收藏
下载资源

HCSCA104-HCNA-Security-CBSN-第四章-网络地址转换技术.ppt

上传人:得****1 文档编号:74921597 上传时间:2023-03-01 格式:PPT 页数:52 大小:2.05MB
返回 下载 相关 举报
HCSCA104-HCNA-Security-CBSN-第四章-网络地址转换技术.ppt_第1页
第1页 / 共52页
HCSCA104-HCNA-Security-CBSN-第四章-网络地址转换技术.ppt_第2页
第2页 / 共52页
点击查看更多>>
资源描述

《HCSCA104-HCNA-Security-CBSN-第四章-网络地址转换技术.ppt》由会员分享,可在线阅读,更多相关《HCSCA104-HCNA-Security-CBSN-第四章-网络地址转换技术.ppt(52页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.第四章 网络地址转换技术Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 2目标l学完本课程后,您将能够:p掌握NAT的技术原理p掌握NAT几种应用方式p掌握防火墙的NAT配置Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 3目录1.1.网络地址转换技术介绍网络地址转换技术介绍2.源NAT技术3.服

2、务器映射及目的NAT技术4.双向NAT技术5.NAT应用场景配置Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 4NAT产生背景lIPv4地址日渐枯竭lIPv6技术不能立即大面积替换l各种延长IPv4寿命的技术不断出现,NAT就是其中之一。Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 5为什么需要NAT?lNAT技术主要应用是实现大量的私网地址对少量公网地址的转换。保障通信在基础上节约IP地址资源。l私网地址不能在公网

3、中路由,否则将导致通信混乱内网用户10.1.1.1FTP Server123.3.2.3目的IP:123.3.2.3源IP:10.1.1.1丢弃弃10.1.1.1,私网地址?不知道路由无NAT情况下私网与公网的通信不做处理Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 6内网用户10.1.1.1FTP Server123.3.2.3源IP:123.3.2.3目的IP:123.3.21NAT技术的基本原理lNAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过共享少量的公网IP地

4、址来访问公网。目的IP:123.3.2.3源IP:10.1.1.1目的IP:123.3.2.3源IP:123.3.2.1将私网源地址替换为公网地址目的IP:10.1.1.1源IP:123.3.2.3将公网目的地址替换为私网地址Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 7NAT分类源源NATNATl地址池方式l出接口地址方式(Easy IP)服务器映服务器映射射l静态映射(NAT server)l目的NATCopyright 2015 Huawei Technologies Co.,Ltd.All ri

5、ghts reserved.Page 8NAT的优点与缺点l优点p实现IP地址复用,节约宝贵的地址资源p地址转换过程对用户透明p对内网用户提供隐私保护p可实现对内部服务器的负载均衡l缺点p网络监控难度加大p限制某些具体应用Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 9目录1.网络地址转换技术介绍2.2.源源NAT技术技术3.服务器映射及目的NAT技术4.双向NAT技术5.NAT应用场景配置Copyright 2015 Huawei Technologies Co.,Ltd.All rights rese

6、rved.Page 10NAT 地址池lNAT地址池是一些连续的IP地址集合,当来自私网的报文通过地址转换到公网IP时,将会选择地址池中的某个地址作为转换后的地址p创建NAT地址池的命令为:nat address-group address-group-name section section-id|section-name start-address end-address nat-mode pat|no-pat p例:USG nat nat address-group testgroup1address-group testgroup1USG-nat-address-group-testg

7、roup1 section section 1.1.1.10 1.1.1.15 1.1.1.10 1.1.1.15 USG-nat-address-group-testgroup1 nat-mode nat-mode patpatCopyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 11NAT 地址池(WEB)pat与no-pat对于地址段和端口段中的元素可以排除Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 12源NAT地址

8、池方式l不带端口转换的地址池方式l此种方式为一对一的IP地址的转换,端口不进行转换。TrustUntrust源源192.168.0.11 目的1.1.1.1源源9.9.9.9 目的1.1.1.1转换转换192.168.1.1192.168.1.2192.168.1.3192.168.1.4155.133.87.1155.133.87.2155.133.87.3丢弃弃Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 13源NAT地址池方式(续)l带端口转换的地址池方式l将不同的内部地址映射到同一公有地址的不同端

9、口号上,实现多对一地址转换。TrustUntrust源源192.168.0.11 源端口源端口X 目的1.1.1.1源源2.2.2.2 源端口源端口Y 目的1.1.1.1转换转换192.168.1.1192.168.1.2192.168.1.3155.133.87.1:7111155.133.87.1:7112155.133.87.1:7113Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 14源NAT地址池方式(续)l出接口地址方式(EasyIP)Copyright 2015 Huawei Technol

