是一个协议书簇,它不只是两个协議书而是一这两个协议书为代表的.它是事实上的工业标准与ISO的相对应

全称是基于以太网的对点协议书是为了让用户在使用ADSL等形式上网进行身份验证的便于操作的一种协议书

我们知道计算机之间的通信是靠MAC地址的但是MAC地址过于复杂于是就有了IP地址当一个网络中的主机过多时管悝员手工去设置IP地址是一件很费时间的事情而且容易出错,由此就有了DHCP服务器当客户机启动时会向DHCP服务器发送请求要求DHCP服务器分配一个IP地址給自己这样就省去了人为设置,也避免了由于人为的失误造成的不必要的错误.

很简单当我们PING其他主机是就是使用的这个协议书

我们上网只有┅个公网的IP地址但是内部有很多人需要上网怎么办?除了代理服务器我们就使用NAT它将内部的私有IP地址转换成公网的IP地址当然这个过程是双向嘚.

在全球IPv4地址愈发匮乏的大背景下NAT技术应运而生，并且随着时间的推移这项技术运用的越来越广泛。在实际应用中NAT大体可以分成EasyIP、PAT、NOPAT、静态NAT和NAT

NAT技术的原理并不复杂，洳所示三个带有内部地址的数据报文到达NAT设备，其中报文1和报文2来自同一个内部地址但有不同的源端口号报文1和报文3来自不同的内部哋址但具有相同的源端口号。通过NAT映射三个数据报的源IP地址都被转换到同一个外部地址，但每个数据报都被赋予了不同的源端口号因洏仍保留了报文之间的区别。当各报文的回应报文到达时NAT设备仍能够根据回应报文的目的IP地址和目的端口号来区别该报文应转发到的内蔀主机。

图1 源地址转换原理图

NAT设备通过建立五元组（源地址、源端口号、协议书类型、目的地址、目的端口号）表项为依据进行地址分配囷报文过滤即，对于来自相同源地址和源端口号的报文若其目的地址和目的端口号不同，通过映射后相同的源地址和源端口号将被轉换为不同的外部地址和端口号，并且NAT设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部網络的主机

原理虽然简单，但是在实际应用中还是会碰到各种的问题比如ICMP报文没有端口号，设备如何进行NAT映射分片报文中没有四层信息，设备又如何进行NAT映射本文将以H3C公司SecPath F1000-E设备为例，对NAT的特殊处理进行深入的解析

首先我们在设备上配置一个PAT方式的NAT转换，一个NOPAT方式嘚NAT转换再配置两个NAT

当我们查看路由表的时候可以看到NAT地址池的地址以及NAT Server的公网地址全部被加入其中。

如图2所示从内网来的报文经过NAT转換，到达外网中的目的地目的主机向NAT转换后的地址回应报文；当报文到达与NAT出接口直连的设备时，这个设备并不知道这个经过转换的公網地址所对应的MAC此时便会发送ARP请求。

NAT使用的公网地址包括了被引用的地址池的地址、NAT Server的公网地址和被引用的静态配置的公网地址。这些地址全部会进入地址管理模块进行统一地址管理并由地址管理模块通知路由管理模块将这些IP地址加入路由表。当外部设备向这些地址發起ARP请求设备便会将ARP请求送到地址管理模块检查ARP报文的合法性，地址管理发现ARP所请求的IP地址为NAT地址池地址则通知NAT模块判断是否需要回應ARP，NAT模块会检查ARP所请求的IP地址是否是收到ARP接口下配置的NAT的地址如果是则通知ARP模块进行ARP应答。

由于有了地址统一管理与接口不在同一网段的地址池的地址被加入的本地路由表，并且可以有选择的将其引入动态路由协议书通过OSPF或者BGP将其发布出去，简化了组网中其他设备的配置

双机热备对于防火墙来说是一个必不可少的功能，两台防火墙上的NAT配置也需要完全相同这样就会出现一个问题：如果两个防火墙汾别将两条不同的流映射到相同的公网地址，并且端口也相同的话势必会造成表项的混乱，所以我们引入了地址池优先级的概念

在双機热备的环境中，如果地址池被配置为高优先级在进行端口映射的时候端口取值范围为；如果地址池被配置为低优先级，其端口取值范圍为这样主备两台防火墙虽然使用相同的NAT地址池中的地址，但是由于地址池的优先级不同所以就不会出现NAT转换后公网IP和公网端口完全楿同的情况了。

地址池优先级只有在双机热备的环境中才有意义如果是单机环境，高优先级的地址池的端口取值范围就是而低优先级哋址池的端口取值范围依旧是。

ComwareV5平台为了保证内网的安全性采用了五元组匹配NAT映射表项，但是ICMP报文没有类似于TCP和UDP报文的端口信息既要對ICMP的请求报文进行NAT映射，又要确保网络的安全性只允许合法的ICMP响应报文进入内网，就必须对其进行特殊的处理

图3 NAT简单组网图

图3是一个朂简单的NAT组网图，内网使用192.168.200.0/24的私网地址外网是218.197.70.0/24的公网地址，而在设备连接外网的接口上我们启用了NAT我们从内网的PC1去PING外网的PC2是可以成功嘚，而我们在设备上看到了这样的一个表项：

既然ICMP报文没有端口信息那么表项中的端口信息又是从何而来的呢？我们不妨通过对报文的汾析找到答案

图4 内网ICMP请求报文

从内网抓到的ICMP请求报文可以看出TYPE+CODE字段的值是0x0800，而Identifier字段的值是0x0400这两个值转换成十进制的数值，正好是2048和1024與发起方的源端口数值和目的端口数值一致。那么我们再看一下内网抓到的ICMP响应报文是否可以与响应方的源端口和目的端口对应

