源NAT原理与配置

已于 2023-06-05 11:02:52 修改
阅读量967 收藏 5
点赞数
文章标签: 网络 服务器 运维
于 2023-06-01 09:17:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaheguosong/article/details/130964912
版权

源NAT

内容来源:《防火墙和VPN技术与实践》-李学昭 -2022年版-人民邮电出版社

NAT-no PAT

image-20230531091118654

基础配置:

略 (IP地址、路由、安全区域的配置以及其他网络设备的IP地址、路由的配置)

地址池:

nat address-group addgroup1 0
 mode no-pat global
 route enable
 section 0 198.51.100.10 198.51.100.11

NAT 策略:

nat-policy
 rule name no-pat
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action source-nat address-group addgroup1

安全策略:

#
security-policy
 rule name trust_untrust
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action permit

网络连通性测试:

image-20230531091331013

抓包测试:

image-20230531091557987

Server-map分析

NAT-NOPAT中的 Server-map并不会像 ASPF的Server-map一样,让Server-map匹配的流量优先于安全策略执行。

它是为了加快NAT地址转换的速度。

基于全局的地址池: 地址池在配置的时候,使用命令:mode no-pat global,产生的Server-map不包含安全区域参数。一旦建立,所有安全区域的用户都可以访问内网用户。

[FW1]display firewall server-map 
2023-05-31 02:47:39.600 
 Current Total Server-map : 2
 Type: No-Pat Reverse, ANY -> 198.51.100.10[192.168.1.1],  Zone:---
 Protocol: ANY, TTL:---, Left-Time:---,  Pool: 0, Section: 0
 Vpn: public

 Type: No-Pat,  192.168.1.1[198.51.100.10] -> ANY,  Zone:---
 Protocol: ANY, TTL:360, Left-Time:359,  Pool: 0, Section: 0
 Vpn: public

基于Local的地址池:地址池在配置的时候,使用命令:mode no-pat local,产生的Server-map包含安全区域参数。只有Server map中所列出的安全区域用户才可以访问内网用户。

[FW1]display firewall server-map 
2023-05-31 02:55:41.440 
 Current Total Server-map : 4
 Type: No-Pat Reverse, ANY -> 198.51.100.11[192.168.1.2],  Zone: untrust 
 Protocol: ANY, TTL:---, Left-Time:---,  Pool: 0, Section: 0
 Vpn: public

 Type: No-Pat,  192.168.1.2[198.51.100.11] -> ANY,  Zone: untrust 
 Protocol: ANY, TTL:360, Left-Time:360,  Pool: 0, Section: 0
 Vpn: public

黑洞路由

原理:防止路由环路的产生

【地址池的地址和自己出接口的地址不在同一个网段】如果不配置黑洞路由,当 外部有人访问 地址池中的地址,如果防火墙的Server-map 也消失了,此时,防火墙会根据它的默认路由将目标为地址池地址的数据往外转发,同时ISP的路由器会再把这个数据转发回来---> 路由环路。

【地址池的地址和自己出接口的地址在同一个网段】不会产生路由环路,但是会向ISP回复一个ARP。如果配置了黑洞路由,此时不再向ISP做ARP回复。
配置方法1:

地址池中使用 route enable

nat address-group addgroup1 0
 route enable

让防火墙的路由表产生黑洞路由(UNR 路由)

[FW1]dis ip routing-table 
2023-05-31 01:19:35.640 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 8        Routes : 8        

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
  198.51.100.10/31  Unr     61   0           D   127.0.0.1       InLoopBack0
配置方法2:
ip route-static 198.51.100.10 255.255.255.255 NULL0
ip route-static 198.51.100.11 255.255.255.255 NULL0

NAPT

NAPT 基于地址池 发生端口转换:

