地址444aaa.com
444aaa.com 时间:2021-04-08 阅读:()
防火墙NAT444特性技术介绍ISSUE1.
0杭州华三通信技术有限公司版权所有,未经授权不得使用与传播熟悉NAT444技术概述及实现原理熟悉NAT444典型配置和应用场景熟悉NAT444常见问题和注意事项课程目标学习完本课程,您应该能够:NAT444特性基础及实现原理NAT444典型组网及典型配置NAT444常见问题及注意事项目录www.
h3c.
com3NAT444技术需求背景InternetIPv4地址枯竭由于IPv4地址资源枯竭,引入IPv6是网络演进的必然趋势.
但是,运营商的网络、业务平台、终端以及ICP在短时间内无法全面支持IPv6,并具备商用能力.
因此在IPv6过渡期内,引入运营商级NAT,延长IPv4的使用期限,保证业务的平滑过渡,为IPv6的部署争取时间,是NAT444技术部署的主要作用和目的.
名称由来NAT444是两层NAT44的简称,属于IPv6过渡技术.
www.
h3c.
com4NAT444相关概念ICPInternetContentProvider网络内容服务商BRASBroadbandRemoteAccessService宽带远程接入服务CPECustomerPresidialEquipment用户驻地设备CRCoreRouter核心路由器LSNLargeScaleNAT大规模网络地址转换CGNCarrierGradeNAT运营商级地址转换www.
h3c.
com5NAT444标准模型三部分IPv4地址:用户侧私网地址:CPE内运营商私网地址:CPE-LSN之间公网地址:LSN外两次IPv4NAT:CPE做一次NAT44LSN做一次NAT44终端CPELSN外网v4v4v4www.
h3c.
com6NAT444架构组成NAT444是基于NAT444网关,结合AAA服务器、网管服务器、日志服务器等配套系统,提供运营商级NAT转换,并支持用户溯源和单点认证的部署方案和整体解决方案.
接收用户映射参数,生成和维护用户映射表,实现运营商级NAT转换维护各NAT444网关的用户地址映射关系表,负责用户认证、授权和计费,记录和维护用户计费和账号等信息接受和记录用户访问信息,响应用户访问信息查询负责管理NAT444网关设备,并把用户地址映射参数发送到NAT444网关和AAA服务器www.
h3c.
com7NAT444部署方式——集中式NAT444网关部署在CR层面(主流方式)私有地址私有地址公有地址www.
h3c.
com8NAT444部署方式——分布式NAT444网关部署在BRAS层面,采用BRAS插卡(H3C使用独立设备,不支持这种部署方式)公有地址私有地址www.
h3c.
com9NAT444技术引入的主要问题地址溯源NAT444在运营商侧网络额外引入一次NAT44,为最终用户分配的是私网地址,使多个最终用户可能出现共用一个公网地址访问Internet,这样就会给运营商实施用户溯源带来困难NAT穿越部分Internet应用在穿越NAT444时存在问题,比较常见的就是P2P业务www.
h3c.
com10NAT444溯源机制NAT444采用端口块分配方式解决溯源问题10.
1.
1.
1-201.
1.
1.
11024-204710.
1.
1.
2-201.
1.
1.
12048-3071SIP:201.
1.
1.
1:1024DIP:122.
1.
1.
1:80SIP:10.
1.
1.
2:1024DIP:122.
1.
1.
1:80SIP:201.
1.
1.
1:2048DIP:122.
1.
1.
1:80CGNSIP:10.
1.
1.
1:1024DIP:122.
1.
1.
1:80www.
h3c.
com11端口块分配方式AAA与CGN执行相同的端口映射生成算法.
在地址溯源过程中,CGN与AAA系统之间不需要传递映射关系,直接实现对地址的溯源静态映射CGN将用户地址和端口块映射关系通过SYSLOG或者RADIUS报文上送给LOG服务器或AAA服务器,在地址溯源过程中需要由AAA服务器向LOG服务器请求映射关系实现动态映射www.
h3c.
com12静态映射表算法简述算法摘要获取计算参数,按照从小到大升序排列用户地址池;计算私网用户地址对应的公网地址.
公有地址按照从小至大的顺序选择;计算私网用户对应的端口块,同理按从小到大排列和选择;生成用户地址映射关系表项.
实例若私网用户地址池:10.
1.
1.
1~10.
1.
1.
8,公网地址池:120.
1.
1.
1~120.
1.
1.
2,端口块大小为1024,可用端口范围为1024~5121:10.
1.
1.
110.
1.
1.
210.
1.
1.
310.
1.
1.
410.
1.
1.
510.
1.
1.
610.
1.
1.
710.
1.
1.
8120.
1.
1.
1120.
1.
1.
1120.
1.
1.
1120.
1.
1.
1120.
1.
1.
2120.
1.
1.
2120.
1.
1.
2120.
1.
1.
