FAQ:中低端防火墙NAT业务端口复用功能说明

发布时间:  2012-10-22 浏览次数:  186 下载次数:  0
问题描述
N/A
告警信息
N/A
处理过程
N/A
根因
1、技术实现背景:NAT端口复用功能是我司防火墙的专利技术,以往做NAT时,一个NAT地址的有效端口在4.5万左右,即一个NAT地址可以提供4.5万条会话,对于一个要求200万条会话的局点则要求至少提供45个NAT地址,虽然NAT技术已经大大减少的公网地址的消耗,但一个NAT地址只能提供4.5万条会话还不能完全满足部分运营商最大限度节省公网地址的迫切要求。因此Eudemon1000E防火墙设计了NAT端口复用功能。
2、实现方式:只要访问的源地址或目的地址不同,即使原来的NAT原话中已经使用过某个端口,仍然可以继续复用该端口。举例如下:
NAT地址为1.1.1.1
源地址192.168.0.1访问2.2.2.2的TCP80端口时使用了1.1.1.1的22222号端口。
1)当192.168.0.2访问2.2.2.2的TCP23端口时仍然可以使用1.1.1.1的22222号端口。
2)当192.168.0.2也访问2.2.2.2的TCP80端口时不能再使用1.1.1.1的22222号端口,需要使用其他端口号;即目的端口一样时NAT后源端口不能一样。在这里要注意一种极端情况,全部的内网地址都同时访问同一目的地址的同一端口时,由于端口无法复用,因此也只能创建4.5万条左右的会话。因此一般建议配置NAT地址要大于1个。
3)当192.168.0.1访问3.3.3.3时仍然可以使用1.1.1.1的22222号端口。
3、设备处理机制:Eudemon1000E采用5元组(源端口,源地址,目的地址,目的端口,协议号)建立和查找session表。所以即使公网地址+公网端口出现重复,只要目的地址或目的端口不一样,防火墙就能够查找到正确的session表,转发相应的报文。在防火墙上使用NAT outbound做NAT时,对于不同的流,可以出现NAT转换后的IP和端口都相同的情况。因此地址复用技术原则上只需要一到两个NAT地址就可以满足无限条会话的需求。
建议与总结
N/A

END