
10.110.1.1VPN1siteInternetNATMA5200GCE用户B
10.110.2.1服务器VPN2site
内部服务器
地址转换具有“屏蔽”内部主机的作用,但是在实际应用中,可能我们需要提供给外部一个访问内部服务器的机会,如提供给外部一个WWW服务器,或是一台FTP服务器。
使用地址转换可以灵活地添加内部服务器,例如可以使用202.110.10.10作为WEB服务器的外部地址,使用202.110.10.11作为FTP服务器的外部地址,甚至还可以使用202.110.10.12:8080这样的地址作为WEB服务器的外部地址,还可为外部用户提供多台同样的服务器,如提供多台WEB服务器。
通过配置内部服务器,可将相应的外部地址、端口等映射到内部的服务器上,提供了外部网络主机访问内部服务器的功能。
在外部网络主机访问内部服务器时,根据用户的配置查找外部数据包的目的地址,如果要访问的是内部服务器,则转换成相应的内部服务器的私有地址和端口,达到访问内部服务器的目的;在内部服务器向外部网络主机发送报文时,对源地址进行查找,判断是否是从内部服务器发出去的报文,如果是则将源地址转换成相应的外部地址。
内部服务器的多实例
MA5200G的地址转换支持内部服务器的多实例,提供给外部访问MPLS VPN内主机的机会。例如,VPN1内提供WWW服务的主机地址是10.1.1.1,VPN2内提供WWW服务的主机地址是 10.2.1.1;使用202.110.10.10做为VPN1的WEB服务器外部地址,使用202.110.20.20做为VPN2的WEB服务器外部地址。这样,Internet的用户使用202.110.10.10就可以访问VPN1提供的WWW服务,使用202.110.20.20就可以访问 VPN2提供的WWW服务。如图3-7所示。
3-8 华为技术有限公司 文档版本 01 (2007-08-10)
Quidway MA5200G 特性描述-安全
3 NAT
图3-7 内部服务器的多实例
WWW10.1.1.1Internet202.110.10.10NATVPN1siteCE10.2.1.1WWW202.220.20.20MA5200GVPN2siteCEVPN1的数据报文VPN2的数据报文
MA5200G支持地址重叠的MPLS VPN用户访问同一个公网。
3.2 参考资料清单
如果您想了解更多关于NAT的信息,请参考以下文档。
z z z z z z z z z z z
RFC 1631:The IP Network Address Translator (NAT)
RFC 2663:IP Network Address Translator (NAT) Terminology and Considerations RFC 2709:Security Model with Tunnel-mode IPsec for NAT Domains RFC 2766:Network Address Translation - Protocol Translation (NAT-PT) RFC 2993:Architectural Implications of NAT
RFC 3022:Traditional IP Network Address Translator (Traditional NAT)
RFC 3235:Network Address Translator (NAT)-Friendly Application Design Guidelines RFC 3519:Mobile IP Traversal of Network Address Translation (NAT) Devices RFC 3715:IPsec-Network Address Translation (NAT) Compatibility Requirements RFC 3947:Negotiation of NAT-Traversal in the IKE
RFC 4008:Definitions of Managed Objects for Network Address Translators (NAT)
文档版本 01 (2007-08-10) 华为技术有限公司 3-9
因篇幅问题不能全部显示,请点此查看更多更全内容