NAT配置案例解析

IT那活兒發(fā)布于2023-01-11 13:20 / 996人閱讀

NAT配置案例解析

概述

NAT英文全稱是“NetworkAddress Translation”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，是一個IETF(InternetEngineering Task Force, Internet工程任務(wù)組)標準，允許一個整體機構(gòu)以一個公用IP（InternetProtocol）地址出現(xiàn)在Internet上。顧名思義，是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法外網(wǎng)IP地址的技術(shù)。網(wǎng)絡(luò)規(guī)定了三段專有的地址，作為私有的內(nèi)部組網(wǎng)使用，這三塊私有地址本身是可路由的，只是公網(wǎng)上的路由器不會轉(zhuǎn)發(fā)這三塊私有地址的流量，只能在內(nèi)網(wǎng)之間通信。

A類：10.0.0.0—10.255.255.255 10.0.0.0/8
B類：172.16.0.0—172.31.255.255 172.16.0.0/12
C類：192.168.0.0—192.168.255.255 192.168.0.0/16

NAT三種類型

靜態(tài)NAT(StaticNAT)（一對一）:

將內(nèi)網(wǎng)私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，并且保持不變，由于該方式對外網(wǎng)ip資源嚴重浪費，在日常運維中使用較少，只要在某些特殊需求下才會使用。

動態(tài)地址NAT(PooledNAT)（多對多）:
將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址是不確定，隨機的。所有被授權(quán)訪問Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定合法的IP地址。動態(tài)NAT是在路由器上配置一個外網(wǎng)IP地址池，當內(nèi)部有計算機需要和外部通信時，就從地址池里動態(tài)的取出一個外網(wǎng)IP，并將他們的對應(yīng)關(guān)系綁定到NAT表中，通信結(jié)束后，這個外網(wǎng)IP才被釋放，可供其他內(nèi)部IP地址轉(zhuǎn)換使用。

網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（NetworkAddress Port Translation）（Port-LevelNAT）（多對一）:
改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，可以最大限度地節(jié)約IP地址資源。同時，也可以隱藏網(wǎng)絡(luò)內(nèi)部的所有主機，有效避免來自Internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是PAT規(guī)則。

這是最常用的NAT技術(shù)，也是IPv4能夠維持到今天的最重要的原因之一，它提供了一種多對一的方式，對多個內(nèi)網(wǎng)IP地址，邊界路由可以給他們分配一個外網(wǎng)IP，利用這個外網(wǎng)IP的不同端口和外部進行通信。NAPT與動態(tài)NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個多帶帶的IP地址上，同時在該地址上加上一個由NAT設(shè)備選定的端口號。

NAPT是使用最普遍的一種轉(zhuǎn)換方式，是主要的使用方式。它又包含兩種轉(zhuǎn)換方式：SNAT和DNAT。

SNAT：

源NAT（SourceNAT，SNAT）：修改數(shù)據(jù)包的源地址。源NAT改變第一個數(shù)據(jù)包的來源地址，它永遠會在數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)之前完成。

DNAT

目的NAT（DestinationNAT，DNAT）：修改數(shù)據(jù)包的目的地址。DNAT剛好與SNAT相反，它是改變第一個數(shù)據(jù)包的目的地地址。

工作原理

當內(nèi)部網(wǎng)絡(luò)中的一臺主機想傳輸數(shù)據(jù)到外部網(wǎng)絡(luò)時，它先將數(shù)據(jù)包傳輸?shù)絅AT路由器上，路由器檢查數(shù)據(jù)包的報頭，獲取該數(shù)據(jù)包的源IP信息，并從它的NAT映射表中找出與該IP匹配的轉(zhuǎn)換條目，用所選用的外網(wǎng)IP來替換內(nèi)部局部地址，并轉(zhuǎn)發(fā)數(shù)據(jù)包。

當外部網(wǎng)絡(luò)對內(nèi)部主機進行應(yīng)答時，數(shù)據(jù)包被送到NAT路由器上，路由器接收到目的地址為外網(wǎng)地址的數(shù)據(jù)包后，它將用該外網(wǎng)地址通過NAT映射表查找出內(nèi)網(wǎng)地址，然后將數(shù)據(jù)包的目的地址替換成內(nèi)部局部地址，并將數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)網(wǎng)主機