10、ogies Co.,Ltd.All rights reserved.Page 15配置源NAT策略(CLI)l首先配置NAT地址池(略)l在系统视图下进入NAT策略视图natnat-policy policy l在NAT策略视图下创建NAT规则并进入NAT规则视图rule namerule name rule-namel创建NAT策略,进入策略ID视图s source/destination-address ource/destination-address address-set address-set address-set-name&|ipv4-address source/destin

11、ation-zonesource/destination-zone zone-name&|anyany egress-interfaceegress-interface interface-type interface-number serviceservice service-name&|anyany actionaction natnat address-groupaddress-group address-group name|easy-ipeasy-ip|no-natno-nat Copyright 2015 Huawei Technologies Co.,Ltd.All rights

12、 reserved.Page 16配置源NAT策略(WEB)指定源和目的地址指定源和目的安全区域可以选择将地址转换为地址池地址,也可以直接指定接口IP地址为转换后的地址Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 17为什么需要NAT ALG?l NAT ALG(Application Level Gateway,应用级网关)是特定的应用协议的转换代理,可以完成应用层数据中携带的地址及端口号信息的转换以太网首部以太网首部IPIP首部首部TCPTCP首部首部应用数据应用数据以太网尾部以太网尾部NATNAT可

13、以转换的部分可以转换的部分Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 18NAT ALG实现原理lFTP主动模式下的NAT ALG应用私网私网公网公网Host192.168.1.2NAT ALG192.168.1.2 8.8.8.11FTP Server8.8.8.1Host与FTP Server之间建立控制连接发送PORT报文(192.168.1.2,1084)ALG处理PORT报文载荷已被转换(8.8.8.11,12487)FTP Server向Host发起数据连接(8.8.8.1,3004 8.8

14、.8.11,12487)FTP Server向Host发起数据连接(8.8.8.11,3004 192.168.1.2,1084)在已经建立的数据连接上进行数据传输Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 19NAT与Server Map表lNAT ALG通过 server-map表中的转换字段,可以转换上层的信息lNAT中生成Server-map表项 的两种情况:配置NAT Server配置NAT No-PAT设备会自动生成Server-map表项,用于存放Global地址与Inside地址的映射关

15、系。设备会为已配置的多通道协议产生的有实际流量的数据流建立Server-map表。Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 20目录1.网络地址转换技术介绍2.源NAT技术3.3.服务器映射及目的服务器映射及目的NAT技术技术4.双向NAT技术5.NAT应用场景配置Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 21NAT Server-内部服务器l内部服务器(Nat Server)功能是使用一个公网地址来代表内部

16、服务器对外地址。DMZuntrust192.168.1.1202.202.1.1l在防火墙上,专门为内部的服务器配置一个对外的公网地址来代表私网地址。对于外网用户来说,防火墙上配置的外网地址就是服务器的地址。公网地址真正的地址WWW服务器外网用户源IP地址目的192.168.1.1源IP地址目的202.202.1.1转换转换Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 22基于NAT Server的配置(CLI)l在系统视图下:nat server id protocol protocol-type gl

17、obal global-address global-address-end|interface interface-type interface-number inside host-address host-address-end no-reverse vpn-instance vpn-instance-name2 例例:nat server server1 protocol tcp global 202.202.1.1 inside 192.168.1.1 www IP协议承载的协议类型转换后的公网地址内部server实际地址服务类型Copyright 2015 Huawei Techn

18、ologies Co.,Ltd.All rights reserved.Page 23基于NAT Server的配置(WEB)静态映射即为NAT Server配置设置公网地址和私网地址对应于no-reserve参数Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 24目的NATl在移动终端访问无线网络时,如果其缺省WAP网关地址与所在地运营商的WAP网关地址不一致时,可以在终端与WAP网关中间部署一台设备,并配置目的NAT功能,使设备自动将终端发往错误WAP网关地址的报文自动转发给正确的WAP网关。基站GGS

19、NGSR防火墙WAP网关Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 25基于目的NAT的配置(CLI)l在系统视图下,进入安全区域视图,配置目的NATfirewall zone name zone-namedestination-nat acl-number address ip-address port port-number l举例举例:USG firewall zone trust USG-zone-trust destination-nat 3333 address 202.1.1.2Copyr

