HC13031033 NAT原理及应用.pptx

修订记录 本页不打印 HC13031033防火墙NAT原理及应用 前言 随着Internet的快速发展 IPv4的公网地址资源已经非常匮乏 NAT NetworkAddressTranslation 技术通过对IP报文中的地址或端口进行转换 可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网 从而有效减少对公网地址的需求 从而有效减缓了IP地址空间枯竭的速度 本章节重点讲解USG防火墙上NAT的技术原理 基本命令 应用场景 典型配置案例 故障排除方法及拓展学习资料等 目标 学完本课程后 您将能够 描述描述NAT技术原理掌握NAT配置命令的基本功能配置上网 服务发布配置双出口场景NAT配置服务器负载均衡NAT故障排除 目录 NAT技术原理NAT配置NAT故障排除 原理 NAT技术原理 NAT涉及到的技术原理 NAT分类 NAT基本概念源NAT 目的NAT 双向NATNAPT Easy IPNATALG No NATSmartNAT 三元组NAT NAT的分类 源NAT根据转换的方向 InboundNAT和OutboundNAT根据端口是否转换 No PAT和NAPT目的NAT分为NATsever和目的NAT双向NATNATInbound和NATServer一起使用域内NAT和NATServer一起使用 NAT基本概念 1 3 IP地址分类 NAT基本概念 2 3 NAT地址池 NAT地址池是指用NAT转换时用于分配的公网IP地址范围 进行转换时 设备会从该地址池中选择一个随即地址 用于替换报文中的源IP地址 公网地址由ISP分配 可用的地址池范围可以计算出来 10 1 10 50 24 10 1 10 1 24 210 1 1 10 29 210 1 1 9 29 静态映射服务器 210 1 1 13 210 1 1 14地址池范围 210 1 1 11 210 1 1 12 10 1 10 200 24 NAT基本概念 3 3 ServerMap Server map表项主要是用于存放一种映射关系 设备根据这种映射关系对报文的地址进行转换 并转发 NAT生成Server map的两种情况配置NATServer成功后生成静态表项用于存放Global地址和Inside地址映射关系不配置 no reverse 参数时 生成正反方向两个server map配置 no reverse 参数时 只生成正方向server map配置NATNo PAT后 流量触发建立Server map表用于存放私网IP地址与公网IP地址的映射关系 源NAT 1 5 基础原理 源NAT技术通过对报文的源地址进行转换 使大量私网用户可以利用少量公网IP上网 大大减少了对公网IP地址的需求 10 1 10 50 24 10 1 10 1 24 210 1 1 10 29 210 1 1 9 29 10 1 10 200 24 源NAT 2 5 共用地址池 使用一个地址池对内部所有电脑进行地址转换nataddress group1210 1 1 11210 1 1 12 10 1 10 2 100 10 1 10 1 24 210 1 1 10 29 210 1 1 9 29 源NAT 3 5 多地址池 使用多个地址池可以对不同的用户群的地址进行分别转换nataddress group1210 1 1 11210 1 1 11nataddress group2210 1 1 12210 1 1 12 用户群110 1 10 2 50 24 10 1 10 1 24 210 1 1 10 29 210 1 1 9 29 用户群210 1 10 51 100 24 源NAT 4 5 源NAT的其它技术 NO PAT 1对1IP地址转换NAPT NAT转换时同时转换IP地址和端口号Easy IP 使用接口上的公网地址对私网IP进行转换Smart NAT 同时支持no pat转换和NAPT转换使用section中的地址段进行1对1转换使用smart nopat地址进行NAPT转换三元组NAT 源IP 源端口 协议号支持外网主动访问动态端口对外一致性 源NAT示例 5 5 技术对比 目的NAT 1 2 NATServer NATServer可以用来发布内网的服务器或特定的服务 FW natserverglobal210 1 1 13inside10 1 10 100 FW natserverprotocoltcpglobal210 1 1 1480inside10 1 10 20080 10 1 10 100 24 10 1 10 1 24 210 1 1 10 29 210 1 1 9 29 10 1 10 200 24 目的NAT 2 2 目的NAT 对报文的目的地进行转换转换手机终端的WAP网关进行流量重定向下图示例中把去向googleDNS服务器 8 8 8 8 的解析流量重定向到中国电信的服务器上 202 96 134 133 用户群110 1 10 2 50 24 10 1 10 1 24 210 1 1 10 29 210 1 1 9 29 用户群210 1 10 51 100 24 NATALG NATALG ApplicationLevelGateway 支持对应用层的信息进行相应的转换使用detectprotocol命令执行可以域间策略上开启 域间NAT场景 可以在域策略上开启 域内NAT场景 支持的协议有 dns ftp netbios pptp sqlneth323 sip mgcp rtspicq qq msnils mms FTP协议的NATALG处理 FTPClient USG FTPServer SYN SYN ACK ACK 三次握手建立控制通道 SYN SYN ACK ACK 交互用户名 密码 交互用户名 密码 Portcommand ip10 1 1 1portyyyy PortcommandOK Portcommand ip3 3 3 3portyyyy PortcommandOK 交互Port命令 SYN SYN ACK ACK 三次握手建立数据通道 SYN SYN ACK ACK LISTCommand LISTCommand 传输数据 传输数据 目录 NAT技术原理NAT配置2 1配置 NAT配置基础2 2案例1 配置用户上网 