地址444aaa.com
444aaa.com 时间:2021-04-08 阅读:()
防火墙NAT444特性技术介绍ISSUE1.
0杭州华三通信技术有限公司版权所有,未经授权不得使用与传播熟悉NAT444技术概述及实现原理熟悉NAT444典型配置和应用场景熟悉NAT444常见问题和注意事项课程目标学习完本课程,您应该能够:NAT444特性基础及实现原理NAT444典型组网及典型配置NAT444常见问题及注意事项目录www.
h3c.
com3NAT444技术需求背景InternetIPv4地址枯竭由于IPv4地址资源枯竭,引入IPv6是网络演进的必然趋势.
但是,运营商的网络、业务平台、终端以及ICP在短时间内无法全面支持IPv6,并具备商用能力.
因此在IPv6过渡期内,引入运营商级NAT,延长IPv4的使用期限,保证业务的平滑过渡,为IPv6的部署争取时间,是NAT444技术部署的主要作用和目的.
名称由来NAT444是两层NAT44的简称,属于IPv6过渡技术.
www.
h3c.
com4NAT444相关概念ICPInternetContentProvider网络内容服务商BRASBroadbandRemoteAccessService宽带远程接入服务CPECustomerPresidialEquipment用户驻地设备CRCoreRouter核心路由器LSNLargeScaleNAT大规模网络地址转换CGNCarrierGradeNAT运营商级地址转换www.
h3c.
com5NAT444标准模型三部分IPv4地址:用户侧私网地址:CPE内运营商私网地址:CPE-LSN之间公网地址:LSN外两次IPv4NAT:CPE做一次NAT44LSN做一次NAT44终端CPELSN外网v4v4v4www.
h3c.
com6NAT444架构组成NAT444是基于NAT444网关,结合AAA服务器、网管服务器、日志服务器等配套系统,提供运营商级NAT转换,并支持用户溯源和单点认证的部署方案和整体解决方案.
接收用户映射参数,生成和维护用户映射表,实现运营商级NAT转换维护各NAT444网关的用户地址映射关系表,负责用户认证、授权和计费,记录和维护用户计费和账号等信息接受和记录用户访问信息,响应用户访问信息查询负责管理NAT444网关设备,并把用户地址映射参数发送到NAT444网关和AAA服务器www.
h3c.
com7NAT444部署方式——集中式NAT444网关部署在CR层面(主流方式)私有地址私有地址公有地址www.
h3c.
com8NAT444部署方式——分布式NAT444网关部署在BRAS层面,采用BRAS插卡(H3C使用独立设备,不支持这种部署方式)公有地址私有地址www.
h3c.
com9NAT444技术引入的主要问题地址溯源NAT444在运营商侧网络额外引入一次NAT44,为最终用户分配的是私网地址,使多个最终用户可能出现共用一个公网地址访问Internet,这样就会给运营商实施用户溯源带来困难NAT穿越部分Internet应用在穿越NAT444时存在问题,比较常见的就是P2P业务www.
h3c.
com10NAT444溯源机制NAT444采用端口块分配方式解决溯源问题10.
1.
1.
1-201.
1.
1.
11024-204710.
1.
1.
2-201.
1.
1.
12048-3071SIP:201.
1.
1.
1:1024DIP:122.
1.
1.
1:80SIP:10.
1.
1.
2:1024DIP:122.
1.
1.
1:80SIP:201.
1.
1.
1:2048DIP:122.
1.
1.
1:80CGNSIP:10.
1.
1.
1:1024DIP:122.
1.
1.
1:80www.
h3c.
com11端口块分配方式AAA与CGN执行相同的端口映射生成算法.
在地址溯源过程中,CGN与AAA系统之间不需要传递映射关系,直接实现对地址的溯源静态映射CGN将用户地址和端口块映射关系通过SYSLOG或者RADIUS报文上送给LOG服务器或AAA服务器,在地址溯源过程中需要由AAA服务器向LOG服务器请求映射关系实现动态映射www.
h3c.
com12静态映射表算法简述算法摘要获取计算参数,按照从小到大升序排列用户地址池;计算私网用户地址对应的公网地址.
公有地址按照从小至大的顺序选择;计算私网用户对应的端口块,同理按从小到大排列和选择;生成用户地址映射关系表项.
实例若私网用户地址池:10.
1.
1.
1~10.
1.
1.
8,公网地址池:120.
1.
1.
1~120.
1.
1.
2,端口块大小为1024,可用端口范围为1024~5121:10.
1.
1.
110.
1.
1.
210.
1.
1.
310.
1.
1.
410.
1.
1.
510.
1.
1.
610.
1.
1.
710.
1.
1.
8120.
1.
1.
1120.
1.
1.
1120.
1.
1.
1120.
1.
1.
1120.
1.
1.
2120.
1.
1.
2120.
1.
1.
2120.
1.
1.
