第四章 网络地址转换技术.

Presentation on theme: "第四章 网络地址转换技术."— Presentation transcript:

0 本页不打印 修订记录 课程编码 适用产品 产品版本 课程版本ISSUE 开发/优化者 时间 审核人 开发类型（新开发/优化）
HC 华为防火墙 V300R001 V1.0 开发/优化者 时间 审核人 开发类型（新开发/优化） 陈灵光 2011.7 余雷 第一版 王锐 2013.5 优化

1 第四章 网络地址转换技术

2 目标 学完本课程后，您将能够: 掌握NAT的技术原理 掌握NAT几种应用方式 掌握防火墙的NAT配置

3 目录 网络地址转换技术介绍 基于源IP地址NAT技术 基于目的IP地址NAT技术 双向NAT技术 NAT应用场景配置

4 NAT产生背景 IPv4地址日渐枯竭 IPv6技术不能立即大面积替换 各种延长IPv4寿命的技术不断出现，NAT就是其中之一。
早在上世纪90年代初，有关RFC文档就提出IP地址耗尽的可能性。基于TCP/IP协议的 Web应用使互联网迅速扩张，IPv4地址申请量越来越大。互联网可持续发展的问题日益严 重。中国的运营商每年向ICANN申请的IP地址数量为全球最多。曾经有专家预言，根据互 联网的发展速度，到2011年左右，全球可用的IPv4地址资源将全部耗尽。 IPv6的提出，就是为了从根本上解决IPv4地址不够用的问题。IPv6地址集将地址位数 从IPv4的32位扩展到了128位。对于网络应用来说，这样的地址空间几乎是无限大。因此 IPv6技术可以从根本上解决地址短缺的问题。但是，IPv6面临着技术不成熟、更新代价巨 大等尖锐问题，要想替换现有成熟且广泛应用的IPv4网络，还有很长一段路要走。 既然不能立即过渡到IPv6网络，那么必须使用一些技术手段来延长IPv4的寿命。而技 术的发展确实有效延缓了IPv4地址的衰竭，专家预言的地址耗尽的情况并未出现。其中广 泛使用的技术包括无类域间路由（CIDR， Classless Inter-Domain Routing）、可变长子 网掩码（VLSM， Variable Length Subnet Mask）和网络地址转换（NAT， Network Address Translation）。

5 为什么需要NAT? NAT技术主要应用是实现大量的私网地址对少量公网地址的转换。保障通信在基础上节约IP地址资源。
私网地址不能在公网中路由，否则将导致通信混乱 ，私网地址？ 不知道路由 无NAT情况下私网与公网的通信 不做处理 内网用户 FTP Server 丢弃 目的IP： 源IP： 私网地址出现的目的是为了实现地址的复用，提高IP地址资源的利用率，为了满足一 些实验室、公司或其他组织的独立于Internet之外的私有网络的需求，RFCA（Requests For Comment）1918为私有使用留出了三个IP地址段。具体如下： A类IP地址中的 ～ （ /8） B类IP地址中的 ～ （ /12） C类IP地址中的 ～ （ /16） 上述三个范围内的地址不能在Internet上被分配，因而可以不必申请就可以自由使用 内网使用私网地址，外网使用公网地址，如果没有NAT将私网地址转换为公网地址， 会造成通信混乱，最直接的后果就是无法通信。 使用私网地址和外网进行通信，必须使用NAT技术进行地址转换，保证通信正常。

6 NAT技术的基本原理 NAT技术通过对IP报文头中的源地址或目的地址进行转换，可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网。
将私网源地址替换为公网地址 目的IP： 源IP： 目的IP： 源IP： 内网用户 FTP Server 源IP： 目的IP： NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程，主要用于实现内部 网络（私有IP地址）访问外部网络（公有IP地址）的功能。从实现上来说，一般的NAT转 换设备（实现NAT功能的网络设备）都维护着一张地址转换表，所有经过NAT转换设备并 且需要进行地址转换的报文，都会通过这个表做相应的修改。 地址转换的机制分为如下两个部分： 内部网络主机的IP地址和端口转换为NAT转换设备外部网络地址和端口。 外部网络地址和端口转换为NAT转换设备内部网络主机的IP地址和端口。 也就是<私有地址+端口>与<公有地址+端口>之间相互转换。 NAT转换设备处于内部网络和外部网络的连接处。内部的PC与外部服务器的交互报 文全部通过该NAT转换设备。常见的NAT转换设备有路由器、防火墙等。 目的IP： 源IP： 将公网目的地址替换为私网地址

7 NAT分类 转换的方向（Inbound、Outbound） 端口是否转换（No-Pat、NAPT） NAT server 目的NAT
基于源IP地址 转换的方向（Inbound、Outbound） 端口是否转换（No-Pat、NAPT） 基于目的IP地址 NAT server 目的NAT NAT功能包括对源IP地址进行转换，和对目的IP地址进行转换两种方式。 其中，基于源IP地址的转换可以从以下两个方面进行划分： 转换的方向。按照转换的方向可以将源IP地址转换划分为以下两类： Inbound方向：数据包由低安全级别的安全区域向高安全级别的安全区域方向传 输时，基于源IP地址进行的转换。 Outbound方向：数据包由高安全级别的安全区域向低安全级别的安全区域方向传 输时，基于源IP地址进行的转换。 端口是否转换。按照端口是否转换可以将源IP地址转换划分为以下两类： No-PAT( Port Address Translation )方式的NAT：主要用于一对一的IP地址的 转换，端口不进行转换。 NAPT( Network Address Port Translation )方式的NAT：主要用于多对一或多 对多的地址转换，转换时地址和端口号同时进行转换。 按照功能不同，可以将基于目的IP地址的转换分为以下两类： NAT Server：主要应用于实现私网服务器以公网IP地址对外提供服务的场景。 目的NAT：主要应用于实现手机用户上网时，手机的缺省WAP网关与所在地运营商的实 际WAP网关不一致，导致需要修改报文的目的网关地址的场景。

