j'ai compris

[Dr.WoW] [No.18] Source NAT-part 2

publié il y a  2020-3-31 23:05:02 22 0 0 0

4 Mode d'adresse de l'interface de sortie (Easy-IP)

En mode d'adresse d'interface de sortie, l'adresse IP publique de l'interface de sortie est utilisée pour la traduction d'adresse. Plusieurs utilisateurs du réseau privé partagent la même adresse IP publique. Par conséquent, la traduction de port est également effectuée. Ce mode peut être considéré comme une variante de NAPT.

Lorsque la sortie d'un pare-feu obtient l'adresse IP publique via une connexion à distance, vous ne pouvez pas ajouter l'adresse IP publique au pool d'adresses car l'adresse publique est obtenue dynamiquement. Dans ce cas, vous devez configurer le mode d'adresse de l'interface de sortie afin que les adresses puissent être traduites lorsque l'adresse IP publique change. Le mode d'adresse de l'interface de sortie simplifie le processus de configuration et est donc appelé easy-IP, disponible sur les séries USG2000, USG5000 et USG6000.

Easy-IP ne nécessite pas de pool d'adresses NAT ni de route de trou noir. Tout ce dont vous avez besoin est de spécifier l'interface sortante dans la stratégie d'adresse NAT, comme le montre la figure 1-4.

Figure 1-4 Réseau Easy-IP


[Dr.WoW] [No.18] Source NAT-part 2-1326977-1


La configuration est la suivante:

1.          Configurez une stratégie NAT.

[FW] nat-policy interzone trust untrust outbound

[FW-nat-policy-interzone-trust-untrust-outbound] policy 1

[FW-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-nat-policy-interzone-trust-untrust-outbound-1] action source-nat

[FW-nat-policy-interzone-trust-untrust-outbound-1] easy-ip GigabitEthernet1/0/2   //Specify the outgoing interface.

[FW-nat-policy-interzone-trust-untrust-outbound-1] quit

[FW-nat-policy-interzone-trust-untrust-outbound] quit


2.          Configurez une politique de sécurité.

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-1] action permit

[FW-policy-interzone-trust-untrust-outbound-1] quit

[FW-policy-interzone-trust-untrust-outbound] quit


Les utilisateurs du réseau privé peuvent accéder au serveur Web. Si vous affichez les sessions sur le pare-feu, vous pouvez voir les informations suivantes:

Affichage [FW]   table de session de pare-feu

[FW] display  firewall session table

Current Total Sessions : 2

  http  VPN:public --> public 192.168.0.2:2054[202.1.1.1:2048]-->210.1.1.2:80

  http  VPN:public --> public 192.168.0.3:2054[202.1.1.1:2049]-->210.1.1.2:80


De la table de session, nous pouvons voir que les deux adresses IP privées ont été traduites en adresse IP publique (202.1.1.1) de l'interface de sortie et le port est également traduit. Si d'autres utilisations sur le réseau privé accèdent au serveur Web, les adresses sont également traduites en 202.1.1.1 et le port est traduit en différents ports pour distinguer les utilisateurs.

Comme NAPT, easy-IP ne génère aucune entrée de mappage de serveur.

5 Smart NAT

Comme nous l'avons mentionné précédemment, NAP No-PAT est une traduction d'adresse un-à-un, ce qui signifie qu'une adresse publique dans le pool d'adresses ne peut être utilisée que par un seul utilisateur de réseau privé. Si toutes les adresses publiques sont utilisées, les autres utilisateurs ne peuvent pas accéder à Internet. Alors, que se passe-t-il si d'autres utilisateurs souhaitent accéder à Internet? La solution est un NAT intelligent.

Smart NAT intègre les avantages de NAT No-PAT et NAPT. Le mécanisme est le suivant:

Supposons que le pool d'adresses ait N adresses IP, l'une d'entre elles est réservée et les adresses restantes forment la section d'adresse 1. Pendant la traduction d'adresse, les adresses de la section 1 sont préférentiellement utilisées pour la traduction d'adresse un à un. Lorsque les adresses IP de la section 1 sont épuisées, l'adresse IP réservée est utilisée pour NAPT (traduction d'adresse plusieurs-à-un).

Nous pouvons considérer le NAT intelligent comme un NAP No-PAT amélioré car le NAT intelligent surmonte la limitation du NAT No-PAT. Dans NAT No-PAT, les autres utilisateurs ne peuvent pas accéder à Internet si le nombre d'utilisateurs accédant à Internet est égal au nombre d'adresses publiques dans le pool d'adresses jusqu'à ce que les adresses publiques utilisées soient libérées (les sessions expirent).

