DA000021NAT技術原理固網產品課程開發部引入按照目前Internet網絡迅猛發展的速度，到2010年IPv4的地址將消耗殆盡。目前IPv6(IPng)的推廣和部署受到一定的阻力，無法在短時間內完成網絡從IPv4到IPv6的過渡。目前解決IP地址短缺的有效方法：NAT和CIDR學習目標掌握NAT的基本概念掌握NAT的基本工作原理掌握NE80/NE40產品的NAT實現學習完本課程，您應該能夠：課程內容

第一章NAT基本概念第二章NAT基本工作原理第三章NE80/NE40產品NAT實現第一章NAT基本概念第一章NAT基本概念共有地址和私有地址私有地址是指內部網絡(局域網內部)的主機地址，而公有地址是局域網的外部地址（在因特網上的全球唯一的IP地址）。因特網地址分配組織規定以下的三個網絡地址保留用做私有地址：-55-55-55第一章NAT基本概念地址池

地址池是由一些外部地址（全球唯一的IP地址）組合而成的，我們稱這樣的一個地址集合為地址池。在內部網絡的數據包通過地址轉換達到外部網絡時，將會選擇地址池中的某個地址作為轉換后的源地址，這樣可以有效利用用戶的外部地址，提高內部網絡訪問外部網絡的能力。第一章NAT基本概念訪問控制列表

訪問列表是由ACCESS-LIST命令生成的，它依據IP數據包報頭以及它承載的上層協議數據包頭的格式定義了一定的規則，可以表示允許或者是禁止具有某些特征(包頭數據可以描述的）的數據包，地址轉換按照這樣的規則判定哪些包是被允許轉換或者是禁止轉換，這樣可以禁止一些內部的主機訪問外部網絡，提高一些網絡的安全性問題。有關的詳細概念可以參考防火墻中的有關內容。第一章NAT基本概念轉換關聯

轉換關聯就是將一個地址池和一個訪問列表關聯起來，這種關聯指定了“具有某些特征的IP報文”是使用“這樣的地址池中的地址”，而另一些可能是使用另外一個地址池中的地址。在地址轉換時，是根據這樣的對應進行地址轉換的。當一個內部網絡的數據包文發往外部網絡時，首先根據訪問列表判定是否是允許的數據包，然后根據轉換的關聯找到于之相對應的地址池，我們就可以把源地址轉換成這個地址池中的某一個地址，完成地址轉換。

第一章NAT基本概念內部服務器映射表

內部服務器映射表是由NATSERVER命令配置的，允許用戶依照自己的需要提供內部服務。在轉換時，根據用戶的配置查找外部數據包的目的地址，如果是訪問內部的服務器，則轉換成相應的內部服務器的目的地址和端口，達到訪問內部服務器的目的。還原時對源地址進行查找，判斷是否是從內部服務器出去的報文，如果是將源地址轉換成相應的外部地址。課程內容

第一章NAT基本概念第二章NAT基本工作原理第三章8070產品NAT實現第四章8011產品NAT 實現第二章NAT的基本工作原理NAT在系統中的位置

第二章NAT的基本工作原理NAT基本工作原理（以出口NAT為例）

在IP層的出口處調用NAT第二章NAT的基本工作原理在IP層的入口出調用NAT第二章NAT的基本工作原理透明的地址分配靜態的地址分配指一個特定的主機使用固定的地址訪問外部的網絡。動態的地址分配是指NAT在一些地址中挑選一個地址，做為內部網絡的主機訪問外部網絡的IP地址。無論是那種，地址的分配應該對用戶來說是透明的。第二章NAT的基本工作原理NAT的基本工作方式：NAT－一對一的地址轉換PAT－多對一的地址轉換NPAT－多對多的地址轉換第二章NAT的基本工作原理NAT方式第二章NAT的基本工作原理NAT方式在出方向上轉換IP報文頭中的源IP地址，而不對端口進行轉換。在私有網絡地址和外部網絡地址之間建立一對一映射，實現比較簡單只轉換IP報文頭中的IP地址，所以適用于所有IP報文轉換第二章NAT的基本工作原理PAT方式(0:1001-6:23)------>(00:12964-6:23)(6:23-00:12964)------>(6:23-0:1001)第二章NAT的基本工作原理PAT方式PAT（PortAddressTranslation）方式的地址轉換利用了TCP/UDP協議的端口號，進行地址轉換。PAT方式的地址轉換是采用了“地址＋端口”的映射方式，因此可以使內部局域網的許多主機共享一個IP地址訪問Internet。在私有網絡地址和外部網絡地址之間建立多對一映射。不同的內部網地址，轉換時采用相同的公網地址，并依靠不同的端口號來區分每一個內部網主機。第二章NAT的基本工作原理NPAT方式(0:1001-6:23)------>(00:12964-6:23)(1:2001-7:21)------>(01.12987-7:21)(6:23-00:12964)------>(6:23-0:1001)(7:21-01:12987)------>(7:21-1:2001)第二章NAT的基本工作原理NPAT方式NPAT（Nat&PortAddressTranslation）方式的地址轉換也是利用了TCP/UDP協議的端口號，進行地址轉換。私網地址和公網地址之間建立了多對多的映射關系。NPAT方式也是采用“地址＋端口”的映射關系，因此可以使內部局域網的多個主機共享多個IP地址訪問Internet。第二章NAT的基本工作原理第二章NAT的基本工作原理內部服務器第二章NAT的基本工作原理利用ACL控制地址轉換第二章NAT的基本工作原理支持特殊協議（ALG應用程序網關）地址轉換改變了IP數據包頭的IP地址信息，如果數據報文的載荷中含有地址信息，地址轉換就需要特殊處理，除了改變IP包頭的地址信息以外還需要改變數據報文中載荷中的地址信息。比較典型的應用是FTP目前VRPNAT平臺支持FTP、Radius、L2tp、PPTP、CMC幾種特殊的協議。以及后來支持的H.323、SMTP、DNS等。第二章NAT的基本工作原理以FTPALG為例：在TCP的應用FTP中，包含兩種連接：控制連接（會話）、數據連接（傳輸）。其中控制連接是用大家都熟悉的21端口的TCP連接。數據連接卻是由客戶端“發起”的，它通過控制連接“通知”服務器它已經初始化完的端口，FTP服務器通過20端口（默認情況）將數據傳送到客戶端。第二章NAT的基本工作原理以FTPALG為例（續）：

