返回
usg配置nat server

usg配置nat server

ID:11846959

大小:571.45 KB

页数:60页

时间:2018-07-14

usg配置nat server_第1页
usg配置nat server_第2页
usg配置nat server_第3页
usg配置nat server_第4页
usg配置nat server_第5页
资源描述:

《usg配置nat server》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、配置server-map表Server-map表是一个通过少量关键元素来记录部分特殊服务连接状态的特殊表项。ASPF(ApplicationSpecificPacketFilter)是指系统为了转发一些多通道协议报文,通过解析报文数据载荷,识别多通道协议自动协商出来的端口号,并自动生成相应的Server-map表项的功能。目的在严格包过滤的情况下,设备通常只允许内网用户单方向主动访问外网。但是在使用NAT或ASPF功能的情况下,可能存在外网用户通过随机端口主动访问内网服务器的情况。由于会话表的五元组限制过于严格,会导致这些特殊服务不能正常运行。引入Server-map表是为了解决这一

2、问题。ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议会在通信过程中自动协商一些随机端口,在严格包过滤的情况下,这些随机端口发出的报文同样不能得到正常转发。通过ASPF功能可以对这些协议的应用层数据进行解析,识别这些协议协商出来的端口号,从而自动为其开放相应的访问规则,解决这些协议不能正常转发的问题。原理描述Server-map表的引入通常情况下,如果在设备上配置严格包过滤,那么设备将只允许内网用户单方向主动访问外网。但在实际应用中,例如使用FTP协议的port方式传输文件时,既需要客户端主动向服务器端发起控制连接,又需要服务器端主动向客户端发起服务器数据连接,如果设

3、备上配置的包过滤为允许单方向上报文主动通过,则FTP文件传输不能成功。为了解决这一类问题,USG设备引入了Server-map表,Server-map用于存放一种映射关系,这种映射关系可以是控制数据协商出来的数据连接关系,也可以是配置NAT中的地址映射关系,使得外部网络能透过设备主动访问内部网络。生成Server-map表之后,如果一个数据连接匹配了Server-map表项,那么就能够被设备正常转发,而不需要去查会话表,这样就保证了某些特殊应用的正常转发。USG设备上生成Server-map表项目前总共有四种情况:·配置ASPF后,转发FTP、RTSP等多通道协议时生成的Server

4、-map表项。·配置ASPF后,转发QQ/MSN、TFTP等STUN类型协议时生成的三元组Server-map表项。·配置NATServer或SLB时生成的静态Server-map。·配置NATNo-PAT时生成的动态Server-map。下面分别对这四种Server-map表进行介绍。端口映射转发多通道协议时生成的Server-map表项转发FTP、RTSP等多通道协议的数据会生成Server-map表项。多通道协议会由客户端和服务器之间的控制通道动态协商出数据通道,即通信双方的端口号是不固定的。而在配置ASPF功能后,设备检测到控制通道的协商,根据关键报文载荷中的地址信息动态创建

5、server-map表项,用于数据通道发起连接时进行查找。这个server-map表项包含了多通道协议报文中协商的数据通道的信息。例如在FTP的port模式中,在FTP客户端随机选择一个数据通道端口号(本例中的2165),并通过控制通道将该端口号发送给FTP服务器后,FTP服务器会直接向该端口发起连接。如果此时配置了ASPF功能,会生成如下Server-map表项:ASPF:40.0.0.5->40.0.0.10:2165,Zone:---Protocol:tcp(Appro:ftp-data),Left-Time:00:00:05,Addr-Pool:---Vpn:public->

6、public其中,tcp(Appro:ftp-data)表示该条Server-map表项用于FTP协议的数据通道的转发。40.0.0.5为源IP地址,即发起连接的FTP服务器的IP地址,40.0.0.10为目的IP地址,即FTP客户端的IP地址。在采用严格包过滤情况下,由于事先没有配置对2165端口允许的包过滤策略,所以如果没有Server-map表项,会导致该连接被阻断。ASPF自动生成Server-map表项后,由于只需要匹配四元组信息,所以就可以实现正常的数据传输了。转发STUN类型协议时生成的三元组Server-map表项转发QQ/MSN等STUN(SimpleTravers

7、alofUDPoverNATs,NAT的UDP简单穿越)类型会生成的三元组Server-map表项。QQ/MSN等协议中,当用户登录之后,用户的IP地址和端口就固定下来了,可是会向该用户发起对话的另一方的IP地址和端口号是不固定的。通过配置STUN类型的ASPF,当QQ或者MSN等用户连接服务器时,设备会记录下用户的IP地址和端口信息,并动态生成STUN类型的Server-map。这个server-map表项中仅包含三元组信息,即通信一方的IP地址,端口号

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。