详解HCIE-Security防火墙NAT技术（nat防火墙代理）

作者：腾科IT教育 李廣

导语：通过案例详细剖析

随着Internet的快速发展，IPv4的公网地址资源已非常匮乏，NAT（Network Address Translation）技术通过对IP报文中的地址或端口进行转换，可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网，从而有效减少了对公网地址的需求，减缓IP地址空间枯竭的速度。

针对NAT的类型可分为以下三种；

1、源NAT

a) 地址池方式，转换源IP信息，适用大量私网用户访问Internet的场景。

b) 出接口地址方式（Easy IP），适用于公网接口IP地址是动态获取的情况。

2、服务器映射

a) 静态映射（NAT Server），适用于公网用户访问私网内部服务器的场景。

b) 服务器负载均衡，适用于多个内网服务器提供相同的服务，对外虚拟成一个服务器。

3、目的NAT

主要应用在转换手机用户WAP网关地址，使手机用户可以正常上网的场景。

NAT基本概念：在USG系列防火墙上，还有Server-map用于存放关于地址转换的映射关系，设备根据这种映射关系对报文的地址进行转换，并转发。

NAT生成Server-map的两种情况：

l 配置NAT Server成功后生成静态表项。

l 配置NAT No-PAT后，需要由流量触发建立Server-map表。

NAT ALG基本概念：NAT ALG（Application Level Gateway，应用级网关）是特定的应用协议的转换代理，可以完成应用层数据中携带的地址及端口号信息的转换。

l FTP应用就由数据连接和控制连接共同完成，而且数据连接的建立动态地由控制连接中的载荷字段信息决定，这就需要ALG来完成载荷字段信息的转换，以保证后续数据连接的正确建立。

l ASPF功能的主要目的是通过对应用层协议的报文分析，为其开放相应的包过滤规则，而NAT ALG的主要目的，是为其开放相应的NAT规则。由于两者通常都是结合使用的，所以使用同一条命令就可以将两者同时开启。

华为HCIE-Security认证针对以上类型展开分析，由技术的原理开始，再到使用的场景，到最后场景的故障分析，完整地解析地址转换技术相关知识。

首先我们将带大家了解在出口部署源NAT地址池方式的大致框架及逻辑，如下图：

如上图内网用户群（10.1.10.2-10.1.10.100）最初都在一个区域内，有两个公网IP（210.1.1.11和210.1.1.12）可用于做NAT转换，由于无需对这些用户进行区分，所以可将两个公网IP放在同一地址池内。上网流量到达防火墙后，将从地址池中随机选取一个公网IP做NAT转换。这个过程看似很简单，但是一些相对复杂的环境还是会难倒部分技术人员，下面通过案例为大家分享下。

例如有道这样的安全竞赛题：LAB2有部分需求如下，其中FW1的G1/0/1地址为10.1.10.254/24，ISP1的G0/0/1地址为10.1.10.10/24，问题需求是：

1、在FW1部署NAT双出口为内网设备访问外部数据，在出口ISP1或ISP2路由设备故障进行切换，其中ISP1申请地址池范围为10.1.10.9/29，向ISP2申请地址范围为10.1.22.9/29，并配置相应安全策略允许内向流通通过。

2、考虑在FW1出口的两个ISP可能会出现的潜在环路或ARP广播问题，该如何解决？

通过分析发现这个LAB2的需求并不是难，无非是是基础知识组合在一起。但大部分工程师并没有能提交完整的答案。反馈的问题是在FW1设备无法将流量访问到ISP1的G0/0/1接口直连。（其中ISP1设备G0/0/1地址为10.1.10.10/24，FW1设备G1/0/1地址为10.1.10.254/24）

询问大家在这个位置做了什么操作时，有人说到在NAT地址池与出口处于同网段时可能引起ARP广播问题，NAT地址池与出口处于不同网段时可能引起环路问题。

登录防火墙，此时FW1上的路由条目如下：

在FW上查会话如下：

产生ARP广播条件：向FW1的G1/0/1口发送目的为10.1.10.13的数据包：

在FW1的G1/0/1接口抓包如下：

此处ARP广播产生的原因是因为防火墙收到报文后，发现报文的目的地址和自己的接口在同一网段，直接发送ARP请求报文（第2个ARP报文），寻找该地址的MAC地址（防火墙依然没有意识到该报文的目的地址是自己的NAT地址池地址)。如果公网上的不法分子发起大量访问时，防火墙将发送大量的ARP请求报文，也会消耗系统资源。

解决的办法是在FW1上针对NAT地址池写黑洞路由，随即在FW1上配置了如下命令"ip route-static 10.1.10.9/29 NULL 0"，此时FW1路由表如下：

接着在FW1上查的会话也老化消失：

之后就出现经过FW1访问ISP1直连不通的现象，甚至有人在此排查了半个多小时。在针对直连链路访问失败问题，我们可在FW1执行“display ip routing-table 10.1.10.10”就会得到你想要的结果，发现数据都丢NULL 0 接口。原因是：根据路由匹配原则，路由器会优先选择掩码最长的条目，导致数据无法从FW1的G1/0/1口发送出来，ISP1设备不能收到请求报文。

解决此场景"在NAT地址池与出口处于同网段时可能引起ARP广播问题"，可写关于地址池的明细路由(排除已配置的IP)指向NULL 0接口，或者规划好IP地址的使用，避开NAT地址池的范围10.1.10.9/29，使用其他地址配置物理接口。

通过上述案例可以发现，很多的场景并不复杂，只是我们忘了原本基础的内容。包括很多高级学员参加HCIE考试，经常会忘记基础的内容。排错是技术工程师务必掌握的内容，而排错这个技能往往离不开平时的实验练习与基础理论部分。

通过此篇文章，你是否有了解到关于NAT技术的内容？更多关于NAT ALG及Server map表项的场景及注意事项，我们后续继续介绍哦。

,