cjh NAT类型(源NAT、目的NAT、双向NAT、NAT No-PAT、NAPT、Smart NAT、Easy IP、三元组NAT)
NAT类型(源NAT、目的NAT、双向NAT、NAT No-PAT、NAPT、Smart NAT、Easy IP、三元组NAT)
简介
NAT(Network Address Translation)是一种地址转换技术,支持将报文的源地址进行转换,也支持将报文的目的地址进行转换。
NAT类型
根据转换方式的不同,NAT可以分为以下三类:
表1 NAT分类
| 分类 | 转换内容 | 是否转换端口 | 适合场景 | ||
|---|---|---|---|---|---|
源NAT | 转换源地址时不转换端口 | 源IP地址 | 否 | 适合公网IP地址数量充足的、仅有少量私网用户访问Internet场景。私网地址与公网地址一对一转换。 | |
转换源地址时转换端口 | 源IP地址 | 是 | 适合大量的私网用户访问Internet场景。大量私网地址转换为少量公网地址。 | ||
目的NAT | 静态目的NAT(包括目的NAT策略和NAT Server):公网地址与私网地址一对一进行映射。 | 目的IP地址 | 可选 | 适用于通过一个公网地址访问一个私网地址或者多个公网地址访问多个私网地址的场景。 | |
| 静态目的NAT(包括目的NAT策略和NAT Server):公网端口与私网端口一对一进行映射。 | 目的IP地址 | 可选 | 适用于通过一个公网地址的多个端口访问一个私网地址的多个端口的场景。 | ||
| 静态目的NAT(包括目的NAT策略和NAT Server):公网地址的多个端口与多个私网地址一对一进行映射。 | 目的IP地址 | 是 | 适用于通过一个公网地址的多个端口访问多个私网地址的场景。 | ||
| 静态目的NAT(包括目的NAT策略和NAT Server):多个公网地址与多个私网端口一对一进行映射。 | 目的IP地址 | 是 | 适用于通过多个公网地址访问一个私网地址的多个端口的场景。 | ||
| 动态目的NAT(包括目的NAT策略和基于ACL的目的NAT):公网的地址随机转换为目的地址池中的地址 | 目的IP地址 | 可选 | 适合公网地址与私网地址不存在固定的映射关系,公网的地址随机转换为目的地址池中的地址的场景。 | ||
双向NAT | 源NAT+静态目的NAT | 源IP地址+目的IP地址 | 可选 | 适合源和目的地址同时需要转换,且目的地址转换前后存在固定映射关系的场景。 | |
源NAT+动态目的NAT | 源IP地址+目的IP地址 | 可选 | 适合源和目的地址同时需要转换,且目的地址转换前后不存在固定映射关系的场景。 | ||
根据转换方式的不同,NAT可以分为以下三类:
源NAT
目的NAT
双向NAT
源NAT简介
源NAT是指对报文中的源地址进行转换。
通过源NAT技术将私网IP地址转换成公网IP地址,使私网用户可以利用公网地址访问Internet。转换过程如图1所示。
源NAT工作原理示意图
当Host访问Web Server时,FW的处理过程如下:
1、当私网地址用户访问Internet的报文到达FW时,FW将报文的源IP地址由私网地址转换为公网地址。
2、当回程报文返回至FW时,FW再将报文的目的地址由公网地址转换为私网地址。
根据转换源地址时是否同时转换端口,源NAT分为仅源地址转换的NAT(NAT No-PAT),源地址和源端口同时转换的NAT(NAPT、Smart NAT、Easy IP、三元组NAT)。
NAT No-PAT
NAT No-PAT是一种NAT转换时只转换地址,不转换端口,实现私网地址到公网地址一对一的地址转换方式。适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景。工作原理如图1所示。
No-PAT工作原理示意图
当Host访问Web Server时,FW的处理过程如下:
(1)FW收到Host发送的报文后,根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动,通过安全策略检查后继而查找NAT策略,发现需要对报文进行地址转换。
(2)FW根据轮询算法从NAT地址池中选择一个空闲的公网IP地址,替换报文的源IP地址,并建立Server-map表和会话表,然后将报文发送至Internet。
(3)FW收到Web Server响应Host的报文后,通过查找会话表匹配到步骤2中建立的表项,将报文的目的地址替换为Host的IP地址,然后将报文发送至Intranet。
