【正文】 用版本1。l 路由器按照IP報(bào)文的源IP地址、源端口、目的IP地址、轉(zhuǎn)換后的源IP地址、轉(zhuǎn)換后的源端口、目的端口和協(xié)議號(hào)來對(duì)IP報(bào)文進(jìn)行分類；l 每一類IP報(bào)文作為一條NAT流，緩存在NAT的HASH表中；l 當(dāng)HASH表中的流老化時(shí)（采用定時(shí)老化或強(qiáng)制老化等方式），將HASH表中的流輸出到日志緩存（logbuffer）中；l 日志緩存中的老化流到達(dá)一定數(shù)目后，系統(tǒng)輸出記錄的日志信息。NAT用戶日志（UserLog）就是為了解決這一安全問題而實(shí)現(xiàn)的。在還原時(shí)，根據(jù)用戶的配置查找外部數(shù)據(jù)包的目的地址，如果要訪問的是內(nèi)部服務(wù)器，則轉(zhuǎn)換成相應(yīng)的內(nèi)部服務(wù)器的私有地址和端口，達(dá)到訪問內(nèi)部服務(wù)器的目的；在轉(zhuǎn)換時(shí)，對(duì)源地址進(jìn)行查找，判斷是否是從內(nèi)部服務(wù)器發(fā)出去的報(bào)文，如果是則將源地址轉(zhuǎn)換成相應(yīng)的外部地址。同樣，它也利用訪問控制列表控制哪些內(nèi)部地址可以進(jìn)行地址轉(zhuǎn)換。當(dāng)內(nèi)部網(wǎng)絡(luò)有數(shù)據(jù)包要發(fā)往外部網(wǎng)絡(luò)時(shí)，首先根據(jù)訪問列表判定是否是允許的數(shù)據(jù)包，然后根據(jù)轉(zhuǎn)換關(guān)聯(lián)找到與之對(duì)應(yīng)的地址池，這樣就把源地址轉(zhuǎn)換成這個(gè)地址池中的某一個(gè)地址，完成了地址轉(zhuǎn)換。這樣就能有效地控制地址轉(zhuǎn)換的使用范圍，使特定主機(jī)能夠有權(quán)利訪問Internet。報(bào)文還原時(shí)，NAT將外部網(wǎng)絡(luò)地址和端口還原為內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址和端口，同時(shí)獲得了MPLS VPN用戶信息。 NAT在VRP上的實(shí)現(xiàn)VRP支持NAT ALGVRP的NAT平臺(tái)模塊不僅實(shí)現(xiàn)了一般的地址轉(zhuǎn)換功能，還提供了完善的地址轉(zhuǎn)換應(yīng)用級(jí)網(wǎng)關(guān)機(jī)制，使其在流程上可以支持各種特殊的應(yīng)用協(xié)議，而不需要對(duì)NAT平臺(tái)進(jìn)行任何的修改，具有良好的可擴(kuò)充性。解決這些特殊協(xié)議的NAT轉(zhuǎn)換問題的方法就是在NAT實(shí)現(xiàn)中使用應(yīng)用級(jí)網(wǎng)關(guān)ALG（Application Level Gateway）功能。對(duì)于一些特殊協(xié)議，例如ICMP、FTP等，它們報(bào)文的數(shù)據(jù)部分可能包含IP地址或端口信息，這些內(nèi)容不能被NAT有效的轉(zhuǎn)換，這就可能導(dǎo)致問題。顧名思義，地址池就是一些合法IP地址（公有網(wǎng)絡(luò)IP地址）的集合。 多對(duì)多地址轉(zhuǎn)換及地址池從地址轉(zhuǎn)換的示意圖41可見，當(dāng)主機(jī)從內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)時(shí)，地址轉(zhuǎn)換將會(huì)選擇一個(gè)合法的外部地址，以替代內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)報(bào)文的源地址，即在圖41中選擇路由器地址池提供的外部IP地址。例如，不能使用加密的FTP連接，否則FTP的port命令不能被正確轉(zhuǎn)換。l 內(nèi)部網(wǎng)絡(luò)的主機(jī)可以通過該功能訪問外部網(wǎng)絡(luò)資源。NAT的特征l 對(duì)用戶透明的地址分配（指對(duì)外部地址的分配）。這樣。，源端口為6084，目的端口為80。不同企業(yè)的內(nèi)部網(wǎng)絡(luò)地址可以相同。私有網(wǎng)絡(luò)地址和公有網(wǎng)絡(luò)地址私有網(wǎng)絡(luò)地址是指內(nèi)部網(wǎng)絡(luò)或主機(jī)的IP地址，公有網(wǎng)絡(luò)地址是指在Internet上全球唯一的IP地址。. . . .