Descripción de NAT

La traducción de direcciones de red (NAT) se utiliza para implementar el acceso mutuo entre redes
privadas y redes públicas.
dirección de red privada y la dirección de red pública de la
dirección de red privada (en adelante dirección IP como privado) es la dirección IP de una red interna o
host, dirección de red pública (en lo sucesivo, la dirección de red pública) es una dirección IP única a
nivel mundial a través de Internet. La Autoridad de Número Asignado de Internet (IANA) estipula que las
siguientes direcciones IP están reservadas para direcciones de red privadas, no están asignadas en
Internet y pueden usarse dentro de una sola unidad o compañía. La dirección privada especificada en
RFC1918 es la siguiente:
Dirección privada de clase A: [Link] ~ [Link]
Dirección privada de clase B: [Link] ~ [Link]
Dirección privada de clase C: [Link] ~ [Link]

Principios básicos de NAT

La dirección de la red interna es el segmento de red [Link], y la dirección IP de la red pública externa
es [Link]. El host interno [Link] accede al servidor HTTP externo [Link], y el host
[Link] envía un paquete de datos, seleccionando al azar un puerto de origen 6084, y el puerto de
destino es 80. Después de pasar por el dispositivo NAT, la dirección de origen y el puerto del paquete
pueden cambiarse a [Link]:32814. La dirección de destino y el puerto no se cambian. El
dispositivo NAT mantiene una dirección y una tabla de asignación de puertos, también denominada
entrada de traducción o ranura de traducción. Cuando el servidor WWW de la red externa devuelve un
paquete de datos, el dispositivo NAT verifica la entrada de traducción y utiliza el destino en el paquete de
datos. La dirección IP y el puerto se convierten a [Link]:6084. Se accede al host interno [Link]
para acceder al servidor externo.

El enrutador admite el tipo NAT

NAT estática, PAT, servidor interno, función NAT ALG, filtrado de NAT, mapeo de NAT, Easy IP, dos
veces NAT y múltiples instancias de NAT.
NAT estática
La NAT estática implementa una conversión de uno a uno entre una dirección de red privada y una
dirección de red pública. ¿Cuántas direcciones públicas necesitas configurar? La NAT estática no puede
guardar direcciones de redes públicas, pero puede desempeñar un papel en la ocultación de redes
internas.
Cuando la red interna envía un paquete a la red externa, el NAT estático reemplaza la dirección IP de
origen del paquete con la dirección de red pública correspondiente. Cuando la red externa envía un
paquete de respuesta a la red interna, el NAT estático reemplaza la dirección de destino del paquete con
la dirección correspondiente. Dirección de red privada.
PAT
PAT, también conocida como traducción de puerto de dirección de red (NAPT), implementa el mapeo
entre una dirección de red pública y varias direcciones de red privadas, con lo que se guardan las
direcciones de red pública. El principio básico de PAT es traducir las direcciones IP de origen de los
paquetes con diferentes direcciones de red privada en la misma dirección de red pública, pero se
convierten a diferentes números de puerto de la dirección, por lo que aún pueden compartir la misma
dirección.
PAT necesita mantener una tabla de asignación de direcciones de red privada y puertos. Cuando una
dirección de red privada envía un paquete, el PAT reemplaza la dirección IP de origen del paquete con la
misma dirección de red pública, pero el número de puerto de origen se reemplaza con un número de
puerto diferente. Cuando la red externa envía un paquete de respuesta a la red interna. El PAT
reemplaza la dirección IP de destino del paquete con una dirección de red privada diferente según el
número de puerto de destino del paquete, como se muestra en la siguiente figura.
Servidor interno
Al configurar el servidor interno, la dirección externa, el puerto, etc. correspondientes pueden asignarse
al servidor interno y el host de la red externa puede acceder al servidor interno. Por ejemplo,
[Link] se puede usar como la dirección externa del servidor web, y [Link] se usa como
FTP. La dirección externa del servidor puede incluso utilizar una dirección como [Link]:8080
como la dirección externa de la Web. También es posible proporcionar varios servidores externos para el
mismo servidor, como varios servidores web.
Filtrado NAT
El filtrado NAT se refiere al filtrado del tráfico enviado por el dispositivo NAT a la red interna. Cuando el
host de la red privada inicia el acceso al host de la red pública, se filtra el tráfico enviado por el host de la
red pública al host de la red privada.
IP fácil
Al realizar la traducción de la dirección, la dirección IP pública de la interfaz se utiliza directamente como
la dirección de origen traducida. También utiliza listas de control de acceso para controlar qué
direcciones internas se pueden traducir.
Aplicación de traducción de direcciones capa de la puerta de
enlace
La traducción de direcciones puede hacer que muchos protocolos de aplicación sensibles a NAT no
funcionen correctamente, y se debe realizar un manejo especial para este protocolo. El llamado
protocolo sensible a NAT significa que la carga útil de algunos paquetes del protocolo lleva la dirección
IP y / o el número de puerto. Si no se realiza un procesamiento especial, la interacción del protocolo
subsiguiente se verá afectada.
La puerta de enlace de nivel de aplicación (NAT) de NAT es una forma común de resolver el NAT
transversal transversal del protocolo especial. El método reemplaza la dirección IP y el número de puerto
en la carga útil de acuerdo con la regla de traducción de direcciones, implementando así el protocolo.
Relé transparente. NAT ALG admite DNS, protocolo FTP, RTSP (Real-Time Streaming Protocol) y SIP
(Session Initiation Protocol) como se muestra a continuación:

