《NAT及NAT用户日志配置》由会员分享,可在线阅读,更多相关《NAT及NAT用户日志配置(29页珍藏版)》请在金锄头文库上搜索。
1、4 NAT 及NAT用户日志配置 4-14.1 NAT 及NAT用户日志概述 4-24.1.1 NAT 简介4-2多对多地址转换及地址池 4-5应用级网关ALG 4-54.1.4 NAT 在 VRP上的实现 4-64.1.5 NAT 用户日志简介 4-84.2 配置NAT 4-94.2.1 建立配置任务4-94.2.2 配置地址池 4-104.2.3 配置ACL和地址池关联 4-104.2.4 配置部服务器 4-114.2.5 使能 NAT ALG 功能 4-114.2.6 检查配置结果 4-124.3 配置NAT用户日志 4-124.3.1 建立配置任务 4-12启动NAT用户日志功能4-1
2、34.3.3 设置日志输岀至控制台 4-13设置使用的日志服务器 4-144.3.5 设置日志报文的源 IP地址 4-144.3.6 设置日志报文的版本号 4-144.3.7 设置在创建流时进行日志的记录 4-15设置对长时间活跃的流定时记录 4-15检查配置结果 4-154.4 维护 4. -154.4.1 清除 4. -164.4.2 调试 4. -164.5 NAT 及 NAT 用户日志典型配置举例 4 -17NAT 典型配置举例 4 -174.5.2 NAT 用户日志典型配置举例 4 -204.5.3 NAT 部服务器多实例配置举例 4 -21插图目录图4-1地址转换示意图 4-3图4
3、-2 通过路由器访问 In ter net 4-4图4-3用户日志信息输岀示意图 4-9图4-4地址转换典型配置组网图 4-18图4-5NAT 用户日志典型配置组网图 4-20图4-6NAT部服务器的多实例 4-224 NAT及NAT用户日志配置关于本章本章描述容如下表所示。标题容4.1 NAT 及NAT用户日志概述了解NAT基本原理和NAT用户日志4.2配置NAT配置NAT举例:NAT典型配置举例4.3配置NAT用户日志配置NAT用户日志举例:NAT用户日志典型配置举例4.4维护清除运行信息,调试 NAT4.5 NAT 及NAT用户日志典型配置举例介绍NAT的各种组网举例。4.1 NAT 及
4、 NAT 用户日志概述本节介绍配置 NAT 及 NAT 用户日志所需要理解的知识,具体包括:NAT 简介多对多地址转换及地址池应用级网关 ALGNAT 在 VRP 上的实现NAT 用户日志简介4.1.1 NAT 简介网络地址转换 NAT 又称地址代理,它实现了私有网络访问公有网络的功能。在Internet 的发展过程中, NAT 的提出是为了解决 IP 地址短缺所可能引起的问题。私有网络地址和公有网络地址私有网络地址是指部网络或主机的 IP 地址,公有网络地址是指在 Internet 上全球唯一 的 IP 地址。 Internet 地址分配组织规定将下列的 IP 地址保留用作私有网络地址。也就
5、是说这三个围的地址不会在 Internet 上被分配,只能在一个单位或公司部使用。各企业在预见未来部主机和网络的数量后,选择合适的部网络地址。不同企业的部网络地址可以相同。如果一个公司选择上述三个围之外的其它网段作为部网络地址,那 么与其他网络互通时有可能会造成混乱。网络地址转换如图 4-1 所示,当部网络的主机访问 Internet 或与公有网络的主机通信时,需要进行 网络地址转换。图4-1地址转换示意图10.1.1.10/24PC10.1.1.48/24WWW clie ntPCGE1/0/0Router203.1963 23/24Pos2/0/0Internal networkExter
6、nal networkWWW ServerInternet部网络的地址是网段,而对外的公有网络IP地址是203.3.23/24 。部的主机以www方式访问外部网络的服务器。主机发出一个数据报文,源端口为6084,目的端口为80。在通过路由器后,该报文的源地址和端口可能改为203.323:32814 ,目的地址与端口不做改变。路由器中维护着一地址端口对应表。当外部网络的www服务器返回结果时,路由器会将结果数据报文中的目的IP地址及端口转化为 。这样,部主机就可以访问外部的服务器了。NAT的作用如图4-2所示,PC1与PC2可以使用部网络地址,通过网络地址转换后访问In ternet上的资源。图
7、4-2通过路由器访问In ternetPC1Ethernet5PC2NAT的机制地址转换的机制是将部网络主机的IP地址和端口替换为路由器的外部网络地址和端口,以及从路由器的外部网络地址和端口转换为部网络主机的IP地址和端口。也就是私有地址+端口 与 公有地址+端口 之间的转换。NAT的特征对用户透明的地址分配(指对外部地址的分配)。可以达到一种“透明路由”的效果。这里的路由是指转发IP报文的能力,而不是一种交换路由信息的技术。NAT的优缺点地址转换的优点如下。部网络的主机可以通过该功能访问外部网络资源。为部主机提供了“隐私”(Privacy )保护。地址转换的缺点如下:由于需要对数据报文进行
8、IP地址的转换,涉及IP地址的数据报的报头不能被加 密。在应用层协议中,如果报文中有地址或端口需要转换,则报文不能被加密。例如,不能使用加密的 FTP连接,否则FTP的port命令不能被正确转换。网络调试变得更加困难。比如,部网络的某一台主机在攻击其它网络,网络安全 人员很难指出究竟哪一台主机是恶意的,因为该主机的IP地址被屏蔽了。NAT 的性能在链路的带宽低于 10Mbit/s 时,地址转换对网络性能基本不构成影响,此时,网络 传输的瓶颈在传输线路上;当链路的带宽高于 10Mbit/s 时,地址转换将对路由器性 能产生一些影响。4.1.2 多对多地址转换及地址池从地址转换的示意图 4-1 可
9、见,当主机从部网络访问外部网络时,地址转换将会选择 一个合法的外部地址,以替代部网络数据报文的源地址,即在图 4-1 中选择路由器地 址池提供的外部 IP 地址。这样所有部网络的主机访问外部网络时,只能共同拥有一个 外部 IP 地址。当部网络的主机非常多时,地址转换可能就会显得有些吃力。解决这个 问题需要一个私有网络拥有多个外部地址,此 时,为充分而有效地利用这些外部地 址,可利用地址池来实现多对多地址转换。顾名思义,地址池就是一些合法 IP 地址(公有网络 IP 地址)的集合。用户可根据自 己拥有的合法 IP 地址的多少、部网络主机的多少、以及实际应用情况,配置合适的 IP 地址池。当主机从
10、部网络访问外部网络时,将会从地址池中挑选一个 IP 地址做为转换 后的报文源地址。4.1.3 应用级网关 ALGNAT 只能对 IP 报文的头部地址和 TCP/UDP 头部的端口信息进行转换。对于一些特殊 协议,例如ICMP、FTP等,它们报文的数据部分可能包含IP地址或端口信息,这些容不能被 NAT 有效的转换,这就可能导致问题。例如,一个使用部 IP 地址的 FTP 服务器可能在和外部网络主机建立会话的过程中需要 将自己的 IP 地址发送给对方。而这个地址信息是放到 IP 报文的数据部分, NAT 无法 对它进行转换。外部网络主机接收了这个私有地址并使用它,这时FTP 服务器将表现为不可达
11、。解决这些特殊协议的 NAT 转换问题的方法就是在 NAT 实现中使用应用级网关 ALG( Application Level Gateway)功能。 ALG 是特定的应用协议的转换代理,它和 NAT交互以建立状态,使用 NAT 的状态信息来改变封装在 IP 报文数据部分中的特定数 据,这样应用协议可以跨越不同围运行。例如,考虑一个“目的站点不可达”的 ICMP 报文,该报文数据部分包含了造成错误 的数据报A的首部(注意,NAT发送A之前进行了地址转换,所以源地址不是部主机 的真实地址) 。如果开启了 ICMP ALG 功能,在 NAT 转发 ICMP 报文之前,它将与NAT交互,打开ICMP
12、报文并转换其数据部分的报文A首部的地址,使这些地址表现为部主机的确切地址形式,由NAT 将这个 ICMP 报文转发出去。4.1.4 NAT在 VRP 上的实现VRP 支持 NAT ALGVRP 的 NAT 平台模块不仅实现了一般的地址转换功能,还提供了完善的地址转换应用 级网关机制,使其在流程上可以支持各种特殊的应用协议,而不需要对 NAT 平台进行 任何的修改,具有良好的可扩充性。可支持的特殊协议包括:DNS 、 FTP、TFTP、H.323 、HWCC 、ICMP、ILS(Internet Locator Service)、MSN 、 NetBIOS( Network Basic Inpu
13、t/Output System)、 PPTP ( Point-to-Point TunnelingProtocol )、 QQ 。VRP 地址转换支持 MPLS VPNVRP 的 NAT 不仅可以使部网络的用户访问外部网络,还允许分属于不同 MPLS ( Multi-Protocol Label Switching ) VPN ( Virtual Private Network )的用户通过 同一个出口访问外部网络。当 MPLS VPN 用户访问 Internet 时, VRP 的 NAT 将部网络主机的 IP 地址和端口替 换为路由器的外部网络地址和端口,同时还记录了用户的 MPLS VPN
14、 信息。报文还原 时,NAT将外部网络地址和端口还原为部网络主机的IP地址和端口,同时获得了MPLS VPN 用户信息。利用访问控制列表控制地址转换在实际应用中,我们可能希望某些部的主机具有访问 Internet 的权利,而某些主机不 允许访问。在地址转换中,我们可以利用访问控制列表限制地址转换。也就是说,只有满足访问 控制列表条件的数据报文才可以进行地址转换。这样就能有效地控制地址转换的使用 围,使特定主机能够有权利访问 Internet 。访问控制列表是由命令 acl 生成的,它依据 IP 数据包报头及其承载的上层协议数据的 格式定义了一定的规则,表示允许或是禁止具有某些特征的数据包。地址
15、转换按照这样的规则判定哪些包是被允许转换或者是被禁止转换,这样可以禁止一些部的主机访 问外部网络,保证具有一定特征的数据包才可以被允许进行地址转换,提高网络的安 全性。“转换关联”就是将一个地址池和一个访问控制列表关联起来,这种关联指定了“具有 某些特征的 IP 报文”才可以使用“这样的地址池中的地址” 。当部网络有数据包要发 往外部网络时,首先根据访问列表判定是否是允许的数据包,然后根据转换关联找到 与之对应的地址池,这样就把源地址转换成这个地址池中的某一个地址,完成了地址 转换。在转换时,根据“转换关联”可以找到与数据包对应的地址池,就可以将部网络主机的 IP 地址和端口替换为路由器的外部网络地址和端口。在还原时,根据数据包的目的 地址,就可以把路由器的外部网络地址和端口转换为部网络主机的 IP 地址和端口。Easy IPEasy IP 就是当进行地址转换时,直接使用接口的公有 IP
