强叔侃墙_三元组NAT

最新推荐文章于 2022-03-15 10:06:06 发布
最新推荐文章于 2022-03-15 10:06:06 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: 强叔侃墙华为防火墙技术漫淡

为了解决P2P业务和NAT共存问题,三无组NAT地址转换方式。

如下图,PC1和PC2是两台运行P2P业务的客户端,它们运行P2P应用时首先

和P2P服务器进行交互(登录、认证等操作),P2P服务器会记录客户端的地址和端口。如果PC1

位于内部网络,防火墙会对PC1访问P2P服务器的报文进行NAPT方式的转换,这样P2P服务器记录的是经过

转换后的公网地址和端口。当PC2需要下载文件时,服务器会将拥有文件的客户端的地址和端口

发送给PC2(如PC1的地址和端口),然后PC2 会向PC1发送请求,并从PC1上下载文件。

强叔侃墙_三无组NAT

上述交互过程看起来似乎很顺畅,但是对于P2P业务来说,存在两个问题。

(1)为了保持联系,PC1会定期向P2P服务发送报文,该报文在防火墙上经过NAPT方式的转换后,

NAPT方式决定了转换后的端口并不是固定的,会动态变化。这样的话,P2P服务器记录的PC1的地址 端口

的信息也要经常刷新,会影响P2P业务正常运行。

(2)更重要的是,根据防火墙的转发原理,只有P2P服务器返回给PC1的报文命中会话表后才能通过防火墙,

其他主机如PC2不能通过转换后的地址和端口来主动访问PC1,默认情况下,防火墙上的安全策略不允许

这一类的访问报文通过。
三元组NAT方式或以完美地解决上述肉个问题,因为三元组NAT方式在进行转换时有以下两个特点。

(1)对外呈现端口一致性

(2)支持外网主动访问

 

nat address-group lan 2

 mode full-cone local //指定模式为三元组NAT方式

 section 1 202.1.1.5 202.1.1.6

#

 

配置NAT策略

nat-policy

 rule name Policy_nat1

  source-zone trust

  destination-zone untrust

  source-address 192.168.1.0 24

  action nat address-group lan

配置安全策略

#

security-policy

 rule name policy1

  source-zone trust

  destination-zone untrust

  source-address 192.168.1.0 24

  action permit

#

验证

display firewall session table 

 Current Total Sessions : 1

 http  VPN: public -->public  192.168.1.2:2060[202.1.1.6:4096] -->210.1.1.2:80

从会话表中可以看到,P2P客户端地址民经转换为公网IP地址,端口也进行了转换。

重点看一下server-map表

 

display firewall server-map 

 Current Total Server-map : 2

 Type: FullConeDst,  ANY -> 202.1.1.6:6144[192.168.1.2:2061], Zone: untrust 

 Protocol: tcp(Appro: ---), TTL: 60,  Left-Time: 52, Pool: 2, Section: 1

 Vpn: public -> public, Hotversion: 1

 

 Type: FullConeSrc,  192.168.1.2:2061[202.1.1.6:6144] -> ANY, Zone: untrust 

 Protocol: tcp(Appro: ---), TTL: 60,  Left-Time: 57, Pool: 2, Section: 1

 Vpn: public -> public, Hotversion: 1

 

 