Si la même situation se produit dans le NAT intelligent, d'autres utilisateurs peuvent partager l'adresse IP publique réservée pour accéder à Internet.

Smart NAT est disponible sur USG9500 V300R001. Par conséquent, la série USG9500 est utilisée comme exemple pour décrire la configuration NAT intelligente, comme illustré à la figure 1-5.

Figure 1-5 Mise en réseau Smart NAT


[Dr.WoW] [No.18] Source NAT-part 2-1326977-2

Le processus de configuration détaillé est le suivant:

1.       Configurez un pool d'adresses NAT.

[FW] groupe d'adresses nat 1

[FW-address-group-1] mode no-pat local

[FW-address-group-1] smart-nopat 202.1.1.3      // adresse réservée

[FW-address-group-1] section 1 202.1.1.2 202.1.1.2    // Cette section ne peut pas contenir l'adresse réservée.

[FW-address-group-1] quitter

2.       Configurez une stratégie NAT.

[FW] nat-policy interzone trust untrust outbound

[FW-nat-policy-interzone-trust-untrust-outbound] policy 1

[FW-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-nat-policy-interzone-trust-untrust-outbound-1] action source-nat

[FW-nat-policy-interzone-trust-untrust-outbound-1] address-group 1   //Reference the NAT address pool.

[FW-nat-policy-interzone-trust-untrust-outbound-1] quit

[FW-nat-policy-interzone-trust-untrust-outbound] quit


3.       Configurez une politique de sécurité.

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-1] action permit

[FW-policy-interzone-trust-untrust-outbound-1] quit

[FW-policy-interzone-trust-untrust-outbound] quit


4.       Configurez les itinéraires de trou noir.

[FW] ip route-static 202.1.1.2 32 NULL 0

[FW] ip route-static 202.1.1.3 32 NULL 0


Si un utilisateur du réseau privé accède au serveur Web, les informations de session sur le pare-feu ressemblent:

[FW] display firewall session table

Current total sessions: 1

 Slot: 2 CPU: 3

  http  VPN:public --> public 192.168.0.2:2053[202.1.1.2:2053]-->210.1.1.2:80


Dans le tableau des sessions, nous pouvons voir que l'adresse IP privée a été traduite en une adresse IP publique dans la section 1 et le port n'est pas traduit.

D'autres utilisateurs du réseau privé peuvent également accéder au serveur Web. Si vous affichez les sessions sur le pare-feu, vous pouvez voir les informations suivantes:

[FW] display firewall session table

Current total sessions: 3

 Slot: 2 CPU: 3

  http  VPN:public --> public 192.168.0.2:2053[202.1.1.2:2053]-->210.1.1.2:80

  http  VPN:public --> public 192.168.0.3:2053[202.1.1.3:2048]-->210.1.1.2:80

  http  VPN:public --> public 192.168.0.4:2053[202.1.1.3:2049]-->210.1.1.2:80


Du tableau de session, nous pouvons voir que les deux adresses IP privées ont été traduites en adresse IP publique réservée et le port est également traduit. Autrement dit, NAPT est effectué pour les deux utilisateurs. NAPT est effectué à l'aide de l'adresse IP publique réservée uniquement lorsque les adresses IP publiques (à l'exception de l'adresse réservée) dans le pool d'adresses sont épuisées.

Jetons un coup d'œil à la table de mappage du serveur. Smart NAT comprend NAT No-PAT. Par conséquent, les entrées de mappage de serveur associées sont générées.

[FW] display firewall server-map

 ServerMap item(s) on slot 2 cpu 3

 ------------------------------------------------------------------------------

 Type: No-Pat,  192.168.0.2[202.1.1.2] -> ANY,  Zone: untrust

 Protocol: ANY(Appro: unknown),  Left-Time:00:05:55,  Pool: 1, Section: 1

 Vpn: public -> public  

 

 Type: No-Pat Reverse,  ANY -> 202.1.1.2[192.168.0.2],  Zone: untrust 

 Protocol: ANY(Appro: unknown),  Left-Time:---,  Pool: 1, Section: 1  

 Vpn: public -> public 


6 Triplet NAT

Nous avons appris quatre types de NAT source, parmi lesquels NAPT est le plus largement utilisé. Le NAT source allège non seulement l'épuisement des adresses publiques, mais masque également les véritables adresses de réseau privé, améliorant également la sécurité. Cependant, ces implémentations NAT ne fonctionnent pas bien avec le P2P, qui est largement utilisé dans le partage de fichiers, les communications vocales et le transfert vidéo. Lorsque NAT rencontre P2P, ce n'est pas un NAT-P2P rose. Au lieu de cela, le résultat est que vous ne pouvez pas utiliser P2P pour télécharger les derniers films ou chat vidéo.

