08-NAT
本章节下载: 08-NAT (499.59 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ NAT动态转换
¡ NAT内部服务器
¡ NAT静态转换
¡ NAT高级设置
· 配置指南
¡ NAT快速配置
¡ NAT动态转换
¡ NAT内部服务器
¡ NAT静态转换
NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。NAT最初的设计目的是实现私有网络访问公共网络的功能,后扩展为实现任意两个网络间进行访问时的地址转换应用。
动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态地址转换存在两种转换模式:
· NO-PAT模式
NO-PAT(Not Port Address Translation)模式下,一个外网地址同一时间只能分配给一个内网地址进行地址转换,不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时,NAT会将其占用的外网地址释放并分配给其他内网用户使用。
该模式下,NAT设备只对报文的IP地址进行NAT转换,同时会建立一个NO-PAT表项用于记录IP地址映射关系,并可支持所有IP协议的报文。
· PAT模式
PAT(Port Address Translation)模式下,一个NAT地址可以同时分配给多个内网地址共用。该模式下,NAT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMP(Internet Control Message Protocol,互联网控制消息协议)查询报文。
采用PAT方式可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问。
一个NAT地址组是多个地址组成员的集合。当需要对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址组成员中的某个地址。
在实际应用中,内网中的服务器可能需要对外部网络提供一些服务,例如给外部网络提供Web服务,或是FTP服务。这种情况下,NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器,NAT内部服务器的配置就定义了NAT地址和端口与内网服务器地址和端口的映射关系。
NAT内部服务器支持以下几种内网和外网的地址、端口映射关系。
表-1 NAT内部服务器的地址与端口映射关系
内网 |
|
一个外网地址 |
一个内网地址 |
一个外网地址、一个端口号 |
一个内网地址、一个内网端口号 |
一个外网地址,N个连续的外网端口号 |
一个内网地址,一个内网端口 |
N个连续的内网地址,一个内网端口号 |
|
一个内网地址,N个连续的内网端口号 |
|
N个连续的外网地址 |
一个内网地址 |
N个连续的内网地址 |
|
N个连续的外网地址,一个外网端口号 |
一个内网地址,一个内网端口号 |
N个连续的内网地址,一个内网端口号 |
|
一个内网地址,N个连续的内网端口号 |
|
一个外网地址,一个外网端口号 |
一个内部服务器组 |
一个外网地址,N个连续的外网端口号 |
|
N个连续的外网地址,一个外网端口号 |
|
外网地址(通过ACL进行匹配) |
一个内网地址 |
一个内网地址、一个内网端口号 |
|
外网地址(对象组) |
一个内网地址 |
一个内网地址、一个内网端口号 |
在配置内部服务器时,将内部服务器的内网信息指定为一个内部服务器组,组内的多台主机可以共同对外提供某种服务。外网用户向内部服务器指定的外网地址发起应用请求时,NAT设备可根据内网服务器的权重和当前连接数,选择其中一台内网服务器作为目的服务器,实现内网服务器负载分担。
静态地址转换是指外部网络和内部网络之间的地址映射关系由配置确定,该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访:内网用户可以主动访问外网,外网用户也可以主动访问内网。
目前,PAT支持两种不同的地址转换模式:
· Endpoint-Independent Mapping(不关心对端地址和端口转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,该映射关系会被记录下来并生成一个EIM表项;并且NAT设备允许所有外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机进行互访。
· Address and Port-Dependent Mapping(关心对端地址和端口转换模式):对于来自相同源地址和源端口号的报文,相同的源地址和源端口号并不要求被转换为相同的外部地址和端口号,若其目的地址或目的端口号不同,通过PAT映射后,相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。与Endpoint-Independent Mapping模式不同的是,NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好,但由于同一个内网主机地址转换后的外部地址不唯一,因此不便于位于不同NAT网关之后的主机使用内网主机转换后的地址进行互访。
