本帖最后由 杨童 于 2023-9-27 17:39 编辑
NAT44:在原有源NAT的特性上,支持用户溯源功能,通过端口块,为每个源地址分配指定的端口范围,实现溯源效果
举个例子: 运营商的家庭网接入场景下,一个小区的接入宽带使用的可能都是一个公网IP,现在我需要知道这个小区里是哪个家庭访问了bbs.sangfor.com,那就可以使用NAT44实现
在小区出口设备上配置了两个端口块: 端口块1:1025-1089 端口块2:1090-1154
为家庭A分配端口块1,为家庭B分配端口块2
那么即可实现:家庭A内的用户,不论是手机、PC、无线路由器,所有从家庭A发出的报文,在经过出口设备到公网时,都会被进行源地址转换,转换后的源地址为出口设备指定的公网IP+端口(端口只能在1025-1089范围内) 同理,家庭B的报文在出口会进行源地址转换,源地址转换成指定公网IP+端口(端口范围1090-1154)
此时就可以在论坛服务器端或者网络中间审计源端口,判断报文源端口在哪个端口块内,源端口在1025-1089之间,说明是家庭A的用户访问了社区;如果源端口在1090-1154之间,那就说明是家庭B访问的社区
以上就是NAT44的溯源能力的举例
以下介绍AF怎么配置NAT44,怎么配置端口块
AF从正式版本8.0.85开始支持NAT44,配置位置就在源地址转换配置窗口中 注意要选择:转换后数据包-源地址转换为 栏目中的IP范围/指定IP/网络对象选项,才可以设置NAT44端口块 然后选择高级选项的设置,端口预分配选择启用,即可设置端口范围 端口范围只能是1024-65535内 每个端口块的大小最小64最大64512,必须设置成64的整倍数 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-7-7 08:53
技术研究员1级 
