私有云落地解决方案之网络篇-关键技术-NAT

作者：【吴业亮】

博客：http://blog.csdn.net/wylfengyujiancheng

概念

NAT（Network Address Translation）是一种地址转换技术，可以将IPv4报文头中的地址转换为另一个地址。通常情况下，利用NAT技术将IPv4报文头中的私网地址转换为公网地址，可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此，NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。

通过源NAT策略对IPv4报文头中的源地址进行转换，可以实现私网用户通过公网IP地址访问Internet的目的。

一、 源NAT分类

1、不带端口转换的地址池方式

内部私网用户共享地址池中的IP地址，按照一个私网IP地址对应一个公网IP地址的方式进行转换。地址转换的同时不进行端口转换，地址池中IP的个数就是最多可同时上网的私网用户数。适用于某些服务需要使用特定的源端口，不允许进行源端口转换的场景。

2、带端口转换的地址池方式

一般适用于私网用户较多的大中型网络环境，多个私网用户可以共同使用一个公网IP地址，根据端口区分不同用户，所以可以支持同时上网的用户数量更多。

3、出接口地址方式

直接使用出接口的IP地址作为转换后的公网地址，适用于接口动态获得公网地址的网络环境。

二、公网用户访问私网内部服务器
通过服务器映射功能，可以实现外部网络用户通过公网地址访问私网内部服务器的需求。

1、静态映射

适用一个服务器对应一个公网IP地址的场景。

2、服务器负载均衡

适用于多个服务器对外提供相同的服务，使用同一个公网IP地址，共同分担用户访问流量的场景。

三、私网用户使用公网IP地址访问私网内部服务器

源NAT和服务器映射功能结合使用，可以实现私网用户使用公网地址访问私网内部服务器的需求。

私网用户与内部服务器都位于内网时，如果私网用户也希望像公网用户一样，使用公网地址来访问内部服务器，此时可以通过源NAT和服务器映射配合工作来实现。

四、NAT处理流程

1、防火墙收到报文后，查找服务器映射生成的Server-Map表，如果报文匹配到Server-Map表，则根据表项转换报文的目的地址，然后进行步骤3处理；如果报文没有匹配到Server-Map表，则进行步骤2处理。

2、查找目的NAT，如果报文符合目的NAT的匹配条件，则转换报文的目的地址后进行路由处理；如果报文不符合目的NAT的匹配条件，则直接进行路由处理。

3、根据报文当前的信息查找路由（包括策略路由），如果找到路由，则进入步骤4处理；如果没有找到路由，则丢弃报文。

4、查找安全策略，如果安全策略允许报文通过，则进行源NAT处理；如果安全策略不允许报文通过，则丢弃报文。

5、查找源NAT，如果报文符合源NAT的匹配条件，则转换报文的源地址，然后创建会话；如果报文不符合源NAT的匹配条件，则直接创建会话。
防火墙发送报文。

五、源NAT原理

1、不带端口转换的地址池方式

不带端口转换的地址池方式通过配置NAT地址池来实现，NAT地址池中可以包含多个公网地址。转换时只转换地址，不转换端口，实现私网地址到公网地址一对一的转换。。

1、防火墙收到Host发送的报文后，根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动，通过安全策略检查后继而查找NAT策略，发现需要对报文进行地址转换。

2、防火墙从NAT地址池中选择一个空闲的公网IP地址，替换报文的源IP地址，并建立会话表，然后将报文发送至Internet。
防火墙收到Web

3、Server响应Host的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的目的地址替换为Host的IP地址，然后将报文发送至Intranet。

此方式下，公网地址和私网地址属于一对一转换。如果地址池中的地址已经全部分配出去，则剩余内网主机访问外网时不会进行NAT转换，直到地址池中有空闲地址时才会进行NAT转换。

2、带端口转换的地址池方式

1、防火墙收到Host发送的报文后，根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动，通过安全策略检查后继而查找NAT策略，发现需要对报文进行地址转换。

2、防火墙从NAT地址池中选择一个公网IP地址，替换报文的源IP地址，同时使用新的端口号替换报文的源端口号，并建立会话表，然后将报文发送至Internet。

3、防火墙收到WebServer响应Host的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的目的地址替换为Host的IP地址，将报文的目的端口号替换为原始的端口号，然后将报文发送至Intranet。

此方式下，由于地址转换的同时还进行端口的转换，可以实现多个私网用户共同使用一个公网IP地址上网，防火墙根据端口区分不同用户，所以可以支持同时上网的用户数量更多。

3、出接口地址方式

 
出接口地址方式也称为Easy IP，即直接使用接口的公网地址作为转换后的地址，不需要配置NAT地址池。转换时同时转换地址和端口，即可实现多个私网地址共用外网接口的公网地址的需求，

1、防火墙收到Host发送的报文后，根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动，通过安全策略检查后继而查找NAT策略，发现需要对报文进行地址转换。

2、防火墙使用与Internet连接的接口的公网IP地址替换报文的源IP地址，同时使用新的端口号替换报文的源端口号，并建立会话表，然后将报文发送至Internet。

3、防火墙收到WebServer响应Host的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的目的地址替换为Host的IP地址，将报文的目的端口号替换为原始的端口号，然后将报文发送至Intranet。

六、静态映射

静态映射也称NAT Server，是一种转换报文目的IP地址的方式，它提供了公网地址和私网地址的映射关系，将报文中的公网地址转换为与之对应的私网地址

1、防火墙收到Internet上用户访问10.10.10.10的报文的首包后，查找并匹配到Server-Map表项，将报文的目的IP地址转换为192.168.10.10。

2、防火墙根据目的IP地址判断报文需要在Untrust区域和DMZ区域之间流动，通过域间安全策略检查后建立会话表，然后将报文发送至Intranet。

3、防火墙收到Server响应Host的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的源地址替换为10.10.10.10，然后将报文发送至Internet。

4、后续Host继续发送给Server的报文，防火墙都会直接根据会话表项的记录对其进行转换，而不会再去查找Server-map表项

七、服务器负载均衡

服务器负载均衡就是防火墙按照事先配置的负载均衡算法，将访问同一个IP地址的用户流量分配到不同的服务器上。

配置负载均衡后，在访问用户看来，他们访问的是同一个服务器，而实际上防火墙将他们的请求分送给了不同的服务器进行处理。这样可以分别利用各个服务器的处理能力，达到流量分担的目的，保障了服务器的可用性，得到最佳的网络扩展性。

简单轮询：根据流量的带宽均分到各个内网服务器上，使每台服务器的负载相同。

加权轮询：根据每台内网服务器的权值比例（权重）来分配流量，使每台服务器的负载比例与权值比例相同。新增内网服务器时，重新计算权值比例，按新的权值比例来分配流量。

源地址哈希：根据流量的源地址进行Hash计算，保证相同源地址的流量由同一台内网服务器处理。

八、目的NAT

1、防火墙收到Host A发送的报文后，根据Trust安全区域内配置的目的NAT，将报文的目的IP地址由10.10.10.10转换为192.168.8.10。

2、防火墙根据转换后的目的IP地址判断报文需要在Trust区域和DMZ区域之间流动，通过域间安全策略检查后建立会话表，然后将报文发送至Server。

3、防火墙收到Server响应Host A的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的源地址替换为10.10.10.10，然后将报文发送至Host A。