1、源NAT
nat-no pat:
一对一,一个私网地址只能对应一个公网IP,本质仅仅实现死亡用户访问互联网,无法节省IPv4公网地址。
该nat类型,会生成no-pat类型的Server-map表项,记录了正、反条目,老化时间360s,该表象需要流量刷新,如果没有流量,则360s后老化正、反条目。
正向条目:记录了内网主机地址转换前、后地址信息。
反向条目:可以提供外网主机主动访问内网主机,类似提供了一种目的nat功能,外到内流量命中该类型Server-map表项需要安全策略匹配放行,并非所有的流量命中Server-map表项就绕过了安全策略。
napt:
多对一,可实现原始报文源私网地址、端口的同时转换,满足大量内网主机公共一个公网IP上网场所,可以实现公网IP地址节省,通过端口转换的方式区分不同的私网主机IP。
该nat类型,无法生成Server-map表项,因为考虑系统开销问题。
源nat注意事项:
1、边界防火墙地址池配置的公网IP与公网接口在一个网段,如果外网节点频繁频繁访问防火墙上地址池中的公网IP,触发大量的ARP解析报文,造成资源占用,可以引入UNR路由,类似黑洞路由,把访问地址池中公网IP的数据本地终结。
nat address-group test 0 mode pat route enable //生成UNR路由 section 0 200.202.1.10 200.202.1.10
2、边界防火墙地址池配置的公网IP与公网接口不在同一网段,如果外网节点访问防火墙上地址池中的公网IP,会导致三层环路,消耗设备、链路资源,一定要配置UNR路由生成功能,用本地终结方式,防止环路的发生。
easy-ip:
多对一,转发方式与napt一样,区别不需要配置地址池,直接基于边界防火墙连接外网的接口公网IP实现转换,基于接口一种nat转换。
不会生成Server-map表项,也不存在环路风险,无需再地址池中配置公网IP,适用于边界公网IP动态获取场景。
三元组nat:
多对一,三元组NAT是一种转换时同时转换地址和端口,实现多个私网地址共用一个或多个公网地址的地址转换方式。它允许Internet上的用户主动访问私网用户,与基于P2P技术的文件共享、语音通信、视频传输等业务可以很好地共存。三元组包括了协议(应用)、源地址、源端口,存放于Server-Map表之中,实现外到内的访问。
NAT分类与优缺点
NAT可以分为以下三类:
1、源NAT:适用与用户通过私网地址访问internet的场景;
2、目的NAT:适用于用户通过公网地址访问私网服务器的场景;
3、双向NAT:适用于通信双方访问对方的时候目的地址都不是真实的地址,而是NAT转换后的地址的场景。
NAT的优点:
1、实现IP地址复用,节约宝贵的地址资源;
2、有效避免来自外网的攻击,对其内网用户提供隐私保护,可以很大程度上提高网络安全性。
NAT的缺点:
1、网络监控难度加大;
2、限制某些具体应用。
2、目的NAT
nat server,服务器映射,类似目的nat,对报文中的目的IP地址、端口实现转换,场景使用外到内的访问。
(1)把内网服务器私网IP、端口以公网IP的方式暴露在外网环境,外用的用户只要访问公网IP就可以实现对内网服务器的访问;
(2)它公网IP、端口与私网服务器IP、端口映射存放于nat server类型的Server-map表项中,且默认会存在正、反Server-map条目,该类型的Server-map不需要流量触发,只要配置了nat server就会生成,且不会老化,除非删除nat server配置,则该表项就老化。
正向条目,用于外网主机访问内网服务器;
反向条目,用于内网服务器、主机访问外网用户,类似一种源nat机制。
源nat Server注意事项:
1、边界防火墙配置的nat Server全局地址与公网接口在一个网段,如果外网节点频繁访问防火墙上地址池中的公网IP,触发大量的ARP解析报文,造成资源占用,可以引入UNR路由,类似黑洞路由,把访问地址池中公网IP的数据本地终结。
2、边界防火墙配置的nat Server全局地址与公网接口不在一个网段,引发环路问题,也需要追击unr-route参数生成URN路由。
3、双向nat(域间、域内)
4、ALG应用级网关,与nat配合工作,可以让多通道协议正常穿越nat设备,配置命令与aspf一样,两侧场景是不一样的。
ALG可以转换多通道协议应用层载荷中携带的地址、端口,让协议工作模型正常,保证业务无异常(基于普通nat转换后公网的IP执行转换)
NAT ALG(Application Level Gateway,应用级网关)特定的应用协议的转换代理,可以完成应用层数据中携带的IP地址及端口号的转换。