目 錄4 NAT及NAT用戶日志配置 41 NAT及NAT用戶日志概述 42 NAT簡(jiǎn)介 42 多對(duì)多地址轉(zhuǎn)換及地址池 44 應(yīng)用級(jí)網(wǎng)關(guān)ALG 45 NAT在VRP上的實(shí)現(xiàn) 45 NAT用戶日志簡(jiǎn)介 47 配置NAT 48 建立配置任務(wù) 48 配置地址池 49 配置ACL和地址池關(guān)聯(lián) 49 配置內(nèi)部服務(wù)器 49 使能NAT ALG功能 410 檢查配置結(jié)果 410 配置NAT用戶日志 410 建立配置任務(wù) 410 啟動(dòng)NAT用戶日志功能 411 設(shè)置日志輸出至控制臺(tái) 411 設(shè)置使用的日志服務(wù)器 412 設(shè)置日志報(bào)文的源IP地址 412 設(shè)置日志報(bào)文的版本號(hào) 412 設(shè)置在創(chuàng)建流時(shí)進(jìn)行日志的記錄 412 設(shè)置對(duì)長(zhǎng)時(shí)間活躍的流定時(shí)記錄 412 檢查配置結(jié)果 413 維護(hù) 413 清除 413 調(diào)試 414 NAT及NAT用戶日志典型配置舉例 414 NAT典型配置舉例 414 NAT用戶日志典型配置舉例 416 NAT內(nèi)部服務(wù)器多實(shí)例配置舉例 418學(xué)習(xí)資料插圖目錄圖41 地址轉(zhuǎn)換示意圖 43圖42 通過路由器訪問Internet 43圖43 用戶日志信息輸出示意圖 47圖44 地址轉(zhuǎn)換典型配置組網(wǎng)圖 415圖45 NAT用戶日志典型配置組網(wǎng)圖 417圖46 NAT內(nèi)部服務(wù)器的多實(shí)例 418. . . .4 NAT及NAT用戶日志配置關(guān)于本章本章描述內(nèi)容如下表所示。在Internet的發(fā)展過程中，NAT的提出是為了解決IP地址短缺所可能引起的問題。各企業(yè)在預(yù)見未來內(nèi)部主機(jī)和網(wǎng)絡(luò)的數(shù)量后，選擇合適的內(nèi)部網(wǎng)絡(luò)地址。圖41 地址轉(zhuǎn)換示意圖。當(dāng)外部網(wǎng)絡(luò)的服務(wù)器返回結(jié)果時(shí)，:6084。也就是私有地址+端口與公有地址+端口之間的轉(zhuǎn)換。NAT的優(yōu)缺點(diǎn)地址轉(zhuǎn)換的優(yōu)點(diǎn)如下。在應(yīng)用層協(xié)議中，如果報(bào)文中有地址或端口需要轉(zhuǎn)換，則報(bào)文不能被加密。NAT的性能在鏈路的帶寬低于10Mbit/s時(shí)，地址轉(zhuǎn)換對(duì)網(wǎng)絡(luò)性能基本不構(gòu)成影響，此時(shí)，網(wǎng)絡(luò)傳輸?shù)钠款i在傳輸線路上；當(dāng)鏈路的帶寬高于10Mbit/s時(shí)，地址轉(zhuǎn)換將對(duì)路由器性能產(chǎn)生一些影響。解決這個(gè)問題需要一個(gè)私有網(wǎng)絡(luò)擁有多個(gè)外部地址，此 時(shí)，為充分而有效地利用這些外部地址，可利用地址池來實(shí)現(xiàn)多對(duì)多地址轉(zhuǎn)換。 應(yīng)用級(jí)網(wǎng)關(guān)ALGNAT只能對(duì)IP報(bào)文的頭部地址和TCP/UDP頭部的端口信息進(jìn)行轉(zhuǎn)換。外部網(wǎng)絡(luò)主機(jī)接收了這個(gè)私有地址并使用它，這時(shí)FTP服務(wù)器將表現(xiàn)為不可達(dá)。如果開啟了ICMP ALG功能，在NAT轉(zhuǎn)發(fā)ICMP報(bào)文之前，它將與NAT交互，打開ICMP報(bào)文并轉(zhuǎn)換其數(shù)據(jù)部分的報(bào)文A首部的地址，使這些地址表現(xiàn)為內(nèi)部主機(jī)的確切地址形式，由NAT將這個(gè)ICMP報(bào)文轉(zhuǎn)發(fā)出去。當(dāng)MPLS VPN用戶訪問Internet時(shí)，VRP的NAT將內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址和端口替換為路由器的外部網(wǎng)絡(luò)地址和端口，同時(shí)還記錄了用戶的MPLS VPN信息。也就是說，只有滿足訪問控制列表?xiàng)l件的數(shù)據(jù)報(bào)文才可以進(jìn)行地址轉(zhuǎn)換。“轉(zhuǎn)換關(guān)聯(lián)”就是將一個(gè)地址池和一個(gè)訪問控制列表關(guān)聯(lián)起來，這種關(guān)聯(lián)指定了“具有某些特征的IP報(bào)文”才可以使用“這樣的地址池中的地址”。Easy IPEasy IP就是當(dāng)進(jìn)行地址轉(zhuǎn)換時(shí)，直接使用接口的公有IP地址作為轉(zhuǎn)換后的源地址。通過配置內(nèi)部服務(wù)器，可將相應(yīng)的外部地址、端口等映射到內(nèi)部的服務(wù)器上，提供了外部網(wǎng)絡(luò)主機(jī)訪問內(nèi)部服務(wù)器的功能。 NAT用戶日志簡(jiǎn)介NAT用戶日志的作用對(duì)于通過NAT設(shè)備接入的用戶，由于源IP地址經(jīng)過地址轉(zhuǎn)換，難以精確定位某次訪問網(wǎng)絡(luò)的操作是從哪臺(tái)主機(jī)、哪個(gè)用戶發(fā)起的，這使得網(wǎng)絡(luò)的安全性降低。NAT用戶日志的實(shí)現(xiàn)對(duì)于通過NAT訪問Internet的私網(wǎng)用戶，NAT日志