2:1024~2047:2048~3071:3072~4095:4096~5121:1024~2048:2048~3071:3072~4095:4096~5121www.
h3c.
com13动态映射与静态映射优缺点比较动态映射优点地址利用率高动态映射缺点增加AAA、日志服务器负荷,对服务器性能要求高AAA、日志服务器的存储空间要求很大CGN设备需要额外发送日志并消耗硬件资源Radius、Syslog基于UDP传输,须控制丢包率溯源实现相对复杂目前运营商实际部署局点两种方式均有案例www.
h3c.
com14NAT444日志功能内网用户以NAT444方式访问外网资源时,防火墙NAT444模块可以向日志服务器发送以下日志信息,帮助溯源或者记录端口块分配情况:NAT444用户日志(端口块分配日志)NAT444告警信息日志NAT444会话新建日志NAT444会话删除日志NAT444日志的由三大运营商定制,分别为中国电信格式、中国联通格式和中国移动格式.
www.
h3c.
com15NAT无限连接特性引入端口块后,对应每一个私网用户的可用四层源端口数量是有限的,是否会限制私网用户的并发会话数呢访问目的地址或端口不同可重用同一个NAT源地址和源端口!
www.
h3c.
com16NAT的分类FullconeEndpoint-IndependentMapping(不关心对端地址和端口转换模式)NAT内部的机器A连接过外网机器C后,NAT会打开一个端口,外网任何主机发到这个端口的UDP数据报都可以到达ARestrictedConeNAT内部的机器A连接过外网的机器C后,NAT打开一个端口,C任意源端口发到这个端口的UDP数据报可以到达APortRestrictedCone(系统缺省模式)AddressandPort-DependentMapping(关心对端地址和端口转换模式)NAT内部的机器A连接过外网的机器C后,NAT打开一个端口,C只能使用原连接的目的端口作为源端口向A发送数据www.
h3c.
com17CGNCGNP2P业务Fullcone当P2P节点位于NAT设备之后,并且需要对外提供下载服务时可以启用FullCone特性,以实现P2P的NAT穿越www.
h3c.
com18连接数限制通过连接数限制功能,可以防止某一用户会话过多从而占用设备大量资源的情况,同时可以防止开启FullConeNAT功能之后外部发起的攻击.
#connection-limitpolicy0limit1sourceip192.
168.
0.
016destinationipanyprotocoludpmax-connections100#connection-limitapplypolicy0#NAT444特性基础及实现原理NAT444典型组网及典型配置NAT444常见问题及注意事项目录www.
h3c.
com20NAT444静态地址端口映射在系统视图下配置静态地址端口映射关系,并在接口下使能直接在接口视图下配置静态地址端口映射关系#静态地址端口映射关系配置命令nat444staticlocallocal-start-addresslocal-end-address[vpn-instancelocal-name]globalglobal-start-addressglobal-end-addressport-rangeport-range-startport-range-endblock-sizeblock-size#在接口下使能静态地址端口映射关系配置命令nat444outboundstatic静态映射配置参数要求:LocalIpNum≤GlobalIpNum*PortBlockNumLocalIpNum--用户地址池中的地址个数localGlobalIpNum--公网地址池中的地址个数globalPortBlockNum--每个公网地址对应的端口块个数(port-range/block-size)www.
h3c.
com21NAT444动态地址端口映射配置控制地址转换范围的访问控制列表:aclnumbernumberrule10permitipsourcex.
x.
x.
xx.
x.
x.
xnat444outboundacl-numberaddress-groupgroup-numberport-rangeport-range-startport-range-endblock-sizeblock-sizenataddress-groupidaddressx.
x.
x.
xx.
x.
x.
x配置可用于地址转换的公网IP地址池:在接口视图中配置NAT444动态地址端口映射:www.
h3c.
com22NAT444Fullcone特性配置配置NAT444动态地址转换的模式:natmapping-behaviorendpoint-independent[aclacl-num]Endpoint-IndependentMapping(不关心对端地址和端口转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过NAT444地址端口映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,并且NAT444网关设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机.
这种模式可以很好的支持位于不同NAT444网关之后的主机间进行互访.
AddressandPort-DependentMapping(关心对端地址和端口转换模式):对于来自相同源地址和源端口号的报文,若其目的地址和目的端口号不同,通过NAT444地址端口映射后,相同的源地址和源端口号将被转换为不同的外部地址和端口号,并且NAT444网关设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部网络的主机.
这种模式安全性好,但是不便于位于不同NAT444网关之后的主机间进行互访.
www.
h3c.
com23NAT444日志功能配置配置NAT444日志:nat444log{user|session-start|session-end}info-centerformat{unicom|china-telecom|china-unicom-nat444}info-centerloghostX.
X.
X.
X日志样例%May1820:06:16:4512012fw1NAT/6/NAT_IP_PORT_ASSIGN:NAT444:userbasedA[110.
64.
0.
3-110.
85.
46.
0-75369535]%May1820:06:16:4512012fw1NAT/6/NAT_IP_PORT_ASSIGN:NAT444:sessionbasedA[110.
64.
0.
3-110.
85.
46.
017536-]说明通过地址端口映射配置分配/回收端口时,发送相关日志只对NATip-port-assign配置提供log功能只对内网主动发起的连接提供log功能www.
h3c.
com24NAT444显示和维护显示NAT444静态地址端口映射的信息displaynat444static-ip-port-blockdisplaynat444static-ip-port-block|includex.
x.
x.
x显示NAT444动态地址端口映射的信息displaynat444dynamic-ip-port-blockdisplaynat444dynamic-ip-port-block|includex.
x.
x.
xwww.
h3c.
com25NAT444典型配置案例网络拓扑图:PC模拟私网,User1和User2分别模拟联通和电信www.
h3c.
com26NAT444典型配置案例——静态映射防火墙配置:#interfaceTen-GigabitEthernet0/0portlink-moderoute#interfaceTen-GigabitEthernet0/0.
10descriptionTo_Usersvlan-typedot1qvid10ipaddress192.
168.
1.
254255.
255.
255.
0#zonenameTrustid2priority85importinterfaceTen-GigabitEthernet0/0.