与NO-PAT区别:除了源IP地址被转换,源端口号也被转换了。

没有Server-map。 地址的转换也对应了端口号,此时大量的对应关系,都是短暂随机的,server-map就没有意义了。

黑洞路由:需要配置黑洞路由。

Easy-IP

Easy-IP 基于出接口的IP地址进行端口转换

不依赖于地址池,不用再定义地址池。 只需要配置 NAT 策略和 安全策略就可以。转换后的地址是防火墙出接口的地址,不会发生路由环路, 不需要配置黑洞路由。

没有Server-map

[FW1]display firewall server-map 
2023-05-31 06:29:08.140 
 Current Total Server-map : 0

配置:

nat-policy
 rule name easy_ip
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action source-nat easy-ip

安全策略:

security-policy
 rule name trust_untrust
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action permit
## Smart-NAT

no-PAT和NAPT的结合

基于地址池  地址池中有多个地址
一部分地址在转换的时候做 动态一对一 不做端口转换 ----  no-pat
一部分地址在转换的时候做 基于端口的地址转换     ----  NAPT

地址池的定义:

nat address-group addgroup1 0
 mode no-pat global
 route enable
 smart-nopat 198.51.100.11   // 预留的地址---> 提供 端口转换(NAPT)
 section 0 198.51.100.10 198.51.100.10  // no-pat

有会话表—> 做No-pat地址段会产生 Server-map,提供快速转发功能。

三元组NAT

适用于文件共享、语音通信、视频传输等方面的P2P技术

P2P----> Peer to Peer

Peer:对等体。 正常的网络架构是 C-S 、B-S

  • 对外呈现端口一致性:内网PC转换后的地址和端口号一直不变。
  • 支持外网主动访问 ,不依赖于 安全策略(Server-map优先于安全策略)

地址池定义:

nat address-group addgroup1 
 mode full-cone local    //  定义地址池形式为三元组NAT   保证 源IP、源端口号、协议 对外一致性   local ---> 控制外部网络的发起者身份
 section 0 198.51.100.10 198.51.100.11

server-map 有Server-map

[FW1]display firewall server-map 
2023-05-31 07:04:08.770 
 Current Total Server-map : 2
 
 # 反向-----》 优先于安全策略执行。
 Type: FullCone Dst,  ANY -> 198.51.100.10:10240[192.168.1.1:2060],  Zone: untrust 
 Protocol: tcp(Appro: ---),  TTL: 60,  Left-Time: 56,  Pool: 0, Section: 0
 Vpn: public -> public,  Hotversion: 1

# 正向
 Type: FullCone Src,  192.168.1.1:2060[198.51.100.10:10240] -> ANY,  Zone: untrust 
 Protocol: tcp(Appro: ---),  TTL: 60,  Left-Time: 60,  Pool: 0, Section: 0
 Vpn: public -> public,  Hotversion: 1