2:1024~2047:2048~3071:3072~4095:4096~5121:1024~2048:2048~3071:3072~4095:4096~5121www.
h3c.
com13动态映射与静态映射优缺点比较动态映射优点地址利用率高动态映射缺点增加AAA、日志服务器负荷,对服务器性能要求高AAA、日志服务器的存储空间要求很大CGN设备需要额外发送日志并消耗硬件资源Radius、Syslog基于UDP传输,须控制丢包率溯源实现相对复杂目前运营商实际部署局点两种方式均有案例www.
h3c.
com14NAT444日志功能内网用户以NAT444方式访问外网资源时,防火墙NAT444模块可以向日志服务器发送以下日志信息,帮助溯源或者记录端口块分配情况:NAT444用户日志(端口块分配日志)NAT444告警信息日志NAT444会话新建日志NAT444会话删除日志NAT444日志的由三大运营商定制,分别为中国电信格式、中国联通格式和中国移动格式.
www.
h3c.
com15NAT无限连接特性引入端口块后,对应每一个私网用户的可用四层源端口数量是有限的,是否会限制私网用户的并发会话数呢访问目的地址或端口不同可重用同一个NAT源地址和源端口!
www.
h3c.
com16NAT的分类FullconeEndpoint-IndependentMapping(不关心对端地址和端口转换模式)NAT内部的机器A连接过外网机器C后,NAT会打开一个端口,外网任何主机发到这个端口的UDP数据报都可以到达ARestrictedConeNAT内部的机器A连接过外网的机器C后,NAT打开一个端口,C任意源端口发到这个端口的UDP数据报可以到达APortRestrictedCone(系统缺省模式)AddressandPort-DependentMapping(关心对端地址和端口转换模式)NAT内部的机器A连接过外网的机器C后,NAT打开一个端口,C只能使用原连接的目的端口作为源端口向A发送数据www.
h3c.
com17CGNCGNP2P业务Fullcone当P2P节点位于NAT设备之后,并且需要对外提供下载服务时可以启用FullCone特性,以实现P2P的NAT穿越www.
h3c.
com18连接数限制通过连接数限制功能,可以防止某一用户会话过多从而占用设备大量资源的情况,同时可以防止开启FullConeNAT功能之后外部发起的攻击.
#connection-limitpolicy0limit1sourceip192.
168.
0.
016destinationipanyprotocoludpmax-connections100#connection-limitapplypolicy0#NAT444特性基础及实现原理NAT444典型组网及典型配置NAT444常见问题及注意事项目录www.
h3c.
com20NAT444静态地址端口映射在系统视图下配置静态地址端口映射关系,并在接口下使能直接在接口视图下配置静态地址端口映射关系#静态地址端口映射关系配置命令nat444staticlocallocal-start-addresslocal-end-address[vpn-instancelocal-name]globalglobal-start-addressglobal-end-addressport-rangeport-range-startport-range-endblock-sizeblock-size#在接口下使能静态地址端口映射关系配置命令nat444outboundstatic静态映射配置参数要求:LocalIpNum≤GlobalIpNum*PortBlockNumLocalIpNum--用户地址池中的地址个数localGlobalIpNum--公网地址池中的地址个数globalPortBlockNum--每个公网地址对应的端口块个数(port-range/block-size)www.
h3c.
com21NAT444动态地址端口映射配置控制地址转换范围的访问控制列表:aclnumbernumberrule10permitipsourcex.
x.
x.
xx.
x.
x.
xnat444outboundacl-numberaddress-groupgroup-numberport-rangeport-range-startport-range-endblock-sizeblock-sizenataddress-groupidaddressx.
x.
x.
xx.
x.
x.
x配置可用于地址转换的公网IP地址池:在接口视图中配置NAT444动态地址端口映射:www.
h3c.
com22NAT444Fullcone特性配置配置NAT444动态地址转换的模式:natmapping-behaviorendpoint-independent[aclacl-num]Endpoint-IndependentMapping(不关心对端地址和端口转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过NAT444地址端口映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,并且NAT444网关设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机.
这种模式可以很好的支持位于不同NAT444网关之后的主机间进行互访.
AddressandPort-DependentMapping(关心对端地址和端口转换模式):对于来自相同源地址和源端口号的报文,若其目的地址和目的端口号不同,通过NAT444地址端口映射后,相同的源地址和源端口号将被转换为不同的外部地址和端口号,并且NAT444网关设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部网络的主机.
这种模式安全性好,但是不便于位于不同NAT444网关之后的主机间进行互访.
www.
h3c.
com23NAT444日志功能配置配置NAT444日志:nat444log{user|session-start|session-end}info-centerformat{unicom|china-telecom|china-unicom-nat444}info-centerloghostX.
X.
X.
X日志样例%May1820:06:16:4512012fw1NAT/6/NAT_IP_PORT_ASSIGN:NAT444:userbasedA[110.
64.
0.
3-110.
85.
46.
0-75369535]%May1820:06:16:4512012fw1NAT/6/NAT_IP_PORT_ASSIGN:NAT444:sessionbasedA[110.
64.
0.
3-110.
85.
46.
017536-]说明通过地址端口映射配置分配/回收端口时,发送相关日志只对NATip-port-assign配置提供log功能只对内网主动发起的连接提供log功能www.
h3c.
com24NAT444显示和维护显示NAT444静态地址端口映射的信息displaynat444static-ip-port-blockdisplaynat444static-ip-port-block|includex.
x.
x.
x显示NAT444动态地址端口映射的信息displaynat444dynamic-ip-port-blockdisplaynat444dynamic-ip-port-block|includex.
x.
x.
xwww.
h3c.
com25NAT444典型配置案例网络拓扑图:PC模拟私网,User1和User2分别模拟联通和电信www.
h3c.
com26NAT444典型配置案例——静态映射防火墙配置:#interfaceTen-GigabitEthernet0/0portlink-moderoute#interfaceTen-GigabitEthernet0/0.
10descriptionTo_Usersvlan-typedot1qvid10ipaddress192.
168.
1.
254255.
255.
255.
0#zonenameTrustid2priority85importinterfaceTen-GigabitEthernet0/0.
10zonenameDMZid3priority50zonenameUntrustid4priority5importinterfaceTen-GigabitEthernet0/0.
