tft每日頭條

 > 生活

 > nat防火牆代理

nat防火牆代理

生活 更新时间:2025-01-30 13:51:45

作者:騰科IT教育 李廣

導語:通過案例詳細剖析

随着Internet的快速發展,IPv4的公網地址資源已非常匮乏,NAT(Network Address Translation)技術通過對IP報文中的地址或端口進行轉換,可以使大量的私網IP地址通過共享少量的公網IP地址來訪問公網,從而有效減少了對公網地址的需求,減緩IP地址空間枯竭的速度。

針對NAT的類型可分為以下三種;

1、源NAT

a) 地址池方式,轉換源IP信息,适用大量私網用戶訪問Internet的場景。

b) 出接口地址方式(Easy IP),适用于公網接口IP地址是動态獲取的情況。

2、服務器映射

a) 靜态映射(NAT Server),适用于公網用戶訪問私網内部服務器的場景。

b) 服務器負載均衡,适用于多個内網服務器提供相同的服務,對外虛拟成一個服務器。

3、目的NAT

主要應用在轉換手機用戶WAP網關地址,使手機用戶可以正常上網的場景。

NAT基本概念:在USG系列防火牆上,還有Server-map用于存放關于地址轉換的映射關系,設備根據這種映射關系對報文的地址進行轉換,并轉發。

NAT生成Server-map的兩種情況:

l 配置NAT Server成功後生成靜态表項。

l 配置NAT No-PAT後,需要由流量觸發建立Server-map表。

NAT ALG基本概念:NAT ALG(Application Level Gateway,應用級網關)是特定的應用協議的轉換代理,可以完成應用層數據中攜帶的地址及端口号信息的轉換。

l FTP應用就由數據連接和控制連接共同完成,而且數據連接的建立動态地由控制連接中的載荷字段信息決定,這就需要ALG來完成載荷字段信息的轉換,以保證後續數據連接的正确建立。

nat防火牆代理(詳解HCIE-Security防火牆NAT技術)1

l ASPF功能的主要目的是通過對應用層協議的報文分析,為其開放相應的包過濾規則,而NAT ALG的主要目的,是為其開放相應的NAT規則。由于兩者通常都是結合使用的,所以使用同一條命令就可以将兩者同時開啟。

華為HCIE-Security認證針對以上類型展開分析,由技術的原理開始,再到使用的場景,到最後場景的故障分析,完整地解析地址轉換技術相關知識。

首先我們将帶大家了解在出口部署源NAT地址池方式的大緻框架及邏輯,如下圖:

nat防火牆代理(詳解HCIE-Security防火牆NAT技術)2

如上圖内網用戶群(10.1.10.2-10.1.10.100)最初都在一個區域内,有兩個公網IP(210.1.1.11和210.1.1.12)可用于做NAT轉換,由于無需對這些用戶進行區分,所以可将兩個公網IP放在同一地址池内。上網流量到達防火牆後,将從地址池中随機選取一個公網IP做NAT轉換。這個過程看似很簡單,但是一些相對複雜的環境還是會難倒部分技術人員,下面通過案例為大家分享下。

例如有道這樣的安全競賽題:LAB2有部分需求如下,其中FW1的G1/0/1地址為10.1.10.254/24,ISP1的G0/0/1地址為10.1.10.10/24,問題需求是:

nat防火牆代理(詳解HCIE-Security防火牆NAT技術)3

1、在FW1部署NAT雙出口為内網設備訪問外部數據,在出口ISP1或ISP2路由設備故障進行切換,其中ISP1申請地址池範圍為10.1.10.9/29,向ISP2申請地址範圍為10.1.22.9/29,并配置相應安全策略允許内向流通通過。

2、考慮在FW1出口的兩個ISP可能會出現的潛在環路或ARP廣播問題,該如何解決?

通過分析發現這個LAB2的需求并不是難,無非是是基礎知識組合在一起。但大部分工程師并沒有能提交完整的答案。反饋的問題是在FW1設備無法将流量訪問到ISP1的G0/0/1接口直連。(其中ISP1設備G0/0/1地址為10.1.10.10/24,FW1設備G1/0/1地址為10.1.10.254/24)

詢問大家在這個位置做了什麼操作時,有人說到在NAT地址池與出口處于同網段時可能引起ARP廣播問題,NAT地址池與出口處于不同網段時可能引起環路問題

登錄防火牆,此時FW1上的路由條目如下:

nat防火牆代理(詳解HCIE-Security防火牆NAT技術)4

在FW上查會話如下:

nat防火牆代理(詳解HCIE-Security防火牆NAT技術)5

産生ARP廣播條件:向FW1的G1/0/1口發送目的為10.1.10.13的數據包:

nat防火牆代理(詳解HCIE-Security防火牆NAT技術)6

在FW1的G1/0/1接口抓包如下:

nat防火牆代理(詳解HCIE-Security防火牆NAT技術)7

此處ARP廣播産生的原因是因為防火牆收到報文後,發現報文的目的地址和自己的接口在同一網段,直接發送ARP請求報文(第2個ARP報文),尋找該地址的MAC地址(防火牆依然沒有意識到該報文的目的地址是自己的NAT地址池地址)。如果公網上的不法分子發起大量訪問時,防火牆将發送大量的ARP請求報文,也會消耗系統資源。

解決的辦法是在FW1上針對NAT地址池寫黑洞路由,随即在FW1上配置了如下命令"ip route-static 10.1.10.9/29 NULL 0",此時FW1路由表如下:

nat防火牆代理(詳解HCIE-Security防火牆NAT技術)8

接着在FW1上查的會話也老化消失:

nat防火牆代理(詳解HCIE-Security防火牆NAT技術)9

之後就出現經過FW1訪問ISP1直連不通的現象,甚至有人在此排查了半個多小時。在針對直連鍊路訪問失敗問題,我們可在FW1執行“display ip routing-table 10.1.10.10”就會得到你想要的結果,發現數據都丢NULL 0 接口。原因是:根據路由匹配原則,路由器會優先選擇掩碼最長的條目,導緻數據無法從FW1的G1/0/1口發送出來,ISP1設備不能收到請求報文。

nat防火牆代理(詳解HCIE-Security防火牆NAT技術)10

解決此場景"在NAT地址池與出口處于同網段時可能引起ARP廣播問題",可寫關于地址池的明細路由(排除已配置的IP)指向NULL 0接口,或者規劃好IP地址的使用,避開NAT地址池的範圍10.1.10.9/29,使用其他地址配置物理接口。

通過上述案例可以發現,很多的場景并不複雜,隻是我們忘了原本基礎的内容。包括很多高級學員參加HCIE考試,經常會忘記基礎的内容。排錯是技術工程師務必掌握的内容,而排錯這個技能往往離不開平時的實驗練習與基礎理論部分。

通過此篇文章,你是否有了解到關于NAT技術的内容?更多關于NAT ALG及Server map表項的場景及注意事項,我們後續繼續介紹哦。

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

查看全部

相关生活资讯推荐

热门生活资讯推荐

网友关注

Copyright 2023-2025 - www.tftnews.com All Rights Reserved