image-20230531150546993

image-20230531150528541

yoyo鹿鳴
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NAT,目的NAT和PAT以及端口映射的区别?
a1809032425的博客
03-15 3048
NAT,目的NAT和PAT以及端口映射的区别? 参考链接:https://blog.51cto.com/hzcto/2418606 一、NAT: 1、动态NAT(地址复用):指将内部私有IP转换为公网IP地址时,IP的对应关系是不确定的。也就是说只要指定哪些内部地址可以进行NAT转换,以及哪些可以的合法的IP地址可以作为外部地址,就可以进行动态转换了。也可以使用多个合法地址集。 2、静态NAT:一对一,将内部网络的私有IP地址转换为公有合法IP地址。IP地址的对应关系是一对一的,而且是不变的.
一、NAT网络地址转换)
Chenwei的博文
11-03 1182
NAT网络地址转换)介绍以及基础命令配置 目录一、NAT网络地址转换)一、NAT又称为网络地址转换,用于实现私有网络和公有网络之间的互访1.私有网络和公有网络2、NAT的工作原理:3、NAT的工能:4、优缺点:二、静态NAT一、配置方法:1、全局模式下设置静态NAT:2、第二种:直接在接口上声明nat static三、动态NAT(1)、PAT端口多路复用(2)、NAPT(3)、Easy Ip:(4)、NAT Server: 一、NAT网络地址转换) 一、NAT又称为网络地址转换,用于实现私有网络和公有
网络安全概述(ppt-105页).pptx
06-09
双重宿主主机体系结构是围绕双重宿主主机构筑的。 双重宿主主机至少有两个网络接口,它位于内部网络和外部网络之间,这样的主机可以充当与这些接口相连的网络之间的路由器,它能从一个网络接收IP数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能,完全阻止了内外网络之间的IP通信。 两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。 106 第7讲 保密通信(一) IPSec FW Page 1 1 防火墙概述 基本概念 关键技术 体系结构 网络隔离 2 基本概念 防火墙概念 William Cheswick和Steve Beilovin(1994):防火墙是放置在两个网络之间的一组组件,这组组件共同具有下列性质: 只允许本地安全策略授权的通信信息通过 双向通信信息必须通过防火墙 防火墙本身不会影响信息的流通 防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资的非法存取和访问以达到保护系统安全的目的。 传统防火墙概念特指网络层实现 3 防火墙缺陷 使用不便,认为防火墙给人虚假的安全感 对用户不完全透明,可能带来传输延迟、瓶颈及单点失效 不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 不能有效地防范数据驱动式的攻击 当使用端-端加密时,其作用会受到很大的限制 4 关键技术 数据包过滤 依据事先设定的过滤规则,对所接收的每个数据包做允许拒绝的决定。 数据包过滤优点: 速度快,性能高 对用户透明 数据包过滤缺点: 维护比较困难(需要对TCP/IP了解) 安全性低(IP欺骗等) 不提供有用的日志,或根本就不提供 不防范数据驱动型攻击 不能根据状态信息进行控制 不能处理网络层以上的信息 无法对网络上流动的信息提供全面的控制 互连的物理介质 应用层 表示层 会话层 传输层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 网络层 数据链路层 物理层 网络层 数据链路层 物理层 5 NAT (Network Address Translation) 网络地址转就是在防火墙上装一个合法IP地址集,然后 当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户; 同时,对于内部的某些服务器如Web服务器网络地址转换器允许为其分配一个固定的合法地址。 地址翻译主要用在两个方面: 网络管理员希望隐藏内部网络的IP地址。这样互联网上的主机无法判断内部网络的情况。 内部网络的IP地址是无效的IP地址。 这种情况主要是因为现在的IP地址不够用,要申请到足够多的合法IP地址很难办到,因此需要翻译IP地址。 6 IP 目的IP 10.0. 0.108 202.112. 108.50 IP 目的IP 202.112. 108.3 202.112.108.50 IP 目的IP 202.112. 108.50 202.112. 108.3 IP 目的IP 202.112. 108.50 10.0. 0.108 防火墙网关 7 应用层代理 网关理解应用协议,可以实施更细粒度的访问控制 对每一类应用,都需要一个专门的代理 灵活性不够 客 户 网 关 服务器 发送请求 转发请求 请求响应 转发响应 8 体系结构 双宿主主机体系 双重宿主主机的特性: 安全至关重要(唯一通道),其用户口令控制安全是关键。 