NAT培训14776.docx

《NAT培训14776.docx》由会员分享，可在线阅读，更多相关《NAT培训14776.docx（8页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、NAT模块培训1NATT技术实现现：NAT(NNetwoork AAddreess TTransslatiion ,网络地址址翻译) 是一种将将一个IPP 地址域域映射到另另一个IPP 地址域域技术,目前广泛泛用于私有有地址域与与公用地址址域的转换换以解决IIP 地址址匮乏问题题，而且还能能够有效地地避免来自自网络外部部的攻击，隐隐藏并保护护网络内部部的计算机机。当访问Innternnet的报报文经过NNAT网关关时，NAAT网关会会用一个合合法的公网网地址替换换原报文中中的源IPP地址，并并对这种转转换进行记记录；之后后，当报文文从Intterneet侧返回回时，NAAT网关查查找原有的的记

2、录，将将报文的目目的地址再再替换回原原来的私网网地址，并并送回发出出请求的主主机。这样样，在私网网侧或公网网侧设备看看来，这个个过程与普普通的网络络访问并没没有任何的的区别。NNAT可以分为SNNAT(SSourcce NAAT ,源源网络地址址翻译) 和DNATT(Desstinaationn NATT ,目的的网络地址址翻译) 两种类型型,分别完成成对向外的的源地址和和向内的目目的地址的的翻译，但但是NATT的转化只只是限于将将IP 数数据报头中中的IP 地址转换换为另一个个IP 地地址的过程程。NAT的基基本原理是是仅在私网网主机需要要访问Innternnet时才才会分配到到合法的公公网

3、地址，而而在内部互互联时则使使用私网地地址。2.1 NAT实实现方式2.1.11 Baasic NAT方方式Basicc NATT方式属于于一对一的的地址转换换，在这种种方式下只只转换IPP地址，而而对TCPP/UDPP协议的端端口号不处处理，一个个公网IPP地址不能能同时被多多个用户使使用。图1 Baasic NAT方方式原理图图如图1所示示，Bassic NNAT方式式的处理过过程如下：(1) NAT设备备收到私网网侧主机发发送的访问问公网侧服服务器的报报文。(2) NAT设备备从地址池池中选取一一个空闲的的公网IPP地址，建建立与私网网侧报文源源IP地址间间的NATT转换表项项（正反向向

4、），并依依据查找正正向NATT表项的结结果将报文文转换后向向公网侧发发送。(3) NAT设备备收到公网网侧的回应应报文后，根根据其目的的IP地址查查找反向NNAT表项项，并依据据查表结果果将报文转转换后向私私网侧发送送。& 说明：由于Bassic NNAT这种种一对一的的转换方式式并未实现现公网地址址的复用，不不能有效解解决IP地址短短缺的问题题，因此在在实际应用用中并不常常用。2.1.22 NAAPT方式式由于Bassic NNAT方式式并未实现现地址复用用，因此并并不能解决决公网地址址短缺的问问题，而NNAPT方方式则可以以解决这个个问题。NAPT方方式属于多多对一的地地址转换，它它通过使

5、用用“IP地址端口号”的形式进进行转换，使使多个私网网用户可共共用一个公公网IP地址访访问外网，因因此是地址址转换实现现的主要形形式。图2 NAAPT方式式原理图如图2所示示，NAPPT方式的的处理过程程如下：(1) NAT设备备收到私网网侧主机发发送的访问问公网侧服服务器的报报文。(2) NAT设备备从地址池池中选取一一对空闲的的“公网IP地址端口号”，建立与与私网侧报报文“源IP地址源端口号号”间的NAPPT转换表表项（正反反向），并并依据查找找正向NAAPT表项项的结果将将报文转换换后向公网网侧发送。(3) NAT设备备收到公网网侧的回应应报文后，根根据其“目的IP地址目的端口口号”查找

