Nat类型检测

STUN检测NAT类型原理

STUN是RFC3489规定的一种NAT穿透方式，它采用辅助的方法探测NAT的IP和端口。毫无疑问的，它对穿越早期的NAT起了巨大的作用，并且还将继续在ANT穿透中占有一席之地。

STUN的探测过程需要有一个公网IP的STUN Server，在NAT后面的UAC（User Agent Client）必须和此Server配合，互相之间发送若干个UDP数据包。UDP包中包含有UAC需要了解的信息，比如NAT外网 IP，PORT等等。UAC通过是否得到这个UDP包和包中的数据判断自己的NAT类型。

假设有如下UAC（B），NAT（A），STUN SERVER（C），UAC的IP为IPB，NAT的IP为IPA，SERVER的IP为IPC1、IPC2。请注意，STUN 服务器C有两个IP，后面你会理解为什么需要两个IP。

STEP1：

B向C的IP1的port1端口发送一个UDP包。C收到这个包后，会把它收到包的源IP和port写到UDP包中，然后把此包通过IP1和port1发还给B。这个IP和port也就是NAT的外网IP和port，也就是说UAC在STEP1中就得到了NAT的外网IP。

如果在UAC向一个STUN服务器发送数据包后，

STUN检测NAT类型原理

STUN是RFC3489规定的一种NAT穿透方式，它采用辅助的方法探测NAT的IP和端口。毫无疑问的，它对穿越早期的NAT起了巨大的作用，并且还将继续在ANT穿透中占有一席之地。

STUN的探测过程需要有一个公网IP的STUN Server，在NAT后面的UAC（User Agent Client）必须和此Server配合，互相之间发送若干个UDP数据包。UDP包中包含有UAC需要了解的信息，比如NAT外网 IP，PORT等等。UAC通过是否得到这个UDP包和包中的数据判断自己的NAT类型。

假设有如下UAC（B），NAT（A），STUN SERVER（C），UAC的IP为IPB，NAT的IP为IPA，SERVER的IP为IPC1、IPC2。请注意，STUN 服务器C有两个IP，后面你会理解为什么需要两个IP。

STEP1：

B向C的IP1的port1端口发送一个UDP包。C收到这个包后，会把它收到包的源IP和port写到UDP包中，然后把此包通过IP1和port1发还给B。这个IP和port也就是NAT的外网IP和port，也就是说UAC在STEP1中就得到了NAT的外网IP。

如果在UAC向一个STUN服务器发送数据包后，

NAT配置实例

一、网络拓扑

说明：用作NAT的路由器不能用不带型号的路由器，本实例用的是AR1220。 二、配置目标： 在R1上配置NAT，使得192.168.2.0/24及192.168.3.0/24的PC机，可以通过将私网地址转换为公网地址（220.173.141.1-3/29）而访问ISP的lo1假设PC3的IP地址为192.168.2.253，通过NAT将该地址静态绑定到220.173.141.5，使lo1以通过220.173.141.5这个IP地址访问到PC3。 三、配置步骤

1、配置PC机。按下表配置三个IP机，子网掩码均为255.255.255.0。 设备 IP地址 默认网关 PC1 192.168.2.2 192.168.2.254 PC2 192.168.3.4 192.168.3.254 PC3 192.168.3.253 192.168.3.254 2、LSW１配置 (1) 划分vlan 2，并将e0/0/1划分到vlan 2。相关配置命令如下：

sys [Huawei]vlan 2

[Huawei-vlan2]int e0/0/1

[Huawei-Ethernet0/0/1]port link-type acce

HCNE练习八

ACL配置

1. 访问控制列表配置中，操作符“gt portnumber”表示控制的是（ ） A.端口号小于此数字的服务 B.端口号大于此数字的服务 C.端口号等于此数字的服务 D.端口号不等于此数字的服务

2. 某台路由器上配置了如下一条访问列表 access-list 4 deny 202.38.0.0 0.0.255.255 access-list 4 permit 202.38.160.1 0.0.0.255 表示：（ ） A.只禁止源地址为202.38.0.0网段的所有访问 B.只允许目的地址为202.38.0.0网段的所有访问

C.检查源IP地址，禁止202.38.0.0大网段的主机，但允许其中的202.38.160.0小网段上的主机

D.检查目的IP地址，禁止202.38.0.0大网段的主机，但允许其中的202.38.160.0小网段的主机

3. 对防火墙如下配置： firwell enable 端口配置如下 interface Serial0

ip address 202.10.10.1 255.255.255.0 link-protocol ppp nat en

NAT配置实例

一、网络拓扑

说明：用作NAT的路由器不能用不带型号的路由器，本实例用的是AR1220。 二、配置目标： 在R1上配置NAT，使得192.168.2.0/24及192.168.3.0/24的PC机，可以通过将私网地址转换为公网地址（220.173.141.1-3/29）而访问ISP的lo1假设PC3的IP地址为192.168.2.253，通过NAT将该地址静态绑定到220.173.141.5，使lo1以通过220.173.141.5这个IP地址访问到PC3。 三、配置步骤