8 NAT分类 转换的方向（Inbound、Outbound） 端口是否转换（No-Pat、NAPT） NAT server 目的NAT
基于源IP地址 转换的方向（Inbound、Outbound） 端口是否转换（No-Pat、NAPT） 基于目的IP地址 NAT server 目的NAT 在某些场景下，既要对源IP地址进行转换，又要对目的IP地址进行转换，被称为双向 NAT。常见的场景包括： NAT Inbound和NAT Server一起使用：主要用于简化配置NAT Server时的路由配置。 域内NAT和NAT Server一起使用：主要应用于实现私网用户以公网地址访问属于同一 安全区域的私网服务器的场景。

9 NAT的优点与缺点 优点 缺点 实现IP地址复用，节约宝贵的地址资源 地址转换过程对用户透明 对内网用户提供隐私保护
可实现对内部服务器的负载均衡 缺点 网络监控难度加大 限制某些具体应用 NAT技术除了可以实现地址复用，节约宝贵IP地址资源的优点外，还有其他一些优点 ，NAT技术的发展，也不断吸收先进的理念，总的来说，NAT的优点和不足如下： NAT的优点 可以使一个局域网中的多台主机使用少数的合法地址访问外部的资源，也可以设定内 部的WWW、FTP、Telnet等服务提供给外部网络使用，解决了IP地址日益短缺的问题。 对于内外网络用户，感觉不到IP地址转换的过程，整个过程对于用户来说是透明的。 对内网用户提供隐私保护，外网用户不能直接获得内网用户的IP地址、服务等信息， 具有一定的安全性。 通过配置多个相同的内部服务器的方式可以减小单个服务器在大流量时承担的压力， 实现服务器负载均衡。 NAT的不足 由于需要对数据报文进行IP地址的转换，涉及IP地址的数据报文的报头不能被加密。 在应用协议中，如果报文中有地址或端口需要转换，则报文不能被加密。例如，不能使用 加密的FTP连接，否则FTP的port命令不能被正确转换。 网络监管变得更加困难。例如，如果一个黑客从内网攻击公网上的一台服务器，那么 要想追踪这个攻击者很难。因为在报文经过NAT转换设备的时候，地址经过了转换，不能 确定哪台才是黑客的主机。

10 目录 网络地址转换技术介绍 基于源IP地址NAT技术 基于目的IP地址NAT技术 双向NAT技术 NAT应用场景配置

11 基于源IP地址NAT技术概述 基于源IP地址转换 基于源IP地址和端口转换 转换 转换 源9.9.9.9 目的1.1.1.1
源 目的 源 目的 Trust Untrust 转换 源 源端口X 目的 源 源端口Y 目的 基于源IP地址的NAT是指对发起连接的IP报文头中的源地址进行转换。它可以实现内 部用户访问外部网络的目的。通过将内部主机的私有地址转换为公有地址，使一个局域网 中的多台主机使用少数的合法地址访问外部资源，有效的隐藏了内部局域网的主机IP地址 ，起到了安全保护的作用。由于一般内网区域的安全级别比外网高，所以这种应用又称为 NAT Outbound。 基于源IP地址和端口转换，一般情况下源端口X=源端口Y，即保持原端口信息，并表 现在会话表项。此种转化方式需保证会话表项的唯一性。 Trust Untrust

12 NAT Outbound与NAT Inbound区别
低安全区域 高安全区域 转换 源 目的 源 目的 Trust Untrust Inbound 高安全区域 转换 低安全区域 NAT Outbound与NAT Inbound区别，主要在于基于源IP地址转换是由高优先级至低 优先级，还是低优先级至高优先级。他们的共同点都是进行源IP地址转换。 源 目的 源 目的 DMZ Untrust

13 基于端口是否转换的NAT No-PAT( Port Address Translation)。主要用于一对一的IP地址的转换，端口不进行转换。 将不同的内部地址映射到同一公有地址的不同端口号上，实现多对一地址转换。主要利用NAPT技术实现多对一地址转换。 丢弃 NAT No-PAT可以称为“一对一地址转换”，在地址转换过程中，数据包的源IP地址 由私网地址转换为公网地址，但端口号不做转换。 例如，地址池中的公网IP地址只有两个。由于一台私网主机在借用其中的一个公网IP 访问公网时，会占用这个IP的所有端口。因此，这种情况只允许最多有两台私网主机同时 访问公网，其他的私网主机要等到其中一台主机不再访问公网，它占用的公网IP地址被释 放后，才可以再进行NAT访问公网。 网络地址端口转换（NAPT， Network Address Port Translation）也能实现并发的地 址转换。它允许多个内部地址使用一个公有地址访问Internet，也可称之为“多对一地址 转换”或 “地址复用”。 NAPT是一种利用第四层信息来扩展第三层地址的技术，一个IP地址有65535个端口 可以使用。理论上来说，一个地址可以为其他65535个地址提供NAPT转换，NAPT还能将 来自不同内部地址的数据报文映射到同一公有地址的不同端口号上，因而仍然能够共享同 一地址，对比一对一或多对多地址转换。这样极大的提升了地址空间，增加了IP地址的利 用率。 因此NAPT是最常用的一种地址转换方式。 在NAPT方式中，还可以直接借用设备与外网相连的接口的IP地址作为转换后的IP地 址，这种借用接口IP做NAT的应用又称为easy-ip。直接借用接口IP地址作为公网地址的情 况下，不需要创建NAT地址池。 ：7111 ：7112 ：7113

