收藏
下载资源

nat及nat用户日志配置

上传人:简****9 文档编号:100507717 上传时间:2019-09-23 格式:DOC 页数:25 大小:429KB
返回 下载 相关 举报
nat及nat用户日志配置_第1页
第1页 / 共25页
nat及nat用户日志配置_第2页
第2页 / 共25页
nat及nat用户日志配置_第3页
第3页 / 共25页
nat及nat用户日志配置_第4页
第4页 / 共25页
nat及nat用户日志配置_第5页
第5页 / 共25页
点击查看更多>>
资源描述

《nat及nat用户日志配置》由会员分享,可在线阅读,更多相关《nat及nat用户日志配置(25页珍藏版)》请在金锄头文库上搜索。

1、VRP配置指南 安全插图目录目 录4 NAT及NAT用户日志配置4-14.1 NAT及NAT用户日志概述4-24.1.1 NAT简介4-24.1.2 多对多地址转换及地址池4-44.1.3 应用级网关ALG4-54.1.4 NAT在VRP上的实现4-54.1.5 NAT用户日志简介4-74.2 配置NAT4-84.2.1 建立配置任务4-84.2.2 配置地址池4-94.2.3 配置ACL和地址池关联4-94.2.4 配置内部服务器4-94.2.5 使能NAT ALG功能4-104.2.6 检查配置结果4-104.3 配置NAT用户日志4-104.3.1 建立配置任务4-104.3.2 启动N

2、AT用户日志功能4-114.3.3 设置日志输出至控制台4-114.3.4 设置使用的日志服务器4-124.3.5 设置日志报文的源IP地址4-124.3.6 设置日志报文的版本号4-124.3.7 设置在创建流时进行日志的记录4-124.3.8 设置对长时间活跃的流定时记录4-124.3.9 检查配置结果4-134.4 维护4-134.4.1 清除4-134.4.2 调试4-144.5 NAT及NAT用户日志典型配置举例4-144.5.1 NAT典型配置举例4-144.5.2 NAT用户日志典型配置举例4-164.5.3 NAT内部服务器多实例配置举例4-18文档版本 01 (2006-12

3、-20)华为技术有限公司iii插图目录图4-1 地址转换示意图4-3图4-2 通过路由器访问Internet4-3图4-3 用户日志信息输出示意图4-7图4-4 地址转换典型配置组网图4-15图4-5 NAT用户日志典型配置组网图4-17图4-6 NAT内部服务器的多实例4-18VRP配置指南 安全4 NAT及NAT用户日志配置4 NAT及NAT用户日志配置关于本章本章描述内容如下表所示。标题内容4.1 NAT及NAT用户日志概述了解NAT基本原理和NAT用户日志4.2 配置NAT配置NAT举例:NAT典型配置举例4.3 配置NAT用户日志配置NAT用户日志举例:NAT用户日志典型配置举例4.

4、4 维护清除运行信息,调试NAT4.5 NAT及NAT用户日志典型配置举例介绍NAT的各种组网举例。4.1 NAT及NAT用户日志概述本节介绍配置NAT及NAT用户日志所需要理解的知识,具体包括:l NAT简介l 多对多地址转换及地址池l 应用级网关ALGl NAT在VRP上的实现l NAT用户日志简介4.1.1 NAT简介网络地址转换NAT又称地址代理,它实现了私有网络访问公有网络的功能。在Internet的发展过程中,NAT的提出是为了解决IP地址短缺所可能引起的问题。私有网络地址和公有网络地址私有网络地址是指内部网络或主机的IP地址,公有网络地址是指在Internet上全球唯一的IP地址

