NAT技术白皮书-5W101-整本手册

NAT技术白皮书 Copyright©2024新华三技术有限公司版权所有，保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品。 目录 1概述2 1.1产生背景2 1.2技术优点2 2NAT技术实现1 2.1NAT基本概念1 2.2NAT基本原理1 2.3NAT实现方式1 2.3.1静态方式1 2.3.2NO-PAT方式1 2.3.3PAT方式2 2.3.4NATServer方式3 2.3.5EasyIP方式4 2.3.6NAThairpin4 2.4NATALG机制6 2.4.1NATALG机制简介6 2.4.2基本概念7 2.4.3FTP协议的ALG处理7 2.4.4DNS协议的ALG处理9 2.4.5ICMP协议的ALG处理10 2.4.6DNSMapping方式10 2.5NAT支持端口复用11 2.6NAT支持多VPN实例12 3典型组网应用1 3.1私网主机访问公网服务器1 3.2公网主机访问私网服务器1 3.3私网主机通过域名访问私网服务器2 3.4不同VPN的主机使用相同的私网地址访问公网2 4参考文献1 1概述 1.1产生背景 随着Internet的发展和网络应用的增多，IPv4地址枯竭已成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足问题，但目前众多网络设备和网络应用大多是基于IPv4的，IPv6在实际引入上进展缓慢。在IPv6广泛应用之前，即IPv4向IPv6过渡期间，使用NAT（NetworkAddressTranslation，网络地址转换）能够提高IPv4地址的利用率，保证业务的平滑过渡，为IPv6的部署争取时间。 1.2技术优点 作为一种过渡方案，NAT通过地址重用的方法来满足IP地址的需要，可以在一定程度上缓解IP地址空间枯竭的压力。它具备以下优点： 对于内部通讯可以利用私网地址，如果需要与外部通讯或访问外部资源，则可通过将私网地址转换成公网地址来实现。 通过公网地址与端口的结合，可使多个私网用户共用一个公网地址。 通过静态映射，不同的内部服务器可以映射到同一个公网地址。外部用户可通过公网地址和端口访问不同的内部服务器，同时还隐藏了内部服务器的真实IP地址，从而防止外部对内部服务器乃至内部网络的攻击行为。 方便网络管理，如通过改变地址映射表就可实现私网服务器的迁移，内部网络的改变也很容易。 2NAT技术实现 2.1NAT基本概念 NAT基本概念如下： NAT设备：配置了NAT功能的连接内部网络和外部网络的边缘设备。 NAT规则：用于进行地址转换的NAT配置称为NAT规则。 NAT地址：用于进行地址转换的公网IP地址，与外部网络路由可达，可静态指定或动态分配。 NAT表项：NAT设备上用于记录网络地址转换映射关系的表项。 EasyIP功能：NAT转换时直接使用设备上接口的IP地址作为NAT地址。设备上接口的地址可静态指定或通过DHCP协议动态获取。 2.2NAT基本原理 当内部网络访问外部网络的报文经过NAT设备时，NAT设备会用一个合法的公网地址替换原报文中的源IP地址，并对这种转换进行记录；之后，当报文从外网侧返回时，NAT设备查找原有的记录，将报文的目的地址再替换回原来的私网地址，并转发给内网侧主机。这个过程对于私网侧或公网侧设备透明。基于这种基本的地址转换原理，数量庞大的内网主机就不再需要公网IP地址了。 2.3NAT实现方式 2.3.1静态方式 静态方式的地址转换是指外部网络和内部网络之间的地址映射关系由配置确定，即一个公网IP地址唯一对应一个内部主机。该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访：内网用户可以主动访问外网，外网用户也可以主动访问内网。 2.3.2NO-PAT方式 NO-PAT方式属于一对一的地址转换，在这种方式下只转换IP地址，而对TCP/UDP协议的端口号不处理，一个公网IP地址不能同时被多个用户使用。 如图2-1所示，NO-PAT方式的处理过程如下： (1)NAT设备收到私网侧主机发送的访问公网侧服务器的报文。 (2)NAT设备从地址池中选取一个空闲的公网IP地址，建立与私网侧报文源IP地址间的NAT转换表项，并依据查找NAT表项的结果将报文转换后向公网侧发送。 (3)NAT设备收到公网侧的回应报文后，根据其目的IP地址反向查找NAT表项，并依据查表结果将报文转换后向私网侧发送。 由于NO-PAT这种一对一的转换方式并未实现公网地址的复用，不能有效解决IP地址短缺的问题，因此在实际应用中并不常用。 162.105.178.65 162.105.178.66 162.105.178.67 ... Addressgroup 图2-1NO-PAT方式原理图 Host Source:10.1.1.100 NAT Source:162.105.178.65 Server 10.1.1.100/8 Destination:10.1.1.100 Intranet Internet Destination:162.105.178.65 211.100.7.34/24 NATtable Way BeforeNAT AfterNAT Outbound 10.1.1.100 162.105.178.65 Inbound 162.105.178.65 10.1.1.100 PacketfromHosttoServerPacketfromServertoHost 2.3.3PAT方式 由于NO-PAT方式并未实现地址复用，因此并不能解决公网地址短缺的问题，而PAT（PortAddressTranslation）方式则可以解决这个问题。 