1、配置PC机。按下表配置三个IP机，子网掩码均为255.255.255.0。 设备 IP地址 默认网关 PC1 192.168.2.2 192.168.2.254 PC2 192.168.3.4 192.168.3.254 PC3 192.168.3.253 192.168.3.254 2、LSW１配置 (1) 划分vlan 2，并将e0/0/1划分到vlan 2。相关配置命令如下：

sys [Huawei]vlan 2

[Huawei-vlan2]int e0/0/1

[Huawei-Ethernet0/0/1]port link-type acce

防火墙路由引入

需要的设备：三个路由器、一个交换机、一个ASA防火墙

交换机上的配置 SW1> SW1>en

SW1#vlan database SW1(vlan)#vlan 2 VLAN 2 added:

Name: VLAN0002 SW1(vlan)#vlan 3 VLAN 3 added:

Name: VLAN0003 SW1(vlan)# SW1(vlan)#exit SW1#conf t

SW1(config)#int f0/2

SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config-if)#int f0/11

SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config)#int range f0/3 , f0/12

SW1(config-if-range)#switchport mode acc SW1(config-if-range)#switchport mode

防火墙路由引入

需要的设备：三个路由器、一个交换机、一个ASA防火墙

交换机上的配置 SW1> SW1>en

SW1#vlan database SW1(vlan)#vlan 2 VLAN 2 added:

Name: VLAN0002 SW1(vlan)#vlan 3 VLAN 3 added:

Name: VLAN0003 SW1(vlan)# SW1(vlan)#exit SW1#conf t

SW1(config)#int f0/2

SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config-if)#int f0/11

SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config)#int range f0/3 , f0/12

SW1(config-if-range)#switchport mode acc SW1(config-if-range)#switchport mode

实验九 NAT配置

一、实验目的

掌握Basic NAT的配置方法 掌握NAPT的配置方法 掌握Easy IP的配置方法 掌握NAT Server的配置方法

二、实验描述及组网图

网络迅速发展，IPv4地址不敷使用，为了解决IPv4地址短缺的问题，IETF提出了NAT解决方案。

NAT技术主要作用是将私有地址转换成公有地址。Basic NAT虽然可以实现私有地址和公有地址的转换但不如NAPT普及，NAPT采用端口号更能提高公网IP的利用效率，适用与私网作为客户端访问公网服务器的场合；Easy IP配置最为简单，一般用于拨号接入Internet或动态获得IP地址的场合；NAT Server则用于私网对外提供服务，由公网主动向私网设备发起连接的场合。

实验组网如图所示，实验使用两台主机(PC_A,PC_B)、三台MSR路由器(jiance1, jiance2, jiance3)。

PC_A,PC_B位于私网，网关为jiance1。jiance2为NAT设备，有一个私网接口S1/0和一个公网接口E1/0,公网接口与公网路由器jiance3互连，地址池范围是：200.1.1.11~200.1.1.11。公网jiance3上loopbac

实验九 NAT配置

一、实验目的

掌握Basic NAT的配置方法 掌握NAPT的配置方法 掌握Easy IP的配置方法 掌握NAT Server的配置方法

二、实验描述及组网图

网络迅速发展，IPv4地址不敷使用，为了解决IPv4地址短缺的问题，IETF提出了NAT解决方案。

NAT技术主要作用是将私有地址转换成公有地址。Basic NAT虽然可以实现私有地址和公有地址的转换但不如NAPT普及，NAPT采用端口号更能提高公网IP的利用效率，适用与私网作为客户端访问公网服务器的场合；Easy IP配置最为简单，一般用于拨号接入Internet或动态获得IP地址的场合；NAT Server则用于私网对外提供服务，由公网主动向私网设备发起连接的场合。

实验组网如图所示，实验使用两台主机(PC_A,PC_B)、三台MSR路由器(jiance1, jiance2, jiance3)。

PC_A,PC_B位于私网，网关为jiance1。jiance2为NAT设备，有一个私网接口S1/0和一个公网接口E1/0,公网接口与公网路由器jiance3互连，地址池范围是：200.1.1.11~200.1.1.11。公网jiance3上loopbac

配置server-map表

Server-map表是一个通过少量关键元素来记录部分特殊服务连接状态的特殊表项。

ASPF（Application Specific Packet Filter）是指系统为了转发一些多通道协议报文，通过解析报文数据载荷，识别多通道协议自动协商出来的端口号，并自动生成相应的Server-map表项的功能。

目的

在严格包过滤的情况下，设备通常只允许内网用户单方向主动访问外网。但是在使用NAT或ASPF功能的情况下，可能存在外网用户通过随机端口主动访问内网服务器的情况。由于会话表的五元组限制过于严格，会导致这些特殊服务不能正常运行。引入Server-map表是为了解决这一问题。 ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议会在通信过程中自动协商一些随机端口，在严格包过滤的情况下，这些随机端口发出的报文同样不能得到正常转发。通过ASPF功能可以对这些协议的应用层数据进行解析，识别这些协议协商出来的端口号，从而自动为其开放相应的访问规则，解决这些协议不能正常转发的问题。

原理描述

Server-map表的引入

通常情况下，如果在设备上配置严格包过滤，那么设备将只允许内网用户单方向主动访问外网。但在实际