6、反向向NAPTT表项，并并依据查表表结果将报报文转换后后向私网侧侧发送。2.1.33 NAAT Seerverr方式出于安全考考虑，大部部分私网主主机通常并并不希望被被公网用户户访问。但但在某些实实际应用中中，需要给给公网用户户提供一个个访问私网网服务器的的机会。而而在Bassic NNAT或NAPTT方式下，由由于由公网网用户发起起的访问无无法动态建建立NATT表项，因因此公网用用户无法访访问私网主主机。NAAT Seerverr（NAT内部部服务器）方方式就可以以解决这个个问题通过静态态配置“公网IP地址端口号”与“私网IP地址端口号”间的映射射关系，NNAT设备备可以将公公网地址“反向”

7、转换成私私网地址。图3 NAAT Seerverr方式原理理图如图3所示示，NATT Serrver方方式的处理理过程如下下：(1) 在NAT设备备上手工配配置静态NNAT转换换表项（正正反向）。(2) NAT设备备收到公网网侧主机发发送的访问问私网侧服服务器的报报文。(3) NAT设备备根据公网网侧报文的的“目的IP地址目的端口口号”查找反向向静态NAAT表项，并并依据查表表结果将报报文转换后后向私网侧侧发送。(4) NAT设备备收到私网网侧的回应应报文后，根根据其“源IP地址源端口号号”查找正向向静态NAAT表项，并并依据查表表结果将报报文转换后后向公网侧侧发送。NATT还可以分分为静态N

8、NAT和动动态NATT： - 静静态NATT，将内部部网络中的的每个主机机都永久映映射成外部部网络中的的某个合法法的地址，多多用于服务务器。 - 动动态NATT，则是在在外部网络络中定义了了一个或多多个合法地地址，采用用动态分配配的方法映映射到内部部网络。2.2 ALG机机制2.2.11 ALLG机制简简介通常情况下下，NATT只改变IPP报文头部部地址信息息，而不对对报文载荷荷进行分析析，这对于于普通的应应用层协议议（如Teelnett）来说，并并不会影响响其业务的的开展；然然而有一些些应用层协协议，其报报文载荷中中可能也携携带有地址址或端口信信息，若这这些信息不不能被有效效转换，就就可能导

9、致致问题。譬譬如，某些些应用层协协议会在客客户端与服服务器之间间协商端口口号，然后后服务器使使用协商出出的端口号号向客户端端发起连接接。如果NNAT设备备对二者的的协商过程程一无所知知，那么当当服务器向向客户端发发起连接时时，就会因因为在NAAT设备上上找不到内内部与外部部的IP地址/端口号对对应关系而而造成连接接失败。这这个问题可可以通过应应用层网关关（ALGG）机制来来解决。AALG是特特定应用协协议的转换换代理，它它通过对IIP报文的的载荷进行行解析，改改变封装在在其中的地地址和端口口信息，并并完成其它它必要的工工作以使应应用协议可可以穿越NNAT。ALG机制制可处理的的应用层协协议包括

10、DDNS、FTP、H.3223、ILS、LL2TP、IIPsecc和SIP等，在我们们的测试过过程中主要要涉及到：FTP、H.3223、VPN的的L2TPP与IPssec和SIP，下面把各个个协议测试为例介介绍ALGG处理的过过程。2.2.22 FTTP协议的的ALG处理理在FTP工工作过程中中，客户端端与服务器器之间将建建立两条TTCP连接接：一条为为控制连接接，负责传传输诸如用用户指令和和参数等控控制信息，其其中包括发发起数据连连接时要用用到的端口口信息；另另一条为数数据连接，负负责在服务务器与客户户端之间建建立数据通通道以传送送文件。FFTP可分分为主动和和被动两种种模式，根根据所采用用

11、的模式以以及服务器器/客户端的的位置来决决定是否需需要进行AALG处理理：1. 主动动模式在主动模式式下，在由由客户端发发起控制连连接中，客客户端将指指定的端口口通过POORT指令令发送给服服务器，然然后由服务务器向该端端口发起数数据连接，因因此：l 当客户户端位于公公网而服务务器位于私私网时，由由公网访问问私网的服服务器，由由于客户端端向服务器器通告的是是公网地址址和端口，服服务器可直直接向其发发起数据连连接，因此此无需在控控制连接中中进行ALLG处理；l 当客户户端位于私私网而服务务器位于公公网时，由由于客户端端向服务器器通告的是是私网地址址和端口，因因此需在控控制连接中中通过ALLG处理