10zonenameDMZid3priority50zonenameUntrustid4priority5importinterfaceTen-GigabitEthernet0/0.
100importinterfaceTen-GigabitEthernet0/0.
200##interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100nat444outboundstaticnat444staticlocal192.
168.
1.
1192.
168.
1.
100global101.
0.
0.
1101.
0.
0.
10port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0#interfaceTen-GigabitEthernet0/0.
200descriptionTo_Telecomvlan-typedot1qvid200nat444outboundstaticnat444staticlocal192.
168.
1.
1192.
168.
1.
100global201.
0.
0.
1201.
0.
0.
10port-range1000120000block-size1000ipaddress200.
0.
0.
254255.
255.
255.
0#iproute-static101.
0.
0.
0255.
255.
255.
0NULL0iproute-static201.
0.
0.
0255.
255.
255.
0NULL0#www.
h3c.
com27NAT444典型配置案例——静态映射(续)查看防火墙NAT444静态地址端口映射:[FW]displaynat444static-ip-port-blockStaticNAT444IP-port-blocktables:(Used:2,Unused:198)Local-IPGlobal-IPPort-block:Connections,Local-VPN192.
168.
1.
1101.
0.
0.
1(10001-11000):1,---192.
168.
1.
2101.
0.
0.
1(11001-12000):0,---192.
168.
1.
3101.
0.
0.
1(12001-13000):0,---192.
168.
1.
4101.
0.
0.
1(13001-14000):0,---192.
168.
1.
5101.
0.
0.
1(14001-15000):0,---.
.
.
.
.
.
.
.
.
.
.
.
192.
168.
1.
1201.
0.
0.
1(10001-11000):1,---192.
168.
1.
2201.
0.
0.
1(11001-12000):0,---192.
168.
1.
3201.
0.
0.
1(12001-13000):0,---192.
168.
1.
4201.
0.
0.
1(13001-14000):0,---192.
168.
1.
5201.
0.
0.
1(14001-15000):0,---192.
168.
1.
6201.
0.
0.
1(15001-16000):0,---www.
h3c.
com28NAT444典型配置案例——静态映射(续)防火墙会话表项:displaysessiontablesource-ip192.
168.
1.
1verboseInitiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:200.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:200.
0.
0.
253/0DestIP/Port:201.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:01:40TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):14packet(s)840byte(s)Receivedpacket(s)(Reply):14packet(s)840byte(s)Initiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:100.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:100.
0.
0.
253/0DestIP/Port:101.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:00:58TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):56packet(s)3360byte(s)Receivedpacket(s)(Reply):56packet(s)3360byte(s)www.
h3c.
com29NAT444典型配置案例——动态映射防火墙配置:#nataddress-group1address101.
0.
0.
1101.
0.
0.
10nataddress-group2address201.
0.
0.
1201.
0.
0.
10#aclnumber3000rule0permitipsource192.
168.
1.
00.
0.
0.
255#interfaceTen-GigabitEthernet0/0portlink-moderoute#interfaceTen-GigabitEthernet0/0.
10descriptionTo_Usersvlan-typedot1qvid10ipaddress192.
168.
1.
254255.
255.
255.
0#interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100nat444outbound3000address-group1port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0##interfaceTen-GigabitEthernet0/0.
200descriptionTo_Telecomvlan-typedot1qvid200nat444outbound3000address-group2port-range1000120000block-size1000ipaddress200.
0.
0.
254255.
255.
255.
0#zonenameTrustid2priority85importinterfaceTen-GigabitEthernet0/0.
10zonenameDMZid3priority50zonenameUntrustid4priority5importinterfaceTen-GigabitEthernet0/0.
100importinterfaceTen-GigabitEthernet0/0.
200#www.
h3c.
com30NAT444典型配置案例——动态映射(续)查看防火墙NAT444动态地址端口映射:displaynat444dynamic-ip-port-blockDynamicNAT444IP-port-blocktables:(Used:2,Unused:198)Local-IPGlobal-IPPort-block:Connections,Local-VPN192.
168.
1.
1201.
0.
0.
1(10001-11000):1,---192.
168.
1.
1101.
0.
0.
1(10001-11000):2,---www.
h3c.
com31NAT444典型配置案例——动态映射(续)查看防火墙NAT444地址池黑洞路由:displayiprouting-tableRoutingTables:PublicDestinations:28Routes:28Destination/MaskProtoPreCostNextHopInterface100.
0.
0.
0/24Direct00100.
0.
0.
254XGE0/0.
100100.
0.
0.
254/32Direct00127.
0.
0.
1InLoop0101.
0.
0.
1/32Static100.
0.
0.
0NULL0101.
0.
0.
2/32Static100.
0.
0.
0NULL0.
.
.
.
.
.
101.
0.
0.
10/32Static100.
0.
0.
0NULL0127.
0.
0.
0/8Direct00127.
0.
0.
1InLoop0127.
0.
0.
1/32Direct00127.
0.
0.
1InLoop0192.
168.
1.
0/24Direct00192.
168.
1.
254XGE0/0.
10192.
168.
1.
254/32Direct00127.
0.
0.
1InLoop0200.
0.
0.
0/24Direct00200.
0.
0.
254XGE0/0.
200200.
0.
0.
254/32Direct00127.
0.
0.
1InLoop0201.
0.
0.
1/32Static100.
0.
0.
0NULL0201.
0.
0.
2/32Static100.
0.
0.
0NULL0.
.
.
.
.
.
.
201.
0.
0.
10/32Static100.