14 基于源IP地址转换的配置（命令行） 在系统视图下，配置NAT地址池 在系统视图下，进入域间NAT策略视图 创建NAT策略，进入策略ID视图
nat address-group group-number [group-name] start-address end-address 在系统视图下，进入域间NAT策略视图 nat-policy interzone zone-name1 zone-name2 {inbound | outbound} 创建NAT策略，进入策略ID视图 policy [ policy-id ] Policy source { source-address source-wildcard |……} Policy destination { source-address source-wildcard |……} Policy service service-set {service-set-name} action { source-nat |no-nat} Address-group {number | name} no-pat NAT地址池是指用NAT转换时用于分配的公网IP地址范围。进行转换时，设备会从该 地址池中随机选择一个地址，用于替换报文中的源IP地址。不进行端口转换。 进入NAT域间进行NAT转换的源IP地址所在的两个安全区域，域间的方向的选择与包 过滤一致，当源地址所在安全区域的优先级比目的地址所在安全区域高，则应选择 outbound，反之，则应选择inbound。在NAT No-pat应用中，需要进行NAT转换的源IP地 址是内网用户的IP地址，所以此处的流的方向应该是从内网流入外网。外网安全区域的安 全级别一般比内网低，所以这里一般选择outbound。 同一个域间NAT策略视图下可配置多个NAT策略。缺省情况下，越先配置的策略，优 先级越高，越先匹配报文。 NAPT与NAT No-pat主要区别在于，NAPT除了转换源IP地址外，还进行端口转换， 即不需要配置no-pat参数。 在NAPT情况下，若直接使用设备与外网相连的接口的IP地址作为转换后的源IP地址 ，可执行命令easy-ip interface-type interface-number，配置NAT策略直接引用接口IP地 址。

15 NAT 地址池 NAT地址池是一些连续的IP地址集合，当来自私网的报文通过地址转换到公网IP时，将会选择地址池中的某个地址作为转换后的地址
nat address-group group-number [ group-name ] start-address end-address [ vrrp virtual-router-ID ] nat address-group pool NAT地址池中的地址可以是一个公网IP地址，也可以是多个公网IP地址。 在配置基于源IP地址的NAT与域内NAT时，需要首先配置NAT地址池，然后将NAT地 址池与policy绑定，通过选择不同的参数，实现不同功能的NAT。 在配置NAT地址池的时候，地址池中的地址个数不能超过4096。当地址个数超过256 时，该地址池只能被No-PAT的方式引用。 当某地址池已经和policy关联时，不允许删除这个地址池。 配置NAT地址池时，应将上网接口地址和地址池配置在同一网段，即和分配的公网IP 地址在同一网段；如果地址池所在网段与上网接口不在同一个网段，注意需要在USG的下 一跳路由器上配置到地址池的路由。 当设备同时应用于双机热备组网时，如果NAT地址池地址与VRRP备份组虚拟IP地址 不在同一网段，不需要配置vrrp关键字；如果NAT地址池中的地址与VRRP备份组虚拟IP 地址在同一网段，需要配置vrrp关键字，且virtual-router-id为NAT出接口对应的VRRP备份 组的ID。否则可能导致业务中断。 组号 组名 起始地址 终止地址

16 基于源IP地址转换的配置（Web） NAT地址池配置 设置地址池范围 在Web配置界面中，配置NAT地址池的步骤为：
选择“防火墙 > NAT > 源NAT > NAT地址池”。 在“NAT地址池列表”中，单击“新建”。 依次输入或选择各项参数。 设置地址池范围

17 基于源IP地址转换的配置（Web） 指定源和目的安全区域 指定源和目的地址
选择“防火墙 > NAT > 源NAT > 源NAT”。 在“源NAT策略列表”中，单击“新建”。 依次输入或选择各项参数。 在使用Web配置界面中，没有单独设置outbound和inbound的选项，对于inbound和 outbound方向的指定，根据源安全区域和目的安全区域来确定。 如果设置转换后的IP地址为接口IP地址，则该种方式等同于命令行中的esay ip命令。

