Chinaunix首页 | 论坛 | 博客
  • 博客访问: 799367
  • 博文数量: 102
  • 博客积分: 10011
  • 博客等级: 上将
  • 技术积分: 2301
  • 用 户 组: 普通用户
  • 注册时间: 2006-10-08 13:00
文章存档

2011年(2)

2010年(30)

2009年(25)

2008年(45)

我的朋友

分类: DB2/Informix

2009-06-04 11:28:39

Juniper防火墙的NAT部署模式也是常见的部署方式,下面就简单的说明如下:
1 为什么会使用NAT?
目前IPv4是互联网中的主要IP地址,IP地址的耗尽也是一个问题。
NAT技术使得一个私有网络可以通过internet注册IP连接到外部世界,位于inside网络和outside网络中的NAT路由器在发送数据包之前,负责把内部IP翻译成外部合法地址。内部网络的主机不可能同时于外部网络通信,所以只有一部分内部地址需要翻译。
NAT的翻译可以采取静态翻译(static translation)和动态翻译(dynamic translation)两种。静态翻译将内部地址和外部地址一对一对应。当NAT需要确认哪个地址需要翻译,翻译时采用哪个地址pool时,就使用了动态翻译。采用portmultiplexing技术,或改变外出数据的源port技术可以将多个内部IP地址影射到同一个外部地址,这就是PAT(port address translator)。
 
  当影射一个外部IP到内部地址时,可以利用TCP的load distribution技术。使用这个特征时,内部主机基于round-robin机制,将外部进来的新连接定向到不同的主机上去。注意:load distributiong只有在影射外部地址到内部的时候才有效。
NAT使用的几种情况:
 
  a,连接到internet,但却没有足够的合法地址分配给内部主机。
 
  b,更改到一个需要重新分配地址的ISP。
 
  c,有相同的IP地址的两个internat合并。
 
  d,想支持负载均衡(主机)。
 
  采用NAT后,一个最主要的改变就是你失去了端对端IP的traceability,也就是说,从此你不能再经过NAT使用ping和traceroute,其次就是曾经的一些IP对IP的程序不再可以正常运行,潜在的不易被观察到的缺点就是增加了网络延时。
 
  NAT可以支持大部分IP协议,但有几个协议需要注意,首先tftp,rlogin,rsh,rcp和ipmulticast都被NAT支持,其次就是bootp,snmp和路由表更新全部给拒绝了。
 
  NAT的几个相关概念:
 
  Inside Local IP address: 指定于内部网络的主机地址,全局唯一,但为私有地址。
 
  Inside Global IP address: 代表一个或更多内部IP到外部世界的合法IP。
 
  Outside Global IP address: 外部网络主机的合法IP。
 
  Outside Local IP address: 外部网络的主机地址,看起来是内部网络的,私有地址。
 
  Simple Translation Entry: 影射IP到另一个地址的Entry。
 
  Extended Translation Entry:影射IP地址和端口到另一个pair的Entry。
采用NAT,可以实现以下几个功能:
 
  a,Translation inside local addresses
 
  b,Overloading inside global addresses
 
  c,TCP load distribution
 
  d,Handing overlapping networks
a,内部地址翻译(Translation inside local addresses):
 
  这是比较通用的一种方法,将内部IP一对一的翻译成外部地址。
 
  在内部主机连接到外部网络时,当第一个数据包到达NAT路由器时,router检查它的NAT表,因为是NAT是静态配置的,故可以查询出来(simply entry),然后router将数据包的内部局部IP(源地址)更换成内部全局地址,再转发出去。外部主机接受到数据包用接受到的内部全局地址来响应,NAT接受到外部回来的数据包,再根据NAT表把地址翻译成内部局部IP,转发过去。
 
  b,内部全局地址复用(overloading inside glogal addresses)
 
  使用地址和端口pair将多个内部地址影射到比较少的外部地址。这也是所谓的PAT。和内部地址翻译一样,NAT router同样也负责查表和翻译内部IP地址,唯一的区别就是由于使用了overloading,router将复用同样的内部全局IP地址,并存储足够的信息以区分它和其他地址,这样查询出来的是extended entry。NAT router和外部主机的通讯采用翻译过的内部全局地址,故同一般的通信没有差别,router到内部主机通讯时,同样要查NAT表。
其他的方式不在进行一一的讲解。

Juniper 防护墙上的NAT方式也是基于这种功能来实现的,下面具体的模拟一个环境进行相关的说明:

 设备名称  IP地址 说明 
ISG ethernet1/2接口  192.168.193.126/28 连接路由器 

 ISG2000

ethernet1/1接口

 10.10.161.14/25 连接Untrust区域 

具体的配置如下:

netscreenisg1000-> set interface ethernet1/1 ip 10.10.161.14/25

netscreenisg1000-> set interface ethernet1/1 route

netscreenisg1000-> set inerface ethernet1/2 ip 192.168.193.126/28

netscreenisg1000-> set interface ethernet1/2 nat

以下的配置可以简单的配置

netscreenisg1000-> unset interface ethernet1/1 manage telnet

netscreenisg1000-> set interface ethernet1/1 manage ping

netscreenisg1000-> unset interface ethernet1/1 manage web

netscreenisg1000-> set interface ethernet1/2 manage telnet

netscreenisg1000-> set interface ethernet1/1 manage ping

netscreenisg1000-> set interface ethernet1/1 manage web

 

 



 
 
阅读(8318) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~