Dos veces NAT

3 La tecnología de traducción de direcciones convencional solo convierte la dirección de origen o la
dirección de destino del paquete, y la tecnología Twice NAT puede convertir simultáneamente la
dirección de origen y la dirección de destino del paquete. La tecnología se aplica a la dirección de host
de la red interna y al host de la red pública. La situación donde las direcciones se superponen. Como se
muestra en la figura, las direcciones del host de red interno PC1 y el host de red pública PC3 se
superponen. En este caso, el paquete al que accede la PC2 del host de la red interna al PC3 del host no
llega al host de destino, pero se reenvía incorrectamente al PC1 del host. La tecnología NAT
bidireccional garantiza que los paquetes se reenvían correctamente configurando la asignación entre los
grupos de direcciones superpuestas y las direcciones temporales en el dispositivo NAT (basado en la
implementación del NAT convencional) y convirtiendo las direcciones superpuestas en direcciones
temporales únicas.
Configure NAT dos veces en el dispositivo NAT:
Paso 1: configure NAT regular (traducción de direcciones de muchos a muchos). Configure el grupo de
direcciones NAT [Link] a [Link] y aplíquelo a la interfaz WAN.
Paso 2: configurar una asignación de direcciones superpuestas a direcciones temporales. [Link] <-->
[Link].
Esta asignación indica que la agrupación de direcciones superpuestas corresponde a la agrupación de
direcciones temporales una por una. Las reglas de conversión son:
dirección temporal = primera dirección de la agrupación de direcciones temporales + (dirección
superpuesta - primera dirección de la
superposición de direcciones ) dirección superpuesta = dirección superpuesta de la primera dirección de
la agrupación de direcciones + (dirección temporal - La primera dirección del grupo de direcciones
temporales)
Cuando el host interno PC2 accede directamente al host PC3 en la red pública con el nombre de
dominio, el proceso de procesamiento de paquetes es el siguiente:
PC2 envía una solicitud de DNS para resolver el servidor web cuyo nombre de dominio es
[Link] y el DNS de la red pública. Una vez que el servidor se resuelve, el dispositivo NAT recibe
el paquete de respuesta del servidor DNS. El dispositivo NAT verifica la dirección resuelta [Link] en la
carga útil del paquete de respuesta de DNS Después de verificar que la dirección es una dirección
superpuesta (que coincide con el grupo de direcciones superpuestas), la dirección [Link] se convierte
a la dirección temporal correspondiente [Link]. Después de eso, la traducción de la dirección de destino
(procesamiento normal de NAT) del mensaje de respuesta del DNS se envía a la PC2.
PC2 inicia el acceso con la dirección temporal [Link] correspondiente a [Link]. Cuando el
paquete llega al dispositivo NAT, primero convierte la dirección de origen del paquete (procesamiento
normal de NAT) y luego la dirección de destino del paquete, es decir, la dirección temporal. Para la
correspondiente dirección superpuesta [Link]. El paquete se envía a la interfaz de salida de WAN y se
reenvía a la PC3 host salto a salto a través de la WAN.
Cuando el paquete devuelto por PC3 a PC2 se envía al dispositivo NAT, la dirección de origen [Link]
del paquete se verifica primero. La dirección es una dirección superpuesta (que coincide con el grupo de
direcciones superpuestas), y la dirección de origen se convierte a la dirección temporal correspondiente
[Link]. . Luego, la dirección de destino del mensaje devuelto se somete a una conversión de NAT
regular y se envía a PC2.
Fuente asociada a VPN NAT
El NAT del enrutador de Huawei no solo permite que los usuarios en la red interna accedan a la red
externa, sino que también permite que los usuarios que pertenecen a diferentes VPN accedan a la red
externa a través del mismo egreso. Esto puede resolver el problema de las VPN con direcciones IP
superpuestas en la red interna y acceso a los hosts externos al mismo tiempo.
VPN servidor NAT asociado
El NAT del enrutador de Huawei es compatible con el servidor de NAT asociado a la VPN, lo que brinda
una oportunidad para que la red externa acceda a los hosts en la VPN y puede admitir varias direcciones
de VPN que se superponen en la intranet.
La topología experimental es la siguiente:

