0108 NAT故障处理Word格式文档下载.docx

1、172.16.0.0172.31.255.255192.168.0.0192.168.255.255这三个范围内的IP地址不会在Internet上分配，但可在一个单位或公司内部使用。不同企业的内部网络地址可以相同。如果一个公司选择上述三个范围之外的其它网段作为内部网络地址，在需要与Internet或公网主机通信时可能会造成混乱。网络地址转换如图8-1所示，描述了一个基本的NAT应用。图8-1 地址转换示意图NAT服务器（例如Eudemon防火墙）处于私有网络和公有网络的连接处。当内部PC（192.168.1.3）向外部服务器（202.120.10.2）发送一个数据报1时，数据报将通过NAT服务

2、器。NAT进程查看报头内容，发现该数据报是发往外部网络的。那么它将数据报1的源地址字段的私有地址192.168.1.3换成一个可在Internet上选路的公有地址202.169.10.1，并将该数据报发送到外部服务器，同时在网络地址转换表中记录这一映射。外部服务器给内部PC发送应答报文2（其初始目的地址为202.169.10.1），到达NAT服务器后，NAT进程再次查看报头内容，然后查找当前网络地址转换表的记录，用原来的内部PC的私有地址192.168.1.3替换目的地址。Eudemon防火墙的NAT机制地址转换的机制是将内部网络主机的IP地址和端口替换为Eudemon的外部网络地址和端口，以

3、及从Eudemon的外部网络地址和端口转换为内部网络主机的IP地址和端口。也就是与之间的转换。Eudemon防火墙设备引入了一个安全概念区域，这是防火墙区别于路由器的主要特征。区域是一个或多个接口的组合，具有相应的安全级别。在防火墙设备上，由Trust区域向Untrust域和DMZ域主动发起连接时，NAT检测相应的数据连接是否需要进行NAT转换。如果要进行NAT转换，在IP转发的出口处完成，报文的源地址（私有地址）被转换成公网地址。在IP层的入口处，NAT对回复报文进行还原，报文的目的地址（公网地址）被还原成内网地址。8.1.2 NAT的特点用户使用NAT地址转换功能时，感觉不到地址的变化，也

4、即地址转换对用户来说是透明的。NAT的优点包括：可以使一个局域网中的多台主机使用少数的合法地址访问外部的资源，也可以设定内部的www、FTP、Telnet等服务提供给外部网络使用，解决了IP地址日益短缺的问题；为内部主机提供了“隐私”（Privacy）保护。NAT的缺点包括：由于需要对数据报文进行IP地址的转换，涉及IP地址的数据报的报头不能被加密。在应用协议中，如果报文中有地址或端口需要转换，则报文不能被加密。例如，不能使用加密的FTP连接，否则FTP的port命令不能被正确转换；网络调试变得更加困难。比如，某一台内部网络的主机试图攻击其它网络，则很难指出究竟是哪一台机器是恶意的，因为主机的

5、IP地址被屏蔽了。本节介绍如下的内容：典型组网环境配置注意事项故障诊断流程故障处理步骤8.2.1 典型组网环境NAT网络地址转换的典型组网如图8-2所示，故障处理将基于该网络。图8-1 NAT网络地址转换组网图在此组网图中，PC机位于内网一侧，通过NAT网关访问外部网络。8.2.2 配置注意事项配置项子项注意事项配置ACLACL Rule配置合适的ACL协议类型、源IP地址和目标IP地址范围，以及相应的端口号等规则配置地址池Nat Address Group配置用于地址转换的地址池，指定地址池编号和可用的起始地址、结束地址配置在域间视图下将访问控制列表和NAT地址池关联Outbound指定NA

6、T为Outbound模式，进行地址转换ACL Number指定需要绑定的ACL编号Address Group Number指定需要绑定的地址池编号No PAT指定是否使用No PAT模式配置NAT ALGNAT ALG使能需要使用的协议ALG标志下面以防火墙的配置为例说明配置NAT Outbound时需要注意的事项。ACL的配置允许来自192.168.1.0网段的主机访问目标端口为23，基于TCP协议的Telnet服务，该ACL规则编号为3000。acl number 3000 rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination

7、-port eq telnet地址池部分的配置配置起始IP地址为13.1.1.2，结束IP地址为13.1.1.10，编号为0的地址池。nat address-group 0 13.1.1.2 13.1.1.10配置NAT Outbound模式下ACL和地址池关联当192.168.1.0网段的主机访问外部网络的Telnet服务时，该网段的TCP报文在经过NAT网关后，源地址会被转换为地址池13.1.1.213.1.1.10中的某一个IP，从接口Ethernet1/0/1发送出去。 firewall zone trust add interface Ethernet 2/0/1firewall z

8、one untrust add interface Ethernet 1/0/1firewall interzone trust untrust nat outbound 3000 address-group 0配置后，内网的192.168.1.0网段的主机可以通过NAT网关访问外部网络的Telnet服务。由于ACL规则对报文的目的端口做了限制，因此主机只能进行Telnet访问。所有经过NAT网关的报文的源地址都会被指定的地址池中的一个IP所替代。其他网段或其他协议的报文不能够通过NAT网关到达外部网络，这些报文会被丢弃。上述配置命令只包含NAT Outbound部分的命令。详细的配置请参见E

9、udemon 300/500/1000防火墙 操作手册。8.2.3 故障诊断流程针对图8-2所示的网络，在完成配置后发现内网用户不能访问外网。请使用下面的故障诊断流程，如图8-3所示。图8-1 NAT网络地址转换故障流程图8.2.4 故障处理步骤步骤 1检查NAT网关上是否有正确的会话信息。执行命令display firewall session table检查NAT网关是否建立了正确的会话表项。例如：Eudemon display firewall session tableicmp: vpn:0,192.168.1.201:76846.1.1.14:25290-46.1.1.64:768查

10、看会话信息中关于协议、地址和端口的信息是否正确。方括号中表示的是经过NAT后的IP地址和端口，该地址应该是地址池中配置的地址之一。还可以通过命令display firewall session table verbose查看关于会话的详细信息，例如关于会话TTL值等信息：Eudemon display firewall session table verbose icmp, vpn:0, 192.168.1.201:768- 46.1.1.14:25290-25290 tag: 0x80000980, State: 0x0, ttl: 00:00:20 left:19步骤 2检查NAT网关到外

11、网目的主机的可达性。先ping外网目的地址来验证NAT网关和该目的主机之间是否连通。如果NAT网关ping不通外网的目的主机，进行以下检查。1.检查NAT网关上是否配置了到达外网的正确路由。如果内网用户需要访问的外网目的地址和NAT网关的外网接口不在一个网段，且NAT网关上没有相应的路由。可能需要在该防火墙上配置静态路由，使内网的报文经过NAT后，可以通过正确的接口转发出去。如果内网用户需要访问的外网地址和NAT网关的外网接口在同一个网段，无需配置静态路由。可以通过display ip routing-table命令来查看当前的路由表信息，例如：Eudemon display ip routi

12、ng-tableRouting Tables: Public netDestination/Mask Proto Pre Cost NextHop Interface 15.1.1.1/32 Direct 0 0 15.1.1.1 Ethernet2/0/0 15.1.1.2/32 Direct 0 0 127.0.0.1 InLoopBack0 46.1.1.0/24 Direct 0 0 46.1.1.14 Ethernet4/0/1 46.1.1.14/32 Direct 0 0 127.0.0.1 InLoopBack0 127.0.0.0/8 Direct 0 0 127.0.0.1

13、 InLoopBack0 127.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0 192.168.1.0/24 Direct 0 0 192.168.1.14 Ethernet4/0/2 192.168.1.14/32 Direct 0 0 127.0.0.1 InLoopBack0 2.检查NAT网关的外网接口上是否配置了正确的地址或地址池。请检查NAT网关的外网接口上的IP地址值是否正确。地址池的配置需要注意：避免外网目的地址和地址池中的地址重复。例如，内网用户需要访问外网的IP地址202.99.6.3，那么地址池不应该配置成202.99.6.1202.

