02.hcie sec和参考1安全hc nat原理及应用

1、HC13031033NAT原理及应用Copyright 2014Technologies Co.,.s.前言随着ernet的快速发展，IPv4的公网地址资源已经非常匮乏，NAT（Network Address Translation）技术通过对IP报文中的地址或端口进行转换，可以使大量的私网IP地址通过共享少量的公网IP地址来公网，从而有效减少对公网地址的需求，从而有效减缓了IP地址空间枯竭的速度。本章节重点讲解USG上NAT的技术原理、基本命令、应用场景、典型配置案例、故障排除方法及拓展学习资料等。Copyright 2014Technologies Co.,.s.Page 1目标学完本课程

2、后，您将能够:描述描述NAT技术原理掌握NAT配置命令的基本功能配置上网、服务发布配置双出口场景NAT配置服务器负载均衡NAT故障排除Copyright 2014Technologies Co.,.s.Page 2目录NAT技术原理NAT配置NAT故障排除Copyright 2014Technologies Co.,.s.Page 3原理：NAT技术原理NAT涉及到的技术原理：NAT分类、NAT基本概念源NAT、目的NAT、双向NATNAPT、Easy-IPNAT ALG、No-NATSmart NAT、三元组NATCopyright 2014Technologies Co.,.s.Page

3、4NAT的分类源NAT根据转换的方向：Inbound NAT 和 Outbound NAT根据端口是否转换：No-PAT 和 NAPT目的NAT分为NAT sever和目的NAT双向NATNAT Inbound 和 NAT Server一起使用域内NAT和NAT Server一起使用Copyright 2014Technologies Co.,.s.Page 5NAT基本概念（1/3）：IP地址分类类别网段/掩码网络数每网络可用主机私有地址A类/8116777214B类/16-/161665534C类/24-/24256254公有地址A类/8-/8/8-/812516777214B类/16-/

4、16/16-/16/16-/161636765534C类/24-.0/24-/242096896254特殊地址CopyrightD类-55 主要用于组播E类-54 保留地址段，目前不使用其201它40T.e0ch.0no、log1ie2s 7Co.0.,.1s4. .0.0/16、Pa2g5e 56 .255.255.255NAT基本概念（2/3）：NAT地址池NAT地址池是指用NAT转换时用于分配的公网IP地址范围。进行转换时，设备会从该地址池中选择一个随即地址，用于替换报文中的源IP地址。公网地址由ISP分配，可用的地址池范围可以计算出来静态服务器：3-4地址池范围： 1-20/24/29

5、/240/2900/24Copyright 2014Technologies Co.,.s.Page 7NAT基本概念（3/3）：Server MapServer-map表项主要是用于存放一种关系，设备根据这种关系对报文的地址进行转换，并转发。NAT生成Server-map的两种情况配置NAT Server成功后生成静态表项用于存放Global地址和Inside地址关系不配置“no-reverse”参数时，生成正反方向两个server-map配置“no-reverse”参数时，只生成正方向server-map配置NAT No-PAT后，流量触发建立Server-map表用于存放私网IP地址与公

6、网IP地址的关系Copyright 2014Technologies Co.,.s.Page 8源NAT(1/5):基础原理源NAT技术通过对报文的源地址进行转换，使大量私网用户可以利用少量公网IP上网，大大减少了对公网IP地址的需求。0/24/29/240/2900/24Copyright 2014Technologies Co.,.s.Page 9IP报文源地址：00目的地址：1数据IP报文源地址：00目的地址：0数据IP报文源地址：1目的地址：00数据IP报文源地址：0目的地址：00数据源NAT(2/5):共用地址池使用一个地址所有电脑进行地址转换nat address-group 1

7、1 2-100/29/240/29Copyright 2014Technologies Co.,.s.Page 10IP报文源地址：1:5123源地址：2:5130源地址：1:5136IP报文源地址：:51481源地址：:51737源地址：:51989源NAT(3/5):多地址池使用多个地址池可以对不同的用户群的地址进行分别转换nat address-group 1 1 1nat address-group 2 2 2用户群1-50/24/29/240/29用户群21-100/24Copyright 2014Technologies Co.,.s.Page 11IP报文源地址：2:6123源地

8、址：2:6130IP报文源地址：1:61481源地址：1:61737IP报文源地址：1:5123源地址：1:5130IP报文源地址：:51481源地址：:51737源NAT(4/5):源NAT的其它技术NO-PAT：1对1IP地址转换NAPT：NAT转换时同时转换IP地址和端Easy-IP：使用接口上的公网地址对私网IP进行转换Smart-NAT：同时支持no-pat转换和NAPT转换使用 section中的地址段进行1对1转换使用 smart-nopat地址进行NAPT转换三元组NAT：源IP、源端口、协议号支持主动动态端口对外一致性Copyright 2014Technologies Co