100importinterfaceTen-GigabitEthernet0/0.
200##interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100nat444outboundstaticnat444staticlocal192.
168.
1.
1192.
168.
1.
100global101.
0.
0.
1101.
0.
0.
10port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0#interfaceTen-GigabitEthernet0/0.
200descriptionTo_Telecomvlan-typedot1qvid200nat444outboundstaticnat444staticlocal192.
168.
1.
1192.
168.
1.
100global201.
0.
0.
1201.
0.
0.
10port-range1000120000block-size1000ipaddress200.
0.
0.
254255.
255.
255.
0#iproute-static101.
0.
0.
0255.
255.
255.
0NULL0iproute-static201.
0.
0.
0255.
255.
255.
0NULL0#www.
h3c.
com27NAT444典型配置案例——静态映射(续)查看防火墙NAT444静态地址端口映射:[FW]displaynat444static-ip-port-blockStaticNAT444IP-port-blocktables:(Used:2,Unused:198)Local-IPGlobal-IPPort-block:Connections,Local-VPN192.
168.
1.
1101.
0.
0.
1(10001-11000):1,---192.
168.
1.
2101.
0.
0.
1(11001-12000):0,---192.
168.
1.
3101.
0.
0.
1(12001-13000):0,---192.
168.
1.
4101.
0.
0.
1(13001-14000):0,---192.
168.
1.
5101.
0.
0.
1(14001-15000):0,---.
.
.
.
.
.
.
.
.
.
.
.
192.
168.
1.
1201.
0.
0.
1(10001-11000):1,---192.
168.
1.
2201.
0.
0.
1(11001-12000):0,---192.
168.
1.
3201.
0.
0.
1(12001-13000):0,---192.
168.
1.
4201.
0.
0.
1(13001-14000):0,---192.
168.
1.
5201.
0.
0.
1(14001-15000):0,---192.
168.
1.
6201.
0.
0.
1(15001-16000):0,---www.
h3c.
com28NAT444典型配置案例——静态映射(续)防火墙会话表项:displaysessiontablesource-ip192.
168.
1.
1verboseInitiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:200.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:200.
0.
0.
253/0DestIP/Port:201.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:01:40TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):14packet(s)840byte(s)Receivedpacket(s)(Reply):14packet(s)840byte(s)Initiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:100.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:100.
0.
0.
253/0DestIP/Port:101.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:00:58TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):56packet(s)3360byte(s)Receivedpacket(s)(Reply):56packet(s)3360byte(s)www.
h3c.
com29NAT444典型配置案例——动态映射防火墙配置:#nataddress-group1address101.
0.
0.
1101.
0.
0.
10nataddress-group2address201.
0.
0.
1201.
0.
0.
10#aclnumber3000rule0permitipsource192.
168.
1.
00.
0.
0.
255#interfaceTen-GigabitEthernet0/0portlink-moderoute#interfaceTen-GigabitEthernet0/0.
10descriptionTo_Usersvlan-typedot1qvid10ipaddress192.
168.
1.
254255.
255.
255.
0#interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100nat444outbound3000address-group1port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0##interfaceTen-GigabitEthernet0/0.
200descriptionTo_Telecomvlan-typedot1qvid200nat444outbound3000address-group2port-range1000120000block-size1000ipaddress200.
0.
0.
254255.
255.
255.
0#zonenameTrustid2priority85importinterfaceTen-GigabitEthernet0/0.
10zonenameDMZid3priority50zonenameUntrustid4priority5importinterfaceTen-GigabitEthernet0/0.
100importinterfaceTen-GigabitEthernet0/0.
200#www.
h3c.
com30NAT444典型配置案例——动态映射(续)查看防火墙NAT444动态地址端口映射:displaynat444dynamic-ip-port-blockDynamicNAT444IP-port-blocktables:(Used:2,Unused:198)Local-IPGlobal-IPPort-block:Connections,Local-VPN192.
168.
1.
1201.
0.
0.
1(10001-11000):1,---192.
168.
1.
1101.
0.
0.
1(10001-11000):2,---www.
h3c.
com31NAT444典型配置案例——动态映射(续)查看防火墙NAT444地址池黑洞路由:displayiprouting-tableRoutingTables:PublicDestinations:28Routes:28Destination/MaskProtoPreCostNextHopInterface100.
0.
0.
0/24Direct00100.
0.
0.
254XGE0/0.
100100.
0.
0.
254/32Direct00127.
0.
0.
1InLoop0101.
0.
0.
1/32Static100.
0.
0.
0NULL0101.
0.
0.
2/32Static100.
0.
0.
0NULL0.
.
.
.
.
.
101.
0.
0.
10/32Static100.
0.
0.
0NULL0127.
0.
0.
0/8Direct00127.
0.
0.
1InLoop0127.
0.
0.
1/32Direct00127.
0.
0.
1InLoop0192.
168.
1.
0/24Direct00192.
168.
1.
254XGE0/0.
10192.
168.
1.
254/32Direct00127.
0.
0.
1InLoop0200.
0.
0.
0/24Direct00200.
0.
0.
254XGE0/0.
200200.
0.
0.
254/32Direct00127.
0.
0.
1InLoop0201.
0.
0.
1/32Static100.
0.
0.
0NULL0201.
0.
0.
2/32Static100.
0.
0.
0NULL0.
.
.
.
.
.
.
201.
0.
0.
10/32Static100.
0.
0.
0NULL0www.
h3c.
com32NAT444典型配置案例——动态映射(续)防火墙会话表:displaysessiontablesource-ip192.
168.
1.
1verboseInitiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:200.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:200.