Ejemplo de configuración de salida NAT:

Vista del sistema
[GW] grupo de direcciones nat 0 [Link] [Link]
[GW] acl número 2000
[GW-acl-basic-2000] fuente de permiso [Link] [Link]
[El GigabitEthernet0-GW / 0/0] int G0 / 0/1.
2000 Dirección de salida NAT-PAT-NO Grupo 0 [el GigabitEthernet0-GW / 0/1.]
Nota: no-pat indica una conversión, sólo la dirección del interruptor no es puertos de conmutación,
expresadas directamente entran en el IP y el puerto hacen la conversión.
Prueba:
telnet [Link]
Presione CTRL_] para salir del modo telnet.
Intentando [Link] ...
Conectado a [Link] ...
Autenticación de inicio de sesión
Contraseña:
Mostrar usuarios
Usuario-Intf Tipo de retardo Dirección de red AuthenStatus AuthorcmdFlag
+ 0 CON 0 [Link] pass Nombre de usuario: Sin especificar
129 VTY 0 [Link] TEL [Link] pass Nombre de usuario: Sin especificar
Mostrar información saliente de
NAT saliente:

Interfaz Acl Grupo de direcciones / IP / Tipo de interfaz

GigabitEthernet0 / 0/1 2000 0 no-pat

Total: 1
Mostrar nat session all ==== Ver la entrada de la tabla de traducción
NAT Session Table Información:
Protocolo: TCP (6)
SrcAddr Port Vpn: [Link] 59335
DestAddr Port Vpn: [Link] 5888
NAT-Info
New SrcAddr: [Link]
New SrcPort : —-
Nuevo DestAddr: —-
Nuevo DestPort: —-
[GW] restablecer nat session all === Borrar la entrada de conversión
Advertencia: se eliminarán todas las sesiones NAT actuales.
¿Está seguro de continuar? [S / N] y
Ejemplo de configuración de IP fácil:
[GW] int g0 /
0/1 [GW-GigabitEthernet0 / 0/1] nat saliente 2000
Prueba:
telnet [Link]
Presione CTRL_] para salir del modo telnet.
Intentando [Link] ...
Conectado a [Link] ...

Contraseña de autenticación de inicio de sesión :