PAT方式属于多对一的地址转换，它通过使用“IP地址＋端口号”的形式进行转换，使多个私网用户可共用一个公网IP地址访问外网，实现了地址的复用，因此是地址转换实现的主要形式。 目前PAT仅支持对传输层协议为TCP、UDP或ICMP的报文进行“IP地址＋端口号”转换。如图2-2所示，PAT方式的处理过程如下： (1)NAT设备收到私网侧主机发送的访问公网侧服务器的报文。 (2)NAT设备从地址池中选取一对空闲的“公网IP地址＋端口号”，建立与私网侧报文“源IP地址＋源端口号”间的PAT转换表项，并依据查找PAT表项的结果将报文转换后向公网侧发送。 (3)NAT设备收到公网侧的回应报文后，根据其“目的IP地址＋目的端口号”反向查找PAT表项，并依据查表结果将报文转换后向私网侧发送。 图2-2PAT方式原理图 HostA 10.1.1.100/8 Source:10.1.1.100:1025 Destination:10.1.1.100:1025 Addressgroup162.105.178.65 162.105.178.66 162.105.178.67 ... NAT Source:162.105.178.65:16384 Destination:162.105.178.65:16384 Server HostB 10.1.1.200/8 Source:10.1.1.200:1028 Destination:10.1.1.200:1028 Source:162.105.178.65:16400 IntranetInternet Destination:162.105.178.65:16400 211.100.7.34/24 NAPTtable Way BeforeNAT AfterNAT Outbound 10.1.1.100:1025 162.105.178.65:16384 Inbound 162.105.178.65:16384 10.1.1.100:1025 Outbound 10.1.1.200:1028 162.105.178.65:16400 Inbound 162.105.178.65:16400 10.1.1.200:1028 PacketfromHostAtoServerPacketfromServertoHostAPacketfromHostBtoServerPacketfromServertoHostB 2.3.4NATServer方式 出于安全考虑，大部分私网主机通常并不希望被公网用户访问。但在某些实际应用中，需要给公网用户提供一个访问私网服务器的机会。而在NO-PAT或PAT方式下，由于由公网用户发起的访问无法动态建立NAT表项，因此公网用户无法访问私网主机。NATServer（NAT内部服务器）方式就可以解决这个问题——通过静态配置“公网IP地址＋端口号”与“私网IP地址＋端口号”间的映射关系，NAT设备可以将公网地址“反向”转换成私网地址。 如图2-3所示，NATServer方式的处理过程如下： (1)NAT设备收到公网侧主机发送的访问私网侧服务器的报文。 (2)NAT设备根据公网侧报文的“目的IP地址＋目的端口号”反向查找静态NAT表项，并依据查表结果将报文转换后向私网侧发送。 (3)NAT设备收到私网侧的回应报文后，根据其“源IP地址＋源端口号”查找静态NAT表项，并依据查表结果将报文转换后向公网侧发送。 162.105.178.6:80 ->10.1.1.2:80 NATserver 图2-3NATServer方式原理图 Server Destination:10.1.1.2:80 NAT Destination:162.105.178.6:80 Host 10.1.1.2/8 Source:10.1.1.2:80 Intranet Internet Source:162.105.178.6:80 211.100.7.3/24 StaticNATtable Way BeforeNAT AfterNAT Inbound 162.105.178.6:80 10.1.1.2:80 Outbound 10.1.1.2:80 162.105.178.6:80 PacketfromHosttoServerPacketfromServertoHost 2.3.5EasyIP方式 EASYIP方式是指直接使用接口的公网IP地址作为转换后的源地址进行地址转换，它可以动态获取出接口地址，从而有效支持出接口通过拨号或DHCP方式获取公网IP地址的应用场景。 EASYIP方式特别适合小型局域网访问Internet的情况。这里的小型局域网主要指中小型网吧、小型办公室等环境，一般具有以下特点：内部主机较少、出接口通过拨号方式获得临时公网IP地址以供内部主机访问Internet。对于这种情况，可以使用EASYIP方式使局域网用户都通过这个IP地址接入Internet。 如图2-4所示，EASYIP方式的处理过程如下： (1)NAT设备收到私网侧主机发送的访问公网侧服务器的报文。 (2)NAT设备利用公网侧接口的“公网IP地址＋端口号”，建立与私网侧报文“源IP地址＋源端口号”间的EASYIP转换表项（正反向），并依据查找正向EASYIP表项的结果将报文转换后向公网侧发送。 (3)NAT设备收到公网侧的回应报文后，根据其“目的IP地址＋目的端口号”查找反向EASYIP 表项，并依据查表结果将报文转换后向私网侧发送。 图2-4EASYIP方式原理图 HostA 10.1.1.100/8 HostB Source:10.1.1.100:1540 Destination:10.1.1.100:1540 NAT 162.10.2.8/24 Source:162.10.2.8