12、将将其转换为为公网地址址和端口，以以供服务器器发起数据据连接所用用，其过程程如图6所示。抓包包见LANN测PORT图6 主动动模式下的的ALG处理理(1) 首先，由由客户端向向服务器发发送PORRT指令，以以向服务器器通知发起起数据连接接所应使用用的地址和和端口（IIP 1，Portt 1）；(2) NAT设备备收到该指指令后，将将其中所携携带的私网网地址和端端口（IPP 1，Portt 1）替替换为公网网地址和端端口（IPP 2，Portt 2），并并据此创建建相应的NNAPT表表项此过程程即为ALLG处理；(3) 服务器收收到该指令令后，主动动向公网地地址和端口口（IP 2，Portt 2

13、）发发起数据连连接，并在在通过NAAT设备时时被转化为为私网地址址和端口（IP 1，Port 1）。2. 被动动模式在被动模式式下，在由由客户端发发起控制连连接中，客客户端向服服务器发送送PASVV请求来通通知服务器器它将发起起被动模式式，服务器器再将指定定的端口通通过PASSV响应发发送给客户户端，然后后由客户端端向该端口口发起数据据连接，因因此：l 当服务务器位于公公网而客户户端位于私私网时，由由于服务器器向客户端端通告的是是公网地址址和端口，客客户端可直直接向其发发起数据连连接，因此此无需在控控制连接中中进行ALLG处理；l 当服务务器位于私私网而客户户端位于公公网时，由由于服务器器向客

14、户端端通告的是是私网地址址和端口，因因此需在控控制连接中中通过ALLG处理将将其转换为为公网地址址和端口，以以供客户端端发起数据据连接所用用，其过程程如图7所示。图7 被动动模式下的的ALG处理理(1) 首先，由由客户端向向服务器发发送PASSV请求；(2) 服务器收收到该请求求后，选择择并打开服服务器端数数据通道的的地址和端端口（IPP 1，Portt 1），并并通过PAASV响应应向客户端端返回该地地址和端口口；(3) NAT设备备收到该响响应后，将将其中所携携带的私网网地址和端端口（IPP 1，Portt 1）替替换为公网网地址和端端口（IPP 2，Portt 2），并并据此创建建相应的

15、NNAPT表表项此过程程即为ALLG处理；(4) 客户端收收到该响应应后，向公公网地址和和端口（IIP 2，Portt 2）发发起数据连连接，并在在通过NAAT设备时时被转换为为私网地址址和端口（IP 1，Port 1）。2.2.22 H.3323与SSIP 协协议的ALLG处理SIP和HH.3233协议主要用用于IP语语音、视频频通信领域域，。SIIP是基于于IP网络络，在网络络环境中，一一个会话可可以是各种种不同类型型的内容（如如普通的文文本数据、音音视频数据据、游戏数数据等），应应用具有巨巨大的灵活活性。SIP采采用Cliient/Servver结构构的消息机机制，对呼呼叫的控制制是将控制制封装到消消息的头域域中，通过过消息的传传递来实现现。因此SSIP系统统的终端就就比较智能能化，它不不只提供数数据，还提提供呼叫控控制。其他他各种则用用来进行定定位、转发发或接受消消息。H.323的的建立是为为不同厂商商的多媒体体产品能互互操作，而而设备的兼兼容性是消消费、商业业、娱乐及及专业市场场上厂家和和最终用户户最为关心心的问题之之一。H.323解解决了点对对点及多点点视讯会议议中诸如呼呼叫与会话话控制、多多媒体与带带宽管理等等问题。目目前广泛应应用于基于于IP的视视讯会议系系统中。AALG的SSIP用你你与我们测测试的VOOIP走的的是两个不不同的通道道