0.
0.
253/0DestIP/Port:201.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:24:39TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):4packet(s)240byte(s)Receivedpacket(s)(Reply):4packet(s)240byte(s)Initiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:100.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:100.
0.
0.
253/0DestIP/Port:101.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:22:28TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):135packet(s)8100byte(s)Receivedpacket(s)(Reply):135packet(s)8100byte(s)www.
h3c.
com33策略匹配执行顺序普通NAT和NAT444的匹配顺序:natoutboundstatic>nat444outboundstatic>nat444outboundacl/natoutboundaclNAT444静态配置支持全局和接口下配置,接口下配置优先于全局.
(不建议使用全局配置)对于nat444outboundacl和natoutboundacl,软件不做优先级区别,统一按照ACL编号由大到小的顺序匹配(与配置顺序无关)#interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100natoutboundstaticnatoutbound3005address-group5natoutbound3002address-group2natoutbound3001address-group1nat444outboundstaticnat444outbound3004address-group4port-range1000120000block-size1000nat444outbound3003address-group3port-range1000120000block-size1000nat444staticlocal192.
168.
1.
1192.
168.
1.
100global101.
0.
0.
1101.
0.
0.
10port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0#nat444staticlocal192.
168.
1.
1192.
168.
1.
100global201.
0.
0.
1201.
0.
0.
10port-range1000120000block-size1000#www.
h3c.
com34Global地址黑洞路由及ARP响应问题Global地址黑洞路由问题NAT444静态方式(不管是全局还是接口配置)不会自动生成到Global地址的黑洞路由,需要手动写入(防止三层环路).
NAT444动态映射配置完成以后会自动生成到Global地址的黑洞路由,无需手工配置.
ARP响应问题Global地址与出接口地址同网段时不会响应ARP请求,可在防火墙接口下配置sub地址或者在网关侧配置静态ARP.
#interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100nat444outboundstaticnat444staticlocal192.
168.
1.
1192.
168.
1.
100global101.
0.
0.
1101.
0.
0.
10port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0#iproute-static101.
0.
0.
0255.
255.
255.
0NULL0#会话管理特性基础及实现原理会话管理典型组网及典型配置会话管理常见问题及注意事项目录www.
h3c.
com36Q:NAT444静态映射配置是否会占用内存资源A:NAT444配置命令里的每个私网地址都会在设备上生成一条映射关系,占用一定内存,所以在删除时速度较慢,因此如果需要进行配置删除或变更时,请尽量在设备流量压力较小时操作.
FAQQ:NAT444静态映射配置会占用多少内存资源A:当单块插卡配置达到16个B类地址时,也即私网地址数达到1048576时,系统内存占用率将会明显上升3%~4%(4GB物理内存设备).
因此开局实施时,请根据具体情况控制私网地址数.
建议每条命令的私网地址个数不超过20万.
www.
h3c.
com37Q:当同一个设备端口下配置了多个NAT策略时,业务流量的匹配顺序是怎样的A:当NAT444静态地址转换、NAT444动态地址转换、普通NAT静态地址转换和普通NAT动态地址转换同时存在、并且匹配的流相同时,匹配优先级和顺序为:(1)普通NAT静态地址转换优先级最高;(2)NAT444静态地址转换次之;(3)对于NAT444动态地址转换和普通NAT动态地址转换,系统不做区分,统一按照ACL编号由大到小的顺序匹配.
FAQQ:动态NAT444地址端口映射关系在何时创建或删除A:NAT444动态地址端口映射关系在用户首次访问外网时创建,在用户最后一个连接删除时同步删除.
用户不能手工删除NAT444动态地址端口映射关系.
Q:删除动态NAT444地址端口映射配置会对设备产生何种影响A:删除接口下的NAT444动态地址转换关联配置时,如果所关联的地址池当前没有其他NAT444地址转换关联配置关联,则同步删除该地址池所有的NAT444动态地址端口映射关系.
NAT444技术概述及实现原理NAT444典型配置和应用场景NAT444常见问题和注意事项本章总结杭州华三通信技术有限公司www.
h3c.
com.
cn
0杭州华三通信技术有限公司版权所有,未经授权不得使用与传播熟悉NAT444技术概述及实现原理熟悉NAT444典型配置和应用场景熟悉NAT444常见问题和注意事项课程目标学习完本课程,您应该能够:NAT444特性基础及实现原理NAT444典型组网及典型配置NAT444常见问题及注意事项目录www.
h3c.
com3NAT444技术需求背景InternetIPv4地址枯竭由于IPv4地址资源枯竭,引入IPv6是网络演进的必然趋势.
但是,运营商的网络、业务平台、终端以及ICP在短时间内无法全面支持IPv6,并具备商用能力.
因此在IPv6过渡期内,引入运营商级NAT,延长IPv4的使用期限,保证业务的平滑过渡,为IPv6的部署争取时间,是NAT444技术部署的主要作用和目的.
名称由来NAT444是两层NAT44的简称,属于IPv6过渡技术.
www.
h3c.
com4NAT444相关概念ICPInternetContentProvider网络内容服务商BRASBroadbandRemoteAccessService宽带远程接入服务CPECustomerPresidialEquipment用户驻地设备CRCoreRouter核心路由器LSNLargeScaleNAT大规模网络地址转换CGNCarrierGradeNAT运营商级地址转换www.
h3c.
com5NAT444标准模型三部分IPv4地址:用户侧私网地址:CPE内运营商私网地址:CPE-LSN之间公网地址:LSN外两次IPv4NAT:CPE做一次NAT44LSN做一次NAT44终端CPELSN外网v4v4v4www.
h3c.
com6NAT444架构组成NAT444是基于NAT444网关,结合AAA服务器、网管服务器、日志服务器等配套系统,提供运营商级NAT转换,并支持用户溯源和单点认证的部署方案和整体解决方案.
