NAT—网络地址翻译

NAT 网络地址翻译 深 圳 市 华 为 技 术 有 限 公 司 目录 2第四章 安全问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2第三章 基于NAT的负载平衡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1第二章 NAT类型介绍 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1第一章 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 第一章 引言 随着 Internet的飞速发展 网上丰富的资源产生着巨大的吸引力 接入 Internet 访问Internet成为当今信息业最为迫切的需求 但这受到IP地址的许多限制 首先 许多局域网在未联入Internet之前 就已 经运行许多年了 局域网上有了许多现成的资源和应用程序 但它的IP地址 分配不符合Internet的国际标准 因而需要重新分配局域网的IP地址 这无疑 是劳神费时的工作 其二 随着Internet的膨胀式发展 其可用的IP地址越来 越少 要想在ISP处申请一个新的IP地址已不是很容易的事了 这不仅仅是费 用的问题 而是IP地址的现行标准IPv4决定的 当然 随着IPv6的出台 这 个问题应当能够得到解决 但从IPv4到IPv6的升级不是一两天就能完成的 NAT 网络地址翻译 能解决不少令人头疼的问题 它解决问题的办法是 在内部网络中使用内部地址 通过NAT把内部地址翻译成合法的IP地址 在 Internet上使用 其具体的做法是把IP包内的地址域用合法的IP地址来替换 NAT功能通常被集成到路由器 防火墙 ISDN路由器或者单独的NAT设备中 NAT设备维护一个状态 用来把非法的IP地址映射到合法的IP地址上去 每个包在NAT设备中都被翻译成正确的IP地址发往下一级 这意味着给处理 器带来了一定的负担 但这对于一般的网络来说是微不足道的 除非是有许 多主机的大型网络 需要注意的是 NAT并不是一种有安全保证的 它不能提供类似防火墙 包过滤 隧道等技术的安全性 仅仅在包的最外层改变IP地址 这使得黑客 可以很容易地窃取网络信息 危及网络安全 第二章 NAT类型介绍 NAT有三种类型 静态NAT staticNAT NAT池 pooledNAT 和端口 NAT PAT 其中静态NAT设置起来最为简单 内部网络中的每个主机都 被永久映射成外部网络中的某个合法的地址 而NAT池则是在外部网络中定 义了一系列的合法地址 采用动态分配的方法映射到内部网络 PAT则是把 内部地址映射到外部网络的一个IP地址的不同端口上 根据不同的需要 各 种NAT方案都是有利有弊 w 使用NAT池 使用NAT池 可以从未注册的地址空间中提供被外部访问的服务 也可 以从内部网络访问外部网络 而不需要重新配置内部网络中的每台机器 NAT 网络地址翻译 华为技术 1 T5-080001-20001218-C 的IP地址 例如 建立在NT IIS服务器上的内部试验子网192 168 0 0 其网络地址属于B类保留地址 作为企业网的一个子网 其IP地址 不分配给企业网上的设备而仅仅局限在试验子网的设备上 为了使企业 网能访问到这个内部网 在网络上增加一条静态路径 使信息能回传给 Cisco4700路由器 其中的路由器可以把内部网和企业网连接起来 使之 能相互访问 在内部网中不要使用RIP协议 因为使用RIP后 内部网络 相对外部来说变得不可见了 这样 本地信息可以相互访问了 但由于192 168 0 0属于保留地址 故不能直接访问Internet 所以在路由器中设置一个NAT池 用来翻译来 自内部网络的IP包 把它的IP地址映射成地址池 pooledaddresses 中的 合法IP地址 那么 内部网可以访问Internet上的任何服务器 Internet上 的任何主机也能通过TCP或UDP访问到内部网 采用NAT池意味着可以在内部网中定义很多的内部用户 通过动态分配 的办法 共享很少的几个外部IP地址 而静态NAT则只能形成一一对应 的固定映射方式 该引起注意的是 NAT池中动态分配的外部IP地址全 部被占用后 后续的NAT翻译申请将会失败 庆幸的是 许多有NAT功 能的路由器有超时配置功能 例如在上述的Cisco4700中配置成开始15分 钟后删除当前的NAT进程 为后续的NAT申请预留出外部IP地址 通过 试验表明 一般的外部连接不会很长 所以短的时间阈值也可以接受 当然用户可以自行调节时间阈值 以满足各自的需求 NAT池提供很大灵活性的同时 也影响到网络原有的一些管理功能 例 如 SN MP管理站利用IP地址来跟踪设备的运行情况 但使用NAT之 后 意味着那些被翻译的地址对应的内部地址是变化的 今天可能对应 一台工作站 明天就可能对应一台服务器 这给SNMP管理带来了麻烦 一个可行的解决方案就是把划分给NAT池的那部分地址在SNMP管理平 台上标记出来 对于这些不响应管理信号的地址不予报警 如同它们被 关掉了一样 w 使用PAT PAT在远程访问产品中得到了大量的应用 特别是在远程拨号用户使用 的设备中 PAT可以把内部的TCP IP映射到外部一个注册IP地址的多 个端口上 PAT可以支持同时连接64500个TCP IP UDP IP 但实际 可以支持的工作站个数会少一些 因为许多Internet应用如HTTP 实际 上由许多小的连接组成 NAT 网络地址翻译 华为技术 2 T5-080001-20001218-C 在Internet中使用PAT时 所有不同的TCP和UDP信息流看起来仿佛都来 源于同一个IP地址 这个优点在小型办公室 SOHO 内非常实用 通 过从ISP处申请的一个IP地址 将多个连接通过PAT接入Internet 实际上 许多SOHO远程访问设备支持基于PPP的动态IP地址 这样 ISP甚至不 需要支持PAT 就可以做到多个内部IP地址共用一个外部IP地址上 Internet 虽然这样会导致信道的一定拥塞 但考虑到节省的ISP上网费 用和易管理的特点 用PAT还是很值得的 第三章 基于NAT的负载平衡 以上所谈论的均是关于使用NAT和PAT来把内部IP地址转换成外部合法的 IP地址使用 下面介绍NAT的另一个运用 作为用于负载平衡的DNS系列服 务器 DNSround robin 的一个替代品 DNS系列服务器解决了多个IP地址 共用一个域名的问题 它会在响应DNS申请时跳跃式地寻找可用的IP地址 达到的效果就是一个域名可以对应多个IP地址 这种功能可以应用在一个 HTTP服务器群中 利用它可以平衡多个服务器的负载 