18 为什么需要NAT ALG？ NAT ALG（Application Level Gateway，应用级网关）是特定的应用协议的转换代理，可以完成应用层数据中携带的地址及端口号信息的转换 以太网首部 IP首部 TCP首部 应用数据 以太网尾部 ﹖ NAT可以转换的部分 在以太网数据帧结构中，IP首部包含32位的源IP地址和32位的目的IP地址，TCP首部 包含16位的源端口号和16位的目的端口号。 但是很多协议会通过IP报文的数据载荷进行新端口甚至新IP地址的协商。协商完成之 后，通信双方会根据协商结果建立新的连接进行后续报文的传输。而这些协商出来的端口 和IP地址往往是随机的，管理员并不能为其提前配置好相应的NAT规则，这些协议在NAT 转换过程中就会出现问题。 普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能，但对应用层数据 载荷中的字段无能为力，在许多应用层协议中，比如多媒体协议（H.323、SIP等）、FTP 、SQLNET等，TCP/UDP载荷中带有地址或者端口信息，这些内容不能被NAT进行有效 的转换，就可能导致问题。而NAT ALG（Application Level Gateway，应用层网关）技术 能对多通道协议进行应用层报文信息的解析和地址转换，将载荷中需要进行地址转换的IP 地址和端口或者需特殊处理的字段进行相应的转换和处理，从而保证应用层通信的正确性 。 例如，FTP应用就由数据连接和控制连接共同完成，而且数据连接的建立动态地由控 制连接中的载荷字段信息决定，这就需要ALG来完成载荷字段信息的转换，以保证后续数 据连接的正确建立。 为了实现应用层协议的转发策略而提出了ASPF功能。ASPF功能的主要目的是通过对 应用层协议的报文分析，为其开放相应的包过滤规则，而NAT ALG的主要目的，是为其 开放相应的NAT规则。由于两者通常都是结合使用的，所以使用同一条命令就可以将两者 同时开启。

19 NAT ALG实现原理 FTP主动模式下的NAT ALG应用 私网 公网 Host 192.168.1.2 NAT ALG
<------> FTP Server Host与FTP Server之间建立控制连接 发送PORT报文 （ ,1084） ALG处理 PORT报文载荷已被转换 （ , ） 图中私网侧的主机要访问公网的FTP服务器。NAT设备上配置了私网地址 到公网地址 的映射，实现地址的NAT转换，以支持私网主机对公网的访问。组网 中，若没有ALG对报文载荷的处理，私网主机发送的PORT报文到达服务器端后，服务器 无法根据私网地址进行寻址，也就无法建立正确的数据连接。整个通信过程包括如下四个 阶段： 私网主机和公网FTP服务器之间通过TCP三次握手成功建立控制连接。 控制连接建立后，私网主机向FTP服务器发送PORT报文，报文中携带私网主机 指定的数据连接的目的地址和端口，用于通知服务器使用该地址和端口和自己进 行数据连接。 PORT报文在经过支持ALG特性的NAT设备时，报文载荷中的私网地址和端口会 被转换成对应的公网地址和端口。即设备将收到的PORT报文载荷中的私网地址 转换成公网地址 ，端口1084转换成12487。 公网的FTP服务器收到PORT报文后，解析其内容，并向私网主机发起数据连接 ，该数据连接的目的地址为 ，目的端口为12487（注意：一般情况下， 该报文源端口为20，但由于FTP协议没有严格规定，有的服务器发出的数据连接 源端口为大于1024的随机端口，如本例采用的是wftpd服务器，采用的源端口为 3004）。由于该目的地址是一个公网地址，因此后续的数据连接就能够成功建 立，从而实现私网主机对公网服务器的访问。 FTP Server向Host发起数据连接 （ ,  , 12487） FTP Server向Host发起数据连接 （ ,  , 1084） 在已经建立的数据连接上进行数据传输

20 NAT与Server Map表 NAT ALG通过 server-map表中的转换字段，可以转换上层的信息
配置NAT No-PAT 设备会自动生成Server-map表项，用于存放Global地址与Inside地址的映射关系。 设备会为已配置的多通道协议产生的有实际流量的数据流建立Server-map表。 通常情况下，如果在设备上配置严格包过滤，那么设备将只允许内网用户单方向主动 访问外网。但在实际应用中，例如使用FTP协议的port方式传输文件时，既需要客户端主 动向服务器端发起控制连接，又需要服务器端主动向客户端发起服务器数据连接，如果设 备上配置的包过滤为允许单方向上报文主动通过，则FTP文件传输不能成功。 为了解决这一类问题，USG设备引入了Server-map表，Server-map基于三元组，用 于存放一种映射关系，这种映射关系可以是控制数据协商出来的数据连接关系，也可以是 配置NAT中的地址映射关系，使得外部网络能透过设备主动访问内部网络。 生成Server-map表之后，如果一个数据连接匹配了Server-map表项，那么就能够被 设备正常转发，而不需要去查会话表，这样就保证了某些特殊应用的正常转发。 配置NAT Server成功后，设备会自动生成Server-map表项，用于存放Global地址与 Inside地址的映射关系。 当不配置“no-reverse”参数时，每个生效的NAT Server都会生成正反方向两个静态 的Server-map；当配置了“no-reverse”参数时，生效的NAT Server只会生成正方向静态 的Server-map。用户删除NAT Server时，Server-map也同步被删除。 配置NAT No-PAT后，设备会为已配置的多通道协议产生的有实际流量的数据流建立 Server-map表。