9、.,.s.Page 12源NAT示例(5/5):技术对比Copyright 2014Technologies Co.,.s.Page 13源NAT类型私网IP和公网IP的数量对应是否转换端口NAT No-PAT一对一否NAPT多对一多对多是出接口地址方式（easy-ip）多对一是Smart NAT（仅高端USG9000系列支持）一对一（预留IP做多对一转换）否（预留IP做端口转换）三元组NAT（仅高端USG9000系列支持）多对一多对多目的NAT(1/2):NATServerNAT Server可以用来发布内网的服务器或特定的服务FW nat server global 3 inside 00

10、FW nat serv8000/24rotocol tcp global 4 80 inside 00/29/240/2900/24Copyright 2014Technologies Co.,.s.Page 14IP报文源地址：00：1023目的地址：4：80数据IP报文源地址：00：1023目的地址：00：80数据目的NAT(2/2):目的NAT对报文的目的地进行转换转换终端的WAP网关进行流量重定向下图示例中把去向DNS服务器()的流量重定向到中国电信的服务器上(33)用户群1-50/24/29/240/29用户群21-100/24Copyright 2014Technologies C

11、o.,.s.Page 15IP报文源地址：2:6123目的地址：33：53IP报文源地址：1:61481目的地址：53NATALGNAT ALG（Application Level Gateway）支持对应用层的信息进行相应的转换使用detect protocol 命令执行可以域间策略上开启（域间NAT场景）可以在域策略上开启（域内NAT场景）支持的协议有：dns、ftp、netbios 、pptp、sqlneth323、sip、rtspq、msnicils、mmsCopyright 2014Technologies Co.,.s.Page 16FTP协议的NATALG处理USGFTP Cnt

12、FTP ServerSYNSYN SYN + ACKACK交互用户名、d : ip port yyyy三次握手建立控制通道SYN + ACKACK交互用户名、d : ip port yyyyPortPort交互Port命令Portd OKPortd OKSYN SYN + ACKACKLIST传输数据SYN SYN + ACKACKLIST传输数据三次握手建立数据通道ddCopyright 2014Technologies Co.,.s.Page 17src IP：src port ：20dst IP：dstport ：yyyydst IP：dst port ：yyyydst IP：dst p

13、ort ：21Src IP：Src port ：xSrc IP： Src port ：x目录NAT技术原理NAT配置配置：NAT配置基础案例1：配置用户上网、服务发布案例2：配置双出口场景NAT案例3：配置服务器负载均衡NAT故障排除Copyright 2014Technologies Co.,.s.Page 18NAT命令(1/8):源NAT配置Copyright 2014Technologies Co.,.s.Page 19步骤配置项配置命令1（可选）配址池nat address-group addressgroup1 section 0 0 2nat-mode pat2配置黑洞路由ip

14、route-sic 0 55 NULL0ip route-sic 1 55 NULL0ip route-sic 2 55 NULL03配置安全策略security-policyrule name policy1 source-zone trustdestination-zone untrust source-address 24 action permit4配置NAT策略nat-policyrule name policy_nat1 source-zone trust destination-zone untrust source-address 24action nat address-gr

15、oup addressgroup1NAT命令(2/8):配置NATServerCopyright 2014Technologies Co.,.s.Page 20步骤配置项配置命令1配置安全策略security-policyrule name policy1 source-zone untrust destination-zone dmzdestination-address 24action permit2配置黑洞路由ip route-sic 0 55 NULL03配置NAT Servernat servolicy_web protocol tcp global 0 www inside 80

16、 no-reversenat servolicy_ftp protocol tcp global 0 ftp inside ftp no-reverse4（可选）配置源进源出erface GigabitEthernet1/0/1ip address reverse-route next-hop 54NAT命令(3/8):配置服务器负载均衡Copyright 2014Technologies Co.,.s.Page 21步骤配置项配置命令1开启SLBslb enable2配置SLBslbrserver 1 rip weight 32 healthchkrserver 2 rip weight 3

17、2 healthchkrserver 3 rip weight 32 healthchk group policy_webmetric srchashaddrserver 1addrserver 2addrserver 3vservolicy_web vip 0 group policy_web tcp vport 8080 rport 803配置安全策略security-policyrule name policy1 source-zone local source-zone untrust destination-zone dmzdestination-address 24 action

