網絡地址轉換技術網絡空間是億萬民眾共同的精神家園。網絡空間天朗氣清、生態良好，符合人民利益;網絡空間烏煙瘴氣、生態惡化，不符合人民利益。誰都不愿生活在充滿虛假、詐騙、攻擊、謾罵、恐怖、色情、暴力的網絡空間。文字學習雪人計劃，中國互聯網崛起拓展主題愛國主義、科技強國、技能強國學完本課程后，您將能夠:了解NAT的應用場景掌握NAT的技術原理掌握防火墻的NAT配置網絡地址轉換原理源NAT技術服務器映射NAT應用場景NAT產生背景IPv4地址日漸枯竭；IPv6技術不能立即大面積替換；各種延長IPv4壽命的技術不斷出現，NAT就是其中之一。NAT的優點與缺點優點：實現IP地址復用，節約寶貴的地址資源。地址轉換過程對用戶透明。對內網用戶提供隱私保護。可實現對內部服務器的負載均衡。缺點：網絡監控難度加大。限制某些具體應用。NAT技術的基本原理NAT技術通過對IP報文頭中的源地址或目的地址進行轉換，可以使大量的私網IP地址通過共享少量的公網IP地址來訪問公網。內網用戶FTPServer將私網源地址替換為公網地址將公網目的地址替換為私網地址目的IP：源IP：目的IP：源IP：目的IP：源IP：目的IP：源IP：NAT分類源NAT地址池方式出接口地址方式（EasyIP）服務器映射靜態映射（NATserver）網絡地址轉換原理源NAT技術服務器映射NAT應用場景源NAT地址池方式(1)不帶端口轉換的地址池方式。此種方式為一對一的IP地址的轉換，端口不進行轉換。丟棄Untrust轉換Trust源

目的源1目的源NAT地址池方式(2)帶端口轉換的地址池方式。將不同的內部地址映射到同一公有地址的不同端口號上，實現多對一地址轉換。：7111：7112：7113Untrust轉換Trust源1源端口X

目的源源端口Y目的EasyIP出接口地址方式(EasyIP)。：7111：7112：7113源1目的源

目的Untrust轉換TrustNATALG

NAT

ALG（ApplicationLevelGateway，應用級網關）是特定的應用協議的轉換代理，可以完成應用層數據中攜帶的地址及端口號信息的轉換。以太網首部IP首部TCP首部應用數據以太網尾部NAT可以轉換的部分﹖NATALG實現原理FTP主動模式下的NATALG應用。私網公網HostNATALG

