wordpress.短视频主题/百度网络优化
不同的NAT类型对应不同的NAT策略,在FW上处理顺序不同。
1、W收到报文后,查找NAT Server生成的Server-map表,如果报文匹配到Server-map表,则根据表项转换报文的目的地址,然后进行第四步;若没有匹配到,则进行下一步
2、查找基于ACL的目的NAT,如果报文符合匹配条件,则转换报文的目的地址,然后进行第四步;若不符合,则进行下一步
3、查找NAT策略中目的NAT,如果报文符合匹配条件,则转换报文的目的地址后进行路由处理;若不符合,则直接进行路由处理
4、根据报文当前的信息查找路由(包括策略路由),如果找到路由,则进行下一步,否则丢弃
5、查找安全策略,如果安全策略允许报文通过且之前并未匹配NAT策略(目的NAT或双向NAT),则进行下一步;如果安全策略允许报文通过且之前匹配过双向NAT,则直接进行源地址转换,然后创建会话并进入第七步;如果安全策略允许报文通过且之前匹配过目的NAT,则直接创建会话,然后进行第七步;如果安全策略不允许,则丢弃
6、查找NAT策略中源NAT,如果报文符合源NAT的匹配条件,则转换报文的源地址,然后创建会话;否则直接创建会话
7、FW发送报文
NAT策略中目的NAT会在路由和安全策略之前处理,NAT策略中源NAT会在路由和安全策略之后处理。
因此,配置路由和安全策略的源地址是NAT转换前的源地址,配置路由和安全策略的目的地址是NAT转换后的目的地址。
源NAT
根据转换源地址是否同时转换端口,源NAT分为仅源地址转换的NAT(NAT NO-PAT),源地址和源端口同时转换的NAT(NAPT、Smart NAT、Easy IP、三元组NAT)
1、NAT NO-PAT
NAT NO-PAT是一种NAT转换时只转换地址,不转换端口,实现私网地址到公网地址一对一的地址转换方式。适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景。
此方式下,公网地址和私网地址是一对一的,如果地址池中的地址已经全部分配出去,则剩下内网主机访问外网是不会进行NAT转换,直到地址池有空闲。
FW上生成的Server-map表中存放Host的私网IP地址和公网IP地址的映射关系
正向Server-map表保证了特定私网用户访问Internet时,快速转换地址,提高了FW效率
反向Server-map表允许Internet上的用户主动访问私网用户,将报文进行地址转换
NO-PAT的分类
(1)本地(local)NO-PAT
本地NO-PAT生成的Server-map表中包含安全区域参数,只有此安全区域的Server可以访问内网Host
(2)全局(Global)NO-PAT
全局NO-PAT生成的Server-map表中不包含安全区域参数,一旦建立,所有安全区域的Server都可以访问内网的Host
2、NAPT
NAPT是一种转换时同时转换地址和端口(不会生成Server-map),实现多个私网地址公用一个或多个公网地址的地址转换方式。适用于公网地址数量少,需要上网的私网用户数量大的场景。
由于地址转换的同时还进行端口的转换,可以实现多个私网用户使用一个公网地址上网,FW根据端口区分不同的用户,所以可以支持同时上网的用户数量更多。
3、Smart NAT
Smart NAT 是 NO-PAT的一种补充。它是一种可以在NO-PAT的NAT模式下,指定某个IP地址预留做NAPT方式的地址转换方式。
适用于平时上网用户少,公网IP数量与同时上网用户数量基本一致,但个别时段上网用户数量激增的场景。
使用NO-PAT进行一对一转换,随着内部用户数量的不断增加,地址池中的地址书可能不再能满足用户上网需求,部分用户将得不到转换地址从而无法访问Internet。此时,用户可以利用预留的IP地址进行NAPT地址转换,然后访问Internet。
此时,FW将优先采用NO-PAT的方式转换地址。当可被NO-PAT方式的地址用完时,新的用户连接将使用预留的这个IP地址做NAPT地址转换。
4、Easy IP
Easy IP使用中利用出接口的公网地址作为NAT转换后的地址,同时转换地址和端口的地址转换方式。对于接口IP是动态获取的场景,Easy IP也一样支持。
此方式由于地址转换的同时还进行端口的转换,可以实现多个私网用户公用一个公网IP上网,FW根据端口区分不同用户,所以可以同时上网的用户数量更多。
5、三元组NAT
三元组NAT是一种转换时同时转换地址和端口,实现多个私网共用一个或多个公网地址的地址转换方式。
它允许Internet上的用户主动访问私网用户,与基于P2P技术的文件共享、语音通信、视频传输等业务可以很好的共存。
当内网PC访问Internet时,如果FW采用五元组NAT(NAPT)方式进行地址转换,外部设备无法通过转换后的地址和端口主动访问内部PC。而三元组NAT可以很好的解决这个问题。因为三元组NAT有两个特点:
(1)三元组NAT的端口不能复用,保证了内部PC对外呈现的端口的一致性,不会动态变化,但是公网地址利用率低
(2)支持外部设备通过转换后的地址和端口主动访问内部PC。FW即便没有相应的安全策略,也允许此类访问报文通过。
FW上生成的Server-map表中存放的Host的私网IP与公网IP的映射关系:
(1)正向Server-map表项保证内部PC转换后的地址和端口不变
(2)反向Server-map表项允许外部设备可以主动访问内部PC