21 目录 网络地址转换技术介绍 基于源IP地址NAT技术 基于目的IP地址NAT技术 双向NAT技术 NAT应用场景配置

22 NAT Server-内部服务器 内部服务器(Nat Server)功能是使用一个公网地址来代表内部服务器对外地址。
源IP地址 目的 源IP地址 目的 转换 真正的地址 公网地址 DMZ untrust WWW服务器 外网用户 NAT Server，即内部服务器。NAT隐藏了内部网络的结构，具有“屏蔽”内部主机的 作用。但是在实际应用中，可能需要提供给外部一个访问内部主机的机会，如提供给外部 一台WWW的服务器，而外部主机根本没有指向内部地址的路由，因此无法正常访问。这 时可以使用内部服务器（Nat Server）功能来实现这个功能应用。 使用NAT可以灵活地添加内部服务器。例如：可以使用 等公网地址作为 Web服务器的外部地址，甚至还可以使用 :8080这样的IP地址加端口号的方式 作为Web的外部地址。 外部用户访问内部服务器时，有如下两部分操作： 防火墙将外部用户的请求报文的目的地址转换成内部服务器的私有地址。 防火墙将内部服务器的回应报文的源地址（私网地址）转换成公网地址。 防火墙支持基于安全区域的内部服务器。例如，当需要对处于多个网段的外部用户提 供访问服务时，防火墙结合安全区域配置内部服务器可以为一个内部服务器配置多个公网 地址。通过配置防火墙的不同级别的安全区域对应不同网段的外部网络，并根据不同安全 区域配置同一个内部服务器对外的不同的公网地址，使处于不同网段的外部网络访问同一 个内部服务器时，即通过访问对应配置的公网地址来实现对内部服务器的访问能力。 在防火墙上，专门为内部的服务器配置一个对外的公网地址来代表私网地址。对于外网用户来说，防火墙上配置的外网地址就是服务器的地址。

23 基于NAT Server的配置（命令行） 在系统视图下:
nat server [ id ] protocol protocol-type global { global-address [ global-address-end ] | interface interface-type interface-number } inside host-address [ host-address- end ] [ vrrp ｛ virtual-router-id | master | slave } ] [ no-reverse ] … 例：nat server protocol tcp global inside www IP协议承载的协议类型 转换后的公网地址 内部server实际地址 服务类型 NAT Server是最常用的基于目的地址的NAT。当内网部署了一台服务器，其真实IP是 私网地址，但是希望公网用户可以通过一个公网地址来访问该服务器，这时可以配置NAT Server，使设备将公网用户访问该公网地址的报文自动转发给内网服务器。 针对配置NAT Server ，有以下不同类型： 对所有安全区域发布同一个公网IP，即这些安全区域的用户都可以通过访问同一个公 网IP来访问内部服务器。 与发布不同的公网IP相比，发布同一个公网IP地址时多了个参数no-reverse。配置不 带no-reverse参数的nat server后，当公网用户访问服务器时，设备能将服务器的公网地 址转换成私网地址；同时，当服务器主动访问公网时，设备也能将服务器的私网地址转换 成公网地址。 参数no-reverse表示设备只将公网地址转换成私网地址，不能将私网地址转换成公网 地址。当内部服务器主动访问外部网络时需要执行outbound的nat策略，引用的地址池里 必需是nat server配置的公网IP地址，否则反向NAT地址与正向访问的公网IP地址不一致， 会导致网络连接失败。 多次执行带参数no-reverse的nat server命令，可以为该内部服务器配置多个公网地 址；未配置参数no-reverse则表示只能为该内部服务器配置一个公网地址。 针对不同的安全区域发布不同的公网IP，即不同安全区域的用户可以通过访问不同的 公网IP来访问内部服务器。适用于内部服务器向不同的运营商网络提供服务，且在每个运 营商网络都拥有一个公网IP的情况。

24 基于NAT Server的配置（Web） 选择映射方式，可以选择一对一和多对多地址映射 选择承载协议和端口转换信息
在Web配置界面中，配置NAT Server的配置步骤如下： 选择“防火墙 > NAT > 虚拟服务器”。 在“虚拟服务器列表”中，单击“新建”。 依次输入或选择各项参数。 映射方式一共有三种方式可选，一对一地址映射、内部地址映射外部端口、内部地址 映射外部地址： 一对一地址映射 此种方式，将内部地址和外部地址进行一对一映射，内部地址的端口和外部地址的端 口也进行一对一映射。 内部地址映射外部端口 此种方式，将内部地址（单个IP或者网段）映射为一个外部地址。当内部地址为单个 IP时，外部地址对应配置一个外部端口；当内部地址为一个网段时，外部地址对应配置相 同数量范围的外部端口。 内部地址映射外部地址 此种方式，将同网段内的内网服务器地址映射为相同数量且连续的公网IP地址，端口 转换为可选配置，内部端口和外部端口都只能配置一个端口。 选择承载协议和端口转换信息 设置外部地址和内部地址，此处的外部地址选择外部的接口

25 目的NAT 基站 防火墙 GGSN GSR WAP网关 在移动终端访问无线网络时，如果其缺省WAP网关地址与所在地运营商的WAP网关地址不一致时，可以在终端与WAP网关中间部署一台设备，并配置目的NAT功能，使设备自动将终端发往错误WAP网关地址的报文自动转发给正确的WAP网关。 手机用户需要通过登录WAP（Wireless Application Protocol）网关来实现上网的功能 。目前，大量用户使用直接从国外购买的手机，这些手机出厂时，缺省设置的WAP网关地 址与本国WAP网关地址不符，且无法自行修改，从而导致用户不能移动上网。为解决这一 问题，无线网络中，在WAP网关与用户之间部署防火墙。通过在设备上配置目的NAT功能 ，使这部分手机用户能够正常获取网络资源。 当手机用户上网时，目的NAT处理过程如下： 当手机用户上网时，请求报文经过基站及其他中间设备到达防火墙。 到达防火墙的报文如果匹配防火墙上所配置的目的NAT策略，则将此数据报文的目的 IP地址转换为已配置好的WAP网关的IP地址，并送往WAP网关。 WAP网关对手机客户端提供相应的业务服务（如视频服务、网页服务等），并将回应 报文发往防火墙。 回应报文在防火墙上命中会话，防火墙转换该报文的源IP地址，并将该报文发往手机 用户，完成一次通信。 这里我们可以把WAP网关理解为代理服务器。

