NAT实验
六、NAT实验-CSDN博客
七、NAT场景下黑洞路由作用-CSDN博客
USG6306外网无法ping通和管理防火墙
https://support.huawei.com/enterprise/es/knowledge/EKB1001991554
安全策略是由匹配条件(例如五元组、时间段等)和动作组成的控制规则,
设备收到流量后,对流量的属性(五元组、时间段等)进行识别,并将流量的属性与安全策略的匹配条件进行匹配。
如果所有条件都匹配,则此流量成功匹配安全策略。流量匹配安全策略后,设备将会执行安全策略的动作。
- 如果动作为“允许”,则对流量进行如下处理:
- 如果没有配置内容安全检测,则允许流量通过。
- 如果配置内容安全检测,最终根据内容安全检测的结论来判断是否对流量进行放行。
-
如果动作为“禁止”,则禁止流量通过。
防火墙_源NAT防火墙_源NAT_nat三元组与五元组-CSDN博客
源NAT
根据转换源地址是否同时转换端口,源NAT分为仅源地址转换的NAT(NAT NO-PAT),源地址和源端口同时转换的NAT(NAPT、Smart NAT、Easy IP、三元组NAT)
1、NAT NO-PAT
NAT NO-PAT是一种NAT转换时只转换地址,不转换端口,实现私网地址到公网地址一对一的地址转换方式。适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景。
此方式下,公网地址和私网地址是一对一的,如果地址池中的地址已经全部分配出去,则剩下内网主机访问外网是不会进行NAT转换,直到地址池有空闲。
FW上生成的Server-map表中存放Host的私网IP地址和公网IP地址的映射关系
正向Server-map表保证了特定私网用户访问Internet时,快速转换地址,提高了FW效率
反向Server-map表允许Internet上的用户主动访问私网用户,将报文进行地址转换
NO-PAT的分类
(1)本地(local)NO-PAT
本地NO-PAT生成的Server-map表中包含安全区域参数,只有此安全区域的Server可以访问内网Host
(2)全局(Global)NO-PAT
全局NO-PAT生成的Server-map表中不包含安全区域参数,一旦建立,所有安全区域的Server都可以访问内网的Host
2、NAPT
NAPT是一种转换时同时转换地址和端口(不会生成Server-map),实现多个私网地址公用一个或多个公网地址的地址转换方式。适用于公网地址数量少,需要上网的私网用户数量大的场景。
由于地址转换的同时还进行端口的转换,可以实现多个私网用户使用一个公网地址上网,FW根据端口区分不同的用户,所以可以支持同时上网的用户数量更多。
3、Smart NAT
Smart NAT 是 NO-PAT的一种补充。它是一种可以在NO-PAT的NAT模式下,指定某个IP地址预留做NAPT方式的地址转换方式。
适用于平时上网用户少,公网IP数量与同时上网用户数量基本一致,但个别时段上网用户数量激增的场景。
使用NO-PAT进行一对一转换,随着内部用户数量的不断增加,地址池中的地址书可能不再能满足用户上网需求,部分用户将得不到转换地址从而无法访问Internet。此时,用户可以利用预留的IP地址进行NAPT地址转换,然后访问Internet。
此时,FW将优先采用NO-PAT的方式转换地址。当可被NO-PAT方式的地址用完时,新的用户连接将使用预留的这个IP地址做NAPT地址转换。
4、Easy IP
Easy IP使用中利用出接口的公网地址作为NAT转换后的地址,同时转换地址和端口的地址转换方式。对于接口IP是动态获取的场景,Easy IP也一样支持。
此方式由于地址转换的同时还进行端口的转换,可以实现多个私网用户公用一个公网IP上网,FW根据端口区分不同用户,所以可以同时上网的用户数量更多。
5、三元组NAT
三元组NAT是一种转换时同时转换地址和端口,实现多个私网共用一个或多个公网地址的地址转换方式。
它允许Internet上的用户主动访问私网用户,与基于P2P技术的文件共享、语音通信、视频传输等业务可以很好的共存。
当内网PC访问Internet时,如果FW采用五元组NAT(NAPT)方式进行地址转换,外部设备无法通过转换后的地址和端口主动访问内部PC。而三元组NAT可以很好的解决这个问题。因为三元组NAT有两个特点:
(1)三元组NAT的端口不能复用,保证了内部PC对外呈现的端口的一致性,不会动态变化,但是公网地址利用率低
(2)支持外部设备通过转换后的地址和端口主动访问内部PC。FW即便没有相应的安全策略,也允许此类访问报文通过。
FW上生成的Server-map表中存放的Host的私网IP与公网IP的映射关系:
(1)正向Server-map表项保证内部PC转换后的地址和端口不变
(2)反向Server-map表项允许外部设备可以主动访问内部PC
不同的NAT类型对应不同的NAT策略,在FW上处理顺序不同。
1、W收到报文后,查找NAT Server生成的Server-map表,如果报文匹配到Server-map表,则根据表项转换报文的目的地址,然后进行第四步;若没有匹配到,则进行下一步
2、查找基于ACL的目的NAT,如果报文符合匹配条件,则转换报文的目的地址,然后进行第四步;若不符合,则进行下一步
3、查找NAT策略中目的NAT,如果报文符合匹配条件,则转换报文的目的地址后进行路由处理;若不符合,则直接进行路由处理
4、根据报文当前的信息查找路由(包括策略路由),如果找到路由,则进行下一步,否则丢弃
5、查找安全策略,如果安全策略允许报文通过且之前并未匹配NAT策略(目的NAT或双向NAT),则进行下一步;如果安全策略允许报文通过且之前匹配过双向NAT,则直接进行源地址转换,然后创建会话并进入第七步;如果安全策略允许报文通过且之前匹配过目的NAT,则直接创建会话,然后进行第七步;如果安全策略不允许,则丢弃
6、查找NAT策略中源NAT,如果报文符合源NAT的匹配条件,则转换报文的源地址,然后创建会话;否则直接创建会话