在通知服務器的時候，會用到“PORT命令”，其中在這次TCP連接的數據中是這樣的：“PORT10,110,1,2,13,23\A\D”（表示，地址=)，于是服務器就可以知道客戶端的數據連接的地址和端口了。在地址轉換的過程中，對于PORT命令，我們除了改變IP地址以及端口信息，同時必須改變相應TCP中的數據，這樣才可以保證使FTP服務器端可以把數據發送到正確的客戶端。這樣，有可能會使TCP數據包的長度發生變化，所以對于PORT命令還需要對TCP數據頭中的序號（SEQUENCENUMBER）進行調整。第二章NAT的基本工作原理NAT地址轉換的DNS運用DNS服務器處于私網中DNS服務器處于公網中第二章NAT的基本工作原理第二章NAT的基本工作原理DNS在公網上，內部主機無法使用域名訪問內部服務器

當內部pc通過域名訪問時，會到外部的DNS上請求IP地址，由于DNS是在外部，所以它會返回一個公網的地址或找不到地址。這樣導致內部PC通過域名訪問時，得到是個外部的地址或者得不到地址，導致內部用戶不能正常訪問內部服務器。Qusetion：有什么好的方法可以解決DNS問題？第二章NAT的基本工作原理以太網口支持地址池在以太網環境中，如果地址池中的地址與接口的地址在不同的網段上，那么可以通過添加路由的方式來解決。而如果在同一個網段上，則對方不會缺省的將報文發送到此設備上，因為對方發現這是一個同網段的地址，會發送ARP請求，如果得不到響應，將認為這個地址不存在，當然報文將無法到達本端。因此需要對以太網接口做特殊處理，使得當地址池中的地址和接口的地址在同一個網段也可以支持。第二章NAT的基本工作原理以太網口支持地址池（續）如果一個ARP請求報請求的地址不是以太網接口的IP地址，ARP模塊將這個ARP請求丟棄，現在NAT模塊提供一個函數，根據地址、接口判斷這個地址是否是在這個接口上的一個地址池中的地址。如果是，告訴ARP對這個IP地址發送ARP應答，MAC地址就是這個以太網接口的MAC地址。第二章NAT的基本工作原理支持多個方向上負載分擔應用NAT基本工作原理小結NAT基本工作原理小結地址轉換的缺點：地址轉換對于報文內容中含有有用的地址信息的情況很難處理。地址轉換不能處理IP報頭加密的情況。地址轉換由于隱藏了內部主機地址，有時候會使網絡調試變得復雜。影響報文轉發的效率。無法確定源地址。因為同樣的內部地址在不同時刻的外部地址是不一樣的，所以如果從內部網絡攻擊外部網絡，將造成定位攻擊源的困難。NAT基本工作原理小結NAT地址轉換的改進

為滿足公安部以及一些企事業單位的需求，對NAT流（FLOW）信息進行日志記錄，通過日志信息了解NAT轉換前的地址信息。用戶日志只在NAT的出方向進行日志記錄，根據報文的源IP地址、轉換后的源IP地址、目的IP地址、源端口、轉換后的源端口、目的端口、協議號等7元組來標識一條流，并生成該NAT流的日志記錄。根據這些日志信息進行分析查詢，可以方便地追蹤一些非法活動以及不正當的操作等，提高網絡設備的可用性和安全性課程內容

第一章NAT基本概念第二章NAT基本工作原理第四章NE80/NE40產品NAT實現第四章NE80/NE40產品的NAT實現NE80/NE40產品支持NAT轉換的方式：NAT、PAT、PNAT。NE80/NE40產品采用IBM網絡處理器NP4GS3(rainier)，使用微碼來實現基本的地址轉換功能，ALG由微碼上送CPU處理。NAT功能采用單獨NAT板完成，采用地址池與NAT板綁定的方式支持多NAT板，即配置地址池時指定NAT板號。NE80/NE40產品采用入口NAT的方式，在單獨一塊NAT單板的情況下，無法實現多出口的負載分擔。第四章NE80/NE40產品的NAT實現NE80/NE40NAT的工作流程（入口NAT）正向NAT：IP上行->IP入端口->FIB查找->ACL匹配重定向到NAT板下行->查找NAT轉換表進行轉換->（查找不成功按照報文類型決定添加表項還是丟棄，添加表項由微碼完成）送自環物理接口至NAT板上行->NAT板上行查找FIB->送目的LPU板下行->目的LPU板下行封裝、轉發第四章NE80/NE40產品的NAT實現反向NAT：IP上行->IP入端口->FIB查找重定向到NAT板->NAT板下行->查找NAT轉換表進行轉換->送自環物理接口至NAT板上行->NAT板上行查找FIB->送目的LPU板下行->目的LPU板下行封裝、轉發參考資料RFC