02-策略

05-NAT

NAT

本帮助主要介绍以下内容：

¡ NAT444动态转换使用限制和注意事项

特性简介

NAT（Network Address Translation，网络地址转换）是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要应用在连接两个网络的边缘设备上，用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源（例如内部服务器）的目的。NAT最初的设计目的是实现私有网络访问公共网络的功能，后扩展为实现任意两个网络间进行访问时的地址转换应用。

NAT动态转换

动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态地址转换存在两种转换模式：

· NO-PAT模式

NO-PAT（Not Port Address Translation）模式下，一个外网地址同一时间只能分配给一个内网地址进行地址转换，不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时，NAT会将其占用的外网地址释放并分配给其他内网用户使用。

该模式下，NAT设备只对报文的IP地址进行NAT转换，同时会建立一个NO-PAT表项用于记录IP地址映射关系，并可支持所有IP协议的报文。

· PAT模式

PAT（Port Address Translation）模式下，一个NAT地址可以同时分配给多个内网地址共用。该模式下，NAT设备需要对报文的IP地址和传输层端口同时进行转换，且只支持TCP、UDP和ICMP（Internet Control Message Protocol，互联网控制消息协议）查询报文。

采用PAT方式可以更加充分地利用IP地址资源，实现更多内部网络主机对外部网络的同时访问。

一个NAT地址组是多个地址组成员的集合。当需要对到达外部网络的数据报文进行地址转换时，报文的源地址将被转换为地址组成员中的某个地址。

NAT内部服务器

在实际应用中，内网中的服务器可能需要对外部网络提供一些服务，例如给外部网络提供Web服务，或是FTP服务。这种情况下，NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器，NAT内部服务器的配置就定义了NAT地址和端口与内网服务器地址和端口的映射关系。

NAT内部服务器支持以下几种内网和外网的地址、端口映射关系。

表-1 NAT内部服务器的地址与端口映射关系

外网	内网
一个外网地址	一个内网地址
一个外网地址、一个端口号	一个内网地址、一个内网端口号
一个外网地址，N个连续的外网端口号	一个内网地址，一个内网端口
	N个连续的内网地址，一个内网端口号
	一个内网地址，N个连续的内网端口号
N个连续的外网地址	一个内网地址
N个连续的外网地址	N个连续的内网地址
N个连续的外网地址，一个外网端口号	一个内网地址，一个内网端口号
	N个连续的内网地址，一个内网端口号
	一个内网地址，N个连续的内网端口号
一个外网地址，一个外网端口号	一个内部服务器组
一个外网地址，N个连续的外网端口号
N个连续的外网地址，一个外网端口号

在配置内部服务器时，将内部服务器的内网信息指定为一个内部服务器组，组内的多台主机可以共同对外提供某种服务。外网用户向内部服务器指定的外网地址发起应用请求时，NAT设备可根据内网服务器的权重和当前连接数，选择其中一台内网服务器作为目的服务器，实现内网服务器负载分担。

NAT静态转换

静态地址转换是指外部网络和内部网络之间的地址映射关系由配置确定，该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访：内网用户可以主动访问外网，外网用户也可以主动访问内网。

NAT444地址转换

NAT444是运营商网络部署NAT的整体解决方案，它基于NAT444网关，结合AAA服务器、日志服务器等配套系统，提供运营商级的NAT，并支持用户溯源等功能。在众多IPv4向IPv6网络过渡的技术中，NAT444仅需在运营商侧引入二次NAT，对终端和应用服务器端的更改较小，并且NAT444通过端口块分配方式解决用户溯源等问题，因此成为了运营商的首选IPv6过渡方案。