7、FW发送报文
NAT策略中目的NAT会在路由和安全策略之前处理,NAT策略中源NAT会在路由和安全策略之后处理。
因此,配置路由和安全策略的源地址是NAT转换前的源地址,配置路由和安全策略的目的地址是NAT转换后的目的地址。
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/weixin_42528239/article/details/107965505
三元组NAT是一种转换报文源IP地址的方式。当内网PC访问Internet时,将报文私网地址转换成公网地址,同时生成server-map表项,提供私网地址和公网地址对应关系,允许其他公网PC访问此内网PC。
三元组NAT中一个公网地址和端口只能给同一个私网地址和端口使用,与五元组NAT相比,三元组NAT中同一个公网地址的端口不能复用。
因为公网地址被配置为了三元组nat地址池,当外网访问该地址池时,会查找server-map表项,无法找到server-map表则会丢弃该报文,导致无法ping通和管理。
5.更改地址池为pat模式,问题解决。
[USG6300] nat address-group NAT 0
[USG6300-address-group-NAT] mode pat
根因
公网地址被配置为了三元组nat地址池,导致公网地址不能复用。
1.私网用户通过NAT No-PAT访问Internet
FW作为安全网关,使私网中192.168.1.0/24网段的用户可以正常访问Internet,需要在FW上配置源NAT策略。由于需要上网的用户少,采用NAT No-PAT的地址转换方式,将私网地址与公网地址一对一转换,向ISP申请了6个公网IP:210.1.1.10-15。
在这里插入图片描述
No-PAT也叫basic NAT,一对一地址转换,这种方式只转换IP不转换端口,而且并没有节约公网IP,所以实际中基本不常用。公网IP要大于私网用户,要不然等待公网地址释放后其他用户才可以访问。
://blog.csdn.net/u012451051/article/details/134605678
补充:
mode no-pat global:global参数:表示生成的server-map表项不包含安全区域参数,不受域间关系的限制。配置local参数:表示生成的server-map表项包含安全区域参数,受域间限制。
route enable:开启地址池的UNR路由,同黑洞路由作用相同。
如果需要访问明确的目的internet Server服务器,NAT策略的配置:
NATP属于多对一,多对多转换。转换方式IP+端口。现实中和Easy-IP一样,都应用非常广
NATP源地址转换后,不生成Server-map表。根据session表来识别,NATP也称为端口复用NAT,如果192.168.10.1和20.1共同使用210.1.1.9公网转换的话,以携带的端口号来区分。
如果需要限制私网转公网,公网每个IP的转换比例,如下:
nat address-group GW
mode pat
route enable
section 210.1.1.5 210.1.1.10
srcip-car-num 256
原文链接:https://blog.csdn.net/u012451051/article/details/134605678
Easy-IP:以出接口IP来转换,多对一,应用非常广泛。节约IP。不生成server-map表,Easy-IP方式不需要配置路由黑洞。
1、配置接口IP地址和安全区域(等同上例,略)
2、配置安全策略,允许指定网段与Internet进行报文交互(等同上例,略)
3、配置NAT策略
rule name easy_nat
source-zone trust
destination-zone untrust
source-address 192.168.10.0 mask 255.255.255.0
source-address 192.168.20.0 mask 255.255.255.0
action source-nat easy-ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/u012451051/article/details/134605678
三元组NAT,同时转换IP和端口,多对一,多对多,能和P2P、语音视频等多通道协议能很好的互存。
当PC访问互联网时,如果采用五元组方式进行地址转换,外部设备无法通过转换后的地址和端口主动访问内部PC。
三元组的特点:1、端口不能复用,保证内部PC对外呈现的一致性,端口不会动态变化。2、支持外部设备通过转换后的地址和端口主动访问内部PC,防火墙没配置相关策略,也允许报文通过。
产生的server-map表:
正向:保证内部PC转换后的地址和端口不变。
反向:允许外部设备主动访问内部PC。
1、配置接口IP地址和安全区域(等同上例,略)
2、配置安全策略,允许指定网段与Internet进行报文交互(等同上例,略)
3、配置NAT地址池,开启允许端口地址转换,实现公网地址复用。
我们在地址池配置了full-cone global参数,Full Cone也叫全圆锥:内网主机进行NAT转换后的地址和端口在一段时间内保持不变,不会因为目的地址不同而不同。global参数在域间不受安全策略控制。
三组元NAT的两个特点,通过在NAT地址池配置full-cone global参数实现满足第一条。
第二点是关于外部到内部安全策略检查,默认情况下,防火墙开启端点无关过滤功能。
firewall endpoint-independent filter enable
1
endpoint-independent filter enable:开启后,报文只要命中Server-map就可以通过防火墙,不受安全策略控制。
还有防火墙对多通道协议的支持,通过ASPF保证系统对多通道协议中临时协商的端口正常进行报文过滤和N