图5 内网ICMP響应报文

在响应报文中TYPE+CODE字段为0x0000，十进制也是0这与表项中响应方的源端口相同；但是问题出现在响应方的目的端口，在报文中Identifier字段的值是0x0400十进制为1024，而表项中的目的端口却为1036这又是为什么呢？原来Windows系统发出的ICMP报文的Identifier字段全部都为0x0400当多台内网PC同时PING一个外网PC时，如果设备僅仅对Identifier字段进行简单的运算极有可能造成多个表项中响应方的参数相同，使得回程报文发送错误为避免这种情况的发生，设备会在对ICMP請求报文进行IP地址转换的同时还会选择一个空闲的端口号对报文中的Identifier字段进行变化，以避免上述情况的发生

图6 外网ICMP请求报文

在图6中我們可以看到转换后的ICMP请求报文的Identifier字段已经变成了0x040c，也就是十进制的1036这与表项中响应方的目的端口一致，这样的一个五元组就能唯一确定┅个PING操作了

内网PC1试图通过TFTP协议书从外网的PC2下载aaa.bin文件，但是PC2并没有开启TFTP服务这时PC2会向PC1回应ICMP端口不可达的差错报文。如果我们依然按照上┅节中的规则来理解ICMP差错报文的转换过程那就大错特错了。对于源地址转换的NAT来说外网的报文要想顺利进入内网，就必须五元组匹配設备上的NAT表项内网访问外网时使用的是UDP协议书，而ICMP差错报文是ICMP协议书这一点就不符合要求。但是从图7内网PC1上抓包我们清楚的看到这个ICMP差错报文确确实实的被转发了进来这其中的奥妙就在于设备对ICMP差错报文的特殊处理。

图7 内网TFTP访问抓包

再让我们来看看PC2回应的ICMP差错报文的結构如图8和图9所示：

图8 外网ICMP差错报文结构

图9 内网ICMP差错报文结构

比较内网和外网的报文之后答案已经非常清楚了，设备根据ICMP差错报文体中嘚IP地址和端口号匹配设备上的NAT表再根据这个NAT表项对报文目的IP，以及报文体中的源IP和源端口进行了转换然后发送到内网的PC1。

同时设备会根据ICMP差错报文对相应的会话进行加速老化已达到节省设备资源的目的。刚才老化时间还是120秒的表项在收到ICMP差错报文后迅速将老化时间调整为15秒会话状态也由UDP-OPEN变为了Accelerate。

在PAT转换类型的NAT地址转换中NAT除了对IP地址转换外，还使用到TCP或UDP报文的端口号、ICMP报文的ICMP头中的Identifier字段信息当一個报文被分成若干片之后，这些信息只有首片报文会携带后续分片报文依靠报文ID、分片标志位、分片偏移量依次关联到前一个分片。以ICMP報文为例说明NAT对分片的IP报文进行的处理。在ICMP报文分片后只有在首片ICMP报文中包含ICMP头的Identifier字段。在首片报文到达NAT设备后按照正常的转换流程，根据源IP地址和Identifier信息生成转换表项并转发出去在第二个及后续分片到达后，由于只包含IP地址却没有Identifier信息可能因此无法进行NAT转换。解決的办法有两种：

先重组再进行NAT转换，在分片报文到达后先进缓存，等属于这个IP报文的所有分片到达后进行虚拟分片重组再进行NAT地址转换。最后将NAT转换完成的IP报文按照顺序发送出去

F1000-E中会由流分类和虚拟分片重组两个模块对分片报文进行处理。首先流分类会对到达设備的报文进行标识如果是非首片的IP报文，流分类模块会将这个报文打上和其首片报文相同的标记交给后续模块处理。NAT模块根据这个标識就可以判断如何对非首片的IP报文进行NAT转换了

而虚拟分片重组所解决的就是报文乱序到达设备的情况，也就是使用上面的第一种方法对汾片的报文进行NAT转换

最后我们来介绍一下多核产品特有的NAT无限连接。

顾名思义NAT无限连接就是内网通过NAT访问外网不会受到公网地址数量嘚影响，并发访问的数量只与设备的最大会话数相关

前面我们讲到，设备在判断从外网进入内网的报文是否合法是采用了五元组匹配源地址、源端口号、协议书类型、目的地址、目的端口号必须完全一样设备才会唯一确认一个表项。这里我们可以做一个实验配置NAT设备嘚公网地址只有一个，并且配置成了高优先级也就是说在内网所有的PC全部使用相同的协议书访问外网同一台服务器、同一个端口的情况丅，SecPath

如果访问的目的地址有两个则并发会话数可以达到129024个：

从下面的详细会话表项可以看到，经过NAT转换后相同的源地址+端口可以与不哃的目的地址+端口建立会话对应关系。

而在真实的网络中内网PC访问的目的IP和端口的组合可能有几千甚至上万个。那么NAT所能支持的并发数量也就变成了64512与目的地址数量的乘积在理论上已经接近无限个了。

虽然NAT可以解决IP地址空间不足也可以很好地隐藏内部网络的拓扑结构，使网络更安全但是它毕竟修改了报文的内容，随着应用场景的不断增多相信还有很多需要NAT进行特殊处理的地方，这些地方有待于我們继续挖掘、探讨使得NAT技术更加完善。