通过配置DNS映射,可以在DNS服务器位于外网的情况下,实现内网用户可通过域名访问位于同一内网的内部服务器的功能。DNS映射功能需要和内部服务器配合使用,由内部服务器对外提供服务的外网IP地址和端口号,由DNS映射建立“内部服务器域名<-->外网IP地址+外网端口号+协议类型”的映射关系。
NAT设备对来自外网的DNS响应报文进行DNS ALG处理时,由于载荷中只包含域名和应用服务器的外网IP地址(不包含传输协议类型和端口号),当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时,DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS映射的配置,指定域名与应用服务器的外网IP地址、端口和协议的映射关系,由域名获取应用服务器的外网IP地址、端口和协议,进而(在当前NAT接口上)精确匹配内部服务器配置获取应用服务器的内网IP地址。
通过在内网侧接口上使能NAT hairpin功能,可以实现内网用户使用NAT地址访问内网服务器或内网其它用户。NAT hairpin功能需要与内部服务器、出方向动态地址转换或出方向静态地址转换配合工作,且这些配置所在的接口必须在同一个接口板,否则NAT hairpin功能无法正常工作。
该功能在不同工作方式下的具体转换过程如下:
· C/S方式:NAT在内网接口上同时转换访问内网服务器的报文的源和目的IP地址,其中,目的IP地址转换通过匹配某外网接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成。
· P2P方式:内网各主机首先向外网服务器注册自己的内网地址信息,该地址信息为外网侧出方向地址转换的NAT地址,然后内网主机之间通过使用彼此向外网服务器注册的外网地址进行互访。该方式下,外网侧的出方向地址转换必须配置为PAT转换方式,并使能EIM模式。
通过开启指定应用协议类型的ALG功能,实现对应用层报文数据载荷字段的分析和NAT处理。
广域网双出口组网环境中,如果两个出接口属于相同的安全域,当一个接口的链路发生故障导致流量切换到另一接口的链路时,NAT设备不会删除原来的会话表项,流量将与原来的会话表项匹配,从而导致用户无法访问外网。为了避免该问题的发生,可以开启双出口下的NAT会话重建功能,使流量触发重新建立NAT会话表项,实现主备链路切换时的业务可用性。
NAT地址组检测功能用于检测NAT地址组中地址的可用性,是通过在地址池中引用NQA模板来实现的,详细过程如下:
1. NAT地址组引用NQA探测模板后,设备会周期性的向NQA模板中指定的目的地址依次发送探测报文,其中探测报文的源IP地址是地址池中的IP地址。
2. 若设备没有收到NQA探测应答报文,则将探测报文的源IP地址从地址池中排除,暂时禁止该IP地址用于地址转换。
3. 被排除的IP地址还会继续作为探测报文的源IP地址对目的IP地址在下个探测周期进行探测,如果收到回应报文,则允许该IP地址重新用于地址转换。
本章节重点介绍配置NAT地址转换的思路和步骤。
NAT地址转换中涉及入方向和出方向两个概念,下面以两个示意图为例进行说明。
· 入方向:对接口上收到的报文进行地址转换,即入接口上配置地址转换,如图-1所示。
· 出方向:对接口上发送的报文进行转换,即出接口上配置地址转换,如图-2所示。
为了方便使用,NAT提供了快速配置页面。该页面可以实现入方向和出方向地址转换的快速配置,具体配置步骤如下:
1. 在NAT快速配置的“NAT快速配置”页面,单击<新建>,创建NAT快速配置规则,各项配置说明见下表。
2. 单击<确定>,完成NAT快速配置。
表-2 NAT快速配置说明
配置项 |
说明 |
||
规则标识 |
NAT转换规则的名称,支持中文。 |
||
转换方向 |
· 入方向:对接口上收到的报文进行转换。 · 出方向:对接口上发送的报文进行转换。 |
||
转换模式 |
快速配置支持如下三种转换模式: · 源地址转换:对报文源IP地址进行转换,即NAT动态源地址转换。 · 目的地址转换:对报文目的IP地址进行转换,即NAT内部服务器。 · 双向转换:对报文的源地址和目的地址都进行转换。 说明:出方向仅支持源地址转换模式。 |
||
接口 |
NAT转换应用的接口。 |
||
报文匹配规则(ACL) |
对匹配ACL permit规则的报文进行地址转换。
|
||
转换后VRF |
配置转换后IP地址所属的VPN。 缺省为“公网”,表示不属于任何一个VPN。 |
||
转换后源地址组 |
源地址转换使用的NAT地址组。 |
||
转换后目的地址 |
内部服务器的内网IP地址。 |
||
转换后目的端口 |
内部服务器的内网端口号。 |
目前,仅支持出方向的NAT动态地址转换,包括基于ACL的出方向动态地址转换和基于对象组的出方向动态地址转换,配置思路如下图所示。
图-3 NAT动态地址转换配置指导图
1. 创建NAT地址组(可选)