18、permitNAT命令(4/8):配置目的NAT上网目的NAT示意图Copyright 2014Technologies Co.,.s.Page 22步骤配置项配置命令1配置ACLacl 3000rule permit source 552安全区域视图firewall zone trust3配置目的NATdestination-nat 3000 address NAT命令(5/8):配置NATALGCopyright 2014Technologies Co.,.s.Page 23步骤配置项配置命令1全局NAT ALGsystem-view firewall detect ftp firewal

19、l detect rstp2域间NAT ALGfirewallerzone trust untrust detect ftpdetect rtsp3配置域内NAT ALGfirewall zone trust set priority 85 detect ftpdetect rtsp4（可选）配置在出现报文重传的情况下对NAT业务无影响firewall alg-detect enable目录NAT技术原理NAT配置配置：NAT配置基础案例1：配置用户上网、服务发布案例2：配置双出口场景NAT案例3：配置服务器负载均衡NAT故障排除Copyright 2014Technologies Co.,.

20、s.Page 24案例1：配置用户上网、服务发布组网拓扑DMZFTP Server /24WEB Server 8/24Trust静态服务器G1/0/2Untrust54/24G1/0/1/24/24源NAT 策略Copyright 2014Technologies Co.,.s.Page 25/24G1/0/3命令行基础配置配置接口IP并添加接口到安全区域，配置安全策略Copyright 2014Technologies Co.,.s.Page 26# 配置安全策略 policy1，允许来自trust区域的用户可以可以 untrust区域，用户的源地址属于 /24，网段security-po

21、licyrule name policy1 source-zone trustdestination-zone untrust source-address 24 action permit# 配置安全策略 policy2，允许来自untrust区域的用户可以可以dmz区域，用户的目的地属于 /24网段rule name policy2 source-zone untrust destination-zone dmzdestination-address 24 action permiterface GigabitEthernet1/0/1ip address #erface GigabitE

22、thernet1/0/2ip address #erface GigabitEthernet1/0/3ip address #firewall zone trust set priority 85adderface GigabitEthernet1/0/1 #firewall zone untrust set priority 5adderface GigabitEthernet1/0/2 #firewall zone dmz set priority 50adderface GigabitEthernet1/0/3 #ip route-sic 54命令行配置NAT配置用户上网及服务器Copy

23、right 2014Technologies Co.,.s.Page 27#使用NAT策略实现用户上网的配置 nat-policyrule name policy_nat1 source-zone trust destination-zone untrust source-address 24 action nat easy-ip#使用NAT Server实现可以服务器nat servolicy_web protocol tcp global 0 www inside 80 no- reversenat servolicy_ftp protocol tcp global 0 ftp insid

24、e ftp no-reverse#配置NAT Server对应的黑洞路由，防止环路ip route-sic 0 55 NULL0WEB配置NAT策略实现上网选择“策略 NAT策略 源NAT策略”，单击“新建”Copyright 2014Technologies Co.,.s.Page 28WEB配置NAT策略实现服务器发布选择“策略 NAT策略 服务器”，单击“新建”Copyright 2014Technologies Co.,.s.Page 29目录NAT技术原理NAT配置配置：NAT配置基础案例1：配置用户上网、服务发布案例2：配置双出口场景NAT案例3：配置服务器负载均衡NAT故障排除C

25、opyright 2014Technologies Co.,.s.Page 30案例2：双出口场景NAT组网拓扑DMZWEB Server /24ISP1ISP 1TrustG1/0/2 /24 G1/0/1 /24G1/0/7 /24ISP2User 1/24ISP 2Copyright 2014Technologies Co.,.s.Page 31命令行基础配置配置接口IP地址，并加入区域Copyright 2014Technologies Co.,.s.Page 32#firewall zone trust set priority 85adderface GigabitEthernet

26、1/0/3 #firewall zone dmz set priority 85adderface GigabitEthernet1/0/2 #firewall zone name isp1 set priority 10adderface GigabitEthernet1/0/1#firewall zone name isp2 set priority 20adderface GigabitEthernet1/0/7#erface GigabitEthernet1/0/1ip address #erface GigabitEthernet1/0/2ip address #erface Gig

27、abitEthernet1/0/3ip address #erface GigabitEthernet1/0/7ip address #命令行配置安全策略及静态路由Copyright 2014Technologies Co.,.s.Page 33#配置静态默认路由ip route-sic GigabitEthernet1/0/7 54 preference 70ip route-sic GigabitEthernet1/0/1 54 #配置明细路由ip route-sic GigabitEthernet1/0/1 54ip route-sic GigabitEthernet1/0/1 54ip