0.
0.
0NULL0www.
h3c.
com32NAT444典型配置案例——动态映射(续)防火墙会话表:displaysessiontablesource-ip192.
168.
1.
1verboseInitiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:200.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:200.
0.
0.
253/0DestIP/Port:201.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:24:39TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):4packet(s)240byte(s)Receivedpacket(s)(Reply):4packet(s)240byte(s)Initiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:100.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:100.
0.
0.
253/0DestIP/Port:101.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:22:28TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):135packet(s)8100byte(s)Receivedpacket(s)(Reply):135packet(s)8100byte(s)www.
h3c.
com33策略匹配执行顺序普通NAT和NAT444的匹配顺序:natoutboundstatic>nat444outboundstatic>nat444outboundacl/natoutboundaclNAT444静态配置支持全局和接口下配置,接口下配置优先于全局.
(不建议使用全局配置)对于nat444outboundacl和natoutboundacl,软件不做优先级区别,统一按照ACL编号由大到小的顺序匹配(与配置顺序无关)#interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100natoutboundstaticnatoutbound3005address-group5natoutbound3002address-group2natoutbound3001address-group1nat444outboundstaticnat444outbound3004address-group4port-range1000120000block-size1000nat444outbound3003address-group3port-range1000120000block-size1000nat444staticlocal192.
168.
1.
1192.
168.
1.
100global101.
0.
0.
1101.
0.
0.
10port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0#nat444staticlocal192.
168.
1.
1192.
168.
1.
100global201.
0.
0.
1201.
0.
0.
10port-range1000120000block-size1000#www.
h3c.
com34Global地址黑洞路由及ARP响应问题Global地址黑洞路由问题NAT444静态方式(不管是全局还是接口配置)不会自动生成到Global地址的黑洞路由,需要手动写入(防止三层环路).
NAT444动态映射配置完成以后会自动生成到Global地址的黑洞路由,无需手工配置.
ARP响应问题Global地址与出接口地址同网段时不会响应ARP请求,可在防火墙接口下配置sub地址或者在网关侧配置静态ARP.
#interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100nat444outboundstaticnat444staticlocal192.
168.
1.
1192.
168.
1.
100global101.
0.
0.
1101.
0.
0.
10port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0#iproute-static101.
0.
0.
0255.
255.
255.
0NULL0#会话管理特性基础及实现原理会话管理典型组网及典型配置会话管理常见问题及注意事项目录www.
h3c.
com36Q:NAT444静态映射配置是否会占用内存资源A:NAT444配置命令里的每个私网地址都会在设备上生成一条映射关系,占用一定内存,所以在删除时速度较慢,因此如果需要进行配置删除或变更时,请尽量在设备流量压力较小时操作.
FAQQ:NAT444静态映射配置会占用多少内存资源A:当单块插卡配置达到16个B类地址时,也即私网地址数达到1048576时,系统内存占用率将会明显上升3%~4%(4GB物理内存设备).
因此开局实施时,请根据具体情况控制私网地址数.
建议每条命令的私网地址个数不超过20万.
www.
h3c.
com37Q:当同一个设备端口下配置了多个NAT策略时,业务流量的匹配顺序是怎样的A:当NAT444静态地址转换、NAT444动态地址转换、普通NAT静态地址转换和普通NAT动态地址转换同时存在、并且匹配的流相同时,匹配优先级和顺序为:(1)普通NAT静态地址转换优先级最高;(2)NAT444静态地址转换次之;(3)对于NAT444动态地址转换和普通NAT动态地址转换,系统不做区分,统一按照ACL编号由大到小的顺序匹配.
FAQQ:动态NAT444地址端口映射关系在何时创建或删除A:NAT444动态地址端口映射关系在用户首次访问外网时创建,在用户最后一个连接删除时同步删除.
用户不能手工删除NAT444动态地址端口映射关系.
Q:删除动态NAT444地址端口映射配置会对设备产生何种影响A:删除接口下的NAT444动态地址转换关联配置时,如果所关联的地址池当前没有其他NAT444地址转换关联配置关联,则同步删除该地址池所有的NAT444动态地址端口映射关系.
NAT444技术概述及实现原理NAT444典型配置和应用场景NAT444常见问题和注意事项本章总结杭州华三通信技术有限公司www.
h3c.
com.
cn
0杭州华三通信技术有限公司版权所有,未经授权不得使用与传播熟悉NAT444技术概述及实现原理熟悉NAT444典型配置和应用场景熟悉NAT444常见问题和注意事项课程目标学习完本课程,您应该能够:NAT444特性基础及实现原理NAT444典型组网及典型配置NAT444常见问题及注意事项目录www.
h3c.
com3NAT444技术需求背景InternetIPv4地址枯竭由于IPv4地址资源枯竭,引入IPv6是网络演进的必然趋势.
但是,运营商的网络、业务平台、终端以及ICP在短时间内无法全面支持IPv6,并具备商用能力.
因此在IPv6过渡期内,引入运营商级NAT,延长IPv4的使用期限,保证业务的平滑过渡,为IPv6的部署争取时间,是NAT444技术部署的主要作用和目的.
