NAT、Filist、ACL原理培训.ppt

1、NAT、Filist、ACL原理培训,安 腾 网 络 2005.05,目 录,一、NAT原理和实现 二、Filist原理和实现 三、ACL原理和实现 四、小结和复习,NAT简介,Internet的迅速发展，网络逐渐成为生活的一部分。目前的Internet网络采用IPv4技术，每个机器都有一个32位的地址，随着上网人数的增长，地址开始出现紧张 IPv6的应用可以解决地址的问题，在IPv4和IPv6过渡期间，需要采用折中的策略解决目前的IP地址问题 NAT（Network Address Translator ）-网络地址转换，正是应这种需求而出现的技术 协议标准：RFC1631 RFC2663,

2、NAT转换元素,转换五元组： 源IP地址 目的IP地址 源端口 目的端口 协议,NAT转换类型,正向映射（MAP） 对源地址/源端口进行转换，两种方式： 地址映射 端口映射(portmap) 正向映射是针对从内网到公网发起访问的情况 反向映射（RDR） 对目的地址/目的端口进行转换 反向映射是针对从公网到内网发起访问的情况,地址映射,特点： 转换数据包的源IP地址 不对端口进行处理，直接使用数据源端口 基本转换过程： 记录数据的五元组 查找转换规则 转换源地址 对返回的数据，直接查找记录表，进行反向转换,eFlow设备对地址映射的应用例子,规则（例） nat add map enet0 192

3、.168.1.0/24 /32 五元组转换 (0 1025 - 8 53 udp) 转换后 ( 1025 - 8 53 udp) 说明 只转换了源地址 使用原来的源端口,端口映射,特点： 转换数据包的IP地址 同时转换数据包的源端口 基本转换过程： 记录数据的五元组 查找转换规则 转换源地址和源端口 对返回的数据，直接查找记录表，进行反向转换,eFlow设备对端口映射的应用例子,规则（例） nat add map enet0 /24 /32 portmap

4、 五元组转换 (0 1025 - 8 53 udp) 转换后 ( 50000 - 8 53 udp) 说明 转换了源地址 同时转换了原来的源端口,端口映射和地址映射的区别,端口转换对数据的端口也进行了修改 端口转换适合于UDP和TCP协议 如果要使用ICMP，需要使用地址转换 映射冲突,反向映射,特点： 外面发起访问 转换数据包的目的IP地址 如果有需要，同时转换数据包的目的端口 基本转换过程： 记录数据的五元组 查找转换规则 转换目的地址（目的端口） 对返回的数据，直接查找记录表，进行转换,eFlow设备对

5、反向映射的应用例子,规则（例） nat add rdr enet0 8/32 srcport 80 0/32 dstport 81 五元组转换 (77 1024 - 8 80 tcp) 转换后 (77 1024 - 0 81 TCP) 说明 转换了目的地址 同时转换了目的访问端口,正向映射和反向映射的区别,正向映射针对从内网发起访问的情况 反向映射针对从外面访问内网的情况 在eFlow设备中，使用反向映射，应该和正向映射一一对应 正向映射是普遍情况 反向映射使用在需要公网

6、地址的用户上,NAT对应用的局限,一一对应的NAT，不会有局限 无对应规则，映射表中没有记录，将不会正确转换 在数据包中协商地址和端口，从被动方发起新的访问 例子：FTP 协议中规定了一些端口可以使用（或者协商确定），从外面发起访问 例子：MSN语音 发生映射冲突 多个用户同时PING外面的同一台主机，只能有一个正常 解决办法 开发针对性的应用网关，或者使用一一映射,FILIST主要功能,包过滤 防止攻击 防止病毒传播 其他厂家中的ACL功能,FILIST实现原理和作用,分析IP层的数据包，根据规则，进行取舍 基于安全的考虑 防止广播和病毒传播 防止不同端口的互相访问 PPPoE设备中，防止用

7、户的户访问,eFlow设备的FILIST规则,命令规则 filist add/del port block/pass in/out protocol src srcport scmp port dst dstport dcmp port quick quick参数的作用 设备安装缺省的filist规则,ACL原理和实现,ACL简介,通常的ACL是根据源地址、目的地址、源端口、目的端口或者包的某些特征标志，对用户的访问进行控制，让某些地址的用户不能或者只能访问特定的网络资源。 安腾的ACL是也是对用户进行控制，但是只针对访问的目的地址进行，不对用户的地址以及端口进行控制。同时，安腾的ACL模块把

8、用户访问这些地址的流量统计下来，送到Radius后台，提供内容计费的原始记录。 安腾BrAS的filist模块和通常意义的ACL相似，而安腾的ACL模块主要是针对某些内容计费需求，对不同的网络资源进行区分，和用户使用的服务配合起来，实现运营的服务策略。,ACL实现,与ACL有关的命令主要有两个：acl和aclcfg ACLCFG命令 aclcfg 0/1/2/3/4/5/6/7 get/put tftp_server filename ACL命令 acl 0/1/2/3/4/5/6/7 block/pass/only 0/1/2/3/4/5/6/7 enable/disable/show AC

9、L文件格式,ACL使用（一）,安腾acl主要优势体现在内容计费上，可以通过对某些网络的资源的地址定义，把用户访问这些网络资源的流量统计下来，在用户下线后，把这些内容发送到Radius后台，实现对这些流量的分开计费。 Acl需要和服务配合起来使用，在BrAS中查询匹配的一个重要依据就是用户使用的服务。只有用户的服务和某一列表中的服务符合，才进行地址的匹配检查，否则不进行任何检查。,ACL使用（二）,在进行检查时，是从列表0到列表7依次进行，也就是说，如果一个服务对应多个列表，则排在前面的列表生效，后面的地址列表将不会被检查。 采用radix树结构，保证查找的效率 如果配置了pass或者only，

10、BrAS会把符合条件用户访问列表中地址的流量统计下来。在用户下线的时候发送到Radius后台中。计费程序根据不同的策略对这些原始的内容进行批价和处理，生成计费的帐单。,ACL使用实例（一）,有两个服务service1和service2，分别对应acl的列表0和5 Acl 0内容 service1 55 55 Acl 5内容 server2 172.

11、16.0.1 55 ,ACL使用实例（二）,在BrAS上配置服务 servicename service1 servicename service2 假设tftp服务器的IP为，列表文件分别为acl0.txt和acl5.txt aclcfg 0 get acl0.txt aclcfg 5 get acl1.txt acl 0 enable acl 5 enable acl 0 pass acl 5 only 用户使用service1服务，访问acl1.txt中定义地址的流量将被记录下来，送到Radius后台。使用service2服务的用户只能访问acl5.txt的地址。,ACL使用（三）,Acl列表中的流量会被送到Radius的后台，通过两个扩展属性记录 ATTRIBUTE ACCT_ACCESS_IBYTES 190 integer ATTRIBUTE ACCT_ACCESS_OBYTES 191 integer,培训复习题,NAT转换的