接收用户映射参数,生成和维护用户映射表,实现运营商级NAT转换维护各NAT444网关的用户地址映射关系表,负责用户认证、授权和计费,记录和维护用户计费和账号等信息接受和记录用户访问信息,响应用户访问信息查询负责管理NAT444网关设备,并把用户地址映射参数发送到NAT444网关和AAA服务器www.
h3c.
com7NAT444部署方式——集中式NAT444网关部署在CR层面(主流方式)私有地址私有地址公有地址www.
h3c.
com8NAT444部署方式——分布式NAT444网关部署在BRAS层面,采用BRAS插卡(H3C使用独立设备,不支持这种部署方式)公有地址私有地址www.
h3c.
com9NAT444技术引入的主要问题地址溯源NAT444在运营商侧网络额外引入一次NAT44,为最终用户分配的是私网地址,使多个最终用户可能出现共用一个公网地址访问Internet,这样就会给运营商实施用户溯源带来困难NAT穿越部分Internet应用在穿越NAT444时存在问题,比较常见的就是P2P业务www.
h3c.
com10NAT444溯源机制NAT444采用端口块分配方式解决溯源问题10.
1.
1.
1-201.
1.
1.
11024-204710.
1.
1.
2-201.
1.
1.
12048-3071SIP:201.
1.
1.
1:1024DIP:122.
1.
1.
1:80SIP:10.
1.
1.
2:1024DIP:122.
1.
1.
1:80SIP:201.
1.
1.
1:2048DIP:122.
1.
1.
1:80CGNSIP:10.
1.
1.
1:1024DIP:122.
1.
1.
1:80www.
h3c.
com11端口块分配方式AAA与CGN执行相同的端口映射生成算法.
在地址溯源过程中,CGN与AAA系统之间不需要传递映射关系,直接实现对地址的溯源静态映射CGN将用户地址和端口块映射关系通过SYSLOG或者RADIUS报文上送给LOG服务器或AAA服务器,在地址溯源过程中需要由AAA服务器向LOG服务器请求映射关系实现动态映射www.
h3c.
com12静态映射表算法简述算法摘要获取计算参数,按照从小到大升序排列用户地址池;计算私网用户地址对应的公网地址.
公有地址按照从小至大的顺序选择;计算私网用户对应的端口块,同理按从小到大排列和选择;生成用户地址映射关系表项.
实例若私网用户地址池:10.
1.
1.
1~10.
1.
1.
8,公网地址池:120.
1.
1.
1~120.
1.
1.
2,端口块大小为1024,可用端口范围为1024~5121:10.
1.
1.
110.
1.
1.
210.
1.
1.
310.
1.
1.
410.
1.
1.
510.
1.
1.
610.
1.
1.
710.
1.
1.
8120.
1.
1.
1120.
1.
1.
1120.
1.
1.
1120.
1.
1.
1120.
1.
1.
2120.
1.
1.
2120.
1.
1.
2120.
1.
1.
2:1024~2047:2048~3071:3072~4095:4096~5121:1024~2048:2048~3071:3072~4095:4096~5121www.
h3c.
com13动态映射与静态映射优缺点比较动态映射优点地址利用率高动态映射缺点增加AAA、日志服务器负荷,对服务器性能要求高AAA、日志服务器的存储空间要求很大CGN设备需要额外发送日志并消耗硬件资源Radius、Syslog基于UDP传输,须控制丢包率溯源实现相对复杂目前运营商实际部署局点两种方式均有案例www.
h3c.
com14NAT444日志功能内网用户以NAT444方式访问外网资源时,防火墙NAT444模块可以向日志服务器发送以下日志信息,帮助溯源或者记录端口块分配情况:NAT444用户日志(端口块分配日志)NAT444告警信息日志NAT444会话新建日志NAT444会话删除日志NAT444日志的由三大运营商定制,分别为中国电信格式、中国联通格式和中国移动格式.
www.
h3c.
com15NAT无限连接特性引入端口块后,对应每一个私网用户的可用四层源端口数量是有限的,是否会限制私网用户的并发会话数呢访问目的地址或端口不同可重用同一个NAT源地址和源端口!
www.
h3c.
com16NAT的分类FullconeEndpoint-IndependentMapping(不关心对端地址和端口转换模式)NAT内部的机器A连接过外网机器C后,NAT会打开一个端口,外网任何主机发到这个端口的UDP数据报都可以到达ARestrictedConeNAT内部的机器A连接过外网的机器C后,NAT打开一个端口,C任意源端口发到这个端口的UDP数据报可以到达APortRestrictedCone(系统缺省模式)AddressandPort-DependentMapping(关心对端地址和端口转换模式)NAT内部的机器A连接过外网的机器C后,NAT打开一个端口,C只能使用原连接的目的端口作为源端口向A发送数据www.
h3c.
com17CGNCGNP2P业务Fullcone当P2P节点位于NAT设备之后,并且需要对外提供下载服务时可以启用FullCone特性,以实现P2P的NAT穿越www.
h3c.
com18连接数限制通过连接数限制功能,可以防止某一用户会话过多从而占用设备大量资源的情况,同时可以防止开启FullConeNAT功能之后外部发起的攻击.
#connection-limitpolicy0limit1sourceip192.
168.
0.