a. 在NAT动态转换的“NAT地址组”页面,单击<新建>,创建NAT地址组。
b. 单击<确定>,完成NAT地址组配置。
2. 配置基于ACL的NAT动态地址转换
a. 在NAT动态转换的“策略配置”页面,选择<NAT出方向动态转换(基于ACL)>页签,单击<新建>,创建基于ACL的NAT出方向动态转换规则,各项配置说明见下表。
b. 单击<确定>,完成NAT动态转换配置。
表-3 基于ACL的NAT出方向动态地址转换配置说明
配置项 |
说明 |
||
接口 |
NAT转换应用的接口,通常应用在外网侧接口上。 |
||
ACL |
对匹配ACL permit规则的报文进行地址转换。 不指定ACL的情况下,不对转换对象进行限制。 |
||
转换后源地址 |
选择源地址转换使用的NAT地址,分为如下两种: · NAT地址组:NAT转换时使用NAT地址组中的IP地址。 · 接口IP地址:NAT转换时直接使用接口上的IP地址。
|
||
VRF |
配置转换后源地址所属的VPN。缺省为“公网”,表示不属于任何一个VPN。
|
||
转换模式 |
指定NAT动态地址转换的模式: · PAT:对于匹配转换规则的报文,使用地址组中的地址或该接口的地址进行源地址转换,同时转换源端口。 · NO-PAT:对于匹配转换规则的报文,使用地址组中的地址进行源地址转换,但不转换源端口。 |
||
不转换端口 |
PAT方式分配端口时尽量不转换端口。 该项仅转换模式选择为“PAT”时可配置。 |
||
反向地址转换 |
允许反向地址转换,即在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换。 该项仅转换模式选择为“NO-PAT”时可配置。 |
||
启用规则 |
启用该NAT地址转换规则。 |
3. 配置基于对象组的NAT动态地址转换
a. 在NAT动态转换的“策略配置”页面,选择<NAT出方向动态转换(基于对象组)>页签,单击<新建>,创建基于对象组的NAT出方向动态转换规则,各项配置说明见下表。
b. 单击<确定>,完成NAT动态转换配置。
表-4 基于对象组的NAT出方向动态地址转换配置说明
配置项 |
说明 |
||
规则名称 |
此NAT规则的名称。 |
||
规则描述 |
此NAT规则的描述信息。 |
||
出接口 |
NAT转换应用的接口,通常应用在外网侧接口上。 |
||
源IP地址 |
NAT规则引用的源地址对象组,用于匹配报文的源IP地址。 可配置多个地址对象组,各项间为“或”关系,即只需要匹配其中任一地址对象组。 |
||
目的IP地址 |
NAT规则引用的目的地址对象组,用于匹配报文的目的IP地址。 可配置多个地址对象组,各项间为“或”关系,即只需要匹配其中任一地址对象组。 |
||
服务 |
NAT规则引用的服务对象组,用于匹配报文携带的服务类型。 可配置多个服务对象组,各项间为“或”关系,即只需要匹配其中任一服务对象组。
|
||
动作 |
指定NAT动态地址转换的模式: · PAT:对于匹配转换规则的报文,使用地址组中的地址或该接口的地址进行源地址转换,同时转换源端口。 · NO-PAT:对于匹配转换规则的报文,使用地址组中的地址进行源地址转换,但不转换源端口。 · 接口IP地址:NAT转换时直接使用接口上的IP地址。 · 不做转换:不对符合此规则中匹配条件的报文进行地址转换。 |
||
转换后源地址 |
选择源地址转换使用的NAT地址组。
|
||
尽量不转换端口 |
PAT方式分配端口时尽量不转换端口。 该项仅转换模式选择为“PAT”时可配置。 |
||
反向地址转换 |
允许反向地址转换,即在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换。 该项仅转换模式选择为“NO-PAT”时可配置。 |
||
启用规则 |
启用该NAT地址转换规则。 |
NAT内部服务器配置思路如下图所示。
图-4 NAT内部服务器配置指导图
1. 创建服务器组(可选)
a. 在NAT内部服务器的“服务器组”页面,单击<新建>,创建服务器组。
b. 单击<确定>,完成服务器组配置。
2. 配置NAT内部服务器
a. 在NAT内部服务器的“策略配置”页面,单击<新建>,新建NAT内部服务器规则,各项配置说明见下表。
b. 单击<确定>,完成NAT内部服务器配置。
表-5 NAT内部服务器配置说明
配置项 |
说明 |
名称 |
此NAT映射规则的名称 |
接口 |
NAT内部服务器应用的接口,通常配置在外网侧接口上。 |
协议类型 |
指定协议类型。 如果不指定协议类型,则表示对所有协议类型的报文都生效。 |
映射方式 |
选择NAT内部服务器的地址与端口映射关系,详细介绍请参见表-1 NAT内部服务器的地址与端口映射关系。 |
映射备注 |
针对此NAT映射规则的备注信息。 |
外网地址 |
内部服务器向外提供服务时对外公布的外网IP地址。 |
外网端口 |
外网端口号或者外网端口号的范围,具体与选择的映射方式有关。 配置外网端口号范围时,外网结束端口必须大于外网起始端口。 |
外网VRF |
对外公布的外网地址所属的VPN。 缺省值为“公网”,表示对外公布的外网地址不属于任何一个VPN。 |