服务发布2 3案例2 配置双出口场景NAT2 4案例3 配置服务器负载均衡NAT故障排除 NAT命令 1 8 源NAT配置 NAT命令 2 8 配置NATServer NAT命令 3 8 配置服务器负载均衡 NAT命令 4 8 配置目的NAT 手机上网目的NAT示意图 NAT命令 5 8 配置NATALG 目录 NAT技术原理NAT配置2 1配置 NAT配置基础2 2案例1 配置用户上网 服务发布2 3案例2 配置双出口场景NAT2 4案例3 配置服务器负载均衡NAT故障排除 案例1 配置用户上网 服务发布 组网拓扑 10 1 1 0 24 1 1 1 1 24 1 1 1 254 24 10 2 0 0 24 FTPServer10 2 0 7 24 WEBServer10 2 0 08 24 源NAT策略 静态服务器映射 G1 0 1 G1 0 2 G1 0 3 Untrust Trust DMZ 命令行基础配置 配置接口IP并添加接口到安全区域 配置安全策略 interfaceGigabitEthernet1 0 1ipaddress10 1 1 1255 255 255 0 interfaceGigabitEthernet1 0 2ipaddress1 1 1 1255 255 255 0 interfaceGigabitEthernet1 0 3ipaddress10 2 0 1255 255 255 0 firewallzonetrustsetpriority85addinterfaceGigabitEthernet1 0 1 firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet1 0 2 firewallzonedmzsetpriority50addinterfaceGigabitEthernet1 0 3 iproute static0 0 0 00 0 0 01 1 1 254 配置安全策略policy1 允许来自trust区域的用户可以可以访问untrust区域 用户的源地址属于10 1 1 0 24 网段security policyrulenamepolicy1source zonetrustdestination zoneuntrustsource address10 1 1 024actionpermit 配置安全策略policy2 允许来自untrust区域的用户可以可以访问dmz区域 用户的目的地属于10 2 0 0 24网段rulenamepolicy2source zoneuntrustdestination zonedmzdestination address10 2 0 024actionpermit 命令行配置NAT 配置用户上网及服务器映射 使用NAT策略实现用户上网的配置nat policyrulenamepolicy nat1source zonetrustdestination zoneuntrustsource address10 1 1 024actionnateasy ip 使用NATServer实现外网可以访问服务器natserverpolicy webprotocoltcpglobal1 1 1 10wwwinside10 0 0 780no reversenatserverpolicy ftpprotocoltcpglobal1 1 1 10ftpinside10 2 0 8ftpno reverse 配置NATServer对应的黑洞路由 防止环路iproute static1 1 1 10255 255 255 255NULL0 WEB配置NAT策略实现上网 选择 策略 NAT策略 源NAT策略 单击 新建 WEB配置NAT策略实现服务器发布 选择 策略 NAT策略 服务器映射 单击 新建 目录 NAT技术原理NAT配置2 1配置 NAT配置基础2 2案例1 配置用户上网 服务发布2 3案例2 配置双出口场景NAT2 4案例3 配置服务器负载均衡NAT故障排除 案例2 双出口场景NAT 组网拓扑 10 3 0 0 24 G1 0 110 3 0 1 24 G1 0 21 1 1 1 24 G1 0 72 2 2 2 24 ISP1 ISP2 DMZ ISP1 ISP2 User1 WEBServer10 2 0 8 24 Trust 命令行基础配置 配置接口IP地址 并加入区域 interfaceGigabitEthernet1 0 1ipaddress1 1 1 1255 255 255 0 interfaceGigabitEthernet1 0 2ipaddress10 2 0 1255 255 255 0 interfaceGigabitEthernet1 0 3ipaddress10 3 0 1255 255 255 0 interfaceGigabitEthernet1 0 7ipaddress2 2 2 2255 255 255 0 firewallzonetrustsetpriority85addinterfaceGigabitEthernet1 0 3 firewallzonedmzsetpriority85addinterfaceGigabitEthernet1 0 2 firewallzonenameisp1setpriority10addinterfaceGigabitEthernet1 0 1 firewallzonenameisp2setpriority20addinterfaceGigabitEthernet1 0 7 命令行配置安全策略及静态路由 配置安全策略security policyrulenamepolicy sec 1source zonetrustdestination zoneisp1source address10 3 0 024actionpermitrulenamepolicy sec 2source zonetrustdestination zoneisp2source address10 3 0 024actionpermitrulenamepolicy sec 3source zoneisp1destination zonedmzdestination address10 2 0 3032actionpermitrulenamepolicy sec 