但是这里还有一个 问题 IP客户端会在本地缓冲DNS IP地址解析 从而使它的后续的申请都 会到达同一个IP地址 减弱了DNS系列服务器的作用 使用基于NAT的负载平衡方案 则可以避免这个问题 路由器或其它NAT设 备把需要负载平衡的多个IP地址翻译成一个公用的IP地址 每个TCP连接被 NAT送到一个IP地址 而后续的TCP连接则被NAT送到下一个IP地址 真正 实现了负载平衡 当然 基于NAT的负载平衡只能在NAT上实现 而不能在 PAT上实现 第四章 安全问题 当NAT改变包的IP地址后 需要认真考虑这样做对安全设施带来的影响 对于防火墙 它利用IP地址 TCP端口 目标地址以及其它在IP包内的信息 来决定是否干预网络的连接 当使用了NAT之后 可能就不得不改变防火墙 的规则 因为NAT改变了源地址和目的地址 在许多配置中 NAT被集成在防火墙系统之中 提供访问控制和地址翻译的 功能 不要把NAT设在防火墙之外 因为黑客可以轻易地骗过NAT 让 NAT认为它是一个授权用户 从而进入网络 若企业网中使用了VPN 虚拟专用网 并用IPSec进行加密安全保证 那么 错误地设置NAT将会破坏VPN的功能 把NAT放在受保护的VPN内部 而不 NAT 网络地址翻译 华为技术 3 T5-080001-20001218-C 是在中间 因为NAT改变IP包内的地址域 而IPSec规定一些信息是不能被改 变的 若IP地址被改变了 IPSec就会认为这个包是伪造的 拒绝使用 虽然NAT带来了许多优越性 例如使现有网络不必重新编址 减少了ISP接 入费用 还可以起平衡负载的作用 但NAT潜在地影响到一些网络管理功能 和安全设施 这就需要谨慎地使用它 附 CISCO NAT配置实例 -------------------------------------------------------------------------------- ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname nat-r1 ! enable secret 5 $1$FEQr$INhRecYBeCb.UqTQ3b9mY0 ! ip subnet-zero ! ! ! ! interface Ethernet0 ip address 172.18.150.150 255.255.0.0 no ip directed-broadcast ip nat inside /* 定义此为网络的内部端口 */ ! interface Serial0 ip address 192.1.1.161 255.255.255.252 no ip directed-broadcast ip nat outside /* 定义此为网络的外部端口 */ no ip mroute-cache no fair-queue NAT 网络地址翻译 华为技术 4 T5-080001-20001218-C ! interface Serial1 no ip address no ip directed-broadcast shutdown ! /* 定义从ISP那里申请到的IP在企业内部的分配策阅 */ ip nat pool tech 192.1.1.100 192.1.1.120 netmask 255.255.255.0 ip nat pool deve 192.1.1.121 192.1.1.150 netmask 255.255.255.0 ip nat pool manager 192.1.1.180 192.1.1.200 netmask 255.255.255.0 ip nat pool soft-1 192.1.1.170 192.1.1.179 netmask 255.255.255.0 ip nat pool soft-2 192.1.1.151 192.1.1.159 netmask 255.255.255.0 ip nat pool temp-user 192.1.1.160 192.1.1.160 netmask 255.255.255.0 /* 将访问列表与地址池对应 以下为动态地址转换*/ ip nat inside source list 1 pool tech ip nat inside source list 2 pool deve ip nat inside source list 3 pool manager ip nat inside source list 4 pool soft-1 ip nat inside source list 5 pool soft-2 /* 将访问列表与地址池对应 以下为复用动态地址转换*/ ip nat inside source list 6 pool temp-user overload /* 将访问列表与地址池对应 以下为静态地址转换*/ ip nat inside source static 172.18.100.168 192.1.1.168 ip nat inside source static 172.18.100.169 192.1.1.169 ip classless ip route 0.0.0.0 0.0.0.0 Serial0 /* 设置一个缺省路由 */ ! /* 内部网访问地址表 他指出内部网络能访问外部网的地址段 分别定义是为了对应不同的地址池 */ access-list 1 permit 172.18.107.0 0.0.0.255 access-list 2 permit 172.18.101.0 0.0.0.255 access-list 3 permit 172.18.108.0 0.0.0.255 access-list 4 permit 172.18.103.0 0.0.0.255 access-list 4 permit 172.18.102.0 0.0.0.255 access-list 4 permit 172.18.104.0 0.0.0.255 NAT 网络地址翻译 华为技术 5 T5-080001-20001218-C access-list 5 permit 172.18.105.0 0.0.0.255 access-list 5 permit 172.18.106.0 0.0.0.255 access-list 6 permit 172.18.111.0 0.0.0.255 ! line con 0 transport input none line 1 16 line aux 0 line vty 0 4 login ! end NAT 网络地址翻译 华为技术 6 T5-080001-20001218-C