内部服务器IP地址 |
内部服务器的内网IP地址或者IP地址范围,具体与选择的映射方式有关。 配置IP地址范围时,内部服务器结束IP地址必须大于内部服务器起始IP地址。该地址范围的数量必须和外网起始端口、外网结束端口定义的端口数量相同。 |
内部服务器端口 |
内部服务器的内网端口号或者端口号范围,具体与选择的映射方式有关。 配置内网端口号范围时,内网结束端口必须大于内网起始端口。 |
内部服务器VRF |
内部服务器所属的VPN。 缺省值为“公网”,表示内部服务器不属于任何一个VPN |
报文匹配规则(ACL) |
对匹配ACL permit规则的报文使用内部服务器的映射表进行地址转换。 不指定ACL的情况下,不对转换对象进行限制。 |
允许反向地址转换 |
允许私网侧内部服务器主动访问外网。内部服务器主动访问外网时,将私网地址转换为内部服务器向外提供服务的外网IP地址。 该项仅映射方式选择为“外网地址单一,未使用外网端口或外网端口单一”可配置。 |
启用规则 |
启用该NAT映射规则。 |
目前,仅支持出方向的NAT静态地址转换,配置思路如下图所示。
图-5 NAT静态地址转换配置指导图
1. 在NAT静态转换的“策略配置”页面,单击<新建>,创建NAT静态转换策略。
表-6 NAT静态地址转换配置说明
配置项 |
说明 |
转换方式 |
选择静态地址转换的方式: · 一对一:实现一个内部私有网络地址与一个外部公有网络地址之间的转换。 · 网段对网段:实现一个内部私有网络与一个外部公有网络之间的地址转换。 |
内网地址 |
内网IP地址。此项具体的配置与选择的转换方式有关。 |
外网VRF |
外网IP地址所属的VPN。缺省为“公网”,表示不属于任何一个VPN。 |
内网VRF |
内网IP地址所属的VPN。缺省为“公网”,表示不属于任何一个VPN。 |
外网地址 |
外网IP地址。此项具体的配置与选择的转换方式有关。 |
ACL |
指定ACL,用于控制内网主机可以访问的外网地址。 |
允许反向地址转换 |
开启该功能后,从外网主动访问内网的报文必须通过ACL反向匹配,才能使用该策略进行目的地址转换。 |
启用规则 |
启用该NAT地址转换规则。 |
2. 单击<确定>,完成NAT出方向静态地址转换。
3. 在NAT静态转换“策略应用”页面,选中接口前的复选框。
4. 单击<开启>,将NAT静态转换策略应用到接口上。
· 入方向的静态地址转换通常用于与接口上的出方向动态地址转换、内部服务器或出方向静态地址转换配合以实现双向NAT,不建议单独配置。
· 若接口上同时存在普通NAT静态地址转换、普通NAT动态地址转换和内部服务器的配置,则在地址转换过程中,它们的优先级从高到低依次为:内部服务器;普通NAT静态地址转换;普通NAT动态地址转换。
· 配置地址组时,各地址组成员的IP地址段不能互相重叠。
同一接口配置多条出方向地址转换规则时,生效优先级如下:
· 指定了ACL的转换规则优先级高于未指定ACL的转换规则。
· 转换规则中都指定了ACL时,其生效优先级由ACL编号的大小决定,编号越大,优先级越高。
· 在VPN组网中,配置出方向静态地址转换时需要指定VPN,且VPN实例的名称必须与该接口关联的VPN实例一致。
· 指定引用的ACL时,需要注意:
¡ 如果没有指定ACL,则所有从内网到外网的报文都可以使用该配置进行源地址转换;所有从外网到内网的报文都可以使用该配置进行目的地址转换。
¡ 如果仅指定了ACL,没有指定ACL反向匹配,对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,不能使用该配置进行目的地址转换。
¡ 如果既指定了ACL,又指定了ACL反向匹配,对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该策略进行源地址转换;对于从外网主动访问内网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该策略进行转换,否则不予转换。
· 在配置负载均衡内部服务器时,若配置一个外网地址,N个连续的外网端口号对应一个内部服务器组,或N个连续的外网地址,一个外网端口号对应一个内部服务器组,则内部服务器组的成员个数不能小于N,即同一用户不能通过不同的外网地址或外网端口号访问相同内网服务器的同一服务。
· 内部服务器组成员按照权重比例对外提供服务,权重值越大的内部服务器组成员对外提供服务的比重越大。
· 在VPN组网中,配置NAT内部服务器时需要指定VRF,且VPN实例的名称必须与该接口关联的VPN实例一致。
· NAT内部服务器的地址与端口映射关系为基于对象组的内部服务器时,外网地址引用的地址对象组仅能为网段、IP地址范围和主机IP地址三种类型的IPv4地址对象组,且不能存在排除地址。
· NAT地址组可以引用多个NQA探测模板。当引用多个NQA探测模板时,只要有一个NQA探测模板探测成功,则表示该地址可用于地址转换。
· NQA探测模板不能配置源IP地址。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!