浅谈华为防火墙NAT策略

  
  

博文目录

  

一、什么是NAT ?

  

二,如何解决源地址转换环境下的环路和无效ARP问题?

  

三,什么是Server-map表?

  

四、NAT对报文的处理流程

  

五、开始配置NAT

     <人力资源/>   

一、什么是NAT ?

  

NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术。此博文重点是华为相关的NAT知识上。

  

1, NAT分类

  

在内外网的边界,流量有出,入两个方向,所以NAT技术包含源地址转换和目标地址转换两类。
一般情况下,源地址转换主要用于解决内部局域网计算机访问互联网的场景,而目标地址转换主要用于解决互联网用户访问局域网服务器的场景,目标地址通常被称为服务器地址映射。

  
  

华为支持的源地址转换方式有如下几类:

  
      <李>   

    NAT No-PAT:类似于思科的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,实际情况下使用比较少,主要适用于需要上网的用户较少,而公网地址又足够的场景下。

      李   <李>   

    组织(网络地址和端口转换网络地址和端口转换):类似于思科的帕特转换,组织即转换报文的源地址,又转换源端口。转换后的地址不能是外网接口IP地址,属于多对多或多对一转换,可以节约IP地址,使用场景较多,主要适用于内部大量用户需要上网,同时仅有少数几个公网IP地址可用的场景下。

      李   <李>   

    出接口地址(Easy-IP):因其转换方式非常简单,所以也称为Easy-IP,和组织一样,既转换源IP地址,又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址,主要适用于没有额外的公网地址可用,内部上网用户非常多的场景下,直接通过外网接口本身的IP地址作为转换目标。

      李   <李>   

    智能NAT(智能转换):是组织和NAT No-PAT相结合工作,通过预留一个公网地址进行组织转换,而其他的公网地址用来进行NAT No-PAT转换。

      李   <李>   

    NAT服务器:静态一对一发布,主要用于内部服务器需要对互联网提供服务时使用。

      李   <李>三元组奈特:与源IP地址,源端口和协议类型有关的一种转换,将源IP地址和源端口转换为固定公网IP地址和端口,能解决一些特殊应用在普通NAT中无法实现的问题。   
     

二,如何解决源地址转换环境下的环路和无效ARP问题?

  

在配置华为NAT转换时,经常会配置黑洞路由以解决路由环路和无效ARP,关于其如何产生,大概就是,在有些NAT的转换方式中,是为了解决内网连接网络,而映射出了一个公有IP,那么,若此时有人通过互联网来访问这个映射出来的公有IP,就会产生这两种情况。若要详细说起来,又是很麻烦,但是解决这两个问题很简单,就是配置黑洞路由(将互联网主动访问映射出来的地址的流量指定到空接口null0),关于如何配置,将在过后的配置中展示出来,如下图所示是否需要配置路由黑洞:
浅谈华为防火墙NAT策略

  
      <李>   

    <强> NAT服务器(粗泛):是NAT服务器转换类型中的一种,表示源地址和转换后的地址只有简单的映射关系,没有涉及端口等映射,如源地址为192.168.10.5、转换后的地址为202.96.10.2,如果做的是NAT服务器(粗泛)这种类型的NAT,那么所有访问202.96.10.2的数据包都将转发给192.168.10.5这个地址。

      李   <李> <>强NAT服务器(精细):强也是NAT服务器转换类型中的一种,表示源地址和转换后的地址映射关系,已经具体定位到某个端口,如:源地址为192.168.10.5、转换后的地址为202.96.10.2,做了NAT服务器(精细)的NAT转换,那么可能是访问202.96.10.2的FTP流量(21端口)会转发到192.168.10.5这个地址,但若访问202.96.10.2的Web流量(80/443端口),就不一定还是转发到192.168.10.5这个地址,可以说NAT服务器(精细)是基于端口的NAT转换。   
  

三,什么是Server-map表?

  
  

Server-map表和会话表的区别:

  
      <李>   

    会话表记录的是连接信息,包括连接状态。

      李   <李> server-map表记录的不是当前的连接信息,而是通过分析当前连接的报文后得到的信息,该信息用来解决接下来的数据流通过防火墙的问题。可以将server-map表的作用理解为通过未雨绸缪解决将来的问题,如像FTP这种的多端口协议,在从一开始的三次握的手,到最后完成数据的传输,其过程中,可能端口会发生改变等问题,server-map正好可以解决这种问题。

    浅谈华为防火墙NAT策略