26 基于目的NAT的配置（命令行） 在系统视图下，进入安全区域视图，配置目的NAT
firewall zone [ name ] zone-name destination-nat acl-number address ip-address [ port port-number ] 举例： [USG] firewall zone trust [USG-zone-trust] destination-nat 3333 address 目的NAT，是通过ACL标识需转发目的IP地址的数据流，ACL是达成此应用场景的关 键，即需要了解目前WAP网关IP地址有哪些，然后再通过ACL对WAP网关IP地址进行定 义。 备注：目的NAT不支持与NAT ALG同时使用。 此处的ACL，应该严格配置，避免非WAP业务数据流被destination-nat命令引用，从 而导致非WAP业务中断。 此处只能引用范围为3000～3999的高级ACL。

27 基于目的NAT的配置（Web） 源安全区域通常为用户所属的安全区域。源地址为来自源安全区域的报文的源IP地址。
在Web配置界面中，基于目的的NAT配置步骤如下： 选择“防火墙 > NAT > 目的NAT”。 在“目的NAT策略列表”中，单击“新建”。 依次输入或选择各项参数。 在配置参数中，源安全区域通常为用户所属的安全区域，转换后的IP地址为目的IP地 址，通常为本地运营商的WAP网关的IP地址。 配置转换后的IP地址通常为本地运营商的WAP网关的IP地址

28 目录 网络地址转换技术介绍 基于源IP地址NAT技术 基于目的IP地址NAT技术 双向NAT技术 NAT应用场景配置

29 双向NAT技术 双向NAT两种应用场景: NAT Server + NAT Inbound NAT Server + 域内NAT
双向NAT应用场景的通信双方访问对方的时候目的地址都不是真实的地址，而是NAT 转换后的地址。而outbound方向、inbound方向、内部服务器等应用都是只是针对某一方 来进行地址转换。 一般来说，内网属于高优先级区域，外网属于低优先级区域。当低优先级安全区域的 外网用户访问内部服务器的公网地址时，会将报文的目的地址转换为内部服务器的私网地 址，但内部服务器需要配置到该公网地址的路由。 如果要避免配置到公网地址的路由，则可以配置从低优先级安全区域到高优先级安全 区域方向的NAT，即inbound 方向的NAT。同一个安全区域内的访问需要作NAT，则需要 配置域内NAT功能。

30 域间双向NAT 为了简化配置服务器至公网的路由，可在NAT Server基础上，增加NAT Inbound配置。 NAT Inbound
私网IP地址 DMZ Untrust 外网服务器 Internet用户 真正IP地址 对外 公网地址 为了简化配置服务器至公网的路由，可在NAT Server基础上，增加NAT Inbound配置。 当配置NAT Server时，服务器需要配置到公网地址的路由才可正常发送回应报文。如 果要简化配置，避免配置到公网地址的路由，则可以对外网用户的源IP地址也进行转换， 转换后的源IP地址与服务器的私网地址在同一网段。这样内部服务器会缺省将回应报文发 给网关，即设备本身，由设备来转发回应报文。由于外网安全区域的安全级别一般比内网 低，所以这种应用又称为NAT Inbound。

31 域内双向NAT 防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址，源地址转换成用户对外公布的IP地址。
服务器公网地址 用户公网地址 Trust域 若需要地址转换的双方都在同一个安全域内，那么就涉及到了域内NAT的情况。当 FTP服务器和用户均在Trust区域，用户访问FTP服务器的对外的公网IP地址，这样用户与 FTP服务器之间所有的交互报文都要经过防火墙。这时需要同时配置内部服务器和域内 NAT。 域内NAT是指当内网用户和服务器部署在同一安全区域的情况下，仍然希望内网用户 只能通过访问服务器的公网地址的场景。在实现域内NAT过程中，既要将访问内部服务器 的报文的目的地址由公网地址转换为私网地址，又需要将源地址由私网地址转换为公网地 址。 内网用户 服务器

32 目录 网络地址转换技术介绍 基于源IP地址NAT技术 基于目的IP地址NAT技术 双向NAT技术 NAT应用场景配置

33 NAT典型应用场景配置举例 应用场景分析 Untrust 区域 NAT Outbound应用 NAT Server应用
/29 /24 ０.1/24 DMZ 区域 Trust区域

34 防火墙NAT outbound配置(命令行)
配置域间访问规则。 指定源地址为 网段。（具体配置步骤省略） 配置地址池。 [USG]nat address-group 配置NAT Outbound策略 [USG]nat-policy interzone trust untrust outbound [USG-nat-policy-interzone-trust-untrust-outbound]policy 0 [USG-nat-policy-interzone-trust-untrust-outbound-0]policy source [USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat [USG-nat-policy-interzone-trust-untrust-outbound-0]address-group 1 域间访问规则配置命令参考： [USG]policy interzone trust untrust outbound [USG-policy-interzone-trust-untrust-outbound]policy 0 [USG-policy-interzone-trust-untrust-outbound-0]policy source [USG-policy-interzone-trust-untrust-outbound-0]action permit 配置NAT outbound，是为了实现内网员工对外部网络进行访问时进行NAT地址转换 ，数据流向是从高安全级别到低安全级别，因此源地址应该为内部网络的地址网段。而为 内网用户分配的地址池，应该为外网地址网段用于对internet资源进行访问。