名称由来NAT444是两层NAT44的简称,属于IPv6过渡技术.
www.
h3c.
com4NAT444相关概念ICPInternetContentProvider网络内容服务商BRASBroadbandRemoteAccessService宽带远程接入服务CPECustomerPresidialEquipment用户驻地设备CRCoreRouter核心路由器LSNLargeScaleNAT大规模网络地址转换CGNCarrierGradeNAT运营商级地址转换www.
h3c.
com5NAT444标准模型三部分IPv4地址:用户侧私网地址:CPE内运营商私网地址:CPE-LSN之间公网地址:LSN外两次IPv4NAT:CPE做一次NAT44LSN做一次NAT44终端CPELSN外网v4v4v4www.
h3c.
com6NAT444架构组成NAT444是基于NAT444网关,结合AAA服务器、网管服务器、日志服务器等配套系统,提供运营商级NAT转换,并支持用户溯源和单点认证的部署方案和整体解决方案.
接收用户映射参数,生成和维护用户映射表,实现运营商级NAT转换维护各NAT444网关的用户地址映射关系表,负责用户认证、授权和计费,记录和维护用户计费和账号等信息接受和记录用户访问信息,响应用户访问信息查询负责管理NAT444网关设备,并把用户地址映射参数发送到NAT444网关和AAA服务器www.
h3c.
com7NAT444部署方式——集中式NAT444网关部署在CR层面(主流方式)私有地址私有地址公有地址www.
h3c.
com8NAT444部署方式——分布式NAT444网关部署在BRAS层面,采用BRAS插卡(H3C使用独立设备,不支持这种部署方式)公有地址私有地址www.
h3c.
com9NAT444技术引入的主要问题地址溯源NAT444在运营商侧网络额外引入一次NAT44,为最终用户分配的是私网地址,使多个最终用户可能出现共用一个公网地址访问Internet,这样就会给运营商实施用户溯源带来困难NAT穿越部分Internet应用在穿越NAT444时存在问题,比较常见的就是P2P业务www.
h3c.
com10NAT444溯源机制NAT444采用端口块分配方式解决溯源问题10.
1.
1.
1-201.
1.
1.
11024-204710.
1.
1.
2-201.
1.
1.
12048-3071SIP:201.
1.
1.
1:1024DIP:122.
1.
1.
1:80SIP:10.
1.
1.
2:1024DIP:122.
1.
1.
1:80SIP:201.
1.
1.
1:2048DIP:122.
1.
1.
1:80CGNSIP:10.
1.
1.
1:1024DIP:122.
1.
1.
1:80www.
h3c.
com11端口块分配方式AAA与CGN执行相同的端口映射生成算法.
在地址溯源过程中,CGN与AAA系统之间不需要传递映射关系,直接实现对地址的溯源静态映射CGN将用户地址和端口块映射关系通过SYSLOG或者RADIUS报文上送给LOG服务器或AAA服务器,在地址溯源过程中需要由AAA服务器向LOG服务器请求映射关系实现动态映射www.
h3c.
com12静态映射表算法简述算法摘要获取计算参数,按照从小到大升序排列用户地址池;计算私网用户地址对应的公网地址.
公有地址按照从小至大的顺序选择;计算私网用户对应的端口块,同理按从小到大排列和选择;生成用户地址映射关系表项.
实例若私网用户地址池:10.
1.
1.
1~10.
1.
1.
8,公网地址池:120.
1.
1.
1~120.
1.
1.
2,端口块大小为1024,可用端口范围为1024~5121:10.
1.
1.
110.
1.
1.
210.
1.
1.
310.
1.
1.
410.
1.
1.
510.
1.
1.
610.
1.
1.
710.
1.
1.
8120.
1.
1.
1120.
1.
1.
1120.
1.
1.
1120.
1.
1.
1120.
1.
1.
2120.
1.
1.
2120.
1.
1.
2120.
1.
1.
2:1024~2047:2048~3071:3072~4095:4096~5121:1024~2048:2048~3071:3072~4095:4096~5121www.
h3c.
com13动态映射与静态映射优缺点比较动态映射优点地址利用率高动态映射缺点增加AAA、日志服务器负荷,对服务器性能要求高AAA、日志服务器的存储空间要求很大CGN设备需要额外发送日志并消耗硬件资源Radius、Syslog基于UDP传输,须控制丢包率溯源实现相对复杂目前运营商实际部署局点两种方式均有案例www.
h3c.
com14NAT444日志功能内网用户以NAT444方式访问外网资源时,防火墙NAT444模块可以向日志服务器发送以下日志信息,帮助溯源或者记录端口块分配情况:NAT444用户日志(端口块分配日志)NAT444告警信息日志NAT444会话新建日志NAT444会话删除日志NAT444日志的由三大运营商定制,分别为中国电信格式、中国联通格式和中国移动格式.
www.
h3c.
com15NAT无限连接特性引入端口块后,对应每一个私网用户的可用四层源端口数量是有限的,是否会限制私网用户的并发会话数呢访问目的地址或端口不同可重用同一个NAT源地址和源端口!
www.
h3c.
com16NAT的分类FullconeEndpoint-IndependentMapping(不关心对端地址和端口转换模式)NAT内部的机器A连接过外网机器C后,NAT会打开一个端口,外网任何主机发到这个端口的UDP数据报都可以到达ARestrictedConeNAT内部的机器A连接过外网的机器C后,NAT打开一个端口,C任意源端口发到这个端口的UDP数据报可以到达APortRestrictedCone(系统缺省模式)AddressandPort-DependentMapping(关心对端地址和端口转换模式)NAT内部的机器A连接过外网的机器C后,NAT打开一个端口,C只能使用原连接的目的端口作为源端口向A发送数据www.
h3c.
com17CGNCGNP2P业务Fullcone当P2P节点位于NAT设备之后,并且需要对外提供下载服务时可以启用FullCone特性,以实现P2P的NAT穿越www.
h3c.
com18连接数限制通过连接数限制功能,可以防止某一用户会话过多从而占用设备大量资源的情况,同时可以防止开启FullConeNAT功能之后外部发起的攻击.