此方式下,公网地址和私网地址属于一对一转换。如果地址池中的地址已经全部分配出去,则剩余内网主机访问外网时不会进行NAT转换,直到地址池中有空闲地址时才会进行NAT转换。
FW上生成的Server-map表中存放Host的私网IP地址与公网IP地址的映射关系。
正向Server-map表项保证特定私网用户访问Internet时,快速转换地址,提高了FW处理效率。
反向Server-map表项允许Internet上的用户主动访问私网用户,将报文进行地址转换。
NAT NO-PAT有两种:
(1)本地(Local)NO-PAT
本地NO-PAT生成的Server-Map表中包含安全区域参数,只有此安全区域的Server可以访问内网Host。
(2)全局(Global)NO-PAT
全局NO-PAT生成的Server-Map表中不包含安全区域参数,一旦建立,所有安全区域的Server都可以访问内网Host。
NAPT
NAPT是一种转换时同时转换地址和端口,实现多个私网地址共用一个或多个公网地址的地址转换方式。适用于公网地址数量少,需要上网的私网用户数量大的场景。工作原理如图所示。
NAPT工作原理示意图
当Host访问Web Server时,FW的处理过程如下:
(1)FW收到Host发送的报文后,根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动,通过安全策略检查后继而查找NAT策略,发现需要对报文进行地址转换。
(2)FW根据源IP Hash算法从NAT地址池中选择一个公网IP地址,替换报文的源IP地址,同时使用新的端口号替换报文的源端口号,并建立会话表,然后将报文发送至Internet。
(3)FW收到Web Server响应Host的报文后,通过查找会话表匹配到步骤2中建立的表项,将报文的目的地址替换为Host的IP地址,将报文的目的端口号替换为原始的端口号,然后将报文发送至Intranet。
此方式下,由于地址转换的同时还进行端口的转换,可以实现多个私网用户共同使用一个公网IP地址上网,FW根据端口区分不同用户,所以可以支持同时上网的用户数量更多。此外,NAPT方式不会生成Server-map表,这一点也与NAT No-PAT方式不同。
Smart NAT
Smart NAT是No-PAT方式的一种补充。Smart NAT是一种可以在No-PAT的NAT模式下,指定某个IP地址预留做NAPT方式的地址转换方式。适用于平时上网的用户数量少,公网IP地址数量与同时上网用户数基本相同,但个别时段上网用户数激增的场景。
使用No-PAT方式时,进行地址池的一对一转换。随着内部用户数量的不断增加,地址池中的地址数可能不再能满足用户上网需求,部分用户将得不到转换地址而无法访问Internet。此时,用户可以利用预留的IP地址进行NAPT地址转换,然后访问Internet。工作原理如图所示。
Smart NAT工作原理示意图
当内部网络中多台Host同时访问Server时,处理过程如下:
(1)FW收到Intranet发送的报文后,根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动,通过域间安全策略检查后继而查找域间NAT策略,发现需要对报文进行地址转换。
(2)如果NAT地址池中有空闲地址,FW从NAT地址池中选择一个空闲的公网IP地址,替换报文的源IP地址,并建立会话表,然后将报文发送至Server。
(3)如果NAT地址池中没有空闲地址,FW使用预留的NAPT地址替换报文的源IP地址,同时使用新的端口号替换报文的源端口号,并建立会话表,然后将报文发送至Internet。
此方式下,FW优先采用No-PAT的方式转换地址。当可被No-PAT方式的公网地址用完时,新的用户连接将使用预留的这个IP地址做NAPT方式的地址转换。
Easy IP
Easy IP是一种利用出接口的公网IP地址作为NAT转后的地址,同时转换地址和端口的地址转换方式。对于接口IP是动态获取的场景,Easy IP也一样支持。
当FW的公网接口通过拨号方式动态获取公网地址时,如果只想使用这一个公网IP地址进行地址转换,此时不能在NAT地址池中配置固定的地址,因为公网IP地址是动态变化的。此时,可以使用Easy IP方式,即使出接口上获取的公网IP地址发生变化,FW也会按照新的公网IP地址来进行地址转换。工作原理如图所示。
Easy IP工作原理示意图
当Host访问Web Server时,FW的处理过程如下:
(1)FW收到Host发送的报文后,根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动,通过安全策略检查后继而查找NAT策略,发现需要对报文进行地址转换。