35 防火墙NAT outbound配置(Web)

36 防火墙NAT outbound配置(Web)
在本例中是为了实现trust区域的用户访问untrust区域internet的资源，因此源安全区域为trust，目的安全区域为untrust。 源安全区域通常为转换前的私网IP地址所在的安全区域。在本例中为trust区域。目的 安全区域通常为转换后的公网IP地址所在的安全区域。在本例中为untrust区域。

37 防火墙NAT Server配置(命令行) 配置内部Web和FTP服务器。 配置域间包过滤规则。
[USG] nat server protocol tcp global inside [USG] nat server protocol tcp global ftp inside ftp 配置域间包过滤规则。 [USG] policy interzone dmz untrust inbound [USG-policy-interzone-dmz -untrust-inbound] policy 0 [USG-policy-interzone- dmz -untrust-inbound-0] policy destination [USG-policy-interzone- dmz -untrust-inbound-0] policy service service-set http [USG-policy-interzone- dmz -untrust-inbound-0] action permit [USG-policy-interzone- dmz -untrust-inbound] policy 1 [USG-policy-interzone- dmz -untrust-inbound-1] policy destination [USG-policy-interzone-dmz -untrust-inbound-1] policy service service-set ftp [USG-policy-interzone- dmz -untrust-inbound-1] detect ftp [USG-policy-interzone- dmz -untrust-inbound-1] action permit USG上同时配置NAT和内部服务器时，内部服务器优先级较高，首先起作用。 多个不同内部服务器使用一个公有地址对外发布时，可以多次使用 nat server 命令对 其进行配置。配置参数 zone，可以使内部服务器访问该 zone 时候做 NAT 服务器逆向转 换。当一个用户和内部服务器处于同一安全区域时，USG统一安全网关允许该用户使用内 部服务器的公网IP地址访问该内部服务器。允许外部网络访问的内部服务器通常置于 USG 统一安全网关的 DMZ安全区域。不建议配置允许这个安全区域中的设备主动向外发 起连接。当统一安全网关同时应用于双机热备组网时，如果转换后的 NAT 服务器地址与 VRRP备份组虚拟 IP地址不在同一网段，则不必配置携带 vrrp关键字的 nat server 命令。 如果转换后的 NAT 服务器地址与 VRRP备份组的虚拟 IP地址在同一网段，则需要配置相 关命令，且 virtual-router-ID为统一安全网关 NAT 服务器出接口对应的 VRRP备份组的ID 。

38 防火墙NAT Server配置(Web) 配置内部Web和FTP服务器。
外部地址和内部地址，外部地址为供外部用户访问的公网IP地址，内部地址为局域网服务器地址。 配置NAT Server时，外部地址为内部服务器提供给外部用户访问的公网IP地址。 内部地址为内部服务器在局域网中的IP地址。

39 防火墙NAT Server配置(Web) 配置域间安全转发策略。 通过设置源和目的安全区域来确认数据流转发方向。此处为inbound方向。
选择“防火墙 > 安全策略 > 转发策略”。 在“转发策略列表”中，单击“新建”。 依次输入或选择各项参数。 使用Web配置方式配置域间安全转发策略时，没有单独的地方指定inbound或 outbound方向，因此需要确定源安全区域和目的安全区域来区分数据流方向。

40 NAT双出口场景配置举例 组网需求 两个不同运营商用户需要访问同一内网服务器资源； 内网用户通过两个运营商访问互联网，如图所示：
PC1 /24 FTP Server /24 PC3 /24 ISP1 GE 0/0/4 /24 GE 0/0/3 /24 Trust区域 /24 GE 0/0/5 /24 在该例中，企业从每个运营商处都获取到了一个公网IP地址，为了保证所有用户的访 问速度，需要让不同运营商的用户通过访问相应的运营商的IP来访问企业提供的服务，而 不需要经过运营商之间的中转。同时，对于企业内网的用户也可以通过两个运营商所提供 的网络访问到internet资源。 ISP1和ISP2作为internet运营商，两者都连接internet并可以互通。 ISP2 PC2 /24

41 NAT 双出口实例配置思路 划分安全区域 设置域间安全策略 配置静态路由 配置NAT Outbound策略 配置NAT Server策略

42 NAT Outbound双出口配置1（命令行）
创建安全区域。 为ISP1和ISP2分别创建一个安全区域。 [USG] firewall zone name ISP1 [USG-zone-isp1] set priority 10 [USG] firewall zone name ISP2 [USG-zone-isp2] set priority 20 配置各接口的IP地址，并将其加入相应的安全区域。 （配置省略） 配置域间安全转发策略。开启内网到ISP1和ISP2区域的outbound方向策略 [USG] policy interzone trust isp1 outbound [USG-policy-interzone-trust-isp1-inbound] policy 0 [USG-policy-interzone-trust-isp1-inbound-0] policy source [USG-policy-interzone-trust-isp1-inbound-0] action permit 配置各接口的IP地址，并将其加入安全区域。 配置命令参考： [USG] interface GigabitEthernet 0/0/3 [USG-GigabitEthernet0/0/3] ip address [USG] interface GigabitEthernet 0/0/4 [USG-GigabitEthernet0/0/4] ip address [USG-GigabitEthernet0/0/4] quit [USG] interface GigabitEthernet 0/0/5 [USG-GigabitEthernet0/0/5] ip address [USG]firewall zone trust [USG-zone-trust]add interface gigabitetherent 0/0/3 [USG]firewall zone isp1 [USG-zone-isp1]add interface gigabitetherent 0/0/4 [USG]firewall zone isp2 [USG-zone-isp2]add interface gigabitetherent 0/0/5

