随着Internet的快速发展,IPv4的公网地址资源已非常匮乏,NAT(Network Address Translation)技术通过对IP报文中的地址或端口进行转换,可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网,从而有效减少了对公网地址的需求,减缓IP地址空间枯竭的速度。
针对NAT的类型可分为以下三种:
1、源NATa) 地址池方式,转换源IP信息,适用大量私网用户访问Internet的场景。b) 出接口地址方式(Easy IP),适用于公网接口IP地址是动态获取的情况。
2、服务器映射a) 静态映射(NAT Server),适用于公网用户访问私网内部服务器的场景。b) 服务器负载均衡,适用于多个内网服务器提供相同的服务,对外虚拟成一个服务器。
3、目的NAT
主要应用在转换手机用户WAP网关地址,使手机用户可以正常上网的场景。NAT基本概念:在USG系列防火墙上,还有Server-map用于存放关于地址转换的映射关系,设备根据这种映射关系对报文的地址进行转换,并转发。NAT生成Server-map的两种情况:
配置NAT Server成功后生成静态表项。
配置NAT No-PAT后,需要由流量触发建立Server-map表。
NAT ALG基本概念:NAT ALG(Application Level Gateway,应用级网关)是特定的应用协议的转换代理,可以完成应用层数据中携带的地址及端口号信息的转换。
FTP应用就由数据连接和控制连接共同完成,而且数据连接的建立动态地由控制连接中的载荷字段信息决定,这就需要ALG来完成载荷字段信息的转换,以保证后续数据连接的正确建立。
ASPF功能的主要目的是通过对应用层协议的报文分析,为其开放相应的包过滤规则,而NAT ALG的主要目的,是为其开放相应的NAT规则。由于两者通常都是结合使用的,所以使用同一条命令就可以将两者同时开启。
华为HCIE-Security认证针对以上类型展开分析,由技术的原理开始,再到使用的场景,到最后场景的故障分析,完整地解析地址转换技术相关知识。
首先我们将带大家了解在出口部署源NAT地址池方式的大致框架及逻辑,如下图:
如上图内网用户群(10.1.10.2-10.1.10.100)最初都在一个区域内,有两个公网IP(210.1.1.11和210.1.1.12)可用于做NAT转换,由于无需对这些用户进行区分,所以可将两个公网IP放在同一地址池内。上网流量到达防火墙后,将从地址池中随机选取一个公网IP做NAT转换。这个过程看似很简单,但是一些相对复杂的环境还是会难倒部分技术人员,下面通过案例为大家分享下。
例如有道这样的安全竞赛题:LAB2有部分需求如下,其中FW1的G1/0/1地址为10.1.10.254/24,ISP1的G0/0/1地址为10.1.10.10/24,问题需求是:
1、在FW1部署NAT双出口为内网设备访问外部数据,在出口ISP1或ISP2路由设备故障进行切换,其中ISP1申请地址池范围为10.1.10.9/29,向ISP2申请地址范围为10.1.22.9/29,并配置相应安全策略允许内向流通通过。
2、考虑在FW1出口的两个ISP可能会出现的潜在环路或ARP广播问题,该如何解决?
通过分析发现这个LAB2的需求并不是难,无非是是基础知识组合在一起。但大部分工程师并没有能提交完整的答案。反馈的问题是在FW1设备无法将流量访问到ISP1的G0/0/1接口直连。(其中ISP1设备G0/0/1地址为10.1.10.10/24,FW1设备G1/0/1地址为10.1.10.254/24)
询问大家在这个位置做了什么操作时,有人说到在NAT地址池与出口处于同网段时可能引起ARP广播问题,NAT地址池与出口处于不同网段时可能引起环路问题。
登录防火墙,此时FW1上的路由条目如下:
在FW上查会话如下:
产生ARP广播条件:向FW1的G1/0/1口发送目的为10.1.10.13的数据包:
在FW1的G1/0/1接口抓包如下:
此处ARP广播产生的原因是因为防火墙收到报文后,发现报文的目的地址和自己的接口在同一网段,直接发送ARP请求报文(第2个ARP报文),寻找该地址的MAC地址(防火墙依然没有意识到该报文的目的地址是自己的NAT地址池地址)。如果公网上的不法分子发起大量访问时,防火墙将发送大量的ARP请求报文,也会消耗系统资源。解决的办法是在FW1上针对NAT地址池写黑洞路由,随即在FW1上配置了如下命令"ip route-static 10.1.10.9/29 NULL 0",此时FW1路由表如下:
接着在FW1上查的会话也老化消失:
之后就出现经过FW1访问ISP1直连不通的现象,甚至有人在此排查了半个多小时。在针对直连链路访问失败问题,我们可在FW1执行“display ip routing-table 10.1.10.10”就会得到你想要的结果,发现数据都丢NULL 0 接口。原因是:根据路由匹配原则,路由器会优先选择掩码最长的条目,导致数据无法从FW1的G1/0/1口发送出来,ISP1设备不能收到请求报文。
解决此场景"在NAT地址池与出口处于同网段时可能引起ARP广播问题",可写关于地址池的明细路由(排除已配置的IP)指向NULL 0接口,或者规划好IP地址的使用,避开NAT地址池的范围10.1.10.9/29,使用其他地址配置物理接口。
通过上述案例可以发现,很多的场景并不复杂,只是我们忘了原本基础的内容。包括很多高级学员参加HCIE考试,经常会忘记基础的内容。排错是技术工程师务必掌握的内容,而排错这个技能往往离不开平时的实验练习与基础理论部分。
18922156670
