HC13031033NAT原理及应用.pptxVIP

修订记录 课程编码 适用产品 产品版本 课程版本ISSUE H USG6000 V1R1 1.00 开发/优化者 时间 审核人 开发类型（新开发/优化） 周常青 2014-07-17 姚传哲 新开发 本页不打印 H防火墙NAT原理及应用 前言 随着Internet的快速发展，IPv4的公网地址资源已经非常匮乏，NAT（Network Address Translation）技术通过对IP报文中的地址或端口进行转换，可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网，从而有效减少对公网地址的需求，从而有效减缓了IP地址空间枯竭的速度。 本章节重点讲解USG防火墙上NAT的技术原理、基本命令、应用场景、典型配置案例、故障排除方法及拓展学习资料等。 目标 学完本课程后，您将能够: 描述描述NAT技术原理 掌握NAT配置命令的基本功能 配置上网、服务发布 配置双出口场景NAT 配置服务器负载均衡 NAT故障排除 目录 NAT技术原理 NAT配置 NAT故障排除 原理：NAT技术原理 NAT涉及到的技术原理： NAT分类、NAT基本概念 源NAT、目的NAT、双向NAT NAPT、Easy-IP NAT ALG、No-NAT Smart NAT、三元组NAT NAT的分类 源NAT 根据转换的方向：Inbound NAT 和 Outbound NAT 根据端口是否转换：No-PAT 和 NAPT 目的NAT 分为NAT sever和目的NAT 双向NAT NAT Inbound 和 NAT Server一起使用 域内NAT和NAT Server一起使用 NAT基本概念（1/3）：IP地址分类 类别 网段/掩码 网络数 每网络可用主机 私有地址 A类 /8 1B类 /16-/16 16 65534 C类 /24-/24 256 254 公有地址 A类 /8-/8 /8-/8 125B类 /16-/16 /16-/16 /16-/16 16367 65534 C类 /24-.0/24 -/24 2096896 254 特殊地址 D类 -55 主要用于组播 E类 -54 保留地址段，目前不使用 其它 、/8、/16、55 NAT基本概念（2/3）：NAT地址池 NAT地址池是指用NAT转换时用于分配的公网IP地址范围。进行转换时，设备会从该地址池中选择一个随即地址，用于替换报文中的源IP地址。 公网地址由ISP分配，可用的地址池范围可以计算出来 0/24 /24 0/29 /29 静态映射服务器：3-4 地址池范围： 1-2 00/24 NAT基本概念（3/3）：Server Map Server-map表项主要是用于存放一种映射关系，设备根据这种映射关系对报文的地址进行转换，并转发。 NAT生成Server-map的两种情况 配置NAT Server成功后生成静态表项 用于存放Global地址和Inside地址映射关系 不配置“no-reverse”参数时，生成正反方向两个server-map 配置“no-reverse”参数时，只生成正方向server-map 配置NAT No-PAT后，流量触发建立Server-map表 用于存放私网IP地址与公网IP地址的映射关系 源NAT(1/5):基础原理 源NAT技术通过对报文的源地址进行转换，使大量私网用户可以利用少量公网IP上网，大大减少了对公网IP地址的需求。 0/24 /24 0/29 /29 00/24 IP报文 源地址：0 目的地址：00 数据 IP报文 源地址：1 目的地址：00 数据 IP报文 源地址：00 目的地址：0 数据 IP报文 源地址：00 目的地址：1 数据 源NAT(2/5):共用地址池 使用一个地址池对内部所有电脑进行地址转换 nat address-group 1? 1 2 -100 /24 0/29 /29 IP报文 源地址：:51481 源地址：:51737 源地址：:51989 IP报文 源地址：1:5123 源地址：2:5130 源地址：1:5136 源NAT(3/5):多地址池 使用多个地址池可以对不同的用户群的地址进行分别转换 nat address-group 1? 1 1 nat address-group 2? 2 2 用户群1 -50/24 /24 0/29 /29 IP报文 源地址：1:61481 源地址：1:61737 IP报文 源地址：2:6123 源地址：2:6130 用户群2 1-100/24 IP报文 源地址：:51481 源地址：:51737 IP报文 源地址：1:5123 源地址：1:5130 源NAT(4