<------>1FTPServerHost與FTPServer之間建立控制連接發送PORT報文（,1084）ALG處理PORT報文載荷已被轉換（1,

12487）FTPServer向Host發起數據連接（,

30041,12487）FTPServer向Host發起數據連接（,

3004,1084）在已經建立的數據連接上進行數據傳輸網絡地址轉換原理源NAT技術服務器映射NAT應用場景NATServer-內部服務器內部服務器(NatServer)功能是使用一個公網地址來代表內部服務器對外地址。在防火墻上，專門為內部的服務器配置一個對外的公網地址來代表私網地址。對于外網用戶來說，防火墻上配置的外網地址就是服務器的地址。DMZuntrust公網地址真正的地址WWW服務器外網用戶轉換源IP地址目的源IP地址目的NATServer與ServerMap表(1)配置NATServer時，設備會自動生成Server-map表項，用于存放Global地址與Inside地址的映射關系。舉例：servermap表項IP協議承載的協議類型轉換后的公網地址內部server實際地址[NGFW]natserverserver1protocoltcpglobalinsideType：NatServer,ANY->:21[:21],Zone:---,protocol:tcpVpn:public-->publicType：NatServerReverse,[]->ANY,Zone:---，protocol:tcpVpn:public-->public,counter:1NATServer與ServerMap表(2)指定no-reverse參數后，設備生成的Server-map表只有正方向。舉例：servermap表項[NGFW]natserverserver1protocoltcpglobalinsideno-reverseType:NatServer,ANY->[],Zone:---,protocol:tcpVpn:public->public網絡地址轉換原理源NAT技術服務器映射NAT應用場景NAT典型應用場景配置舉例應用場景分析源應用NATServer應用DMZ區域Untrust區域Trust區域192.168.０.1/24/29/24防火墻源NAT配置(WEB)配置NAT地址池。防火墻源NAT配置(WEB)配置源NAT策略。在本例中是為了實現trust區域的用戶訪問untrust區域internet的資源，因此源安全區域為trust，目的安全區域為untrust。選擇配置的地址池防火墻NATServer配置(WEB)配置內部Web和FTP服務器。外部地址和內部地址，外部地址為供外部用戶訪問的公網IP地址，內部地址為局域網服務器地址。防火墻NATServer配置(WEB)配置域間安全轉發策略。HTTP服務器配置類似。防火墻源NAT配置(CLI)配置域間訪問規則。指定源地址為網段。（具體配置步驟省略）配置地址池。配置源NAT策略。[NGFW]nataddress-group1[NGFW-nat-address-group-1]section[NGFW]nat-policy[NGFW-policy-nat]rulenamenat1[NGFW-policy-nat-rule-nat1]source-zonetrust[NGFW-policy-nat-rule-nat1]destination-zoneuntrust[NGFW-policy-nat-rule-nat1]source-address24[NGFW-policy-nat-rule-nat1]actionnataddress-group1防火墻NATServer配置(CLI)配置內部Web和FTP服務器。配置域間包過濾規則。[USG]natserverwwwserverprotocoltcpglobal80inside8080[USG]natserverftpserverprotocoltcpglobalftpinsideftp[USG]security-policy[USG-policy-security]rulenamep1[USG-policy-security-rule-p1]source-zoneuntrust[USG-policy-security-rule-p1]destination-zonedmz[USG-policy-security-rule-p1]destination-address32[USG-policy-security-rule-p1]servicehttp[USG-policy-security-rule-p1]actionpermit[USG-policy-security]rulenamep2[USG-policy-security-rule-p2]source-zoneuntrust[USG-policy-security-rule-p2]destination-zonedmz[USG-policy-security-rule-p2]destination-address32[USG-policy-security-rule-p2]serviceftp[USG-policy-security-rule-p2]actionpermit雙向NAT技術雙向NAT兩種應用場景:NATServer+源NAT域內NAT域間雙向NAT為了簡化配置服務器至公網的路由，可在NATServer基礎上，增加源NAT配置。DMZUntrust源NAT私網IP地址Internet用戶內網服務器真正IP地址對外公網地址域內雙向NAT防火墻將用戶的請求報文的目的地址轉換成FTP服務器的內網IP地址，源地址轉換成用戶對外公布的IP地址。防火墻將FTP服務器回應報文的源地址轉換成對外公布的地址，目的地址轉換成用戶的內網IP地址。Trust域服務器公網地址用戶公網地址內網用戶服務器以下哪些選項是NAT技術產生的原因()IP地址資源不足保護內網服務器真實的IP地址某些特定的業務需要便于對設備進行管理NAT的技術原理NAT幾種應用方式防火墻NAT典型場景配置防火墻雙機熱備技術網上網下要同心聚力、齊抓共管,形成共同防范社會風險、共同構筑同心圓的良好局面。要維護網絡空間安全及網絡數據的完整性、安全性、可靠性，提高維護網絡空間安全能力。