14、99.6.10，否则会影响报文的正常转发。可以通过display nat address-group命令来查看地址池配置信息。Eudemon display nat address-groupNAT address-group information: 0 : from 15.1.1.1 to 15.1.1.10, reference 0 times 1 : from 133.1.1.1 to 133.1.1.20, reference 0 times Total 2 address-groups步骤 3检查NAT网关绑定的ACL的规则。ACL导致NAT不正常工作的常见原因有：没有配置合适的地

15、址、协议、端口等策略，导致内网报文无法送出或者外网报文无法进入。查看当前所有ACL配置的命令是display acl all。Eudemon display acl all Total nonempty acl number is 2Advanced ACL 3000, 3 rulesAcls step is 5 rule 5 permit ip source 15.1.1.2 0 destination 15.1.1.1 0 （8 times matched） rule 6 permit ip source 15.1.1.1 0 destination 15.1.1.2 0 （32 time

16、s matched） rule 10 deny ip （25458 times matched）Advanced ACL 3001, 1 rule rule 5 permit ip source 192.168.1.0 0.0.0.255 （9 times matched）可以通过ACL中每一条规则被匹配的次数，判断是否有符合该规则的报文通过NAT，从而观察该ACL规则是否生效。ACL规则一般配置比较严格，只根据具体的组网需求开放特定的地址段、协议或端口。当配置了NAT后，如果内网主机无法ping通外网的主机，注意检查ACL规则中是否允许ICMP协议报文通过。当某种协议的报文无法通过NAT网关

17、时，先检查ACL中是否配置了允许该类报文通过的规则。步骤 4检查内网主机的网关或路由配置。如果前几步检查都没有问题，但NAT还是无法正常工作，需要检查内网主机上是否配置了正确的路由或者网关，使得发向外网的报文可以发送到NAT网关。如果此时问题还未解决，请执行步骤5。步骤 5检查内网主机是否能ping通NAT网关。如果内网主机ping不通NAT网关，还需要检查防火墙内网接口地址和内网主机的IP地址是否正确，以及它们之间的物理连接是否正常。如果此时问题还未解决，请执行步骤6。步骤 6检查相应协议的ALG标志是否使能。当内网的主机访问外网某些特定协议的服务时，例如，FTP或者H.323，无法正常传送

18、文件数据或者音频、视频数据时，请检查相应协议ALG标志是否使能。以使能FTP的ALG功能为例，需要在域间视图下执行detect ftp命令。相应协议的ALG使能后，再尝试访问外网的对应服务。如果故障仍然没有解决，请联系华为的技术支持工程师。-结束8.3.1 典型组网环境如图8-4所示，在内部网中有多台服务器需要提供对外的服务，它们将被配置为NAT内部服务器，由NAT将它们的内网地址和端口映射到外网的地址和端口。图8-1 内部服务器典型组网环境8.3.2 配置注意事项配置NAT ServerProtocol常用的是TCP、UDP和ICMP三种协议Global address and Port作为

19、NAT Server的外网地址和端口，外网的主机应该可以访问到该地址和端口Inside address and Port用于提供实际服务的主机内网IP地址和端口vpn-instance绑定VPN多实例的NAT Server下面以防火墙的配置说明配置NAT Server时需要注意的事项。NAT server的部分配置nat server protocol tcp global 46.1.1.66 www inside 10.110.10.2 www将内网地址为10.110.10.2，端口为80的web server映射到外网地址为46.1.1.66，端口为80的NAT Server，当从外网主机

20、ping 46.1.1.66 这个地址时，不会得到回应，因为该NAT Server仅基于TCP协议，对于ICMP报文不会作出相应处理。8.3.3 故障诊断流程针对图8-4所示的网络，在完成配置后，发现外网用户无法访问NAT Server提供的服务。请使用下面的故障诊断流程，如图8-5所示。图8-1 NAT服务器故障诊断流程图8.3.4 故障处理步骤步骤 1NAT Server上是否有正确的会话信息。执行命令display firewall session table检查NAT Server是否有正确的会话信息，通过该命令可以查看NAT是否建立起了正确的会话信息来对报文进行地址转换，例如：0,1