#connection-limitpolicy0limit1sourceip192.
168.
0.
016destinationipanyprotocoludpmax-connections100#connection-limitapplypolicy0#NAT444特性基础及实现原理NAT444典型组网及典型配置NAT444常见问题及注意事项目录www.
h3c.
com20NAT444静态地址端口映射在系统视图下配置静态地址端口映射关系,并在接口下使能直接在接口视图下配置静态地址端口映射关系#静态地址端口映射关系配置命令nat444staticlocallocal-start-addresslocal-end-address[vpn-instancelocal-name]globalglobal-start-addressglobal-end-addressport-rangeport-range-startport-range-endblock-sizeblock-size#在接口下使能静态地址端口映射关系配置命令nat444outboundstatic静态映射配置参数要求:LocalIpNum≤GlobalIpNum*PortBlockNumLocalIpNum--用户地址池中的地址个数localGlobalIpNum--公网地址池中的地址个数globalPortBlockNum--每个公网地址对应的端口块个数(port-range/block-size)www.
h3c.
com21NAT444动态地址端口映射配置控制地址转换范围的访问控制列表:aclnumbernumberrule10permitipsourcex.
x.
x.
xx.
x.
x.
xnat444outboundacl-numberaddress-groupgroup-numberport-rangeport-range-startport-range-endblock-sizeblock-sizenataddress-groupidaddressx.
x.
x.
xx.
x.
x.
x配置可用于地址转换的公网IP地址池:在接口视图中配置NAT444动态地址端口映射:www.
h3c.
com22NAT444Fullcone特性配置配置NAT444动态地址转换的模式:natmapping-behaviorendpoint-independent[aclacl-num]Endpoint-IndependentMapping(不关心对端地址和端口转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过NAT444地址端口映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,并且NAT444网关设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机.
这种模式可以很好的支持位于不同NAT444网关之后的主机间进行互访.
AddressandPort-DependentMapping(关心对端地址和端口转换模式):对于来自相同源地址和源端口号的报文,若其目的地址和目的端口号不同,通过NAT444地址端口映射后,相同的源地址和源端口号将被转换为不同的外部地址和端口号,并且NAT444网关设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部网络的主机.
这种模式安全性好,但是不便于位于不同NAT444网关之后的主机间进行互访.
www.
h3c.
com23NAT444日志功能配置配置NAT444日志:nat444log{user|session-start|session-end}info-centerformat{unicom|china-telecom|china-unicom-nat444}info-centerloghostX.
X.
X.
X日志样例%May1820:06:16:4512012fw1NAT/6/NAT_IP_PORT_ASSIGN:NAT444:userbasedA[110.
64.
0.
3-110.
85.
46.
0-75369535]%May1820:06:16:4512012fw1NAT/6/NAT_IP_PORT_ASSIGN:NAT444:sessionbasedA[110.
64.
0.
3-110.
85.
46.
017536-]说明通过地址端口映射配置分配/回收端口时,发送相关日志只对NATip-port-assign配置提供log功能只对内网主动发起的连接提供log功能www.
h3c.
com24NAT444显示和维护显示NAT444静态地址端口映射的信息displaynat444static-ip-port-blockdisplaynat444static-ip-port-block|includex.
x.
x.
x显示NAT444动态地址端口映射的信息displaynat444dynamic-ip-port-blockdisplaynat444dynamic-ip-port-block|includex.
x.
x.
xwww.
h3c.
com25NAT444典型配置案例网络拓扑图:PC模拟私网,User1和User2分别模拟联通和电信www.
h3c.
com26NAT444典型配置案例——静态映射防火墙配置:#interfaceTen-GigabitEthernet0/0portlink-moderoute#interfaceTen-GigabitEthernet0/0.
10descriptionTo_Usersvlan-typedot1qvid10ipaddress192.
168.
1.
254255.
255.
255.
0#zonenameTrustid2priority85importinterfaceTen-GigabitEthernet0/0.
10zonenameDMZid3priority50zonenameUntrustid4priority5importinterfaceTen-GigabitEthernet0/0.
100importinterfaceTen-GigabitEthernet0/0.
200##interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100nat444outboundstaticnat444staticlocal192.
168.
1.
1192.
168.
1.
100global101.
0.
0.
1101.
0.
0.
10port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0#interfaceTen-GigabitEthernet0/0.
200descriptionTo_Telecomvlan-typedot1qvid200nat444outboundstaticnat444staticlocal192.
168.
1.
1192.
168.
1.
100global201.
0.
0.
1201.
0.
0.
10port-range1000120000block-size1000ipaddress200.
0.
0.
254255.
255.
255.
0#iproute-static101.
0.
0.
0255.
255.
255.
0NULL0iproute-static201.
0.
0.
0255.
255.
255.
0NULL0#www.
h3c.
com27NAT444典型配置案例——静态映射(续)查看防火墙NAT444静态地址端口映射:[FW]displaynat444static-ip-port-blockStaticNAT444IP-port-blocktables:(Used:2,Unused:198)Local-IPGlobal-IPPort-block:Connections,Local-VPN192.
168.
1.
1101.
0.
0.
1(10001-11000):1,---192.
168.
1.
2101.
0.
0.
1(11001-12000):0,---192.
168.
1.
3101.
0.
0.