Pour résoudre ce problème, nous avons besoin du triplet NAT. Pour comprendre le triplet NAT, nous devons d'abord comprendre le mécanisme P2P et les problèmes des services P2P si NAPT est activé.

Comme le montre la figure 1-6, les services P2P s'exécutent à la fois sur PC2 et PC2. Pour exécuter les services P2P, les deux clients doivent échanger des messages avec le serveur P2P pour la connexion et l'authentification. Le serveur P2P enregistre les adresses et les ports des clients. Si PC1 réside sur un réseau privé, le pare-feu exécute NAPT pour les paquets destinés de PC1 au serveur P2P. Par conséquent, l'adresse et le port client enregistrés sur le serveur P2P sont l'adresse et le port publics post-NAT. Lorsque PC2 télécharge un fichier, le serveur P2P envoie à PC2 l'adresse IP et le port du client sur lequel réside le fichier demandé (par exemple, l'adresse et le port de PC1). Ensuite, PC2 envoie une demande à PC1 et commence à télécharger le fichier.

Figure 1-6 Processus d'interaction du service P2P

[Dr.WoW] [No.18] Source NAT-part 2-1326977-3


L'interaction semble parfaite. Cependant, deux problèmes existent:

1.          PC1 envoie périodiquement des paquets au serveur P2P et NAPT est exécuté sur ces paquets. Par conséquent, l'adresse et le port changent après NAPT. Par conséquent, l'adresse et le port de PC1 stockés sur le serveur P2P doivent être constamment mis à jour, ce qui affecte le fonctionnement des services P2P.

2.          Plus important encore, le mécanisme de transfert du pare-feu détermine que les paquets renvoyés par le serveur P2P au PC1 ne peuvent traverser le pare-feu que lorsqu'ils correspondent à la table de session. D'autres hôtes, tels que PC2, ne peuvent pas initier l'accès à PC1 via l'adresse et le port post-NAT. Par défaut, les politiques de sécurité sur le pare-feu ne permettent pas à ces paquets de passer.

Triplet NAT peut parfaitement résoudre ces deux problèmes car le triplet NAT présente les deux caractéristiques suivantes:

1.          Le port post-NAT est stable.

Pendant une période de temps après que PC1 a accédé au serveur P2P, le port post-NAT sera le même lorsque PC1 accédera à nouveau au serveur P2P ou accédera à d'autres hôtes sur Internet.

2.          L'accès initié à partir d'Internet est pris en charge.

PC2 peut obtenir l'adresse et le port post-NAT de PC1 pour initier l'accès à l'adresse et au port, que PC1 ait ou non accédé à PC2. Les paquets d'accès initiés de PC2 à PC1 sont autorisés, même lorsqu'aucune politique de sécurité n'est configurée sur le pare-feu pour ces paquets.

Ces fonctionnalités du triplet NAT prennent en charge les services P2P. Triplet NAT est disponible sur USG9500 V300R001. La configuration NAT du triplet est décrite comme suit, comme le montre la figure 1-7 .


REMARQUE

Pour les pare-feu des séries USG2000, USG5000 et USG6000, les ASPF définis par l'utilisateur peuvent être configurés pour garantir que les services P2P sont normaux.

Figure 1-7 Réseau NAT Triplet

[Dr.WoW] [No.18] Source NAT-part 2-1326977-4


La configuration NAT triplet est décrite comme suit. Les itinéraires Blackhole ne peuvent pas être configurés. Sinon, les services seront interrompus.

1.          Configurez un pool d'adresses NAT.

[FW] nat address-group 1

[FW-address-group-1] mode full-cone local     //Set the mode to triplet NAT.

[FW-address-group-1] section 1 202.1.1.2 202.1.1.3

[FW-address-group-1] quit


2.          Configurez une stratégie NAT.

[FW] nat-policy interzone trust untrust outbound

[FW-nat-policy-interzone-trust-untrust-outbound] policy 1

[FW-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-nat-policy-interzone-trust-untrust-outbound-1] action source-nat

[FW-nat-policy-interzone-trust-untrust-outbound-1] address-group 1   //Reference the NAT address pool.