NAT444解决方案的架构如下图所示。

图-1 NAT444解决方案架构

· CPE：实现用户侧地址转换。

· BRAS：负责接入终端，并配合AAA完成用户认证、授权和计费。

· NAT444网关：实现运营商级地址转换。

· AAA服务器：负责用户认证、授权和计费等。

· 日志服务器：接受和记录用户访问信息，响应用户访问信息查询。

NAT444网关设备进行的地址转换（以下称为“NAT444地址转换”）是一种PAT方式的动态地址转换，但与普通PAT方式动态地址转换不同的是，NAT444地址转换是基于端口块（即一个端口范围）的方式来复用公网IP地址的，即一个私网IP地址在一个时间段内独占一个公网IP地址的某个端口块。例如：假设私网IP地址10.1.1.1独占公网IP地址202.1.1.1的一个端口块10001～10256，则该私网IP向公网发起的所有连接，源IP地址都将被转换为同一个公网IP地址202.1.1.1，而源端口将被转换为端口块10001～10256之内的一个端口。

NAT444静态转换

NAT444静态地址转换是指，NAT网关设备根据配置自动计算私网IP地址到公网IP地址、端口块的静态映射关系，并创建静态端口块表项。当私网IP地址成员中的某个私网IP地址向公网发起新建连接时，根据私网IP地址匹配静态端口块表项，获取对应的公网IP地址和端口块，并从端口块中动态为其分配一个公网端口，对报文进行地址转换。

配置NAT444静态地址转换时，需要创建一个端口块组，并在端口块组中配置私网IP地址成员、公网IP地址成员、端口范围和端口块大小。假设端口块组中每个公网IP地址的可用端口块数为m（即端口范围除以端口块大小），则端口块静态映射的算法如下：按照从小到大的顺序对私网IP地址成员中的所有IP地址进行排列，最小的m个私网IP地址对应最小的公网IP地址及其端口块，端口块按照起始端口号从小到大的顺序分配；次小的m个私网IP地址对应次小的公网IP地址及其端口块，端口块的分配顺序相同；依次类推。

NAT444动态转换

NAT444动态地址转换融合了普通NAT动态地址转换和NAT444静态地址转换的特点。当内网用户向公网发起连接时，首先根据动态地址转换中的ACL规则进行过滤，决定是否需要进行源地址转换。对于需要进行源地址转换的连接，当该连接为该用户的首次连接时，从所匹配的动态地址转换配置引用的NAT地址组中获取一个公网IP地址，从该公网IP地址中动态分配一个端口块，创建动态端口块表项，然后从端口块表项中动态分配一个公网端口，进行地址转换。对该用户后续连接的转换，均从生成的动态端口块表项中分配公网端口。当该用户的所有连接都断开时，回收为其分配的端口块资源，删除相应的动态端口块表项。

NAT444动态地址转换支持增量端口块分配。当为某私网IP地址分配的端口块资源耗尽（端口块中的所有端口都被使用）时，如果该私网IP地址向公网发起新的连接，则无法再从端口块中获取端口，无法进行地址转换。此时，如果预先在相应的NAT地址组中配置了增量端口块数，则可以为该私网IP地址分配额外的端口块，进行地址转换。

NAT444地址组与NAT地址组的配置基本相同，所不同的是，NAT444地址组必须配置端口块参数（端口范围、端口块大小和增量端口块数）以实现基于端口块的NAT444地址转换。

NAT高级设置

PAT转换模式

目前，PAT支持两种不同的地址转换模式：

· Endpoint-Independent Mapping（不关心对端地址和端口转换模式）：只要是来自相同源地址和源端口号的报文，不论其目的地址是否相同，通过PAT映射后，其源地址和源端口号都被转换为同一个外部地址和端口号，该映射关系会被记录下来并生成一个EIM表项；并且NAT设备允许所有外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机进行互访。

· Address and Port-Dependent Mapping（关心对端地址和端口转换模式）：对于来自相同源地址和源端口号的报文，相同的源地址和源端口号并不要求被转换为相同的外部地址和端口号，若其目的地址或目的端口号不同，通过PAT映射后，相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。与Endpoint-Independent Mapping模式不同的是，NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好，但由于同一个内网主机地址转换后的外部地址不唯一，因此不便于位于不同NAT网关之后的主机使用内网主机转换后的地址进行互访。