1(12001-13000):0,---192.
168.
1.
4101.
0.
0.
1(13001-14000):0,---192.
168.
1.
5101.
0.
0.
1(14001-15000):0,---.
.
.
.
.
.
.
.
.
.
.
.
192.
168.
1.
1201.
0.
0.
1(10001-11000):1,---192.
168.
1.
2201.
0.
0.
1(11001-12000):0,---192.
168.
1.
3201.
0.
0.
1(12001-13000):0,---192.
168.
1.
4201.
0.
0.
1(13001-14000):0,---192.
168.
1.
5201.
0.
0.
1(14001-15000):0,---192.
168.
1.
6201.
0.
0.
1(15001-16000):0,---www.
h3c.
com28NAT444典型配置案例——静态映射(续)防火墙会话表项:displaysessiontablesource-ip192.
168.
1.
1verboseInitiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:200.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:200.
0.
0.
253/0DestIP/Port:201.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:01:40TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):14packet(s)840byte(s)Receivedpacket(s)(Reply):14packet(s)840byte(s)Initiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:100.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:100.
0.
0.
253/0DestIP/Port:101.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:00:58TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):56packet(s)3360byte(s)Receivedpacket(s)(Reply):56packet(s)3360byte(s)www.
h3c.
com29NAT444典型配置案例——动态映射防火墙配置:#nataddress-group1address101.
0.
0.
1101.
0.
0.
10nataddress-group2address201.
0.
0.
1201.
0.
0.
10#aclnumber3000rule0permitipsource192.
168.
1.
00.
0.
0.
255#interfaceTen-GigabitEthernet0/0portlink-moderoute#interfaceTen-GigabitEthernet0/0.
10descriptionTo_Usersvlan-typedot1qvid10ipaddress192.
168.
1.
254255.
255.
255.
0#interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100nat444outbound3000address-group1port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0##interfaceTen-GigabitEthernet0/0.
200descriptionTo_Telecomvlan-typedot1qvid200nat444outbound3000address-group2port-range1000120000block-size1000ipaddress200.
0.
0.
254255.
255.
255.
0#zonenameTrustid2priority85importinterfaceTen-GigabitEthernet0/0.
10zonenameDMZid3priority50zonenameUntrustid4priority5importinterfaceTen-GigabitEthernet0/0.
100importinterfaceTen-GigabitEthernet0/0.
200#www.
h3c.
com30NAT444典型配置案例——动态映射(续)查看防火墙NAT444动态地址端口映射:displaynat444dynamic-ip-port-blockDynamicNAT444IP-port-blocktables:(Used:2,Unused:198)Local-IPGlobal-IPPort-block:Connections,Local-VPN192.
168.
1.
1201.
0.
0.
1(10001-11000):1,---192.
168.
1.
1101.
0.
0.
1(10001-11000):2,---www.
h3c.
com31NAT444典型配置案例——动态映射(续)查看防火墙NAT444地址池黑洞路由:displayiprouting-tableRoutingTables:PublicDestinations:28Routes:28Destination/MaskProtoPreCostNextHopInterface100.
0.
0.
0/24Direct00100.
0.
0.
254XGE0/0.
100100.
0.
0.
254/32Direct00127.
0.
0.
1InLoop0101.
0.
0.
1/32Static100.
0.
0.
0NULL0101.
0.
0.
2/32Static100.
0.
0.
0NULL0.
.
.
.
.
.
101.
0.
0.
10/32Static100.
0.
0.
0NULL0127.
0.
0.
0/8Direct00127.
0.
0.
1InLoop0127.
0.
0.
1/32Direct00127.
0.
0.
1InLoop0192.
168.
1.
0/24Direct00192.
168.
1.
254XGE0/0.
10192.
168.
1.
254/32Direct00127.
0.
0.
1InLoop0200.
0.
0.
0/24Direct00200.
0.
0.
254XGE0/0.
200200.
0.
0.
254/32Direct00127.
0.
0.
1InLoop0201.
0.
0.
1/32Static100.
0.
0.
0NULL0201.
0.
0.
2/32Static100.
0.
0.
0NULL0.
.
.
.
.
.
.
201.
0.
0.
10/32Static100.
0.
0.
0NULL0www.
h3c.
com32NAT444典型配置案例——动态映射(续)防火墙会话表:displaysessiontablesource-ip192.
168.
1.
1verboseInitiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:200.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:200.
0.
0.
253/0DestIP/Port:201.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:24:39TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):4packet(s)240byte(s)Receivedpacket(s)(Reply):4packet(s)240byte(s)Initiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:100.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:100.
0.
0.
253/0DestIP/Port:101.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:22:28TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):135packet(s)8100byte(s)Receivedpacket(s)(Reply):135packet(s)8100byte(s)www.
h3c.
com33策略匹配执行顺序普通NAT和NAT444的匹配顺序:natoutboundstatic>nat444outboundstatic>nat444outboundacl/natoutboundaclNAT444静态配置支持全局和接口下配置,接口下配置优先于全局.
(不建议使用全局配置)对于nat444outboundacl和natoutboundacl,软件不做优先级区别,统一按照ACL编号由大到小的顺序匹配(与配置顺序无关)#interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100natoutboundstaticnatoutbound3005address-group5natoutbound3002address-group2natoutbound3001address-group1nat444outboundstaticnat444outbound3004address-group4port-range1000120000block-size1000nat444outbound3003address-group3port-range1000120000block-size1000nat444staticlocal192.
168.
1.
1192.
168.
1.
100global101.
