資源描述:
《usg配置nat server》由會員上傳分享,免費在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1����、配置server-map表Server-map表是一個通過少量關(guān)鍵元素來記錄部分特殊服務(wù)連接狀態(tài)的特殊表項���。ASPF(ApplicationSpecificPacketFilter)是指系統(tǒng)為了轉(zhuǎn)發(fā)一些多通道協(xié)議報文�����,通過解析報文數(shù)據(jù)載荷���,識別多通道協(xié)議自動協(xié)商出來的端口號,并自動生成相應(yīng)的Server-map表項的功能�����。目的在嚴格包過濾的情況下����,設(shè)備通常只允許內(nèi)網(wǎng)用戶單方向主動訪問外網(wǎng)。但是在使用NAT或ASPF功能的情況下�����,可能存在外網(wǎng)用戶通過隨機端口主動訪問內(nèi)網(wǎng)服務(wù)器的情況��。由于會話表的五元組限制過于嚴格�,會導(dǎo)致這些特殊服務(wù)不能正常運行。引入Server-map表是為了解決這一
2����、問題。ASPF是為了解決多通道協(xié)議這種特殊服務(wù)的轉(zhuǎn)發(fā)而引入的����。這些協(xié)議會在通信過程中自動協(xié)商一些隨機端口,在嚴格包過濾的情況下����,這些隨機端口發(fā)出的報文同樣不能得到正常轉(zhuǎn)發(fā)�。通過ASPF功能可以對這些協(xié)議的應(yīng)用層數(shù)據(jù)進行解析��,識別這些協(xié)議協(xié)商出來的端口號����,從而自動為其開放相應(yīng)的訪問規(guī)則,解決這些協(xié)議不能正常轉(zhuǎn)發(fā)的問題����。原理描述Server-map表的引入通常情況下,如果在設(shè)備上配置嚴格包過濾����,那么設(shè)備將只允許內(nèi)網(wǎng)用戶單方向主動訪問外網(wǎng)。但在實際應(yīng)用中�,例如使用FTP協(xié)議的port方式傳輸文件時,既需要客戶端主動向服務(wù)器端發(fā)起控制連接���,又需要服務(wù)器端主動向客戶端發(fā)起服務(wù)器數(shù)據(jù)連接���,如果設(shè)
3、備上配置的包過濾為允許單方向上報文主動通過,則FTP文件傳輸不能成功����。為了解決這一類問題,USG設(shè)備引入了Server-map表���,Server-map用于存放一種映射關(guān)系,這種映射關(guān)系可以是控制數(shù)據(jù)協(xié)商出來的數(shù)據(jù)連接關(guān)系���,也可以是配置NAT中的地址映射關(guān)系�,使得外部網(wǎng)絡(luò)能透過設(shè)備主動訪問內(nèi)部網(wǎng)絡(luò)��。生成Server-map表之后�,如果一個數(shù)據(jù)連接匹配了Server-map表項,那么就能夠被設(shè)備正常轉(zhuǎn)發(fā)����,而不需要去查會話表,這樣就保證了某些特殊應(yīng)用的正常轉(zhuǎn)發(fā)��。USG設(shè)備上生成Server-map表項目前總共有四種情況:·配置ASPF后��,轉(zhuǎn)發(fā)FTP�、RTSP等多通道協(xié)議時生成的Server
4、-map表項?����!づ渲肁SPF后�����,轉(zhuǎn)發(fā)QQ/MSN����、TFTP等STUN類型協(xié)議時生成的三元組Server-map表項?���!づ渲肗ATServer或SLB時生成的靜態(tài)Server-map?�!づ渲肗ATNo-PAT時生成的動態(tài)Server-map���。下面分別對這四種Server-map表進行介紹�����。端口映射轉(zhuǎn)發(fā)多通道協(xié)議時生成的Server-map表項轉(zhuǎn)發(fā)FTP�����、RTSP等多通道協(xié)議的數(shù)據(jù)會生成Server-map表項�。多通道協(xié)議會由客戶端和服務(wù)器之間的控制通道動態(tài)協(xié)商出數(shù)據(jù)通道,即通信雙方的端口號是不固定的�����。而在配置ASPF功能后���,設(shè)備檢測到控制通道的協(xié)商,根據(jù)關(guān)鍵報文載荷中的地址信息動態(tài)創(chuàng)建
5��、server-map表項�,用于數(shù)據(jù)通道發(fā)起連接時進行查找。這個server-map表項包含了多通道協(xié)議報文中協(xié)商的數(shù)據(jù)通道的信息��。例如在FTP的port模式中�����,在FTP客戶端隨機選擇一個數(shù)據(jù)通道端口號(本例中的2165)�,并通過控制通道將該端口號發(fā)送給FTP服務(wù)器后,F(xiàn)TP服務(wù)器會直接向該端口發(fā)起連接�����。如果此時配置了ASPF功能,會生成如下Server-map表項:ASPF:40.0.0.5->40.0.0.10:2165,Zone:---Protocol:tcp(Appro:ftp-data),Left-Time:00:00:05,Addr-Pool:---Vpn:public->
6�、public其中,tcp(Appro:ftp-data)表示該條Server-map表項用于FTP協(xié)議的數(shù)據(jù)通道的轉(zhuǎn)發(fā)�。40.0.0.5為源IP地址,即發(fā)起連接的FTP服務(wù)器的IP地址����,40.0.0.10為目的IP地址,即FTP客戶端的IP地址�����。在采用嚴格包過濾情況下���,由于事先沒有配置對2165端口允許的包過濾策略�,所以如果沒有Server-map表項��,會導(dǎo)致該連接被阻斷��。ASPF自動生成Server-map表項后�����,由于只需要匹配四元組信息,所以就可以實現(xiàn)正常的數(shù)據(jù)傳輸了�。轉(zhuǎn)發(fā)STUN類型協(xié)議時生成的三元組Server-map表項轉(zhuǎn)發(fā)QQ/MSN等STUN(SimpleTravers
7、alofUDPoverNATs����,NAT的UDP簡單穿越)類型會生成的三元組Server-map表項。QQ/MSN等協(xié)議中�,當(dāng)用戶登錄之后,用戶的IP地址和端口就固定下來了�,可是會向該用戶發(fā)起對話的另一方的IP地址和端口號是不固定的。通過配置STUN類型的ASPF�,當(dāng)QQ或者MSN等用戶連接服務(wù)器時,設(shè)備會記錄下用戶的IP地址和端口信息��,并動態(tài)生成STUN類型的Server-map�。這個server-map表項中僅包含三元組信息����,即通信一方的IP地址,端口號
