13.网络地址转换协议源 NAT (1).pptx

云计算安全与管理----网络地址转换协议源NAT

教学内容认识NAT的应用场景目标掌握NAT的技术原理重点掌握掌握防火墙的NAT配置难点

NAT产生背景IPv4地址日渐枯竭；IPv6技术不能立即大面积替换；各种延长IPv4寿命的技术不断出现，NAT就是其中之一。

NAT的优点与缺点优点：实现IP地址复用，节约宝贵的地址资源。地址转换过程对用户透明。对内网用户提供隐私保护。可实现对内部服务器的负载均衡。缺点：网络监控难度加大。限制某些具体应用。

NAT技术的基本原理NAT技术通过对IP报文头中的源地址或目的地址进行转换，可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网。内网用户FTPServer将私网源地址替换为公网地址将公网目的地址替换为私网地址目的IP：源IP：目的IP：源IP：目的IP：源IP：目的IP：源IP：

NAT分类源NAT地址池方式出接口地址方式（EasyIP）服务器映射静态映射（NATserver）

源NAT地址池方式(1)不带端口转换的地址池方式。此种方式为一对一的IP地址的转换，端口不进行转换。丢弃Untrust转换Trust源目的源1目的

配置命令配置NAT地址池，公网IP地址[USG6000V1]nataddress-groupnatpool[USG6000V1-address-group-natpool]section配置NAT策略[USG6000V1]nat-policyrulenamesource_natsource-zonetrustdestination-zoneuntrustactionsource-nataddress-groupnatpool

配置结果显示icmpVPN:default--default:3088--:2048icmpVPN:public--public00:18955[:2061]--00:204icmpVPN:public--public00:19211[:2062]--00:204icmpVPN:public--public00:17931[:2058]--00:204

源NAT地址池方式(2)带端口转换的地址池方式。将不同的内部地址映射到同一公有地址的不同端口号上，实现多对一地址转换。：7111：7112：7113Untrust转换Trust源1源端口X目的源源端口Y目的

EasyIP出接口地址方式(EasyIP)。：7111：7112：7113源1目的源目的Untrust转换Trust

NATALGNATALG（ApplicationLevelGateway，应用级网关）是特定的应用协议的转换代理，可以完成应用层数据中携带的地址及端口号信息的转换。以太网首部IP首部TCP首部应用数据以太网尾部NAT可以转换的部分﹖

NATALG实现原理FTP主动模式下的NATALG应用。私网公网HostNATALG------1FTPServerHost与FTPServer之间建立控制连接发送PORT报文（,1084）ALG处理PORT报文载荷已被转换（1,12487）FTPServer向Host发起数据连接（,3004?1,12487）FTPServer向Host发起数据连接（,3004?,1084）在已经建立的数据连接上进行数据传输

谢谢观赏