NAT概述
NAT分类
1、 nat转换:源地址转换和目标地址转换
2、 源地址转换:解决内网访问互联网
3、 目标地址转换:解决互联网访问内网,也称为:服务器地址映射
4、 源地址转换有:NAT No-PAT、NAPT、出接口地址(Easy-IP)、smart NAT(智能转换)、三元组NAT
a) NAT No-PAT:多对多,只转换源ip地址,用于上网用户少,公网地址足够
b) NAPT:多对一,既转换源地址,又转换源端口,用于内部大量用户需要上网,少数公网ip
c) 出接口地址(Easy-IP):多对一(接口ip),既转换源地址,又转换源端口,内网用户多,没有额外的公网地址可用
d) Smart NAT: NAPT + NAT No-PAT,用于公网基本够用,但是偶尔出现上网用户倍增的情况
e) 三元组NAT:源地址,源端口,和协议类型有关的一种转换
黑洞路由
1、 源地址转换场景下的环路和无效ARP问题
2、 目标地址转换场景下的环路和无效ARP问题
Server-map表
1、 通过server-map表解决FTP数据传输问题
a) 仅依赖会话表不能转发某些特殊应用的流量
b) Server-map表记录应用层的关键数据信息,包括目标地址、目标端口和协议类型
c) 匹配了server-map表的数据流也可以直接通过防火墙
d) Server-map和会话表的区别:
- 会话表记录的是连接信息,包括连接状态
- Server-map表记录的不是当前的连接信息,而是通过分析当前连接的报文后得到的信息
2、 Server-map在NAT中的应用
a) Display firewall session table //查看会话表
b) Display firewall server-map //查看server-map表
c) 标识为reverse的行标识反向条目
d) NAT No-PAT方式生成的server-map表是动态的
e) NAT server生成的server-map表是静态的,长期存在
NAT对报文的处理流程
NAT配置
NAT No-PAT
NAPT
出接口地址(Easy-IP)
NAT Server