016destinationipanyprotocoludpmax-connections100#connection-limitapplypolicy0#NAT444特性基础及实现原理NAT444典型组网及典型配置NAT444常见问题及注意事项目录www.
h3c.
com20NAT444静态地址端口映射在系统视图下配置静态地址端口映射关系,并在接口下使能直接在接口视图下配置静态地址端口映射关系#静态地址端口映射关系配置命令nat444staticlocallocal-start-addresslocal-end-address[vpn-instancelocal-name]globalglobal-start-addressglobal-end-addressport-rangeport-range-startport-range-endblock-sizeblock-size#在接口下使能静态地址端口映射关系配置命令nat444outboundstatic静态映射配置参数要求:LocalIpNum≤GlobalIpNum*PortBlockNumLocalIpNum--用户地址池中的地址个数localGlobalIpNum--公网地址池中的地址个数globalPortBlockNum--每个公网地址对应的端口块个数(port-range/block-size)www.
h3c.
com21NAT444动态地址端口映射配置控制地址转换范围的访问控制列表:aclnumbernumberrule10permitipsourcex.
x.
x.
xx.
x.
x.
xnat444outboundacl-numberaddress-groupgroup-numberport-rangeport-range-startport-range-endblock-sizeblock-sizenataddress-groupidaddressx.
x.
x.
xx.
x.
x.
x配置可用于地址转换的公网IP地址池:在接口视图中配置NAT444动态地址端口映射:www.
h3c.
com22NAT444Fullcone特性配置配置NAT444动态地址转换的模式:natmapping-behaviorendpoint-independent[aclacl-num]Endpoint-IndependentMapping(不关心对端地址和端口转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过NAT444地址端口映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,并且NAT444网关设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机.
这种模式可以很好的支持位于不同NAT444网关之后的主机间进行互访.
AddressandPort-DependentMapping(关心对端地址和端口转换模式):对于来自相同源地址和源端口号的报文,若其目的地址和目的端口号不同,通过NAT444地址端口映射后,相同的源地址和源端口号将被转换为不同的外部地址和端口号,并且NAT444网关设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部网络的主机.
这种模式安全性好,但是不便于位于不同NAT444网关之后的主机间进行互访.
www.
h3c.
com23NAT444日志功能配置配置NAT444日志:nat444log{user|session-start|session-end}info-centerformat{unicom|china-telecom|china-unicom-nat444}info-centerloghostX.
X.
X.
X日志样例%May1820:06:16:4512012fw1NAT/6/NAT_IP_PORT_ASSIGN:NAT444:userbasedA[110.
64.
0.
3-110.
85.
46.
0-75369535]%May1820:06:16:4512012fw1NAT/6/NAT_IP_PORT_ASSIGN:NAT444:sessionbasedA[110.
64.
0.
3-110.
85.
46.
017536-]说明通过地址端口映射配置分配/回收端口时,发送相关日志只对NATip-port-assign配置提供log功能只对内网主动发起的连接提供log功能www.
h3c.
com24NAT444显示和维护显示NAT444静态地址端口映射的信息displaynat444static-ip-port-blockdisplaynat444static-ip-port-block|includex.
x.
x.
x显示NAT444动态地址端口映射的信息displaynat444dynamic-ip-port-blockdisplaynat444dynamic-ip-port-block|includex.
x.
x.
xwww.
h3c.
com25NAT444典型配置案例网络拓扑图:PC模拟私网,User1和User2分别模拟联通和电信www.
h3c.
com26NAT444典型配置案例——静态映射防火墙配置:#interfaceTen-GigabitEthernet0/0portlink-moderoute#interfaceTen-GigabitEthernet0/0.
10descriptionTo_Usersvlan-typedot1qvid10ipaddress192.
168.
1.
254255.
255.
255.
0#zonenameTrustid2priority85importinterfaceTen-GigabitEthernet0/0.
10zonenameDMZid3priority50zonenameUntrustid4priority5importinterfaceTen-GigabitEthernet0/0.
100importinterfaceTen-GigabitEthernet0/0.
200##interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100nat444outboundstaticnat444staticlocal192.
168.
1.
1192.
168.
1.
100global101.
0.
0.
1101.
0.
0.
10port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0#interfaceTen-GigabitEthernet0/0.
200descriptionTo_Telecomvlan-typedot1qvid200nat444outboundstaticnat444staticlocal192.
168.
1.
1192.
168.
1.
100global201.
0.
0.
1201.
0.
0.
10port-range1000120000block-size1000ipaddress200.
0.
0.
254255.
255.
255.
0#iproute-static101.
0.
0.
0255.
255.
255.
0NULL0iproute-static201.
0.
0.
0255.
255.
255.
0NULL0#www.
h3c.
com27NAT444典型配置案例——静态映射(续)查看防火墙NAT444静态地址端口映射:[FW]displaynat444static-ip-port-blockStaticNAT444IP-port-blocktables:(Used:2,Unused:198)Local-IPGlobal-IPPort-block:Connections,Local-VPN192.
168.
1.
1101.
0.
0.
1(10001-11000):1,---192.
168.
1.
2101.
0.
0.
1(11001-12000):0,---192.
168.
1.
3101.
0.
0.
1(12001-13000):0,---192.
168.
1.
4101.
0.
0.
1(13001-14000):0,---192.
168.
1.
5101.
0.
0.
1(14001-15000):0,---.
.
.
.
.
.
.
.
.
.
.
.
192.
168.
1.
1201.
0.
0.
1(10001-11000):1,---192.
168.
1.
2201.
0.
0.
1(11001-12000):0,---192.
168.
1.
3201.
0.
0.
