华为: NAT使用限制和注意事项

华为: NAT使用限制和注意事项

源NAT的使用限制
    地址池中的IP地址可以与NAT Server的公网IP地址、接口IP地址重叠。但是配置NAT No-PAT、三元组NAT这两种源NAT时,请不要将设备接口的地址配置为NAT地址池的地址。因为这两种源NAT会生成动态Server-map表,报文到达设备时优先查询Server-map表,会影响对设备本身的访问。
    FW不支持对GRE和AH报文的NAPT方式的转换。当FW收到GRE或AH报文时,根据NAPT配置将报文的端口置为0,然而FW反向接收到的报文没有端口信息,正反向报文端口信息不匹配,导致业务中断。
    透明模式下(业务接口工作在交换模式)的源NAT的配置,FW支持采用地址池中的地址做为转换后的源地址,不支持easy-ip方式。
    NAT地址池探测功能不支持在地址池是PCP模式下应用。
当NAT地址池地址与出接口地址不在同一网段时,必须配置黑洞路由。当公网用户主动访问NAT地址池中的地址时,FW收到此报文后,无法匹配到会话表,根据缺省路由转发给路由器,路由器收到报文后,查找路由表再转发给FW。此报文就会在FW和路由器之间循环转发,造成路由环路。因此需要配置黑洞路由。
当NAT地址池地址与出接口地址在同一网段时,建议配置黑洞路由。在这种情况下,不会产生路由环路。但当公网用户发起大量访问时,FW将发送大量的ARP请求报文,也会消耗系统资源。因此需要配置黑洞路由,避免FW发送ARP报文请求报文,节省FW的系统资源。可以使用ip route-static ip-address NULL 0命令手工进行配置,也可以使用route enable命令配置UNR路由。该UNR路由的作用与黑洞路由的作用相同,可以防止路由环路,同时也可以引入到OSPF等动态路由协议中发布出去。
当NAT地址池地址与出接口地址一致时,FW收到公网用户的报文后,发现是访问自身的报文,这时候取决于出接口所属安全区域和Local安全区域之间的安全策略,安全策略允许通过,就处理;安全策略不允许通过,就丢弃。不会产生路由环路,也不需配置黑洞路由。
    配置三元组NAT时,建议配置Smart三元组NAT功能,这样可以将一些仅需内部主动访问外部的应用流量(比如单向访问外部网站)排除不进行三元组NAT转化,以此来减少系统资源的消耗。

目的NAT的使用限制
    当采用动态NAT策略的方式配置时,如果对外提供的公网地址与公网接口地址同网段,则需要在对端设备配置静态ARP将流量引到FW上,否则FW接收不到流量。
    直接将设备接口的地址配置为NAT Server的公网地址后,无法通过该接口的地址使用Web方式或Telnet方式对设备进行管理,也无法对设备进行Ping探测。如果在实际应用中确实需要将设备接口的地址配置为NAT Server的公网地址,又需要通过该接口的地址对设备进行远程管理,您可以在配置NAT Server时选择允许端口转换,并配置协议和端口号,以缩小地址和端口转换的范围,从而避免与访问设备本身的需求相冲突。
    NAT策略配置目的NAT或者双向NAT时,不支持下发UNR路由,为了防止路由环路,需要手工配置到转换前的目的IP地址的黑洞路由。
    对于配置指定协议和端口的NAT Server并且NAT Server的Global地址和公网接口地址不在同一网段时,必须配置黑洞路由。当公网用户主动访问NAT Server的global地址时,FW收到此报文后,无法匹配到会话表,根据缺省路由转发给路由器,路由器收到报文后,查找路由表再转发给FW。此报文就会在FW和路由器之间循环转发,造成路由环路。因此需要配置黑洞路由。
    对于配置指定协议和端口的NAT Server并且NAT Server的Global地址和公网接口地址在同一网段时,建议配置黑洞路由。在这种情况下,不会产生路由环路。但当公网用户发起大量访问时,FW将发送大量的ARP请求报文,也会消耗系统资源。因此需要配置黑洞路由,避免FW发送ARP报文请求报文,节省FW的系统资源。
    当NAT Server的global地址与公网接口地址一致时,FW收到公网用户的报文后,如果能匹配上Server-map表,就转换目的地址,然后转发到私网;如果不能匹配上Server-map表,就会认为是访问自身的报文,这时候取决于公网接口所属安全区域和Local安全区域之间的安全策略,安全策略允许通过,就处理;安全策略不允许通过,就丢弃。不会产生路由环路,不需要配置黑洞路由。
    配置NAT Server时,如果内网服务器的私网端口和其对外发布的公网端口同时使用了非知名端口,则需要配置端口映射功能,使FW可以将这些访问非知名端口的报文识别为知名服务的报文。
    配置NAT Server时,对于同一个内部服务器发布多个公网IP供外部网络访问的场景,如果不同公网IP所在的链路规划在同一个安全区域,必须通过配置指定no-reverse参数的NAT Server来实现。另外,指定no-reverse参数后,内部服务器将无法主动访问外部网络。
    不建议公网地址同时被NAT地址池和NAT Server使用,如果必须使用,需要精细配置NAT Server映射的公网地址和端口,并在地址池中排除该端口。当公网地址同时被NAT地址池和NAT Server使用时,可能会出现Server-map表项冲突,导致地址转换失败。