[FW-nat-policy-interzone-trust-untrust-outbound-1] quit

[FW-nat-policy-interzone-trust-untrust-outbound] quit


3.          Configurez une politique de sécurité.

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-1] action permit

[FW-policy-interzone-trust-untrust-outbound-1] quit

[FW-policy-interzone-trust-untrust-outbound] quit


Lorsque les clients P2P sur le réseau privé accèdent au serveur P2P, les informations de session sur le pare-feu ressemblent:

[FW] display firewall session table

 Current total sessions: 1

 Slot: 2 CPU: 3

 tcp VPN: public --> public 192.168.0.2:4661[202.1.1.2:3536] --> 210.1.1.2:4096


De la table de session, nous pouvons voir que l'adresse IP privée du client P2P a été traduite en une adresse IP publique et le port est également traduit. Jetons maintenant un œil à la table de mappage du serveur.


REMARQUE

?        La zone Untrust dans la table de mappage de serveur est générée car le paramètre local dans la commande locale de mode cône complet est spécifié. Si la commande est globale en mode cône complet, la zone n'est pas spécifiée, ce qui indique que les zones de sécurité ne sont pas restreintes.

?        Pour plus d'informations sur le champ FullCone dans la table de mappage de serveur, voir 4.1.9 Lectures complémentaires .

[FW] display firewall server-map

 ServerMap item(s) on slot 2 cpu 3

 ------------------------------------------------------------------------------

 Type: FullCone Src,  192.168.0.2:4661[202.1.1.2:3536] -> ANY,  Zone: Untrust

 Protocol: tcp(Appro: ---),  Left-Time:00:00:58,  Pool: 1, Section: 0

 Vpn: public -> public  

 Hotversion: 2

  

 Type: FullCone Dst,  ANY -> 202.1.1.2:3536[192.168.0.2:4661],  Zone: Untrust

 Protocol: tcp(Appro: ---),  Left-Time:00:00:58,  Pool: 1, Section: 0  

 Vpn: public -> public 

 Hotversion: 2


De la table de mappage de serveur, nous pouvons voir que deux entrées de mappage de serveur sont générées pour le triplet NAT: une entrée de mappage de serveur source (FullCone Src) et une entrée de mappage de serveur de destination (FullCone Dst). Les fonctions des deux entrées sont décrites comme suit:

  • Entrée de carte du serveur source (FullCone Src)

Avant l'expiration des entrées, l'adresse et le port après la traduction d'adresse sont 202.1.1.2:3536 lorsque PC1 accède à n'importe quel hôte de la zone non fiable, garantissant la cohérence du port.

  • Entrée de carte du serveur de destination (FullCone Dst)

Avant l'expiration des entrées, tout hôte de la zone non fiable peut accéder au port 4661 sur PC1 via 202.1.1.2:3536, ce qui signifie que les clients P2P sur Internet peuvent établir une connexion avec PC1.

Par conséquent, les entrées de mappage de serveur source et de destination permettent au triplet NAT de prendre en charge les services P2P. À partir des entrées de mappage de serveur source et de destination, nous pouvons voir que seules l'adresse IP source et le port et le protocole sont impliqués dans le NAT triplet, et c'est pourquoi il est appelé NAT "triplet".

Comme nous l'avons mentionné, l'entrée de mappage de serveur de destination permet aux clients P2P sur Internet d'initier des connexions à PC1. Certains peuvent se demander si les entrées de mappage de serveur générées dans le triplet NAT sont les mêmes que celles dans ASPF afin que les paquets correspondant aux entrées ne soient pas soumis au contrôle des politiques de sécurité? Il y a plus à dire. Pour le triplet NAT, les pare-feu prennent également en charge la fonction de filtre indépendant des points d'extrémité. La commande est la suivante.


REMARQUE

Dans la commande, le paramètre indépendant du point de terminaison signifie que la traduction d'adresse est indépendante de la traduction d'adresse et de port à l'autre extrémité. Ce paramètre peut être considéré comme un autre nom pour le triplet NAT. Sur les pare-feu Huawei, cette commande contrôle si des politiques de sécurité sont nécessaires pour examiner les paquets en triplet NAT.

[FW] activation du filtre indépendant du point de terminaison du pare-feu

Une fois le filtre indépendant du point de terminaison activé, les paquets correspondant à l'entrée de mappage de serveur de destination peuvent passer par le pare-feu sans être mis en correspondance avec les stratégies de sécurité. Si la fonction est désactivée, les paquets correspondant aux entrées de mappage de serveur de destination doivent également être mis en correspondance avec les politiques de sécurité pour déterminer s'ils sont autorisés. Par défaut, la fonction de filtrage indépendante du point de terminaison est activée. C'est pourquoi les clients P2P sur Internet peuvent établir des connexions à PC1 sur le réseau privé.




Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici .


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise
Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.