文字學習北斗導航：未來世界的眼睛拓展主題愛國主義、科技強國、技能強國學完本課程后，您將能夠:掌握雙機熱備技術原理掌握雙機熱備基礎配置雙機熱備技術原理雙機熱備基本組網與配置雙機熱備技術產生的原因傳統的組網方式如圖所示，內部用戶和外部用戶的交互報文全部通過FirewallA。如果FirewallA出現故障，內部網絡中所有以FirewallA作為默認網關的主機與外部網絡之間的通訊將中斷，通訊可靠性無法保證。FirewallA/24PC服務器內部網絡/24路由器冗余部署方案路由器組網中通過VRRP協議實現設備冗余：RouterAMasterRouterBBackupRouterCBackup備份組VirtualIPAddressPC服務器內部網絡/24VRRP在多區域防火墻組網中的應用為防火墻上多個區域提供雙機備份功能時，需要在每一臺防火墻上配置多個VRRP備份組。DMZTrustUntrustUSGA/24MasterUSGBBackup/24備份組1VirtualIPAddress備份組2VirtualIPAddress備份組3VirtualIPAddressVRRP在防火墻應用中存在的缺陷傳統VRRP方式無法實現主、備用防火墻狀態的一致性。USGAMasterUSGBBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)會話表項Server(5)(6)(8)實際連線報文流徑(9)VRRP用于防火墻多區域備份為了保證所有VRRP備份組切換的一致性，在VRRP的基礎上進行了擴展，推出了VGMP（VRRPGroupManagementProtocol）來彌補此局限。DMZTrustUntrustUSGA/24vUSGB/24備份組2備份組3備份組1VGMP管理組VGMP管理組helloackVGMP基本原理當防火墻上的VGMP為Active/Standby狀態時，組內所有VRRP備份組的狀態統一為Active/Standby狀態。狀態為Active的VGMP也會定期向對端發送HELLO報文，通知Standby端本身的運行狀態（包括優先級、VRRP成員狀態等）。DMZTrustUntrustUSGA/24USGB/24備份組2備份組3備份組1VGMPActiveVGMPStandbyhelloackVGMP組管理狀態一致性管理VGMP管理組控制所有的VRRP備份組統一切換。搶占管理當原來出現故障的主設備故障恢復時，其優先級也會恢復，此時可以重新將自己的狀態搶占為主。HRP基本概念HRP（HuaweiRedundancyProtocol）協議，用來實現防火墻雙機之間動態狀態數據和關鍵配置命令的備份。VRRP組1VRRP組2VRRP組3①②③④⑤UntrustTrustDMZ會話表⑥FWAFWBHRP心跳接口兩臺FW之間備份的數據是通過心跳口發送和接收的，是通過心跳鏈路（備份通道）傳輸的。心跳口必須是狀態獨立且具有IP地址的接口，可以是一個物理接口（GE接口），也可以是為了增加帶寬，由多個物理接口捆綁而成的一個邏輯接口Eth-Trunk。心跳接口的狀態HRP心跳接口共有五種狀態：InvalidDownPeerdownReadyrunning雙機熱備的備份方式設備重啟后主備FW的配置自動同步會話快速備份自動備份手工批量備份雙機熱備技術原理雙機熱備基本組網與配置雙機熱備基本組網上下行業務接口工作在三層模式，連接二層設備時，需要在上下行的業務接口上配置VRRP備份組，使VGMP管理組能夠通過VRRP備份組監測三層業務接口。USG_AMasterUSG_BBackup備份組1VirtualIPAddress/24G1/0/1/24PC1:0/24UntrustTrustG1/0/3/24G1/0/6/24G1/0/6/24G1/0/1/24G1/0/3/24備份組2VirtualIPAddress/24PC2:0/24VRRP備份組配置命令-CLI接口視圖下配置VRRP：執行此命令時，指定active或standby參數后，即將該VRRP組加入了VGMP管理組的Active或Standby管理組。每個普通物理接口（GigabitEthernet接口）下最多配置255個VRRP組。vrrpvridvirtual-router-IDvirtual-ipvirtual-address[ip-mask|ip-mask-length]{active|standby}HRP配置命令-CLI指定心跳口啟用HRP備份功能啟用允許配置備用設備的功能啟用命令與狀態信息的自動備份啟用會話快速備份hrpinterfaceinterface-typeinterface-number[remote{ip-address|ipv6-address}]hrpenablehrpstandbyconfigenablehrpauto-sync[config|connection-status]hrpmirrorsessionenableVRRP配置舉例-CLIUSG_A關于VRRP組1配置：USG_B關于VRRP組1的配置：[USG_A]interfaceGigabitEthernet1/0/1[USG_A-GigabitEthernet1/0/1]ipaddress24[USG_A-GigabitEthernet1/0/1]vrrpvrid1virtual-ipactive[USG_B]interfaceGigabitEthernet1/0/1[USG_B-GigabitEthernet1/0/1]ipaddress24[USG_B-GigabitEthernet1/0/1]vrrpvrid1virtual-ipstandbyHRP配置舉例-CLIUSG_A關于HRP配置：[USG_A]hrpenable[USG_A]hrpmirrorsessionenable[USG_A]hrpinterfaceGigabitEthernet1/0/6查看VRRP狀態-CLI查看處于VRRP備份組中的接口狀態信息：HRP_A<USG_A>displayvrrpinterfaceG1/0/3GigabitEthernet1/0/3|VirtualRouter2VRRPGroup:Activestate:ActiveVirtualIP:VirtualMAC:0000-5e00-0102PrimaryIP:PriorityRun:120PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0Adverti