。

NAT工作原理示例圖

配置案例解析

目前某公司各省分公司均采用nat方式來實現(xiàn)分省公司與集團總部業(yè)務(wù)之間通信以及分省公司與外網(wǎng)之間的通信，以下將以某省分公司為例對nat配置進行詳細解析，nat均配置在該省華為出口防火墻（兩臺為主備關(guān)系）上，該省分公司拓撲如下圖所示：

需求一：該省172.17.0.11/12/13三臺主機開通訪問外網(wǎng)權(quán)限

針對此需求首先查看防火墻安全區(qū)域劃分，從配置上可以看出主要分為local、trust、untrust、dmz四個安全區(qū)域，安全級別最高為local，最低為untrust，同樣可以從配置上看出各安全域所包含的接口，配置如下圖所示：

查看172.17.0.11/12/13路由表，確認所屬域，通過接口可以看出三臺主機均屬于trust域，配置如下圖所示：

同理通過配置可以看出三條運營商鏈路接口均屬于untrust域，也是就是說所有的外網(wǎng)地址都屬于untrust域，配置如下圖所示：

建立外網(wǎng)IP池，使主機內(nèi)網(wǎng)ip可以轉(zhuǎn)換成對應(yīng)外網(wǎng)ip來訪問外網(wǎng)，標注部分第一個IP表示起始IP，第二個IP表示終止IP，兩個IP一樣則表示地址池只有一個IP，此配置類型為NAPT中的SNAT，即172.17.0.11/12/13通過x.x.x.x不同端口與外網(wǎng)進行通信，配置如下圖所示：

輸入nat-policy，進入nat規(guī)則配置視圖進行配置，源域為trust，目的域為untrust，源地址為172.17.0.11/12/13，目的地址為所有（默認為所有），action為轉(zhuǎn)換為address-group1，也就是x.x.x.x，也就是說將trust域的源地址172.17.0.11/12/13轉(zhuǎn)換成x.x.x.x用于訪問untrust域的所有地址（所有外網(wǎng)IP），配置如下圖所示：

至此NAT配置已經(jīng)完成，接下來建立安全策略，輸入security-policy進入安全策略配置界面，允許源地址172.17.0.0/24訪問所有外網(wǎng)IP，具體配置如下圖所示：

所有配置完成后測試發(fā)現(xiàn)主機仍然不能訪問外網(wǎng)，接下來需要進行故障排查，從主機長ping外網(wǎng)ip地址在防火墻會話表可以看到會話信息，證明NAT配置已經(jīng)生效，并且進行路由追蹤可以到達防火墻，故障點定位在防火墻，防火墻會話表配置如下圖所示：

經(jīng)排查發(fā)現(xiàn)防火墻存在三條優(yōu)先級相同的默認路由，導(dǎo)致路由沖突，主機無法選路，故無法訪問外網(wǎng)，默認路由配置如下：

針對此問題進行策略路由配置，配置源地址172.17.0.11/12/13，目的地址為所有，下一跳地址為x.x.x.x，也就是說使172.17.0.11/12/13三臺主機通過電信鏈路訪問外網(wǎng)（x.x.x.x為電信IP），至此主機可成功訪問外網(wǎng)，配置完成，策略路由配置如下圖所示：

需求二：172.17.0.11的443端口映射到外網(wǎng)，將172.17.0.13主機IP映射到外網(wǎng)

首先進行172.17.0.11主機的nat配置，此配置為端口映射，地址轉(zhuǎn)換協(xié)議為tcp協(xié)議，映射的外網(wǎng)IP為：x.x.x.x，配置如下圖所示：

然后進行172.17.0.13主機NAT配置，此配置為IP映射，也就是說將內(nèi)網(wǎng)IP：172.17.0.13徹底轉(zhuǎn)換為外網(wǎng)IP:x.x.x.x，no-reverse表示內(nèi)網(wǎng)IP可以進行復(fù)用，可繼續(xù)映射成其他外網(wǎng)IP，配置如下圖所示：