白癜风病初期照片 http://news.39.net/bjzkhbzy/171103/5813045.html组网要求:企业在Internet部署了一台FTP服务器,AR1作为企业出口网关。出于安全考虑,企业希望公网用户和FTP服务器之间的业务流量经过AR转发,且公网用户和公网服务器的IP地址彼此不感知。
一、华为模拟器实际操作视频:
09:20
二、主要知识点:
NAT介绍
NAT(NetworkAddressTranslation)是一种IP地址共享的技术,即可以实现多用户共享少量公网IPv4地址访问外部网络。用户访问外部网络时,NAT设备会将用户私有IPv4地址转换为公网的IPv4地址,暂时性记录这种映射关系。
随着Internet的发展和网络应用的增多,IPv4地址枯竭已成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足问题,但目前网络设备和网络应用大多是基于IPv4的,因此在IPv6广泛应用之前,一些过渡技术的使用是解决这个问题最主要的技术手段。作为一种过渡方案,NAT通过地址重用的方法来满足IP地址的需要,可以在一定程度上缓解IPv4地址空间枯竭的压力,从而保证IPv4的用户和业务能平稳过渡到IPv6。
NAT除了解决IP地址短缺的问题,还带来了两个好处:
·有效避免来自外网的攻击,可以很大程度上提高网络安全性。
·控制内网主机访问外网,同时也可以控制外网主机访问内网,解决了内网和外网不能互通的问题。
NATALG简介
普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力,在许多应用层协议中,比如多媒体协议(H.、SIP等)、FTP、SQLNET等,TCP/UDP载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题。而NATALG(ApplicationLevelGateway,应用层网关)技术能对多通道协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理,从而保证应用层通信的正确性。
例如,FTP应用就由数据连接和控制连接共同完成,而且数据连接的建立动态地由控制连接中的载荷字段信息决定,这就需要ALG来完成载荷字段信息的转换,以保证后续数据连接的正确建立。
NATALG特点
NATALG为内部网络和外部网络之间的通信提供了基于应用的访问控制,具有以下优点:
(1)ALG统一对各应用层协议报文进行解析处理,避免其它模块对同一类报文应用层协议的重复解析,可以有效提高报文转发效率。
(2)可支持多种应用层协议:FTP、H.(包括RAS、H.、H.)、SIP、DNS、ILS、MSN/QQ、NBT、RTSP、SQLNET、TFTP等。
NATALG技术实现
先介绍ALG涉及到的两个概念:
会话:记录了传输层报文之间的交互信息,包括源IP地址、源端口、目的IP地址、目的端口,协议类型和源/目的IP地址所属的VPN实例。交互信息相同的报文属于一条流,通常情况下,每个会话对应出方向和入方向的两条流。
动态通道:当应用层协议报文中携带地址信息时,这些地址信息会被用于建立动态通道,后续符合该地址信息的连接将使用已经建立的动态通道来传输数据。
下面以多通道应用协议FTP在NAT组网环境中的ALG应用来具体说明报文载荷的转换过程。
ALG与FTP的应用
FTP的两种不同工作模式:PORT(主动模式)与PASV(被动模式)。
FTP需要用到两个连接:控制连接与数据连接,控制连接专门用于FTP控制命令及命令执行信息传送;数据连接专门用于传输数据(上传/下载)。
三、IP设置:
1、PC1:1.1.1.2/24
FTPServer:2.2.2.2/24,提供FTP服务
2、AR1:1.1.1.1/24,2.2.2.1/24
四、AR1的主要配置文件:
#
sysnameAR1
#
aclnumber
rule5permit
#
natalgftpenable//在AR1上开启FTP的NATALG功能
#
interfaceGigabitEthernet0/0/0
ipaddress1.1.1....0
natoutbound//配置NATOutbound,对FTP服务器隐藏外网用户的真实IP地址,以接口GE1/0/0的IP地址体现
#
interfaceGigabitEthernet0/0/1
ipaddress2.2.2....0
natstaticprotocoltcpglobalcurrent-interfaceftpinside2.2.2.2ftpnetmask...natstaticglobalcurrent-interfaceinside2.2.2.2//配置NATStatic,对外网用户隐藏FTP服务器的真实IP地址,以接口GE2/0/0的IP地址体现
#
return
五、验证配置结果:
1、在AR1上执行displaynatstatic操作,结果如下。
[AR1]displaynatstatic
StaticNatInformation
/p>
Interface:GigabitEthernet0/0/1
GlobalIP/Port:current-interface/21(ftp)(RealIP:2.2.2.1)
InsideIP/Port:2.2.2.2/21(ftp)
Protocol:6(tcp)
VPNinstance-name:----
Aclnumber:----
Netmask:...
Description:----
Total:1
2、执行命令displaynatoutbound,查看NATOutbound的配置信息。
[AR1]displaynatoutbound
NATOutboundInformation/p>
--------------------------------------------------------------------------
InterfaceAclAddress-group/IP/InterfaceType
--------------------------------------------------------------------------
GigabitEthernet0/0/01.1.1.1easyip
--------------------------------------------------------------------------
Total:1
本实验是通过华为模拟器eNSP1.3.00.版(最新版)完成。该软件还包含CE、CX、NE40E、NEE、NEE、USGV的设备IOS,可完成复杂网络测试,需要该模拟器的朋友,可以转发此文