(2)FW使用与Internet连接的接口的公网IP地址替换报文的源IP地址,同时使用新的端口号替换报文的源端口号,并建立会话表,然后将报文发送至Internet。
(3)FW收到Web Server响应Host的报文后,通过查找会话表匹配到步骤2中建立的表项,将报文的目的地址替换为Host的IP地址,将报文的目的端口号替换为原始的端口号,然后将报文发送至Intranet。
此方式下,由于地址转换的同时还进行端口的转换,可以实现多个私网用户共同使用一个公网IP地址上网,FW根据端口区分不同用户,所以可以支持同时上网的用户数量更多。
三元组NAT
三元组NAT是一种转换时同时转换地址和端口,实现多个私网地址共用一个或多个公网地址的地址转换方式。它允许Internet上的用户主动访问私网用户,与基于P2P技术的文件共享、语音通信、视频传输等业务可以很好地共存。
当内网PC访问Internet时,如果FW采用五元组NAT(NAPT)方式进行地址转换,外部设备无法通过转换后的地址和端口主动访问内部PC。
三元组NAT方式可以很好的解决上述问题,因为三元组NAT方式在进行转换时有以下两个特点。工作原理如图1所示。
三元组NAT的端口不能复用,保证了内部PC对外呈现的端口的一致性,不会动态变化,但是公网地址利用率低。
支持外部设备通过转换后的地址和端口主动访问内部PC。FW即使没有配置相应的安全策略,也允许此类访问报文通过。
缺省情况下,端点无关过滤功能处于开启状态。端点无关过滤功能开启后,当Internet上的用户主动访问位于内部网络的用户时,将会匹配目的Server-map表,FW根据目的Server-map表中的转换关系进行地址转换,然后不进行安全策略处理,直接转发报文。如果没有开启端点无关过滤功能,则还是会查找安全策略规则,由安全策略规则决定是否转发报文。
三元组NAT工作原理示意图
当Host A访问Host B时,FW的处理流程如下:
(1)FW收到Host A发送的报文后,根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动,通过域间安全策略检查后继而查找域间NAT策略,发现需要对报文进行地址转换。
(2)FW从NAT地址池中选择一个公网IP地址,替换报文的源IP地址为1.1.1.10,替换报文的端口号2296,并建立会话表和Server-map表,然后将报文发送至Host B。
(3)FW收到Host B响应Host A的报文后,通过查找会话表匹配到步骤2中建立的表项,将报文的目的IP地址替换为192.168.1.2,端口号替换为6363,然后将报文发送至Host A。
(4)Server-Map表老化之前,当FW收到Host C访问Host A的请求时,也可以通过查找Server-Map表匹配地址映射关系,然后将报文送到Host A。
FW上生成的Server-map表中存放Host的私网IP地址与公网IP地址的映射关系。
正向Server-map表项保证内部PC转换后的地址和端口不变。
反向Server-map表项允许外部设备可以主动访问内部PC。
三元组NAT有两种:
(1)本地(Local)三元组NAT
本地三元组NAT生成的Server-Map表中包含安全区域参数,只有此安全区域的Host可以访问内网Host。如图1所示,如果Host B与Host C不在同一安全区域,当Host A与Host B之间建立三元组NAT关系后,Host C不可以通过建立的Server-Map表访问Host A。
(1)全局(Global)三元组NAT
全局三元组NAT生成的Server-Map表中不包含安全区域参数,一旦建立,所有安全区域的Host都可以访问内网Host。如图1所示,如果Host B与Host C不在同一安全区域,当Host A与Host B之间建立三元组NAT关系后,Host C也可以通过建立的Server-Map表访问Host A。
FW支持Smart三元组NAT功能,可以根据报文的目的端口来选择分配端口的模式,在一定程度上提高公网地址的利用率。当报文的目的端口属于设置的端口范围之内,就采用NAPT模式来分配端口,如果报文的目的端口不属于设置的端口范围之内,则采用三元组NAT模式来分配端口。
NAT网络地址转换(列表、list、全)
http://www.zh-cjh.com/wenzhangguilei/988.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » NAT类型(源NAT、目的NAT、双向NAT、NAT No-PAT、NAPT、Smart NAT、Easy IP、三元组NAT)
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm