访问控制列表和地址转换原理教案解析.pptVIP

支持特殊协议（ALG应用程序网关） 地址转换改变了IP数据包头的IP地址信息，如果数据报文的载荷中含有地址信息，地址转换就需要特殊处理，除了改变IP包头的地址信息以外还需要改变数据报文中载荷中的地址信息。比较典型的应用是FTP 目前VRP NAT平台支持FTP、Radius、L2tp、PPTP、CMC几种特殊的协议。以及后来支持的H.323、SMTP、DNS等。 第二章 NAT的基本工作原理 Page * 以FTP ALG为例： 在TCP的应用FTP中，包含两种连接：控制连接（会话）、数据连接（传输）。 其中控制连接是用大家都熟悉的21端口的TCP连接。数据连接却是由客户端“发起”的，它通过控制连接“通知”服务器它已经初始化完的端口，FTP服务器通过20端口（默认情况）将数据传送到客户端。 第二章 NAT的基本工作原理 Page * 以FTP ALG为例（续）： 在通知服务器的时候，会用到“PORT命令”，其中在这次TCP连接的数据中是这样的：“PORT 10,110,1,2,13,23\A\D”（表示：端口=138 + 23，地址=)，于是服务器就可以知道客户端的数据连接的地址和端口了。在地址转换的过程中，对于PORT命令，我们除了改变IP地址以及端口信息，同时必须改变相应TCP中的数据，这样才可以保证使FTP服务器端可以把数据发送到正确的客户端。这样，有可能会使TCP数据包的长度发生变化，所以对于PORT命令还需要对TCP数据头中的序号（SEQUENCE NUMBER）进行调整。 第二章 NAT的基本工作原理 Page * NAT地址转换的DNS运用 DNS服务器处于私网中 DNS服务器处于公网中 第二章 NAT的基本工作原理 Page * 第二章 NAT的基本工作原理 DNS和内部服务器使用私网地址 由于内部www服务器和DNS服务器都在一个私网内，这样，当内部DNS进行为内部服务器进行域名到IP地址的转换时，会得到一个内部网的IP地址，然后DNS将这个内部地址返回给外部要访问的内部服务器的主机。而这个地址由于是私网地址，所以外部网访问不到。 Page * 第二章 NAT的基本工作原理 DNS在公网上，内部主机无法使用域名访问内部服务器 当内部pc通过域名访问时，会到外部的DNS上请求IP地址，由于DNS是在外部，所以它会返回一个公网的地址或找不到地址。这样导致内部PC通过域名访问时，得到是个外部的地址或者得不到地址，导致内部用户不能正常访问内部服务器。 Page * Qusetion：有什么好的方法可以解决DNS问题？ 以太网口支持地址池 在以太网环境中，如果地址池中的地址与接口的地址在不同的网段上，那么可以通过添加路由的方式来解决。而如果在同一个网段上，则对方不会缺省的将报文发送到此设备上，因为对方发现这是一个同网段的地址，会发送ARP请求，如果得不到响应，将认为这个地址不存在，当然报文将无法到达本端。因此需要对以太网接口做特殊处理，使得当地址池中的地址和接口的地址在同一个网段也可以支持。 第二章 NAT的基本工作原理 Page * 以太网口支持地址池（续） 如果一个ARP请求报请求的地址不是以太网接口的IP地址，ARP模块将这个ARP请求丢弃，现在NAT模块提供一个函数，根据地址、接口判断这个地址是否是在这个接口上的一个地址池中的地址。如果是，告诉ARP对这个IP地址发送ARP应答，MAC地址就是这个以太网接口的MAC地址。 第二章 NAT的基本工作原理 Page * 第二章 NAT的基本工作原理 支持多个方向上负载分担应用 Page * 地址转换的优点： 地址转换可以使内部网络用户方便的访问Internet。 地址转换可以使内部局域网的许多主机共享一个IP地址上网。 地址转换可以屏蔽内部网络的用户，提高内部网络的安全性。 地址转换同样可以提供给外部网络WWW、FTP、Telnet服务。 NAT基本工作原理小结 Page * 地址转换的缺点： 地址转换对于报文内容中含有有用的地址信息的情况很难处理。 地址转换不能处理IP报头加密的情况。 地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。 影响报文转发的效率。 无法确定源地址。 因为同样的内部地址在不同时刻的外部地址是不一样的，所以如果从内部网络攻击外部网络，将造成定位攻击源的困难。 NAT基本工作原理小结 Page * NAT地址转换的改进 为满足公安部以及一些企事业单位的需求，对NAT流（FLOW）信息进行日志记录，通过日志信息了解NAT转换前的地址信息。 用户日志只在NAT的出方向进行日志记录，根据报文的源IP地址、转换后的源IP地址、目的IP地址、源端口、转换后的源端口、目的端口、协议