1、修訂記錄，本頁未打印，第四章網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，目的，完成本課程后，您將能夠掌握NAT :的技術(shù)原理，掌握NAT的幾種應(yīng)用方法，并掌握防火墻的NAT配置，目錄，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)介紹NAT技術(shù)基于源IP地址的NAT技術(shù)基于目的IP地址的NAT技術(shù)雙向NAT技術(shù)NAT應(yīng)用場景配置，NAT生成背景，IPv4地址日益枯竭。IPv6技術(shù)不能取代各種延長IPv4壽命的技術(shù)，NAT就是其中之一。你為什么需要NAT？NAT技術(shù)的主要應(yīng)用是實(shí)現(xiàn)從大量私有網(wǎng)絡(luò)地址到少量公共網(wǎng)絡(luò)地址的轉(zhuǎn)換。在保證通信的基礎(chǔ)上節(jié)省IP地址資源。私有網(wǎng)絡(luò)地址不能在公共網(wǎng)絡(luò)中路由，否則通信將被混淆和丟棄。。專用網(wǎng)絡(luò)地址？在

2、不知道路由的情況下，專用網(wǎng)和公用網(wǎng)之間的通信不需要NAT，不需要處理，NAT技術(shù)的基本原理是，NAT技術(shù)可以通過轉(zhuǎn)換IP報(bào)頭中的源地址或目的地址，使大量的專用網(wǎng)IP地址接入公用網(wǎng)。將私有網(wǎng)絡(luò)源地址替換為公共網(wǎng)絡(luò)地址，將公共網(wǎng)絡(luò)目的地址替換為私有網(wǎng)絡(luò)地址，NAT分類，NAT分類，優(yōu)點(diǎn)和缺點(diǎn)，實(shí)現(xiàn)IP地址重用的優(yōu)點(diǎn)，節(jié)省寶貴的地址資源，為用戶提供透明的地址轉(zhuǎn)換過程，為內(nèi)部網(wǎng)用戶提供隱私保護(hù)，實(shí)現(xiàn)內(nèi)部服務(wù)器的負(fù)載平衡，增加網(wǎng)絡(luò)監(jiān)控難度和限制某些特定應(yīng)用、目錄， 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)介紹基于源IP地址轉(zhuǎn)換技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)雙向網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換應(yīng)用場景配置，源IP地址轉(zhuǎn)換技術(shù)概述，基于源IP

3、地址和端口轉(zhuǎn)換的源IP地址轉(zhuǎn)換，信任，不信任，信任，不信任，源1源端口X目的地1.1.1，源1目的地1.1.1，源目的地1.1.1，源源端口Y目的地1.1.1。 NAT出站NAT入站、信任、不信任、非軍事區(qū)、不信任、源1目的地1.1.1、源目的地、轉(zhuǎn)換、出站、入站、高安全性區(qū)域、低安全性區(qū)域源1的、源的1.1.1、轉(zhuǎn)換、基于端口轉(zhuǎn)換的NAT、無pat(端口地址轉(zhuǎn)換)。它主要用于一對(duì)一的IP地址轉(zhuǎn)換，端口不進(jìn)行轉(zhuǎn)換。將不同的內(nèi)

4、部地址映射到同一公共地址的不同端口號(hào)，實(shí)現(xiàn)多對(duì)一的地址轉(zhuǎn)換。多對(duì)一地址轉(zhuǎn)換主要由NAPT技術(shù)實(shí)現(xiàn)。，，，，，，，，丟棄，155 . 133 . 87 . 1:7111 155 . 133 . 87 . 1:7112 155 . 133 . 87 . 1:7113、基于源IP地址轉(zhuǎn)換的配置(命令行)，在系統(tǒng)視圖中，配置NAT地址池NAT地址-組-組號(hào)組-名稱開始-地址結(jié)束-地址在系統(tǒng)視圖中，輸入域間NAT策略視圖NAT策略區(qū)域間-名稱1區(qū)