28、 route-sic GigabitEthernet1/0/7 54ip route-sic GigabitEthernet1/0/7 54# 配置安全策略security-policyrule name policy_sec_1 source-zone trust destination-zone isp1 source-address 24 action permitrule name policy_sec_2 source-zone trust destination-zone isp2 source-address 24 action permitrule name policy_se

29、c_3 source-zone isp1 destination-zone dmzdestination-address 0 32action permitrule name policy_sec_4 source-zone isp2 destination-zone dmzdestination-address 0 32action permit命令行配置NAT配置NAT上网策略及服务器发布Copyright 2014Technologies Co.,.s.Page 34# 配置NAT策略 实现用户上网nat-policyrule name policy_nat_1 source-zone

30、trust destination-zone isp1 source-address 24action nat address-group address_1 rule name policy_nat_2source-zone trust destination-zone isp2 source-address 24action nat address-group address_2 rule name policy_nat_3source-zone dmz destination-zone dmz source-address 24destination-address 0 32 actio

31、n nat address-group address_1#配置NAT地址组nat address-group address_1section 0 0 2nat address-group address_2 section 0 0 2#配置NAT Server发布www服务nat servolicy_natserver_1 protocol tcp global 00 ftp inside 0 www no-reversenat servolicy_natserver_2 protocol tcp global 00 ftp inside 0 www no-reverseWEB配置双出口场

32、景NAT(用户上网)配置安全策略Copyright 2014Technologies Co.,.s.Page 35WEB配置双出口场景NAT(用户上网)配置NAT策略Copyright 2014Technologies Co.,.s.Page 36WEB配置双出口场景NAT(服务发布)配置安全策略Copyright 2014Technologies Co.,.s.Page 37WEB配置双出口场景NAT(服务发布)配置NATCopyright 2014Technologies Co.,.s.Page 38WEB配置双出口场景NAT(服务发布)配置DMZ通过公网地址服务器Copyright 20

33、14Technologies Co.,.s.Page 39目录NAT技术原理NAT配置配置：NAT配置基础案例1：配置用户上网、服务发布案例2：配置双出口场景NAT案例3：配置服务器负载均衡NAT故障排除Copyright 2014Technologies Co.,.s.Page 40案例2：配置服务器负载均衡WEB Server /24/24/24组网拓扑DMZ/24UntrustTrustG1/0/2 /24服务器负载均衡G1/0/154/24G1/0/1/24静态路由/24Copyright 2014Technologies Co.,.s.Page 41命令行基础配置配置接口IP地址，并

34、加入区域，配置安全策略Copyright 2014Technologies Co.,.s.Page 42#security-policyrule name policy1 source-zone local source-zone untrust destination-zone dmzdestination-address 24 action permit#erface GigabitEthernet1/0/1ip address #erface GigabitEthernet1/0/2ip address #firewall zone untrust set priority 5adder

35、face GigabitEthernet1/0/1 #firewall zone dmzset priority 50adderface GigabitEthernet1/0/2 #命令行配置服务器负载均衡配置SLB功能Copyright 2014Technologies Co.,.s.Page 43#slb enable #slbrserver 1 rip weight 32 healthchkrserver 2 rip weight 32 healthchkrserver 3 rip weight 32 healthchk group policy_webmetric srchash ad

36、drserver 1addrserver 2addrserver 3vservolicy_web vip 0 group policy_web tcp vport 8080 rport 80 #WEB配置服务器负载均衡选择“策略 NAT策略 服务器”，单击新建：Copyright 2014Technologies Co.,.s.Page 44目录NAT技术原理NAT配置NAT故障排除Copyright 2014Technologies Co.,.s.Page 45NAT故障排除1故障现象：某公司在网络边界处部署了USG作为安全网关，通过在USG上配置源NAT策略，使资源。实际使用中，发现网络中

37、的PC能够ernet上的网络中的PC_A（地址为）无法ernet上的Web服务器（地址为）。PC_A/2454/24/24/24PC_B /24Copyright 2014Technologies Co.,.s.Page 46故障排除思路选择“ 会话表”，查询源地址为的表项。根据会话表显示结果可以缩小可能原因的范围，请分别按以下三种情况逐一排查可能原因：没有找到源地址为的会话表。存在会话表项，但是会话表项错误。已经建立了正确的会话表项。Copyright 2014Technologies Co.,.s.Page 47故障定位：无源地址的会话表可能原因有PC没有配置网关其它设备丢弃报文USG基础接口和安全区域配置错误USG配置丢弃报文USG配置安全策略不正确USG没有配置去ernet的路由Copyright 2014Technologies Co.,.