5、。Internet地址分配组织规定将下列的IP地址保留用作私有网络地址。l 10.0.0.010.255.255.255l 172.16.0.0172.31.255.255l 192.168.0.0192.168.255.255也就是说这三个范围内的地址不会在Internet上被分配,只能在一个单位或公司内部使用。各企业在预见未来内部主机和网络的数量后,选择合适的内部网络地址。不同企业的内部网络地址可以相同。如果一个公司选择上述三个范围之外的其它网段作为内部网络地址,那么与其他网络互通时有可能会造成混乱。网络地址转换如图4-1所示,当内部网络的主机访问Internet或与公有网络的主机通信时,

6、需要进行网络地址转换。图4-1 地址转换示意图内部网络的地址是10.1.1.0/24网段,而对外的公有网络IP地址是203.196.3.23/24。内部的主机10.1.1.48/24以www方式访问外部网络的服务器202.18.245.251/24。主机10.1.1.48/24发出一个数据报文,源端口为6084,目的端口为80。在通过路由器后,该报文的源地址和端口可能改为203.196.3.23:32814,目的地址与端口不做改变。路由器中维护着一张地址端口对应表。当外部网络的www服务器返回结果时,路由器会将结果数据报文中的目的IP地址及端口转化为10.1.1.48:6084。这样,内部主机

7、10.1.1.48/24就可以访问外部的服务器了。NAT的作用如图4-2所示,PC1与PC2可以使用内部网络地址,通过网络地址转换后访问Internet上的资源。图4-2 通过路由器访问InternetNAT的机制地址转换的机制是将内部网络主机的IP地址和端口替换为路由器的外部网络地址和端口,以及从路由器的外部网络地址和端口转换为内部网络主机的IP地址和端口。也就是与之间的转换。NAT的特征l 对用户透明的地址分配(指对外部地址的分配)。l 可以达到一种“透明路由”的效果。这里的路由是指转发IP报文的能力,而不是一种交换路由信息的技术。NAT的优缺点地址转换的优点如下。l 内部网络的主机可以通

8、过该功能访问外部网络资源。l 为内部主机提供了“隐私”(Privacy)保护。l 地址转换的缺点如下:l 由于需要对数据报文进行IP地址的转换,涉及IP地址的数据报的报头不能被加密。在应用层协议中,如果报文中有地址或端口需要转换,则报文不能被加密。例如,不能使用加密的FTP连接,否则FTP的port命令不能被正确转换。l 网络调试变得更加困难。比如,内部网络的某一台主机在攻击其它网络,网络安全人员很难指出究竟哪一台主机是恶意的,因为该主机的IP地址被屏蔽了。NAT的性能在链路的带宽低于10Mbit/s时,地址转换对网络性能基本不构成影响,此时,网络传输的瓶颈在传输线路上;当链路的带宽高于10M

9、bit/s时,地址转换将对路由器性能产生一些影响。4.1.2 多对多地址转换及地址池从地址转换的示意图4-1可见,当主机从内部网络访问外部网络时,地址转换将会选择一个合法的外部地址,以替代内部网络数据报文的源地址,即在图4-1中选择路由器地址池提供的外部IP地址。这样所有内部网络的主机访问外部网络时,只能共同拥有一个外部IP地址。当内部网络的主机非常多时,地址转换可能就会显得有些吃力。解决这个问题需要一个私有网络拥有多个外部地址,此 时,为充分而有效地利用这些外部地址,可利用地址池来实现多对多地址转换。顾名思义,地址池就是一些合法IP地址(公有网络IP地址)的集合。用户可根据自己拥有的合法IP

10、地址的多少、内部网络主机的多少、以及实际应用情况,配置合适的IP地址池。当主机从内部网络访问外部网络时,将会从地址池中挑选一个IP地址做为转换后的报文源地址。4.1.3 应用级网关ALGNAT只能对IP报文的头部地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议,例如ICMP、FTP等,它们报文的数据部分可能包含IP地址或端口信息,这些内容不能被NAT有效的转换,这就可能导致问题。例如,一个使用内部IP地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。而这个地址信息是放到IP报文的数据部分,NAT无法对它进行转换。外部网络主机接收了这个私有地址并使

11、用它,这时FTP服务器将表现为不可达。解决这些特殊协议的NAT转换问题的方法就是在NAT实现中使用应用级网关ALG(Application Level Gateway)功能。ALG是特定的应用协议的转换代理,它和NAT交互以建立状态,使用NAT的状态信息来改变封装在IP报文数据部分中的特定数据,这样应用协议可以跨越不同范围运行。例如,考虑一个“目的站点不可达”的ICMP报文,该报文数据部分包含了造成错误的数据报A的首部(注意,NAT发送A之前进行了地址转换,所以源地址不是内部主机的真实地址)。如果开启了ICMP ALG功能,在NAT转发ICMP报文之前,它将与NAT交互,打开ICMP报文并转换

12、其数据部分的报文A首部的地址,使这些地址表现为内部主机的确切地址形式,由NAT将这个ICMP报文转发出去。4.1.4 NAT在VRP上的实现VRP支持NAT ALGVRP的NAT平台模块不仅实现了一般的地址转换功能,还提供了完善的地址转换应用级网关机制,使其在流程上可以支持各种特殊的应用协议,而不需要对NAT平台进行任何的修改,具有良好的可扩充性。可支持的特殊协议包括:DNS、FTP、TFTP、H.323、HWCC、ICMP、ILS(Internet Locator Service)、MSN、NetBIOS(Network Basic Input/Output System)、PPTP(Poi

13、nt-to-Point Tunneling Protocol)、QQ。VRP地址转换支持MPLS VPNVRP的NAT不仅可以使内部网络的用户访问外部网络,还允许分属于不同MPLS(Multi-Protocol Label Switching) VPN(Virtual Private Network)的用户通过同一个出口访问外部网络。当MPLS VPN用户访问Internet时,VRP的NAT将内部网络主机的IP地址和端口替换为路由器的外部网络地址和端口,同时还记录了用户的MPLS VPN信息。报文还原时,NAT将外部网络地址和端口还原为内部网络主机的IP地址和端口,同时获得了MPLS VPN

14、用户信息。利用访问控制列表控制地址转换在实际应用中,我们可能希望某些内部的主机具有访问Internet的权利,而某些主机不允许访问。在地址转换中,我们可以利用访问控制列表限制地址转换。也就是说,只有满足访问控制列表条件的数据报文才可以进行地址转换。这样就能有效地控制地址转换的使用范围,使特定主机能够有权利访问Internet。访问控制列表是由命令acl生成的,它依据IP数据包报头及其承载的上层协议数据包头的格式定义了一定的规则,表示允许或是禁止具有某些特征的数据包。 地址转换按照这样的规则判定哪些包是被允许转换或者是被禁止转换,这样可以禁止一些内部的主机访问外部网络,保证具有一定特征的数据包才

15、可以被允许进行地址转换,提高网络的安全性。“转换关联”就是将一个地址池和一个访问控制列表关联起来,这种关联指定了“具有某些特征的IP报文”才可以使用“这样的地址池中的地址”。当内部网络有数据包要发往外部网络时,首先根据访问列表判定是否是允许的数据包,然后根据转换关联找到与之对应的地址池,这样就把源地址转换成这个地址池中的某一个地址,完成了地址转换。在转换时,根据“转换关联”可以找到与数据包对应的地址池,就可以将内部网络主机的IP地址和端口替换为路由器的外部网络地址和端口。在还原时,根据数据包的目的地址,就可以把路由器的外部网络地址和端口转换为内部网络主机的IP地址和端口。Easy IPEasy IP就是当进行地址转换时,直接使用接口的公有IP地址作为转换后的源地址。同样,它也利用访问控制列表控制哪些内部地址可以进行地址转换。内部服务器地址转换具有“屏蔽”内部主机的作用,但是在实际应用中,可能我们需要提供给外部一个访问内部主机的机会,如提供给外部一个WWW服务器,或是一台FTP服务器。使用

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号