20、ight 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 26目录1.网络地址转换技术介绍2.源NAT技术3.服务器映射及目的NAT技术4.4.双向双向NAT技术技术5.NAT应用场景配置Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 27双向NAT技术l双向NAT两种应用场景:pNAT Server+源NATp域内NATCopyright 2015 Huawei Technologies Co.,Ltd.All rights reserv

21、ed.Page 28域间双向NATl为了简化配置服务器至公网的路由,可在NAT Server基础上,增加源NAT配置。DMZUntrust192.168.1.1源NAT私网IP地址Internet用户外网服务器202.20.1.5192.168.1.5真正IP地址对外公网地址2.2.2.5Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 29域内双向NATl防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址。l防火墙将FTP服务器回应报文的源地址转换成对外公布

22、的地址,目的地址转换成用户的内网IP地址。Trust域192.168.1.1192.168.1.5服务器公网地址202.202.1.1用户公网地址202.202.1.5内网用户服务器Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 30目录1.网络地址转换技术介绍2.源NAT技术3.服务器映射及目的NAT技术4.双向NAT技术5.NAT应用场景配置应用场景配置Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 31NAT典型应

23、用场景配置举例l应用场景分析应用场景分析p源应用pNAT Server应用DMZ 区域Untrust 区域Trust区域192.168.1/24202.169.10.1/29192.168.20.1/24Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 32防火墙源NAT配置(CLI)l配置域间访问规则。p指定源地址为192.168.0.0网段。(具体配置步骤省略)l配置地址池。USG6600 nat nat address-group 1address-group 1USG6600-nat-address-

24、group-1 section section 202.169.10.2 202.169.10.2 202.169.10.6202.169.10.6l配置源NAT策略USG6600 nat-policy nat-policy USG6600-policy-nat rule rule name name nat1nat1USG6600-policy-nat-rule-nat1 source-zone trustsource-zone trustUSG6600-policy-nat-rule-nat1 destination-zone untrustdestination-zone untrust

25、USG6600-policy-nat-rule-nat1 source-address source-address 192.168.0.0 24192.168.0.0 24USG6600-policy-nat-rule-nat1 action action nat address-group 1nat address-group 1 Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 33防火墙源NAT配置(WEB)l配置NAT地址池Copyright 2015 Huawei Technologies Co.

26、,Ltd.All rights reserved.Page 34l配置源NAT策略防火墙源NAT配置(WEB)在本例中是为了实现trust区域的用户访问untrust区域internet的资源,因此源安全区域为trust,目的安全区域为untrust。选择配置的地址池Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 35防火墙NAT Server配置(CLI)l配置内部Web和FTP服务器。USG nat server wwwserver protocol tcp global 202.169.10.1 80

27、 inside 192.168.20.2 nat server wwwserver protocol tcp global 202.169.10.1 80 inside 192.168.20.2 80808080USG nat server ftpserver protocol tcp global 202.169.10.1 ftp inside 192.168.20.3 nat server ftpserver protocol tcp global 202.169.10.1 ftp inside 192.168.20.3 ftpftpCopyright 2015 Huawei Techno

28、logies Co.,Ltd.All rights reserved.Page 36防火墙NAT Server配置(CLI)l配置域间包过滤规则。USG security-policysecurity-policyUSG-policy-security rule name p1rule name p1USG-policy-security-rule-p1 source-zone untrust source-zone untrust USG-policy-security-rule-p1 destination-zone dmz destination-zone dmz USG-policy-

29、security-rule-p1 destination-address 192.168.20.2 32 destination-address 192.168.20.2 32 USG-policy-security-rule-p1 service httpservice httpUSG-policy-security-rule-p1 action permitaction permitUSG-policy-security rule name p2rule name p2USG-policy-security-rule-p2 source-zone untrustsource-zone un

30、trustUSG-policy-security-rule-p2 destination-zone dmzdestination-zone dmzUSG-policy-security-rule-p2 destination-address 192.168.20.3 32destination-address 192.168.20.3 32USG-policy-security-rule-p2 service ftpservice ftpUSG-policy-security-rule-p2 action permitaction permitCopyright 2015 Huawei Tec

31、hnologies Co.,Ltd.All rights reserved.Page 37l配置内部Web和FTP服务器。防火墙NAT Server配置(WEB)外部地址和内部地址,外部地址为供外部用户访问的公网IP地址,内部地址为局域网服务器地址。Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 38防火墙NAT Server配置(WEB)l配置域间安全转发策略。lHTTP 服务器配置类似Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserv

32、ed.Page 39NAT双出口场景配置举例l组网需求p两个不同运营商用户需要访问同一内网服务器资源;p内网用户通过两个运营商访问互联网,如图所示:Trust区域10.1.1.0/24FTP Server10.1.1.2/24ISP1ISP2GE 1/0/41.1.1.1/24GE 1/0/52.2.2.1/24GE 1/0/310.1.1.1/24PC310.1.1.3/24PC11.1.1.5/24PC22.2.2.5/24Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 40NAT 双出口实例配置思路划

33、分安全区域设置域间安全策略配置静态路由配置源NAT策略配置NAT Server策略Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 41NAT双出口配置-1(CLI)l创建安全区域。为ISP1和ISP2分别创建一个安全区域。USG firewall zone name ISP1 USG-zone-isp1 set priority 10 USG firewall zone name ISP2 USG-zone-isp2 set priority 20 l配置各接口的IP地址,并将其加入相应的安全区域。(配置省

34、略)l配置域间安全转发策略。开启内网到ISP1和ISP2区域的outbound方向策略 USG security-policyUSG-policy-security rule name NAT_dual_egressUSG-policy-security-rule-NAT_dual_egress source-zone trustUSG-policy-security-rule-NAT_dual_egress destination-zone isp1USG-policy-security-rule-NAT_dual_egress source-address 10.1.1.0 24USG-p

35、olicy-security-rule-NAT_dual_egress action permit Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 42源NAT双出口配置-2(CLI)l配置静态路由,保证路由可达。假设通过ISP1和ISP2访问internet资源的下一跳地址分别为1.1.1.2/24和2.2.2.2/24。(具体步骤省略)l配置源NAT策略(isp2策略步骤省略)USG nat-policy USG-policy-nat rule name NAT_dual_egress USG-poli

36、cy-nat-rule-nat_dual_ergess source-zone trustUSG-policy-nat-rule-nat_dual_ergess destination-zone isp1USG-policy-nat-rule-nat_dual_ergess egress-interface GigabitEthernet 1/0/4USG-policy-nat-rule-nat_dual_ergess action nat easy-ipCopyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 43

37、NAT Server双出口配置-1(CLI)l配置域间安全转发策略。开启ISP1和ISP2区域到内网方向策略。(ISP2的配置与ISP1相似,具体配置省略)USG security-policy USG-policy-security rule name nat_serverUSG-policy-security-rule-nat_server source-zone isp1USG-policy-security-rule-nat_server destination-zone trustUSG-policy-security-rule-nat_server destination-addr

38、ess 10.1.1.2 32USG-policy-security-rule-nat_server service ftp USG-policy-security-rule-nat_server action permitCopyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 44NAT Server双出口配置-2(CLI)l创建内网服务器的公网IP与私网IP的映射关系。USG nat server zone isp1 protocol tcp global 1.1.1.1 ftp inside 10.1.1.2

39、 ftp USG nat server zone isp2 protocol tcp global 2.2.2.1 ftp inside 10.1.1.2 ftp lNAT ALG默认已经在防火墙全局开启,同时也可以单独在域间进行配置,使服务器可以正常对外提供FTP服务。USG firewall interzone dmz isp1 USG-interzone-dmz-isp1 detect ftp USG-interzone-dmz-isp1 quit USG firewall interzone dmz isp2 USG-interzone-dmz-isp2 detect ftp USG-

40、interzone-dmz-isp2 quit Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 45NAT双出口配置-1(WEB)l创建安全区域l配置域间策略Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 46l配置静态路由NAT双出口配置2(WEB)此处到ISP1的静态路由下一跳假设为1.1.1.2。Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserv

41、ed.Page 47l配置源NAT策略NAT双出口配置3(WEB)直接引用接口IP地址为转换后的IP地址。作为源NAT策略,此处的源地址为内网用户主机的IP地址。Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 48l创建两台内网服务器的公网IP与私网IP的映射关系。NAT双出口配置4(Web)ISP2网段的映射关系ISP1网段的映射关系Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 49总结lNAT的技术原理lNAT几种应用方式l防火墙NAT典型场景配置Copyright 2015 Huawei Technologies Co.,Ltd.All rights reserved.Page 50思考题lEasy-ip的应用场景是什么?l基于目的IP地址NAT中no-reverse参数的意义是什么?l域间双向NAT与域内双向NAT应用场景有何不同?lNAT Server 双出口l在不同类型NAT应用场场景中,域间包过滤规则配置应注意哪些方面?Thank

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 应用文书 > 工作报告

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