tjjingpan
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
强叔侃,网络技术,防火技术,,网络安全
11-15
华为网络技术,防火技术,强叔侃,网络安全技术,数通技术
强叔侃03.pdf
09-09
华为防火学习资料,强叔侃第一季03强叔侃第一季03强叔侃第一季03强叔侃第一季03强叔侃第一季03
三元组NAT
qq_47529104的博客
03-15 1327
概述 我们知道对于防火来说,在面对一些多通道协议的时候,比如FTP,为了放行后续建立的数据通道,防火的ASPF会自动的创建Server-map表项,然后再根据该Server-map表项创建相应的状态化表项,于是后续的数据通道就可以成功地建立。对于防火上的NAT来说,它的主要问题就是进行NAT地址转换之后,它的源端口和源IP都会进行动态的变化(如果是easy ip的话,只有端口会动态变化),那么对于远端的主机来说,他想要从外网区访问内网的主机可以说是几乎不可能,首先NAT也有对应的表项,且是动态消亡的
强叔侃
weixin_30393907的博客
08-03 251
https://forum.huawei.com/enterprise/forum.php?mod=collection&action=view&ctid=63 转载于:https://www.cnblogs.com/itzxy/p/9415715.html
Portal: 强叔侃
阿群的笔记(同步备份自简书)
02-11 734
http://blog.csdn.net/nanfeng1686/article/details/45742679
Matrix-addition.rar_matrix addition_nonzeromatrix_三元组相加
09-20
矩阵相加(三元组): 先建立稀疏矩阵的三元组存储结构。输入第一个矩阵的行数和列数和非零元素个数,并输入非零元所在位置和大小。输入第二个矩阵的非零元素个数并输入非零元所在位置和大小。然后处理这两个矩阵:...
migong.rar_migong_迷宫 三元组
09-19
求得的通路以三元组(i,j,d)的形式输出,其中:(i,j)指示迷宫中的一个坐标,d表示走到下一坐标的方向。如:对于下列数据的迷宫,输出的一条通路为:(1,1,1),(1,2,2),(2,2,2),(3,2,3),(3,1...
migong.rar_迷宫 三元组
09-22
求得的通路以三元组(i,j,d)的形式输出,其中:(i,j)指示迷宫中的一个坐标,d表示走到下一坐标的方向。如:对于下列数据的迷宫,输出的一条通路为:(1,1,1),(1,2,2),(2,2,2),(3,2,3),(3,1...
三元组、循环链表以及二叉查找树.zip_三元_三元组_二叉查找树_循环链表
09-21
本压缩包中的内容涉及了三个核心的数据结构概念:三元组、循环链表和二叉查找树,它们在编程和算法设计中都有着重要的应用。 首先,我们来看三元组(Triple)。三元组是一种用于表示三个元素的集合,常用于数据库...
maze-c.rar_binary_maze_迷宫 三元组
09-21
标题中的“maze-c.rar”表明这是一个关于C语言实现的迷宫问题的压缩文件,而“binary_maze_迷宫 三元组”则提示我们这个迷宫是二进制表示的,并且解决方法可能涉及到使用三元组来记录路径。描述中提到我们需要实现一...
强叔侃02期
07-23
华为防火强叔侃,以幽默风趣的方式讲解了防火技术!
华为防火技术-强叔侃电子期刊03期
05-10
华为防火技术 包括双机热备,VRRP,VGMP, HRP,就近选路,策略路由选路等。
华为防火技术-强叔侃电子期刊01期
05-10
华为防火技术-强叔侃电子期刊01期 包含基础知识、安全策略、攻击防范、NAT等...
华为USG必备教材强叔侃电子期刊
09-13
回首,伏案数载积沙为塔,呕心沥血终成书,方知路漫长; 前行,重装上阵再踏征程,技术钻研虽艰辛,不惧风雨狂。 斗转星移,暑来寒往,强叔侃第二季终于和大家见面了。岁月如白驹过隙,强叔在与时间赛跑过程中完成了多项工作。首先,整理第一季的贴子,修订错误完善内容;然后与出版社合作,统稿审校确认问题。另外,强叔团队还对比了产品差异,录制了操作视频。。。。回首这半载经历,强叔感叹技术钻研无止境,此间苦累难言表。所幸《华为防火技术漫谈》最终顺利出版上市,深感欣慰之余,也让强叔充满了力量再次出发。 在第二季技术贴中,强叔将为大家介绍反病毒、入侵防御、URL过滤、邮件过滤等内容安全特性,以及用户管理、虚拟系统、带宽管理等功能。同时结合华为下一代防火,讲解上述特性及功能的配置过程。希望通过自己微薄的力量,能够让大家了解下一代防火的技术原理,掌握配置方法。强叔也欢迎大家在线上积极互动,讨论问题答疑解惑,共同进步。 细推物理须行乐,何用浮名绊此身。对于网络工程师而言,调通一个网络定位一个问题,内心获得了快乐和满足,也许真的不用在乎功名利禄。不忘初心,方得始终,技术之路虽然充满艰难坎坷,但我们无惧风雨,坚定前行!
NAT技术详解
07-14
NAT网络地址转换技术详解。
NAT
du_lijun的博客
04-01 1414
一、NAT类型 根据转化方式的不同,NAT可以分为三类: 源NAT,源地址转化的NAT。 有:NO—PAT, NAPT, Easy_ip,Smart_nat, 三元组NAT 目的NAT:将目的地址做转化。 有:NAT-Server, SLB 双向NAT:即做源地址转化,又做目的地址转化 二、源natNAT是指对报文中的源地址进行转换。通过源NAT技术将私网IP地址转换成公网IP地址,使私网用户可以利用公网地址访问Internet。 1、NO—PA...
强叔侃 NATNAT Server 三十二字真言(上篇)_实验一正一反,出入自如去反存正,自断出路
荆盼的博客
12-25 1152
拓扑结构     1,VPN配置 采用web方式配置。 FW1配置 FW2配置 Vpn 协商策略 security-policy rule name untrust2local_vpn source-zone untrust destination-zone local source-address 1.1.1.2 32 destination-ad...
强叔侃_第5章_GRE L2TP
荆盼的博客
09-03 1333
说到L2TP VPN 必须先将镜头切到互联网发展初期,那个时代个人用户和企业用户大都通过电话线上网,当然企业分支机构和出差用户一般也通过“电话网络[学名PSTN/ISDN]“来接入总部网络。人们将这种基于PSTN/ISDN的VPN命名为VPDN(Virtual Private Dial Network),L2TP VPN是VPDN技术的一种,其他的VPDN技术已经逐步退出了历史舞台。 如图5-19所示,在传统的基于PSTN/ISDN的L2TP中,运营商在PSTN/ISDN和IP网络之间...
强叔侃_NAT_NAPT示例
荆盼的博客
08-18 542
NAPT(Network Address and Port Translation)表示网络地址和端口转换,即同时对IP地址和端口进行转换,也可称为PAT。NAPT 是一种应用广泛的地址转换方式。可以利用少量的公网IP地址来满足大量私网用户 访问Internet的需求。 NAPT方式和NAT No-PAT 方式在配置上的区别仅在于:NAPT方式的NAT策略在引用NAT地址池时,不配置关键字"no-
ensp 三元组nat实验
最新发布
04-20
ensp是一种网络仿真平台,用于模拟和测试网络环境。它可以帮助用户构建复杂的网络拓扑,并进行各种网络实验和性能测试。 三元组(Triple)是指由三个元素组成的有序集合。在网络中,三元组通常用于表示网络流量的源IP地址、目的IP地址和协议类型。nat是网络地址转换(Network Address Translation)的缩写,是一种常见的网络技术,用于将私有IP地址转换为公共IP地址,以实现多个设备共享一个公共IP地址的功能。 因此,ensp三元组nat实验可以理解为在ensp平台上进行网络地址转换实验,通过模拟不同的源IP地址、目的IP地址和协议类型,来测试和验证网络地址转换的功能和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值