21、0.110.10.2:请注意查看会话信息中关于协议、地址和端口的信息是否正确。方括号中表示的是经过NAT后的IP地址和端口，该地址和端口应该是NAT Server配置的外网地址和端口。 10.110.10.2:步骤 2确保内网服务器上的服务正常运行。当从外网无法访问NAT Server所提供的服务时，先确认内网服务器上的相应的服务（例如HTTP Server，FTP Server等）是否打开。可以从内网其他主机上尝试访问内网服务器，以确保相应服务正在运行。步骤 3检查外网主机和NAT Server外网接口之间的连接及配置。请检查NAT Server外网接口上的IP地址以及为NAT Server

22、配置的外网IP地址是否正确，例如，没有和其他该网段的地址发生冲突。从外网主机上ping NAT Server的外网接口，确保外网主机到NAT Server之间的连通。在其他配置都没有问题的情况下NAT Server还是无法正常访问，请检查内网服务器上是否配置了正确的路由或者网关，使得发向外网的报文可以正确的送到NAT网关。如果内网主机ping不通NAT网关，请检查防火墙内网接口地址和内网主机的IP地址是否正确，以及它们之间的物理连接是否正常。步骤 6检查NAT Server的配置是否正确。如果还是无法正常访问NAT Server，请仔细检查NAT Server是否配置了正确的协议、端口和地址信

23、息。查看NAT Server的配置，可以使用命令：display nat server。Eudemon display nat serverServer in private network information: GlobalAddr GlobalPort InsideAddr InsidePort Pro VPN RefInterface:Ethernet4/0/1 46.1.1.66 80（www） 10.110.10.2 80（www） 6（tcp） （1） Total 1 NAT servers特别需要注意的是被映射的内网地址和端口是否正确。某些服务传送报文数据时，会使用到多个端口

24、（有些端口是随机产生的），例如FTP和TFTP，因此当为这些服务配置NAT Server时，应该把对端口的限制放开，使得内部服务器可以正常提供服务。当防火墙在内网接口和外网接口配置了VPN Instance时，配置在外网接口的NAT Server也应该绑定对应的VPN Instance，这样才可以保证在VPN Instance的环境中能够正常提供内部服务器的功能。Eudemon interface ethernet4/0/1Eudemon-Ethernet4/0/1 ip binding vpn-instance huaweiEudemon-Ethernet4/0/1 ip address 4

25、6.1.1.14 255.255.255.0Eudemon nat server protocol tcp global 46.1.1.66 any inside 10.110.10.2 any vpn-instance huawei 关于VPN Instance的详细配置请参见Quidway Eudemon 300/500/1000防火墙 操作手册。本节介绍如下的故障处理案例：内网主机无法访问外网FTP Server外网主机无法访问HTTP NAT Server8.4.1 内网主机无法访问外网FTP Server网络环境在图8-6中，防火墙上配置了NAT Outbound，使内网10.2.1

26、.0/24网段的用户可以访问外网。使用ACL 3000确保只有来自10.2.1.0/24网段内网用户可以访问外网。配置后发现IP地址为10.2.1.2的PC机不能访问外网IP地址为202.99.8.75的FTP Server。图8-1 NAT Outbound故障处理案例图故障分析内网PC机不能ping通NAT网关的内网接口10.2.1.1，但从NAT网关可以ping通外网的服务器202.99.8.75，推测PC上的路由设置不正确。将PC上的路由设置好后，PC可以ping通10.2.1.1，但仍然无法正常访问FTP Server，在NAT网关查看会话信息，发现没有任何创建的会话。检查ACL的配

27、置，发现ACL 3000的配置为：rule 5 permit ip source 10.1.1.0 0.0.0.255很明显该配置有误，修改为：rule 5 permit ip source 10.2.1.0 0.0.0.255继续使用PC访问FTP Server，可以正常建立控制连接，但无法进行数据传送。查看NAT上的会话信息，只有一条从内网PC到FTP Server 21端口的会话，没有建立数据连接会话。检查ALG FTP的设置，发现FTP标志位置为disable。使能ALG FTP功能，再尝试从内网PC访问外网FTP Server，一切正常，可以传送文件。处理步骤步骤 1检查内网PC能否ping通NAT网关的内网接口10.2.1.1。如果内网PC机不能ping通NAT网关的内网接口，但从NAT网关可以ping通外网的服务器202.99.8.75，推测PC上的路由设置不正确。将PC上的路由设置好后，PC可以ping通