如何高效测试防火墙的NAT64与ALG应用协议转换能力

在本文开始介绍如何去验证防火墙（DUT）支持NAT64 ALG应用协议转换能力之前，我们先要简单了解2个比较重要的知识点，即，NAT64和ALG这两个家伙到底是什么？

网络世界中的“翻译官” - NAT64技术

简而言之，NAT64技术堪称网络世界的“翻译官”，其核心功能在于实现IPv6与IPv4之间的无缝转换，即能将IPv6协议下的网络语言“翻译”为IPv4所理解的语言，反之亦然。这一转换机制有效促进了两种原本独立的网络体系之间的融合与共存，进而实现顺畅的数据交互，具体来说，NAT64的主要作用有以下几点：

• 实现网络地址转换：NAT64技术巧妙地将IPv6网络地址与IPv4网络地址进行相互转换，无论是从IPv6到IPv4，还是从IPv4到IPv6，均能无缝对接。这一转换机制赋予了IPv6主机访问IPv4资源的能力，同时也为IPv4主机敞开了通往IPv6资源的大门，从而极大地促进了两种不同协议版本网络之间的互联互通。
• 促进IPv6的推广和部署： NAT64技术作为一种先进的过渡方案，有效促进了现有IPv4系统与IPv6系统的顺畅通信，显著降低了对IPv4的依赖，为IPv6的广泛推广和无缝部署奠定了坚实基础。
• 简化网络管理： 在IPv6过渡阶段，运营商仅需专注于分配IPv6地址，从而免除了IPv4地址的维护需求，极大地简化了网络管理的复杂流程，提升了整体运营效率。
• 提高安全性： 采用NAT64技术的地址转换，可以避免内部网络受到外部攻击，从而提高网络的安全性。

值得注意的是，尽管NAT64技术如同网络世界中的出色“翻译官”，但并非万能无缺。偶尔，它也会遭遇小挑战，如翻译速度放缓，甚至可能导致某些应用程序“情绪化”。想象一下，与外国朋友交流时突然遇到语言障碍或误解，难免令人尴尬。因此，在部署NAT64技术之前，我们必须进行严格的测试。通过模拟各种复杂场景，考察其反应速度和翻译准确性。只有当NAT64技术经受住考验，展现出足够的稳定性和可靠性时，我们才能放心地将其投入使用，确保网络性能持续稳定，不受影响。

“翻译小助手” - ALG技术

而ALG技术算的上是“翻译小助手”了。由于某些应用协议特别敏感，任何细微变动都可能导致其“罢工”，因此ALG专门负责在NAT64翻译过程中为这些应用协议提供“保护伞”，确保它们能够无障碍地“穿越”防火墙。具体来说，ALG技术的作用主要集中在对应用层数据载荷的精细处理上，它能够精准识别并妥善处理典型应用协议IP报文数据载荷中携带的地址和端口信息。在NAT64场景中，地址转换主要聚焦于IP层，而应用层数据载荷中的IP地址则不会被转换，这可能导致某些协议在通信过程中遭遇障碍。而有了ALG这位“翻译小助手”的协助，NAT64能够更有效地解决这一问题，确保网络通信的流畅无阻。

验证防火墙NAT64 ALG应用协议转换能力的测试方法

简单介绍完NAT64和ALG这两个家伙后，我们言归正传，聊聊如何去验证防火墙NAT64 ALG应用协议转换能力。首先，信而泰公司网络应用及安全测试仪DarPeng2000E可以作为有效测试工具，协助完成本次验证测试。

图1 验证防火墙NAT64 ALG应用协议转换能力测试拓扑

如图1所示，分别将DarPeng2000E网络测试仪上的2个测试业务口与被测设备，即防火墙互连。其中，一个测试业务口模拟1个或多个应用协议Client客户端，网络地址类型为IPv6地址，另外一个测试业务口模拟1个或多个应用协议Sever服务器，网络地址类型为IPv4地址。防火墙上除了网络基础配置外，还要配置NAT64前缀及地址转换表，并开启ALG功能，至此验证测试的基础环境就准备完成了，接下来我们再看看网络测试仪中的一些关键配置。
首先，查看网络测试仪ALPS测试软件中的网络邻居列表配置。在保证2个测试业务口的网络地址类型及地址配置正确的前提下，需要将Sever端的网络特殊前缀功能开启，且IPv6前缀配置要与防火墙中的参数保持一致。

图2 ALPS测试软件网络邻居列表配置

其次，创建符合测试要求的应用协议流量，这里以FTP应用协议为例（可以使用测试仪表中的默认流量模版），并且配置CPS性能测试例。

图3 ALPS测试软件测试例应用流量模型配置

这里使用什么类型的应用协议做测试，取决于防火墙中开启的ALG类型，本次测试防火墙ALG配置如下：

测试开始后，可以实时查看到应用协议在NAT64 ALG场景下CPS性能测试统计结果。CPS性能测试时，主要关注TCP Attempt Rate，Establish Rate，Failed Rate，Closed Rate，Concurrent Count这五个统计项。

图4 ALPS测试软件统计结果

最后，我们在网络测试仪Client端和Sever端开启捕获功能，看一下测试过程中报文交互的具体情况。

图5 网络测试仪Client端捕获报文结果

如图5所示，源IPv6地址为2001:db8:405::1235/48且端口号为1329的Client端向目的地址为IPv4 1.1.1.2/24的Sever端发起TCP连接。由于网络测试仪在Sever端配置了特殊的IPv6前缀为3001::/48（与防火墙配置一致），故目的IPv4地址1.1.1.2被内嵌到IPv6前缀地址中了，即，目的地址为ipv6 3001::101:1:200:0:0。
这条IPv6报文流量经过防火墙匹配到NAT64策略后，会将源IPv6地址替换成源IPv4地址。测试过程中通过display firewall ipv6 session table 命令查看防火墙IPv6会话表。

图6 防火墙IPv6会话表

会发现源IPv6地址为2001:db8:405::1235/48且端口号为1329，目的IPv6地址为3001::101:1:200:0:0且端口号为21的IPv6报文被转换成源IPv4地址为1.1.1.44且端口号为60944，目的IPv4地址为1.1.1.2且端口号为21的IPv4报文进行转发。

图7 网络测试仪Sever端捕获报文结果

如图7所示，经过NAT64转换后，Client客户端与Sever服务端按照预期通过三次握手成功建立起TCP连接，至此NAT64转换能力验证成功。
我们再来对比一下Client端与Sever端报文中的FTP Request报文，如下图所示，

FTP Request报文载荷中关于IP地址信息同样被转换了，至此验证防火墙支持NAT64 ALG应用协议转换能力测试完成。

DarPeng2000E应用及安全网络测试仪

DarPeng2000E是一款由信而泰精心打造的高性能网络测试仪，专为语音、视频、数据应用及网络安全而设计。它具备卓越的能力，能够精确模拟数百万真实终端用户的网络访问行为，从而针对单个应用层感知设备（如Firewall、IPS、IDS、WAF、DPI等）或整个系统进行深度、全面的压力测试、性能测试及安全测试。此外，DarPeng2000E还支持NAT44、NAT66、NAT46、NAT64及负载均衡等多样化网络场景测试，为网络安全及性能评估提供了全面且可靠的解决方案。