Mostrar usuarios
Usuario-Intf Tipo de retardo Dirección de red AuthenStatus AuthorcmdFlag
+ 0 CON 0 [Link] pass Nombre de usuario: Sin especificar
129 VTY 0 [Link] TEL [Link] pass Nombre de usuario: Sin especificar
Mostrar la sesión nat toda
la información de la tabla de la sesión NAT:
Protocolo: TCP (6)
SrcAddr Port Vpn: [Link] 54467
DestAddr Port Vpn: [Link] 5888
NAT-Info
New SrcAddr: [Link]
New SrcPort: 10240
New DestAddr: —-
New DestPort: ---
Total: 1
Ejemplo de configuración de NAT estática:
[GW] int g0 /
0/1 [GW-GigabitEthernet0 / 0/1] nat static global [Link] dentro de [Link]
Nota: Al configurar NAT estática, la dirección global y la dirección del host deben estar Asegúrese de
que no haya ningún duplicado de la dirección existente del dispositivo, incluida la dirección de interfaz
del dispositivo, la dirección del grupo de direcciones de usuario, etc., para evitar conflictos.
Prueba:
Mostrar información estática
estática nat. Información:
Interfaz: GigabitEthernet0 / 0/1
IP / puerto global: [Link]/—-
IP / puerto interior: [Link]/—
Protocolo: —-
Nombre de instancia VPN: —-
Número de acl: ---
Máscara de red: [Link]
Descripción: —-
Total: 1
Ejemplo de configuración interna del servidor:
[GW] int g0 /
0/1 [GW-GigabitEthernet0 / 0/1] nat static protocol tcp global [Link] 2121 dentro de [Link]
21
[GW-GigabitEthernet0 / 0/1] nat static protocol tcp Global [Link] 80 dentro de [Link] 80
prueba:
Ejemplo de configuración de NAT ALG:
[GW] nat alg?
All Protocolo todos Protocolo
dns Protocolo DNS
ftp Protocolo
FTPPPPPPP Protocolo
SIP Protocolo SIP
Ejemplo de configuración de filtrado NAT: el
filtrado NAT se refiere al filtrado del tráfico enviado por el dispositivo NAT a la red interna. Cuando el
host de la red privada inicia el acceso a un host de la red pública, el tráfico enviado por el host de la red
pública al host de la red privada pasa a través del dispositivo NAT. Se filtrará.
Hay tres tipos de filtrado de NAT:
a. Comportamiento de filtrado de NAT independiente de la dirección y el puerto externos.
b. Comportamiento de filtrado de NAT independiente del puerto asociado con la dirección externa.
c. Comportamiento de filtrado de NAT asociado con direcciones y puertos externos.
[GW] nat filter-mode?
Punto extremo y puerto dependientes Punto
extremo dependiente de punto extremo dependiente punto
extremo independiente punto extremo independiente De manera
predeterminada, el modo punto extremo y puerto dependiente se usa para indicar que se consulta la
tabla de asignación inversa de NAT. Haga coincidir el IP de origen + puerto de origen + destino IP +
puerto de destino + número de protocolo.
Ejemplo de configuración de la asignación de NAT: la
configuración de la asignación de NAT puede satisfacer el software del terminal que utiliza tecnologías
de NAT transversal, como STUN, TURN e ICE para atravesar NAT.
La
asignación de NAT contiene los tres tipos siguientes: a. Dirección externa y asignación de puerto
independiente: reutilice la misma asignación de puerto de dirección para la misma IP interna y el mismo
puerto.
b. Asignación independiente del puerto relacionada con la dirección externa: reutilice la misma
asignación de puertos cuando acceda a la misma dirección IP externa para la misma dirección IP interna
y el mismo puerto.
c. Dirección externa y asignación relacionada con el puerto: reutilice la misma asignación de puerto para
la misma dirección IP interna y el número de puerto, accediendo a la misma dirección IP externa y
número de puerto (si esta entrada de asignación todavía está activa).
[GW] nat-map-mode endpoint-independent?
Tcp Protocolo de control de transmisión
udp Protocolo de datagramas de usuario
Presione ENTER para ejecutar el comando
Configurar una instancia de NAT dos veces:
Como se muestra en la figura, las direcciones del host de red interno PC1 y del host de red pública Host
se superponen. En este caso, el paquete que el PC2 host de la red interna accede al host A del host no
llega al host de destino y puede ser reenviado incorrectamente al PC1 host. Mediante la configuración de
grupo de direcciones tecnología de superposición de dos veces NAT en el dispositivo NAT para mapear
la relación entre el conjunto de direcciones temporales (en la realización de la NAT convencional) para
convertir la dirección de superposición a una dirección temporal único, para asegurar la correcta
transmisión de paquetes.
I. Configuración de la asignación de DNS
[Huawei] nat alg dns enable
[Huawei] nat dns-map [Link] [Link] 80 tcp
2. Configure la asignación del grupo de direcciones superpuestas al grupo de direcciones temporales.
[Huawei] nat overlap-address 0 [Link] [Link] longitud de grupo 254
3. Configure la ruta estática del grupo de direcciones temporales a GigabitEthernet
3/0/0. [Huawei] ip route-static [Link] 32 gigabitethernet 3/0/0 [Link]
4. Configure NAT saliente
[Huawei] acl 3180
[Huawei-acl-adv-3180] permiso de origen fuente ip [Link] [Link]
[Huawei] grupo de direcciones nat 1 [Link] [Link]
[Huawei-GigabitEthernet3 / 0/0] nat saliente 3180 grupo de direcciones 1
[Huawei] muestra la dirección de superposición nat toda la
información del mapa de la agrupación de direcciones de superposición nat .

Id. Dirección de superposición Dirección temporal Longitud de grupo Interior VPN Nombre de instancia

0 [Link] [Link] 254

Total: 1
NAT registra la salida
NAT registra salida puede rastrear y registrar la tabla NAT del flujo, la mejora de la seguridad de red, los
usuarios de la orientación de los usuarios acceden a la red a través de un NAT. El registro de NAT es un
registro de la información generada cuando el dispositivo está haciendo NAT. La información incluye la
dirección IP de origen del paquete, el puerto de origen, la dirección IP de destino, el puerto de destino, la
dirección IP de origen traducida, el puerto de origen traducido y la información de tiempo del NAT y las
operaciones realizadas por el usuario. El administrador de la red puede mejorar la seguridad de la red al
ver el registro de NAT para rastrear o localizar el acceso del usuario a la red a través de NAT. Como se
muestra a continuación:

[GW] sesión de registro de firewall habilitar === Habilitar el registro de firewall.

[GW] sesión de registro de firewall nat enable === Habilitar registro de flujo de tipo NAT.
[GW] info-center enable === Abre el centro de información.
[GW] centro de información loghost [Link] === Configurar el host de registro, se pueden
configurar hasta 8.