DNS映射

通过配置DNS映射，可以在DNS服务器位于外网的情况下，实现内网用户可通过域名访问位于同一内网的内部服务器的功能。DNS映射功能需要和内部服务器配合使用，由内部服务器对外提供服务的外网IP地址和端口号，由DNS映射建立“内部服务器域名<-->外网IP地址+外网端口号+协议类型”的映射关系。

NAT设备对来自外网的DNS响应报文进行DNS ALG处理时，由于载荷中只包含域名和应用服务器的外网IP地址（不包含传输协议类型和端口号），当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时，DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS映射的配置，指定域名与应用服务器的外网IP地址、端口和协议的映射关系，由域名获取应用服务器的外网IP地址、端口和协议，进而（在当前NAT接口上）精确匹配内部服务器配置获取应用服务器的内网IP地址。

NAT Hairpin

通过在内网侧接口上使能NAT hairpin功能，可以实现内网用户使用NAT地址访问内网服务器或内网其它用户。NAT hairpin功能需要与内部服务器、出方向动态地址转换或出方向静态地址转换配合工作，且这些配置所在的接口必须在同一个接口板，否则NAT hairpin功能无法正常工作。

该功能在不同工作方式下的具体转换过程如下：

· C/S方式：NAT在内网接口上同时转换访问内网服务器的报文的源和目的IP地址，其中，目的IP地址转换通过匹配某外网接口上的内部服务器配置来完成，源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成。

· P2P方式：内网各主机首先向外网服务器注册自己的内网地址信息，该地址信息为外网侧出方向地址转换的NAT地址，然后内网主机之间通过使用彼此向外网服务器注册的外网地址进行互访。该方式下，外网侧的出方向地址转换必须配置为PAT转换方式，并使能EIM模式。

NAT ALG

通过开启指定应用协议类型的ALG功能，实现对应用层报文数据载荷字段的分析和NAT处理。

配置指南

本章节重点介绍配置NAT地址转换的思路和步骤。

NAT地址转换中涉及入方向和出方向两个概念，下面以两个示意图为例进行说明。

· 入方向：对接口上收到的报文进行地址转换，即入接口上配置地址转换，如图-2所示。

· 出方向：对接口上发送的报文进行转换，即出接口上配置地址转换，如图-3所示。

图-2 入接口地址转换示意图

图-3 出接口地址转换示意图

NAT快速配置

为了方便使用，NAT提供了快速配置页面。该页面可以实现入方向和出方向地址转换的快速配置，具体配置步骤如下：

1. 单击“策略 > NAT > NAT快速配置”。

2. 单击<新建>，创建NAT快速配置规则，各项配置说明见下表。

3. 单击<确定>，完成NAT快速配置。

表-2 NAT快速配置说明

配置项

说明

规则标识

NAT转换规则的名称，支持中文。

转换方向

· 入方向：对接口上收到的报文进行转换。

· 出方向：对接口上发送的报文进行转换。

转换模式

快速配置支持如下三种转换模式：

· 源地址转换：对报文源IP地址进行转换，即NAT动态源地址转换。

· 目的地址转换：对报文目的IP地址进行转换，即NAT内部服务器。

· 双向转换：对报文的源地址和目的地址都进行转换。

说明：出方向仅支持源地址转换模式。

接口

NAT转换应用的接口。

报文匹配规则（ACL）

对匹配ACL permit规则的报文进行地址转换。

由于入方向报文的转换顺序是先进行源地址转换再进行目的地址转换，因此当“转换模式”选择“双向转换”时，需要在ACL中添加两个规则，分别匹配转换前的源地址和转换后的源地址。否则报文无法既进行源地址转换又进行目的地址转换。

转换后VRF

配置转换后IP地址所属的VPN。

缺省为“公网”，表示不属于任何一个VPN。

转换后源地址组

源地址转换使用的NAT地址组。

转换后目的地址

内部服务器的内网IP地址。

转换后目的端口

内部服务器的内网端口号。