必须支持很多用户的访问(中转站),其性能非常重要。 缺点:双重宿主主机是隔开内外网络的唯一屏障,一旦它被入侵,内部网络便向入侵者敞开大门。 Internet 防火墙 双重宿主主机 内部网络 …… 9 屏蔽主机体系 屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单,可能就是简单的路由器。 典型构成:包过滤路由器+堡垒主机。 包过滤路由器配置在内部网和外部网之间,保证外部系统对内部网络的操作只能经过堡垒主机。 堡垒主机配置在内部网络上,是外部网络主机连接到内部网络主机的桥梁,它需要拥有高等级的安全。 因特网 10 屏蔽子网体系 组成:屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上,周边网络和内部网络被内部路由器分开。 周边网络:一个防护层,在其上可放置一些信息服务器,它们是牺牲主机,可能会受到攻击,因此又被称为非军事区(DMZ)。周边网络的作用:即使堡垒主机被入侵者控制,它仍可消除对内部网的侦听。例: netxray等的工作原理。 11 Internet 周边网络 内部网络 …… 外部路由器 堡垒主
防火墙_NAT
weixin_42528239的博客
08-12 1720
不同的NAT类型对应不同的NAT策略,在FW上处理顺序不同。 1、W收到报文后,查找NAT Server生成的Server-map表,如果报文匹配到Server-map表,则根据表项转换报文的目的地址,然后进行第四步;若没有匹配到,则进行下一步 2、查找基于ACL的目的NAT,如果报文符合匹配条件,则转换报文的目的地址,然后进行第四步;若不符合,则进行下一步 3、查找NAT策略中目的NAT,如果报文符合匹配条件,则转换报文的目的地址后进行路由处理;若不符合,则直接进行路由处理 4、根据报文当前的信息查找路由
华为防火墙配置(防火墙NAT
热门推荐
1风天云月的博客
12-05 1万+
目录 前言 一、防火墙NAT概述 1、防火墙NAT策略介绍 2、NAT策略分类 (1)NAT No-PAT (2)NAPT (3)Easy-IP (4)Smart NAT (5)三元组NAT 3、NAT策略组成 4、NAT策略匹配规则 5、NAT策略处理流程 6、NAT的使用限制 7、目的NAT的使用限制 8、与双机热备结合使用的限制 9、其它使用限制 10、NAT简介 11、NAT分类 (1)NAT No-PAT (2)NAPT (3)Smart NAT
NAT————NAT NO-PAT
zj2059129607的博客
11-15 363
NAT No-PAT是一种NAT转换时只转换地址,不转换端口,实现私网地址到公网地址一对一的地址转换方式。如果地址池中的地址已经全部分配出去,则剩余内网主机访问外网时不会进行NAT转换,直到地址池中有空闲地址时才会进行NAT转换。全局NO-PAT生成的Server-Map表中不包含安全区域参数,一旦建立,所有安全区域的Server都可以访问内网Host。本地NO-PAT生成的Server-Map表中包含安全区域参数,只有此安全区域的Server可以访问内网Host。NAT No-PAT工作原理示意图。
NAT介绍
未来已来
07-30 586
有时候会在搭建网络环境的时候,总是把NAT弄混淆,所以决定写一篇关于NAT的总结性介绍,文章中有部分图是copy from 同事的PPT。。。。 1.什么是NAT NAT(Network Address Transfer),即网络地址转换。它是一种在IP数据包通过路由器或者防火墙时重写source IP或Destination IP地址的技术。 我们知道ip地址的资是有限的,不可能为每一个人的每...
NAT配置NAT详解
最新发布
Mario_Ti的博客
12-25 1977
本文将收录NAT合集专栏,此文主要是讲解NAT技术之NAT原理以及种类及配置
虚拟路由器中的Source NAT与Static NAT
一起coding,一起嗨。
12-21 148
在虚拟路由器中,网络地址转换(NAT)是一种用于重写IP数据包或目标地址的技术,以实现私有网络与公共互联网之间的通信。其中,Source NATNAT)和Static NAT(静态NAT)是两种常见的NAT类型。
NAT、server nat 、域内双向nat、域间双向nat配置
weixin_64311421的博客
03-27 813
对于防火墙来说,我们需要考虑转换和放行。NAT策略只是转换了,防火墙不放行,所以还需要做个放行策略。最后可以在LSW1上接个路由器,用路由器ping 100.1.1.3。在分别在g1/0/1、g1/0/0、g1/0/2上添加IP地址和安全区域。在浏览器上输入刚添加的IP地址,进入华为防火墙图形化界面。然后在WF1上配置0/0/0接口IP地址并开启服务。先做nat策略(trust双转)开启DMZ区域的http服务器。新建一个名称为du的NAT策略。访问服务器,发现外网可以访问。转包可以看见,转换成功。