0.
0.
1101.
0.
0.
10port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0#nat444staticlocal192.
168.
1.
1192.
168.
1.
100global201.
0.
0.
1201.
0.
0.
10port-range1000120000block-size1000#www.
h3c.
com34Global地址黑洞路由及ARP响应问题Global地址黑洞路由问题NAT444静态方式(不管是全局还是接口配置)不会自动生成到Global地址的黑洞路由,需要手动写入(防止三层环路).
NAT444动态映射配置完成以后会自动生成到Global地址的黑洞路由,无需手工配置.
ARP响应问题Global地址与出接口地址同网段时不会响应ARP请求,可在防火墙接口下配置sub地址或者在网关侧配置静态ARP.
#interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100nat444outboundstaticnat444staticlocal192.
168.
1.
1192.
168.
1.
100global101.
0.
0.
1101.
0.
0.
10port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0#iproute-static101.
0.
0.
0255.
255.
255.
0NULL0#会话管理特性基础及实现原理会话管理典型组网及典型配置会话管理常见问题及注意事项目录www.
h3c.
com36Q:NAT444静态映射配置是否会占用内存资源A:NAT444配置命令里的每个私网地址都会在设备上生成一条映射关系,占用一定内存,所以在删除时速度较慢,因此如果需要进行配置删除或变更时,请尽量在设备流量压力较小时操作.
FAQQ:NAT444静态映射配置会占用多少内存资源A:当单块插卡配置达到16个B类地址时,也即私网地址数达到1048576时,系统内存占用率将会明显上升3%~4%(4GB物理内存设备).
因此开局实施时,请根据具体情况控制私网地址数.
建议每条命令的私网地址个数不超过20万.
www.
h3c.
com37Q:当同一个设备端口下配置了多个NAT策略时,业务流量的匹配顺序是怎样的A:当NAT444静态地址转换、NAT444动态地址转换、普通NAT静态地址转换和普通NAT动态地址转换同时存在、并且匹配的流相同时,匹配优先级和顺序为:(1)普通NAT静态地址转换优先级最高;(2)NAT444静态地址转换次之;(3)对于NAT444动态地址转换和普通NAT动态地址转换,系统不做区分,统一按照ACL编号由大到小的顺序匹配.
FAQQ:动态NAT444地址端口映射关系在何时创建或删除A:NAT444动态地址端口映射关系在用户首次访问外网时创建,在用户最后一个连接删除时同步删除.
用户不能手工删除NAT444动态地址端口映射关系.
Q:删除动态NAT444地址端口映射配置会对设备产生何种影响A:删除接口下的NAT444动态地址转换关联配置时,如果所关联的地址池当前没有其他NAT444地址转换关联配置关联,则同步删除该地址池所有的NAT444动态地址端口映射关系.
NAT444技术概述及实现原理NAT444典型配置和应用场景NAT444常见问题和注意事项本章总结杭州华三通信技术有限公司www.
h3c.
com.
cn
- 地址444aaa.com相关文档
- 鲁西444aaa.com
- baza444aaa.com
- inspection444aaa.com
- DEHMTD444aaa.com
- 检测444aaa.com
- disponibles444aaa.com
ProfitServer$34.56/年,西班牙vps、荷兰vps、德国vps/不限制流量/支持自定义ISO
profitserver怎么样?profitserver是一家成立于2003的主机商家,是ITC控股的一个部门,主要经营的产品域名、SSL证书、虚拟主机、VPS和独立服务器,机房有俄罗斯、新加坡、荷兰、美国、保加利亚,VPS采用的是KVM虚拟架构,硬盘采用纯SSD,而且最大的优势是不限制流量,大公司运营,机器比较稳定,数据中心众多。此次ProfitServer正在对德国VPS(法兰克福)、西班牙v...
wordpress高级跨屏企业主题 wordpress绿色企业自适应主题
wordpress高级跨屏企业主题,通用响应式跨平台站点开发,自适应PC端+各移动端屏幕设备,高级可视化自定义设置模块+高效的企业站搜索优化。wordpress绿色企业自适应主题采用标准的HTML5+CSS3语言开发,兼容当下的各种主流浏览器: IE 6+(以及类似360、遨游等基于IE内核的)、Firefox、Google Chrome、Safari、Opera等;同时支持移动终端的常用浏览器应...
LetBox:美国洛杉矶/新泽西AMD大硬盘VPS,10TB流量,充值返余额,最低3.3美元两个月
LetBox此次促销依然是AMD Ryzen处理器+NVME硬盘+HDD大硬盘,以前是5TB月流量,现在免费升级到10TB月流量。另外还有返余额的活动,如果月付,月付多少返多少;如果季付或者半年付,返25%;如果年付,返10%。依然全部KVM虚拟化,可自定义ISO系统。需要大硬盘vps、大流量vps、便宜AMD VPS的朋友不要错过了。不过LetBox对帐号审核严格,最好注册邮箱和paypal帐号...
444aaa.com为你推荐
-
.cn域名cn域名和com域名有啥区别?各有啥优点?特朗普取消访问丹麦特朗普专机抵达日本安保警力情形如何?云计算什么是云计算?老虎数码虎打个数字lunwenjiance知网论文检测查重系统lunwenjiancepaperrater论文检测准确吗www.haole012.com012.qq.com是真的吗www.kanav001.com翻译为日文: 主人,请你收养我一天吧. 带上罗马音标会更好wwwwww.javmoo.comJAV编程怎么做?杨丽晓博客杨丽晓是怎么 出道的