43 NAT Outbound双出口配置2（命令行）
配置静态路由，保证路由可达 。 假设通过ISP1和ISP2访问internet资源的下一跳地址分别为 /24和 /24。 （具体步骤省略） 配置NAT Outbound策略 （isp2策略步骤省略） [USG]nat-policy interzone trust isp1 outbound [USG-nat-policy-interzone-trust-untrust-outbound]policy 0 [USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat [USG-nat-policy-interzone-trust-untrust-outbound-0]easy-ip GigabitEthernet 0/0/4 静态路由配置命令参考： [USG] ip route-static [USG] ip route-static

44 NAT Server双出口配置1（命令行） 配置域间安全转发策略。开启ISP1和ISP2区域到内网的inbound方向策略。（ISP2的配置与ISP1相似，具体配置省略） [USG] policy interzone trust isp1 inbound [USG-policy-interzone-trust-isp1-inbound] policy 0 [USG-policy-interzone-trust-isp1-inbound-0] policy destination [USG-policy-interzone-trust-isp1-inbound-0] policy service service-set ftp [USG-policy-interzone-trust-isp1-inbound-0] action permit 配置接口IP地址、接口加域配置命令参考： <USG> system-view [USG] interface GigabitEthernet 0/0/3 [USG-GigabitEthernet0/0/3] ip address [USG-GigabitEthernet0/0/3] quit [USG] interface GigabitEthernet 0/0/4 [USG-GigabitEthernet0/0/4] ip address [USG-GigabitEthernet0/0/4] quit [USG] interface GigabitEthernet 0/0/5 [USG-GigabitEthernet0/0/5] ip address [USG-GigabitEthernet0/0/5] quit [USG] firewall zone dmz [USG-zone-dmz] add interface GigabitEthernet 0/0/3 [USG-zone-dmz] quit [USG] firewall zone untrust [USG-zone-untrust] add interface GigabitEthernet 0/0/4 [USG-zone-untrust] add interface GigabitEthernet 0/0/5 [USG-zone-untrust] quit

45 NAT Server双出口配置2（命令行） 创建内网服务器的公网IP与私网IP的映射关系。
[USG] nat server zone isp1 protocol tcp global ftp inside ftp [USG] nat server zone isp2 protocol tcp global ftp inside ftp 在ISP1、ISP2与DMZ的域间配置NAT ALG，使服务器可以正常对外提供FTP服务。 [USG] firewall interzone dmz isp1 [USG-interzone-dmz-isp1] detect ftp [USG-interzone-dmz-isp1] quit [USG] firewall interzone dmz isp2 [USG-interzone-dmz-isp2] detect ftp [USG-interzone-dmz-isp2] quit 在本例中，ISP1和ISP2可以划为同一安全区域也可以设置为不同的安全区域。在这种 时候，需要采用nat server zone 方式可以使防火墙识别报文“来自”或者“去往”的域， 对报文的目的地址和源地址通过nat server所创建的地址映射关系进行转换。

46 NAT双出口配置1（Web） 创建安全区域 配置域间策略 在Web配置界面中，创建安全区域的操作步骤为：
选择“网络 > 安全区域 > 安全区域”。 单击“安全区域列表”中的“新建”。 依次输入各项参数。 安全区域名称和优先级一旦设定，便不允许更改，同时不能与系统已存在的安全区域 名称和优先级相同。

47 NAT双出口配置2（Web） 配置静态路由 此处到ISP1的静态路由下一跳假设为1.1.1.2。 在Web配置界面中，配置静态路由的步骤为：
选择“路由 > 静态 > 静态路由”。 在“静态路由列表”中，单击“新建”。 依次输入或选择各项参数。 此处到ISP1的静态路由下一跳假设为 。

48 NAT双出口配置3（Web） 配置Outbound策略 作为NAT Outbound策略，此处的源地址为内网用户主机的IP地址。
在如图所示的配置中，设置了从内网用户 到ISP1网段的NAT outbound策略， 内网用户转换后的IP地址为到ISP1的接口G0/0/4的IP地址，此种转换方式相当于命令行中 easy IP的方式。 直接引用接口IP地址为转换后的IP地址。

49 NAT双出口配置4（Web） 创建两台内网服务器的公网IP与私网IP的映射关系。 ISP1网段的映射关系 ISP2网段的映射关系

50 总结 NAT的技术原理 NAT几种应用方式 防火墙NAT典型场景配置

51 思考题 NAT Inbound与NAT Outbound有何区别？ No-pat有哪些局限性？ Easy-ip的应用场景是什么？
基于目的IP地址NAT中no-reverse参数的意义是什么? 域间双向NAT与域内双向NAT应用场景有何不同？ NAT Server 双出口 在不同类型NAT应用场场景中，域间包过滤规则配置应注意哪些方面？

52