1(12001-13000):0,---192.
168.
1.
4201.
0.
0.
1(13001-14000):0,---192.
168.
1.
5201.
0.
0.
1(14001-15000):0,---192.
168.
1.
6201.
0.
0.
1(15001-16000):0,---www.
h3c.
com28NAT444典型配置案例——静态映射(续)防火墙会话表项:displaysessiontablesource-ip192.
168.
1.
1verboseInitiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:200.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:200.
0.
0.
253/0DestIP/Port:201.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:01:40TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):14packet(s)840byte(s)Receivedpacket(s)(Reply):14packet(s)840byte(s)Initiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:100.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:100.
0.
0.
253/0DestIP/Port:101.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:00:58TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):56packet(s)3360byte(s)Receivedpacket(s)(Reply):56packet(s)3360byte(s)www.
h3c.
com29NAT444典型配置案例——动态映射防火墙配置:#nataddress-group1address101.
0.
0.
1101.
0.
0.
10nataddress-group2address201.
0.
0.
1201.
0.
0.
10#aclnumber3000rule0permitipsource192.
168.
1.
00.
0.
0.
255#interfaceTen-GigabitEthernet0/0portlink-moderoute#interfaceTen-GigabitEthernet0/0.
10descriptionTo_Usersvlan-typedot1qvid10ipaddress192.
168.
1.
254255.
255.
255.
0#interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100nat444outbound3000address-group1port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0##interfaceTen-GigabitEthernet0/0.
200descriptionTo_Telecomvlan-typedot1qvid200nat444outbound3000address-group2port-range1000120000block-size1000ipaddress200.
0.
0.
254255.
255.
255.
0#zonenameTrustid2priority85importinterfaceTen-GigabitEthernet0/0.
10zonenameDMZid3priority50zonenameUntrustid4priority5importinterfaceTen-GigabitEthernet0/0.
100importinterfaceTen-GigabitEthernet0/0.
200#www.
h3c.
com30NAT444典型配置案例——动态映射(续)查看防火墙NAT444动态地址端口映射:displaynat444dynamic-ip-port-blockDynamicNAT444IP-port-blocktables:(Used:2,Unused:198)Local-IPGlobal-IPPort-block:Connections,Local-VPN192.
168.
1.
1201.
0.
0.
1(10001-11000):1,---192.
168.
1.
1101.
0.
0.
1(10001-11000):2,---www.
h3c.
com31NAT444典型配置案例——动态映射(续)查看防火墙NAT444地址池黑洞路由:displayiprouting-tableRoutingTables:PublicDestinations:28Routes:28Destination/MaskProtoPreCostNextHopInterface100.
0.
0.
0/24Direct00100.
0.
0.
254XGE0/0.
100100.
0.
0.
254/32Direct00127.
0.
0.
1InLoop0101.
0.
0.
1/32Static100.
0.
0.
0NULL0101.
0.
0.
2/32Static100.
0.
0.
0NULL0.
.
.
.
.
.
101.
0.
0.
10/32Static100.
0.
0.
0NULL0127.
0.
0.
0/8Direct00127.
0.
0.
1InLoop0127.
0.
0.
1/32Direct00127.
0.
0.
1InLoop0192.
168.
1.
0/24Direct00192.
168.
1.
254XGE0/0.
10192.
168.
1.
254/32Direct00127.
0.
0.
1InLoop0200.
0.
0.
0/24Direct00200.
0.
0.
254XGE0/0.
200200.
0.
0.
254/32Direct00127.
0.
0.
1InLoop0201.
0.
0.
1/32Static100.
0.
0.
0NULL0201.
0.
0.
2/32Static100.
0.
0.
0NULL0.
.
.
.
.
.
.
201.
0.
0.
10/32Static100.
0.
0.
0NULL0www.
h3c.
com32NAT444典型配置案例——动态映射(续)防火墙会话表:displaysessiontablesource-ip192.
168.
1.
1verboseInitiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:200.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:200.
0.
0.
253/0DestIP/Port:201.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:24:39TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):4packet(s)240byte(s)Receivedpacket(s)(Reply):4packet(s)240byte(s)Initiator:SourceIP/Port:192.
168.
1.
1/2048DestIP/Port:100.
0.
0.
253/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:100.
0.
0.
253/0DestIP/Port:101.
0.
0.
1/10001VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2614:22:28TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):135packet(s)8100byte(s)Receivedpacket(s)(Reply):135packet(s)8100byte(s)www.
h3c.
com33策略匹配执行顺序普通NAT和NAT444的匹配顺序:natoutboundstatic>nat444outboundstatic>nat444outboundacl/natoutboundaclNAT444静态配置支持全局和接口下配置,接口下配置优先于全局.
(不建议使用全局配置)对于nat444outboundacl和natoutboundacl,软件不做优先级区别,统一按照ACL编号由大到小的顺序匹配(与配置顺序无关)#interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100natoutboundstaticnatoutbound3005address-group5natoutbound3002address-group2natoutbound3001address-group1nat444outboundstaticnat444outbound3004address-group4port-range1000120000block-size1000nat444outbound3003address-group3port-range1000120000block-size1000nat444staticlocal192.
168.
1.
1192.
168.
1.
100global101.
0.
0.
1101.
0.
0.
10port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0#nat444staticlocal192.
168.
1.
1192.
168.
1.
100global201.
0.
0.
1201.
0.
0.
10port-range1000120000block-size1000#www.
h3c.
com34Global地址黑洞路由及ARP响应问题Global地址黑洞路由问题NAT444静态方式(不管是全局还是接口配置)不会自动生成到Global地址的黑洞路由,需要手动写入(防止三层环路).