NAT配置实验实验报告.doc
03-10
当内部网络中的一台主机想传输数据到外部网络时,它先将数据包传输到NAT路由器 上,路由器检查数据包的报头,获取该数据包的IP信息,并从它的NAT映射表中找出与 该IP匹配的转换条目,用所选用的内部全局地址...
NAT配置实验实验报告(1).doc
03-10
当内部网络中的一台主机想传输数据到外部网络时,它先将数据包传输到NAT路由器 上,路由器检查数据包的报头,获取该数据包的IP信息,并从它的NAT映射表中找出与 该IP匹配的转换条目,用所选用的内部全局地址...
实验报告——实验一:NAT配置.doc
03-11
" " "S2/0 "202.196.32.1 " " "Router1 "F0/0 "222.22.22.2 "255.255.255.0 " " "S2/0 "202.196.32.2 " " "Server0 "F "222.22.22.1 "255.255.255.0 " 一、配置静态NAT的过程: 步骤一:主机与服务器的IP地址配置 ...
P2P网络技术原理与C++开发案例 代码和第五章电子书 Peercast(王浩聪注释版)
09-29
7.5.2 系统安装与配置 225 7.5.3 文件搜索和下载 226 7.5.4 文件上传 227 7.6 eMule系统分析 228 7.7 本章总结 228 7.8 练习题 228 第8章 P2P文件共享系统开发实例二——BT的设计与实现 230 8.1 ...
JAVA上百实例码以及开项目代码
09-17
 Java二进制IO类与文件复制操作实例,好像是一本书的例子,代码有的是独立运行的,与同目录下的其它代码文件互不联系,这些代码面向初级、中级Java程序员。 Java访问权限控制代码 1个目标文件 摘要:Java码,...
NAT基础:NAT技术原理,静态NAT、动态NAT、NAPT、Easy IP、NAT Server的原理,以及各NAT配置方法和转换示例。
运维派大星
09-07 8515
NAT基础:NAT技术原理,静态NAT、动态NAT、NAPT、Easy IP、NAT Server的原理,以及各NAT配置方法和转换示例。
你了解你每天都在用的NAT吗?
qq_40741808的博客
05-15 769
###概述 NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准,允许一个整体机构以一个公用IP(Internet Protocol)地址出现在Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。NAT 可以让那些使用私有地址的内部网络连接到Internet或其它IP网络上,这个过程对用户来说是透
网络地址转换(NAT)技术
qq_51776588的博客
02-14 9135
网络地址转换原理 NAT技术的基本原理 NAT技术通过对IP报文头中的地址或目的地址进行转换,可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网。 NAT是将IP报文报头中的IP地址转换为另一个IP地址的过程,一般的NAT转换设备都维护着一张地址转换表,所有经过NAT转换设备(处于内部网络和外部网络的连接处,常见的设备有:路由器、防火墙等)并且需要进行地址转换的报文,都会通过这个表做相应的修改。地址转换的机制分为如下两个部分: 1、内部网络主机的IP地址和端口转换为NAT转换设备外部网络地址和
NAT及跨网络命名空间的网络地址转换
成长的足迹
05-01 1058
NAT (Network Address Translation)即网络地址转换,最初的目的是在路由器上,修改IP报文头中的地址(source address)或目标地址(destination address),以转发报文。通过NAT,实现了私有子网中与公共网络的连接,也间接延续了IPv4的生命,推迟了IPv6的到来。 1. NAT可以分为如下几类 1) Source NAT (SNAT)...
防火墙配置目的NAT原理
10-18
防火墙配置的目的是为了保护网络安全,防止未经授权的访问和攻击。其中,NAT(Network Address Translation)是一种网络地址转换技术,它可以将内部网络的私有IP地址转换成公网IP地址,从而实现内部网络与公网之间的通信。 NAT原理是通过在防火墙上设置映射规则,将内部网络的私有IP地址和端口号映射到公网IP地址和端口号上,从而实现内部网络与公网之间的通信。当内部网络的主机向公网发送数据包时,防火墙会将数据包的IP地址和端口号替换成公网IP地址和端口号,然后将数据包发送到公网上;当公网上的主机向内部网络发送数据包时,防火墙会将数据包的目标IP地址和端口号替换成内部网络的私有IP地址和端口号,然后将数据包发送到内部网络上。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值