ESP NAT的使用限制
    配置源NAT的ESP NAT转换时,建议配置安全策略将外网的主动发起的访问阻断;配置NAT Server的ESP NAT转换时,建议配置安全策略将内网的主动发起的访问阻断。如果不配置安全策略,内网和外网同时发起对对端的访问,由于FW收到内网发向外网的正向报文,又收到外网向内网发起访问后的回程报文,两者都是将同一个SPI值作为端口号,端口号冲突,导致业务中断。
    在ESP NAT场景下,当公网地址充足时,建议将不同ESP的报文私网IP地址转换成不同的公网IP,以免多条ESP报文同时发起连接时冲突。
    在ESP NAT场景下,如果IPSec隧道两端不具有保活功能,需要在中间NAT设备上通过firewall session aging-time配置会话老化时间,使得会话老化时间超过隧道重协商时间。否则会话老化后,重协商报文的端口会被转换成其它端口而造成协商失败。
    在ESP NAT场景下,如果中间NAT设备未通过firewall esp nat enable开启ESP NAT功能时,已经存在ESP会话,需要通过reset firewall session table protocol esp将ESP正向会话清除,然后开启ESP NAT功能,会话信息会在之前的ESP反向会话老化后恢复正常。如果中间NAT设备已经存在ESP会话时,直接通过firewall esp nat enable开启ESPNAT功能,会由于正反向会话端口不匹配而业务不通。因此,在ESP NAT场景下,推荐优先配置firewall esp nat enable开启ESP NAT功能。

NAT66的使用限制
    配置NPTv6时,如果做源NAT转换,匹配条件中源地址的前缀长度不能大于64;如果做目的NAT转换,匹配条件中目的地址的前缀长度不能大于64; 如果做双向NAT转换,则匹配条件中源和目的地址的前缀长度均不能大于64。
    配置静态NAT66时,匹配条件中的地址前缀长度和转换后的地址前缀长度需要保持一致。
    NAT66策略源地址匹配条件只能配置一个地址前缀,目的地址匹配条件也只能配置一个地址前缀。
    目的NAT转换时,不支持转换前的公网地址与接口地址为同网段的场景。因为FW不支持对转换前的公网地址做ND响应,导致对端无法访问FW。
配置静态NAT66时,当匹配条件中协议、目的地址、目的安全区域完全相同时,请不要配置相同的源转换动作(例如,两条NAT策略匹配条件中协议、目的地址、目的安全区域完全相同,但是用户的源IP属于不同网段,如果配置了相同的源转换动作,报文中的源地址将会转换为相同地址,造成访问冲突);当匹配条件中源地址、源安全区域、协议完全相同时,请不要配置相同的目的转换动作(例如,两条NAT策略源地址、源安全区域、协议完全相同,但是用户访问的目的地址不同,如果配置了相同的目的转换动作,报文中的目的地址将会转换为相同地址,造成访问冲突)。
    NAT66的前缀不能与设备上NAT流量出入口的IPv6地址前缀重叠。NAT66前缀与NAT流量出入口IPv6地址在同一网段时,由于设备不支持NAT66后报文地址的NA报文发送功能,该场景下的业务将不可用。

与双机热备结合使用的限制
    双机热备组网下,不支持NAT地址池探测功能。
    双机热备的负载分担场景下,当NAT方式是NAPT模式时,必须在一台FW上配置hrp nat resource primary-group命令,另外一台FW上配置hrp nat resource secondary-group命令,将地址池中地址的端口分为前后两端,保证NAT地址池端口不冲突。
    双机热备的负载分担场景下,当NAT方式是NAT NO-PAT模式时,必须执行nat resource load-balance enable命令,将地址和端口的分配转移到同一台设备上执行,保证两台设备分配到的地址和端口不冲突。 开启该命令后,心跳口的流量会有所增加(增加大小视现网业务大小而定,一般为首包流量大小),需要确定心跳口的带宽是否足够。
    双机热备场景下,NAT地址池不允许包含主机、备机接口的IP地址。如果NAT地址池包含了接口的IP地址,上行设备请求该地址池IP的ARP的时候,主机和备机都会回应,导致ARP冲突。
    双机热备场景下,NAT策略中的源或目的地址不允许包含心跳接口IP地址,以免心跳报文被NAT转换引发心跳链路通信异常。
    在负载分担方式的双机热备组网中,地址池模式不能为三元组模式(包括静态映射),只能为PAT模式(包括端口预分配)和NO-PAT模式。
在非镜像模式双机热备场景中,不能使用Easy-ip。由于Easy-ip是直接使用接口的公网地址作为转换后的地址,所以在非镜像模式双机热备场景中,如果使用Easy-ip,NAT转换后的地址是主机的接口IP地址。因为备机上没有主机的接口IP地址,所以主机的会话备份到备机后是不可用的。上行设备进行ARP学习时,学到的是主机MAC地址,并没有学习到备机MAC地址。因此,在非镜像模式双机热备场景中是不能使用Easy-ip的。