5、域-名稱2入站|出站創(chuàng)建NAT策略。輸入策略標(biāo)識(shí)查看策略策略標(biāo)識(shí)策略源-地址源-通配符|策略目標(biāo)源-地址源-通配符|策略服務(wù)-設(shè)置服務(wù)-設(shè)置名稱-操作源-網(wǎng)絡(luò)地址轉(zhuǎn)換|無網(wǎng)絡(luò)地址轉(zhuǎn)換地址-組號(hào)|名稱無密碼，網(wǎng)絡(luò)地址轉(zhuǎn)換地址池，它是一組連續(xù)的IP地址。當(dāng)來自專用網(wǎng)絡(luò)的消息通過地址轉(zhuǎn)換為公共網(wǎng)絡(luò)的IP地址時(shí)，創(chuàng)建NAT地址池的命令將選擇地址池中的一個(gè)地址作為轉(zhuǎn)換后的地址：NAT地址-組號(hào)-組名-開始-地址結(jié)束-地址vrrp虛擬-路由器-id NAT地址-組0池0 00、組號(hào)、組名、開始地址、結(jié)束地址、基于源IP地址轉(zhuǎn)換的配置(網(wǎng)絡(luò))、NAT地址池配置、

6、設(shè)置地址池范圍、基于的配置NAT ALG(應(yīng)用層網(wǎng)關(guān))是特定應(yīng)用協(xié)議的翻譯代理，可以完成應(yīng)用層數(shù)據(jù)中攜帶的地址和端口號(hào)信息的翻譯。NAT可以轉(zhuǎn)換部分，NAT ALG實(shí)現(xiàn)原理，NAT ALG在FTP主動(dòng)模式下的應(yīng)用，私有網(wǎng)絡(luò)，公共網(wǎng)絡(luò)，主機(jī)，NAT alg 8.8.11，F(xiàn)TP服務(wù)器，在主機(jī)和FTP服務(wù)器之間建立控制連接，發(fā)送端口消息(，1084)，并且ALG處理它(12487)，F(xiàn)TP服務(wù)器啟動(dòng)到主機(jī)(8.8.8)的數(shù)據(jù)連接NAT和服務(wù)器映射表NAT ALG可以通過服務(wù)器映射表中的轉(zhuǎn)換字段轉(zhuǎn)換上層信息NAT中生成

7、服務(wù)器映射條目的兩種情況：配置NAT服務(wù)器和NAT No-PAT，設(shè)備將自動(dòng)生成服務(wù)器映射條目，用于存儲(chǔ)全局地址和內(nèi)部地址之間的映射關(guān)系。設(shè)備將為數(shù)據(jù)流建立一個(gè)服務(wù)器映射表，其中包含由配置的多通道協(xié)議生成的實(shí)際流量。目錄，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)介紹基于源IP地址的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)基于目標(biāo)IP地址的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)雙向網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換應(yīng)用場景配置，網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)器-內(nèi)部服務(wù)器，其功能是使用公共網(wǎng)絡(luò)地址來表示內(nèi)部服務(wù)器的外部地址。dmz，untrust，，，在防火墻上，為內(nèi)部服務(wù)器專門配置了一個(gè)外部公共網(wǎng)絡(luò)地址來表示專用網(wǎng)絡(luò)地址。對(duì)于外部網(wǎng)絡(luò)用戶

8、，防火墻上配置的外部網(wǎng)絡(luò)地址是服務(wù)器的地址。、公共網(wǎng)絡(luò)地址、真實(shí)地址、萬維網(wǎng)服務(wù)器、外部網(wǎng)絡(luò)用戶、源IP地址目的地、源IP地址目的地、轉(zhuǎn)換、基于NAT服務(wù)器的配置(命令行)，在系統(tǒng)視圖下， NAT服務(wù)器id協(xié)議-類型全局-地址全局-地址-結(jié)束|接口-接口-類型接口-內(nèi)部主機(jī)-地址主機(jī)-地址結(jié)束vrrp虛擬-路由器-id |主機(jī)|從機(jī)-無反向示例：NAT服務(wù)器協(xié)議TCP全局內(nèi)部199 在網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)器配置(Web)的基礎(chǔ)上，選擇映射模式，可以選擇一對(duì)一和多對(duì)多的地址映射，設(shè)置外部地址和內(nèi)部地址，其中外部地址選擇外部接口，選擇承

9、載協(xié)議和端口轉(zhuǎn)換信息，目的網(wǎng)絡(luò)地址轉(zhuǎn)換，當(dāng)移動(dòng)終端接入無線網(wǎng)絡(luò)時(shí)，如果其默認(rèn)的WAP網(wǎng)關(guān)地址與本地運(yùn)營商的WAP網(wǎng)關(guān)地址不一致，可以在終端和WAP網(wǎng)關(guān)之間部署一個(gè)設(shè)備， 并且可以配置目的網(wǎng)絡(luò)地址轉(zhuǎn)換功能，使得設(shè)備可以自動(dòng)將終端發(fā)送到錯(cuò)誤的WAP網(wǎng)關(guān)地址的消息轉(zhuǎn)發(fā)到正確的WAP網(wǎng)關(guān)?；尽GSN、GSR、防火墻、WAP網(wǎng)關(guān)、基于目的地NAT的配置(命令行)，在系統(tǒng)視圖下，進(jìn)入安全區(qū)域視圖，配置目的地NAT防火墻區(qū)域名稱區(qū)域名稱目的地NAT ACL編號(hào)地址IP地址端口號(hào)示例：USG防火墻區(qū)域信任USG區(qū)域信任目的地Ion-NAT 3333地址，基于目的地NAT配置(網(wǎng)絡(luò))，配置

10、轉(zhuǎn)換后的IP地址通常是本地運(yùn)營商的WAP網(wǎng)關(guān)的IP地址，源安全區(qū)域通常是用戶所屬的安全區(qū)域。源地址是來自源安全區(qū)域的消息的源IP地址。介紹基于源IP地址的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)基于目的IP地址的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換應(yīng)用場景配置、雙向網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)和雙向網(wǎng)絡(luò)地址轉(zhuǎn)換應(yīng)用場景3360網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)器網(wǎng)絡(luò)地址轉(zhuǎn)換入站網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)器域內(nèi)網(wǎng)絡(luò)地址轉(zhuǎn)換和域間雙向網(wǎng)絡(luò)地址轉(zhuǎn)換。dmz，不可信，，NAT入站專用網(wǎng)絡(luò)IP地址，互聯(lián)網(wǎng)用戶，外部網(wǎng)絡(luò)服務(wù)器，，，真實(shí)IP地址，外部公共網(wǎng)絡(luò)地址，防火墻將FTP服務(wù)器響應(yīng)消息的sna

11、t轉(zhuǎn)換為已發(fā)布的地址，目標(biāo)地址轉(zhuǎn)換為用戶的內(nèi)部網(wǎng)IP地址。信任域、、、服務(wù)器公共網(wǎng)絡(luò)地址、用戶公共網(wǎng)絡(luò)地址、內(nèi)部網(wǎng)用戶、服務(wù)器、目錄、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)介紹NAT應(yīng)用場景配置基于源IP地址NAT技術(shù)基于目標(biāo)IP地址NAT技術(shù)雙向NAT技術(shù)NAT典型應(yīng)用場景配置示例、應(yīng)用場景分析NAT出站應(yīng)用NAT服務(wù)器應(yīng)用、非軍事區(qū)、非信任區(qū)、信任區(qū)、192.168.1/24(省略了具體的配置步驟)配置地址池。美國簽名地址-組1 配置nat出站策略美國簽名-策略區(qū)域間信任不信

12、任出站USG-NAT-策略-區(qū)域間信任-不信任-出站策略0 USG-NAT-策略-區(qū)域間信任-不信任-出站-0策略源192 . 168 . 0 . 0 . 0 . 0 . 255 USG-NAT-策略-區(qū)域間信任-不信任-出站在這個(gè)例子中，要實(shí)現(xiàn)信任區(qū)域中的用戶訪問不信任區(qū)域中的互聯(lián)網(wǎng)資源，因此源安全區(qū)域是信任的，而目的安全區(qū)域是不信任的。防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)器配置(命令行)、配置內(nèi)部網(wǎng)絡(luò)和文件傳輸協(xié)議服務(wù)器。內(nèi)的Usg NAT服務(wù)器協(xié)議TCP全局 80 192 . 168 . 20 . 3內(nèi)的8080 usg NAT服務(wù)器協(xié)議TCP全局 FTP配置域間包過濾規(guī)則。美國政