4source zoneisp2destination zonedmzdestination address10 2 0 3032actionpermit 配置静态默认路由iproute static0 0 0 00 0 0 0GigabitEthernet1 0 72 2 2 254preference70iproute static0 0 0 00 0 0 0GigabitEthernet1 0 11 1 1 254 配置明细路由iproute static200 1 2 0255 255 255 0GigabitEthernet1 0 11 1 1 254iproute static200 2 2 0255 255 255 0GigabitEthernet1 0 11 1 1 254iproute static202 1 2 0255 255 255 0GigabitEthernet1 0 72 2 2 254iproute static202 2 2 0255 255 255 0GigabitEthernet1 0 72 2 2 254 命令行配置NAT 配置NAT上网策略及服务器发布 配置NAT地址组nataddress groupaddress 1section01 1 1 201 1 1 22nataddress groupaddress 2section02 2 2 202 2 2 22 配置NATServer发布www服务natserverpolicy natserver 1protocoltcpglobal1 1 1 100ftpinside10 2 0 30wwwno reversenatserverpolicy natserver 2protocoltcpglobal2 2 2 100ftpinside10 2 0 30wwwno reverse 配置NAT策略实现用户上网nat policyrulenamepolicy nat 1source zonetrustdestination zoneisp1source address10 3 0 024actionnataddress groupaddress 1rulenamepolicy nat 2source zonetrustdestination zoneisp2source address10 3 0 024actionnataddress groupaddress 2rulenamepolicy nat 3source zonedmzdestination zonedmzsource address10 2 0 024destination address10 2 0 3032actionnataddress groupaddress 1 WEB配置双出口场景NAT 用户上网 配置安全策略 WEB配置双出口场景NAT 用户上网 配置NAT策略 WEB配置双出口场景NAT 服务发布 配置安全策略 WEB配置双出口场景NAT 服务发布 配置NAT WEB配置双出口场景NAT 服务发布 配置DMZ通过公网地址访问服务器 目录 NAT技术原理NAT配置2 1配置 NAT配置基础2 2案例1 配置用户上网 服务发布2 3案例2 配置双出口场景NAT2 4案例3 配置服务器负载均衡NAT故障排除 案例2 配置服务器负载均衡 组网拓扑 10 1 0 0 24 1 1 1 1 24 1 1 1 254 24 10 2 0 0 24 WEBServer10 2 0 3 2410 2 0 4 2410 2 0 5 24 服务器负载均衡 G1 0 1 G1 0 1 G1 0 210 2 0 1 24 静态路由 Untrust Trust DMZ 命令行基础配置 配置接口IP地址 并加入区域 配置安全策略 interfaceGigabitEthernet1 0 1ipaddress1 1 1 1255 255 255 0 interfaceGigabitEthernet1 0 2ipaddress10 2 0 1255 255 255 0 firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet1 0 1 firewallzonedmzsetpriority50addinterfaceGigabitEthernet1 0 2 security policyrulenamepolicy1source zonelocalsource zoneuntrustdestination zonedmzdestination address10 2 0 024actionpermit 命令行配置服务器负载均衡 配置SLB功能 slbenable slbrserver1rip10 2 0 3weight32healthchkrserver2rip10 2 0 4weight32healthchkrserver3rip10 2 0 5weight32healthchkgrouppolicy webmetricsrchashaddrserver1addrserver2addrserver3vserverpolicy webvip1 1 1 10grouppolicy webtcpvport8080rport80 WEB配置服务器负载均衡 选择 策略 NAT策略 服务器映射 单击新建 目录 NAT技术原理NAT配置NAT故障排除 NAT故障排除1 故障现象 某公司在网络边界处部署了USG作为安全网关 通过在USG上配置源NAT策略 使内部网络中的PC能够访问Internet上的资源 实际使用中 发现内部网络中的PC A 地址为10 1 1 2 无法访问Internet上的Web服务器 地址为211 1 1 2 PC A10 1 1 2 24 10 1 1 1 24 1 1 1 1 24 1 1 1 254 24 PC B10 1 1 3 24 故障排除思路 选择 监控 会话表 查询源地址为10 1 1 2的表项 根据会话表显示结果可以缩小可能原因的范围 请分别按以下三种情况逐一排查可能原因 没有找到源地址为10 1 1 2的会话表 存在会话表项 但是会话表项错误 已经建立了正确的会话表项 故障定位 无源地址的会话表 可能原因有内部PC没有配置网关内部其它设备丢弃报文USG基础接口和安全区域配置错误USG配置黑名单丢弃报文USG配置安全