与虚拟系统结合使用的限制
    根系统上的NAT Server功能中的Global地址不能与虚拟系统中分配的公网IP地址冲突。
    根系统上的NAT地址池不能与虚拟系统中分配的公网IP地址冲突。
    nat port-block syslog相关的命令只能在根系统下配置,但是对所有虚拟系统生效。

与IPSec结合的使用限制
如果应用了IPSec安全策略组的接口上同时配置了目的NAT,则由于设备先执行NAT相关配置,可能会导致IPSec配置不生效。此时,可分为三种情况进行处理:
    如果接口只做IPSec不做NAT,则需要将目的NAT引用的相关ACL规则设置为deny,并将规则的目的IP地址配置为IPSec策略引用的ACL规则的目的IP地址。
    如果接口只做NAT不做IPSec,则IPSec策略引用的ACL规则的目的IP地址不可引用NAT转换后的IP地址。
    如果接口同时做IPSec和NAT,则IPSec策略引用的ACL规则的目的IP地址需要引用NAT转换后的IP地址。

与集群结合的使用限制
    集群中只支持PAT和NAT Server,其他NAT功能不支持。
    NAT地址池在业务组中发布时,需要在同一个业务组中发布,不能分开在多个业务组中。
    集群场景中,NAT地址池不允许包含业务主、业务备接口的IP地址。如果NAT地址池包含了接口的IP地址,上行设备请求该地址池IP的ARP的时候,业务主和业务备都会回应,导致ARP冲突。
    集群场景中,如果NAT地址池地址和接口地址在同一网段,那么必须满足下列条件之一。否则,多个集群设备都会回应ARP,导致冲突。 配置VRRP。如果NAT地址池地址和VRRP地址在同一网段,那么只有VRRP主设备会发送免费ARP和回应ARP请求,不会导致ARP冲突;如果NAT地址池地址和VRRP地址在不同网段,此时需要在地址池视图中执行命令vrrp,确保只有一个集群成员回应ARP。
        配置集群业务引流,将NAT地址池地址通过UNR路由方式发布。

其他的使用限制
    不带UDP/TCP报文头的 RAW IP报文无法命中NAT策略,进行地址转换。
    当NAT与VPN功能同时工作时,请精确定义NAT策略的匹配条件,确保NAT功能不会将原本是需要进行VPN封装的数据流做地址转换。
    通过nat statistics enable开启NAT地址池统计功能时,统计期间中性能下降5%左右。 在NAT地址池统计的10秒内,CPU使用率会有一定的上升(5%左右),统计完成后CPU使用率恢复正常。
    通过ip-detect healthcheck开启NAT地址池探测功能后,FW会周期性的向远端服务器发送探测报文,其中探测报文的源地址是地址池中的地址。地址池中地址中的数量越大,发送探测报文的数量越多,会占用一定的系统资源,影响设备的性能。
    更改NAT配置后,基于ACL的目的NAT相关的会话不会刷新。NAT策略和NAT Server相关的会话会刷新,但是NAT策略中地址池的变更不会立即刷新会话。如果希望配置立即生效,则需要使用reset firewall session table命令清除相关的会话表信息。清除会话表信息时,可以使用reset firewall session table命令带上指定参数进行小范围清除,否则将导致业务中断。
    当NAT策略中需要指定源IP地址时,源IP地址应该设置为NAT转换前的私网IP地址;如果与NAT Server配合使用时,当NAT策略中需要指定目的IP地址时,目的地址应该为NAT Server的私网地址。
    用于登录SSL VPN虚拟网关、设备Web界面的IP地址和端口不能与NAT Server配置的公网IP地址和端口冲突,否则将无法正常登录虚拟网关或设备Web界面。
    NAT Server与DNS ALG结合使用时,建议不要同时限制NAT Server的端口和协议,否则会导致DNS ALG地址转换失败。

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为: NAT使用限制和注意事项

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!