广州睿东网络科技有限公司是国内最专业的香港空间,云主机,香港VPS,香港服务器租用提供商,专注为国内站长提供高速且稳定的香港空间,云主机,香港VPS,香港服务器租用,欢迎您的选购!
当前位置:首页 -> 云服务器 -> 独立IP空间

号外:ALG和NAT的那些事

云服务器 34℃ 1890评论

ALG(Application Level Gateway,应用层网关)。传统的NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析。因此对于一些特殊的报文,报文的数据载荷中可能包含IP地址或端口信息,这些内容不能被NAT进行有效的转换,导致应用失效。

ALG在与NAT(Network Address Translation,网络地址转换)、ASPF(Application Specific Packet Filter,基于应用层状态的包过滤)配合使用的情况下,可以实现地址转换、数据通道检测和应用层状态检查的功能。

目前实现ALG功能的常用应用层协议包括:

[H3C]nat alg ?

  all         Enable ALG for all supported protocols

  dns         Enable ALG for DNS      

  ftp         Enable ALG for FTP   

  h323        Enable ALG for H.323

  icmp-error  Enable ALG for ICMP error packets

  ils         Enable ALG for ILS

  mgcp        Enable ALG for MGCP

  nbt         Enable ALG for NBT

  pptp        Enable ALG for PPTP

  rsh         Enable ALG for RSH

  rtsp        Enable ALG for RTSP

  sccp        Enable ALG for SCCP

  sip         Enable ALG for SIP

  sqlnet      Enable ALG for SQLNET

  tftp        Enable ALG for TFTP

  xdmcp       Enable ALG for XDMCP

 

 

下面以FTP协议为例,给大家描述ALG的工作过程。如下图所示,位于内部网络的客户端以Port方式访问外部网络的FTP服务器,经过中间的防火墙设备进行NAT转换,该设备上使能了ALG特性。

第一步:内网主机跟公网ftp服务器通过TCP三次握手建立控制连接。

第二步:控制连接建立后,内网主机向ftp服务器发送port报文,报文中携带内网主机指定的数据连接的目的ip地址和端口号,用于通知服务器使用该地址和端口和自己进行数据连接建立。

第三步:port报文在经过支持ALG特性的NAT设备时,报文载荷中的私网地址和端口会被转换成对应的公网地址和端口。即私网地址192.168.0.10转换成公网地址50.10.10.10,端口1024转换成5000。

第四步:公网的ftp服务器收到port报文后,向私网主机发起数据连接请求,该请求的目的ip地址为公网地址50.10.10.10,端口为5000。由于该目的地址是一个公网地址,因此后续的数据连接能够成功建立。

 

在设备上可以通过display nat all查看ALG支持的相关协议功能是否开启

<NAT>display nat all

......

NAT ALG:

  DNS        : Enabled

  FTP        : Enabled

  H323       : Enabled

  ICMP-ERROR : Enabled

  ILS        : Enabled

  MGCP       : Enabled

  NBT        : Enabled

  PPTP       : Enabled

  RTSP       : Enabled

  RSH        : Enabled

  SCCP       : Enabled

  SIP        : Enabled

  SQLNET     : Enabled

  TFTP       : Enabled

  XDMCP      : Enabled

......

备注:MSR36-20设备的ALG支持的相关协议功能默认都已经开启。

 

如果要关闭ALG 的功能可以通过undo nat alg实现。

如果要开启ALG相关功能可以通过nat alg实现。

对技术帖内容有任何疑问,请联系官方邮箱:jcit@jiancenj.com,也欢迎广大学员踊跃投稿,一经录用,有稿费酬谢



投诉
喜欢 (1890)

评论

帐  号: 密码: (新用户注册)
验 证 码:
表  情:
内  容: