NAT ALG原理和应用.docVIP

NAT ALG原理和应用 　　摘 要：ALG（Application Level Gateway，应用层网关）主要是用来对应用层报文的处理。通常情况，NAT[1]只对报文头中的端口和IP地址转换，不会分析数据载荷中的字段。本文讨论在特殊的协议中，数据载荷中可能包含端口信息或IP地址，此载荷不被NAT进行有效的转换时会出现的问题。 　　关键词：ALG；NAT；报文头；数据载荷 　　中图分类号：TN915.04 　　1 NAT ALG特点 　　NAT ALG为内部网络和外部网络之间的通信提供了基于应用的控制，具有以下优秀特征： 　　（1）ALG对各应用层协议报文进行统一解析处理，避免重复解析同一类报文应用层协议，能够提升报文转发效率。 　　（2）可支持多种应用层协议：HTTP，FTP，SMTP，网络新闻传输协议（Network News Transfer Protocol，NNTP）、DNS、RTSP、和Telnet等。 　　2 NAT ALG技术实现 　　先介绍ALG涉及到的两个概念： 　　会话[2]：记录了传输层报文之间的交互信息，包括源IP地址、源端口、目的IP地址、目的端口，协议类型和源/目的IP地址所属的VPN实例。交互信息相同的报文属于一条流，通常情况下，每个会话对应出方向和入方向的两条流。 　　动态通道：当应用层协议报文中携带地址信息时，这些地址信息会被用于建立动态通道，后续符合该地址信息的连接将使用已经建立的动态通道来传输数据。 　　下面以多通道应用协议FTP在NAT组网环境中的ALG应用来具体说明报文载荷的转换过程。 　　2.1 ALG与FTP的应用 　　FTP的两种不同工作模式：PORT（主动模式）与PASV（被动模式）。 　　FTP需要用到两个连接：控制连接与数据连接，控制连接专门用于FTP控制命令及命令执行信息传送；数据连接专门用于传输数据（上传/下载）。 　　2.1.1 主动模式（PORT）的连接过程 　　如图1所示，位于内部网络的客户端以PORT方式访问外部网络的FTP服务器，经过中间的设备进行NAT转换，该设备上使能了ALG特性。 　　图1 FTP PORT方式报文载荷的ALG处理图 　　图1中私网侧的主机要访问公网的FTP服务器。NAT设备上配置了私网地址到公网地址1的映射，实现地址的NAT转换，以支持私网主机对公网的访问。组网中，若没有ALG对报文载荷的处理，私网主机发送的PORT报文到达服务器端后，服务器无法根据私网地址进行寻址，也就无法建立正确的数据连接。整个通信过程[3]包括如下四个阶段： 　　（1）私网主机和公网FTP服务器之间通过TCP三次握手成功建立控制连接。 　　（2）控制连接建立后，私网主机向FTP服务器发送PORT报文，报文中携带私网主机指定的数据连接的目的地址和端口，用于通知服务器使用该地址和端口和自己进行数据连接。 　　（3）PORT报文在经过支持ALG特性的NAT设备时，报文载荷中的私网地址和端口会被转换成对应的公网地址和端口。即设备将收到的PORT报文载荷中的私网地址转换成公网地址1，端口1084转换成12487。 　　（4）公网的FTP服务器收到PORT报文后，解析其内容，并向私网主机发起数据连接，该数据连接的目的地址为1，目的端口为12487（注意：一般情况下，该报文源端口为20，但由于FTP协议没有严格规定，有的服务器发出的数据连接源端口为大于1024的随机端口，如本例采用的是wftpd服务器，采用的源端口为3004）。由于该目的地址是一个公网地址，因此后续的数据连接就能够成功建立，从而实现私网主机对公网服务器的访问。 　　在HOST（FTP客户端）抓包如图2所示： 　　图2 PORT模式FTP客户端抓包 　　图3 PORT模式FTP服务器端抓包 　　图4 ALG转换前的PORT报文 　　FTP客户端发出的PORT报文经过NAT设备后对应FTP服务器端上抓的第13个报文，私网地址转换成公网地址1，端口1084转换成12487，如图5所示： 　　图5 ALG转换后的PORT报文 　　2.1.2 被动模式（PASV）的连接过程 　　如图6所示，位于外部网络的FTP客户端以PASV方式访问内部网络的FTP服务器，经过中间的设备进行NAT转换，该设备上使能了ALG特性。 　　图6 FTP PASV方式报文载荷的ALG处理图 　　图6中的NAT设备上配置了私网地址[4]到公网地址的映射，实现地址的NAT转换。整个通信过程包括如下四个阶段： 　　（1）建立控制通道 　　客户端向服务器发送TCP连接请求。TCP连接建立成功后，服务器和客户端进入用户认证阶段。若TCP连接失败，服务器会断开与客户端的连接。