NAT444动态映射配置完成以后会自动生成到Global地址的黑洞路由,无需手工配置.
ARP响应问题Global地址与出接口地址同网段时不会响应ARP请求,可在防火墙接口下配置sub地址或者在网关侧配置静态ARP.
#interfaceTen-GigabitEthernet0/0.
100descriptionTo_Unicomvlan-typedot1qvid100nat444outboundstaticnat444staticlocal192.
168.
1.
1192.
168.
1.
100global101.
0.
0.
1101.
0.
0.
10port-range1000120000block-size1000ipaddress100.
0.
0.
254255.
255.
255.
0#iproute-static101.
0.
0.
0255.
255.
255.
0NULL0#会话管理特性基础及实现原理会话管理典型组网及典型配置会话管理常见问题及注意事项目录www.
h3c.
com36Q:NAT444静态映射配置是否会占用内存资源A:NAT444配置命令里的每个私网地址都会在设备上生成一条映射关系,占用一定内存,所以在删除时速度较慢,因此如果需要进行配置删除或变更时,请尽量在设备流量压力较小时操作.
FAQQ:NAT444静态映射配置会占用多少内存资源A:当单块插卡配置达到16个B类地址时,也即私网地址数达到1048576时,系统内存占用率将会明显上升3%~4%(4GB物理内存设备).
因此开局实施时,请根据具体情况控制私网地址数.
建议每条命令的私网地址个数不超过20万.
www.
h3c.
com37Q:当同一个设备端口下配置了多个NAT策略时,业务流量的匹配顺序是怎样的A:当NAT444静态地址转换、NAT444动态地址转换、普通NAT静态地址转换和普通NAT动态地址转换同时存在、并且匹配的流相同时,匹配优先级和顺序为:(1)普通NAT静态地址转换优先级最高;(2)NAT444静态地址转换次之;(3)对于NAT444动态地址转换和普通NAT动态地址转换,系统不做区分,统一按照ACL编号由大到小的顺序匹配.
FAQQ:动态NAT444地址端口映射关系在何时创建或删除A:NAT444动态地址端口映射关系在用户首次访问外网时创建,在用户最后一个连接删除时同步删除.
用户不能手工删除NAT444动态地址端口映射关系.
Q:删除动态NAT444地址端口映射配置会对设备产生何种影响A:删除接口下的NAT444动态地址转换关联配置时,如果所关联的地址池当前没有其他NAT444地址转换关联配置关联,则同步删除该地址池所有的NAT444动态地址端口映射关系.
NAT444技术概述及实现原理NAT444典型配置和应用场景NAT444常见问题和注意事项本章总结杭州华三通信技术有限公司www.
h3c.
com.
cn
- 地址444aaa.com相关文档
- 鲁西444aaa.com
- baza444aaa.com
- inspection444aaa.com
- DEHMTD444aaa.com
- 检测444aaa.com
- disponibles444aaa.com
Budgetvm12核心 16G 500 GB SSD 或者 2 TB SATA 10GB 20 TB 99美金
Budgetvm(原EZ机房),2005年成立的美国老品牌机房,主打美国4个机房(洛杉矶、芝加哥、达拉斯、迈阿密)和日本东京机房的独立服务器和VPS业务,而且不限制流量,默认提供免费的1800G DDoS防御服务,支持IPv6和IPMI,多种免费中文操作系统可供选择,独立服务器主打大硬盘,多硬盘,大内存,用户可以在后台自行安装系统等管理操作!内存可定制升级到1536G,多块硬盘随时加,14TBSA...
博鳌云¥799/月,香港110Mbps(含10M CN2)大带宽独立服务器/E3/8G内存/240G/500G SSD或1T HDD
博鳌云是一家以海外互联网基础业务为主的高新技术企业,运营全球高品质数据中心业务。自2008年开始为用户提供服务,距今11年,在国人商家中来说非常老牌。致力于为中国用户提供域名注册(国外接口)、免费虚拟主机、香港虚拟主机、VPS云主机和香港、台湾、马来西亚等地服务器租用服务,各类网络应用解決方案等领域的专业网络数据服务。商家支持支付宝、微信、银行转账等付款方式。目前香港有一款特价独立服务器正在促销,...
创梦网络-江苏宿迁BGP云服务器100G高防资源,全程ceph集群存储,安全可靠,数据有保证,防护真实,现在购买7折促销,续费同价!
官方网站:点击访问创梦网络宿迁BGP高防活动方案:机房CPU内存硬盘带宽IP防护流量原价活动价开通方式宿迁BGP4vCPU4G40G+50G20Mbps1个100G不限流量299元/月 209.3元/月点击自助购买成都电信优化线路8vCPU8G40G+50G20Mbps1个100G不限流量399元/月 279.3元/月点击自助购买成都电信优化线路8vCPU16G40G+50G2...
444aaa.com为你推荐
-
沙滩捡12块石头价值近百万捡块石头价值一亿 到底是什么石头能价值一亿Baby被问婚变绯闻baby的歌词rap那一段为什么不一样百花百游百花净斑方多少钱一盒haole16.com高手们帮我看看我的新网站WWW.16mngt.com怎么不被收录啊?mole.61.com谁知道摩尔庄园的网址啊www.03024.comwww.sohu.com是什么haole012.com012.com网站真的可以挂Q升级吗?机器蜘蛛有谁知道猎人的机械蜘蛛在哪捉的www.diediao.com跪求鸭王2www.mfav.org海关编码在线查询http://www.ccpit.org.c