如何有效测试防火墙的NAT64与ALG应用协议转换能力

时间： 2024-06-25 来源：信而泰XINERTEL知乎

技术问答

在本文开始介绍如何去验证防火墙（DUT）支持NAT64 ALG应用协议转换能力之前，我们先要简单了解2个比较重要的知识点，即，NAT64和ALG这两个家伙到底是什么？

网络世界中的“翻译官” - NAT64技术

简而言之，NAT64技术堪称网络世界的“翻译官”，其核心功能在于实现IPv6与IPv4之间的无缝转换，即能将IPv6协议下的网络语言“翻译”为IPv4所理解的语言，反之亦然。这一转换机制有效促进了两种原本独立的网络体系之间的融合与共存，进而实现顺畅的数据交互，具体来说，NAT64的主要作用有以下几点：

● 实现网络地址转换：NAT64技术巧妙地将IPv6网络地址与IPv4网络地址进行相互转换，无论是从IPv6到IPv4，还是从IPv4到IPv6，均能无缝对接。这一转换机制赋予了IPv6主机访问IPv4资源的能力，同时也为IPv4主机敞开了通往IPv6资源的大门，从而极大地促进了两种不同协议版本网络之间的互联互通。

● 促进IPv6的推广和部署：NAT64技术作为一种先进的过渡方案，有效促进了现有IPv4系统与IPv6系统的顺畅通信，显著降低了对IPv4的依赖，为IPv6的广泛推广和无缝部署奠定了坚实基础。

● 简化网络管理：在IPv6过渡阶段，运营商仅需专注于分配IPv6地址，从而免除了IPv4地址的维护需求，极大地简化了网络管理的复杂流程，提升了整体运营效率。

● 提高安全性：采用NAT64技术的地址转换，可以避免内部网络受到外部攻击，从而提高网络的安全性。

值得注意的是，尽管NAT64技术如同网络世界中的出色“翻译官”，但并非万能无缺。偶尔，它也会遭遇小挑战，如翻译速度放缓，甚至可能导致某些应用程序“情绪化”。想象一下，与外国朋友交流时突然遇到语言障碍或误解，难免令人尴尬。因此，在部署NAT64技术之前，我们必须进行严格的测试。通过模拟各种复杂场景，考察其反应速度和翻译准确性。只有当NAT64技术经受住考验，展现出足够的稳定性和可靠性时，我们才能放心地将其投入使用，确保网络性能持续稳定，不受影响。

“翻译小助手” - ALG技术

而ALG技术算的上是“翻译小助手”了。由于某些应用协议特别敏感，任何细微变动都可能导致其“罢工”，因此ALG专门负责在NAT64翻译过程中为这些应用协议提供“保护伞”，确保它们能够无障碍地“穿越”防火墙。具体来说，ALG技术的作用主要集中在对应用层数据载荷的精细处理上，它能够精准识别并妥善处理典型应用协议IP报文数据载荷中携带的地址和端口信息。在NAT64场景中，地址转换主要聚焦于IP层，而应用层数据载荷中的IP地址则不会被转换，这可能导致某些协议在通信过程中遭遇障碍。而有了ALG这位“翻译小助手”的协助，NAT64能够更有效地解决这一问题，确保网络通信的流畅无阻。

验证防火墙NAT64 ALG应用协议转换能力的测试方法

简单介绍完NAT64和ALG这两个家伙后，我们言归正传，聊聊如何去验证防火墙NAT64 ALG应用协议转换能力。首先，信而泰公司网络应用及安全测试仪DarPeng2000E可以作为有效测试工具，协助完成本次验证测试。

图1 验证防火墙NAT64 ALG应用协议转换能力测试拓扑

如图1所示，分别将DarPeng2000E网络测试仪上的2个测试业务口与被测设备，即防火墙互连。其中，一个测试业务口模拟1个或多个应用协议Client客户端，网络地址类型为IPv6地址，另外一个测试业务口模拟1个或多个应用协议Sever服务器，网络地址类型为IPv4地址。防火墙上除了网络基础配置外，还要配置NAT64前缀及地址转换表，并开启ALG功能，至此验证测试的基础环境就准备完成了，接下来我们再看看网络测试仪中的一些关键配置。

首先，查看网络测试仪ALPS测试软件中的网络邻居列表配置。在保证2个测试业务口的网络地址类型及地址配置正确的前提下，需要将Sever端的网络特殊前缀功能开启，且IPv6前缀配置要与防火墙中的参数保持一致。

图2 ALPS测试软件网络邻居列表配置

其次，创建符合测试要求的应用协议流量，这里以FTP应用协议为例（可以使用测试仪表中的默认流量模版），并且配置CPS性能测试例。

图3 ALPS测试软件测试例应用流量模型配置

这里使用什么类型的应用协议做测试，取决于防火墙中开启的ALG类型，本次测试防火墙ALG配置如下：

测试开始后，可以实时查看到应用协议在NAT64 ALG场景下CPS性能测试统计结果。CPS性能测试时，主要关注TCP Attempt Rate，Establish Rate，Failed Rate，Closed Rate，Concurrent Count这五个统计项。

图4 ALPS测试软件统计结果

最后，我们在网络测试仪Client端和Sever端开启捕获功能，看一下测试过程中报文交互的具体情况。

图5 网络测试仪Client端捕获报文结果

如图5所示，源IPv6地址为2001:db8:405::1235/48且端口号为1329的Client端向目的地址为IPv4 1.1.1.2/24的Sever端发起TCP连接。由于网络测试仪在Sever端配置了特殊的IPv6前缀为3001::/48（与防火墙配置一致），故目的IPv4地址1.1.1.2被内嵌到IPv6前缀地址中了，即，目的地址为ipv6 3001::101:1:200:0:0。

这条IPv6报文流量经过防火墙匹配到NAT64策略后，会将源IPv6地址替换成源IPv4地址。测试过程中通过display firewall ipv6 session table 命令查看防火墙IPv6会话表。会发现源IPv6地址为2001:db8:405::1235/48且端口号为1329，目的IPv6地址为3001::101:1:200:0:0且端口号为21的IPv6报文被转换成源IPv4地址为1.1.1.44且端口号为60944，目的IPv4地址为1.1.1.2且端口号为21的IPv4报文进行转发。

图6 防火墙IPv6会话表

如图7所示，经过NAT64转换后，Client客户端与Sever服务端按照预期通过三次握手成功建立起TCP连接，至此NAT64转换能力验证成功。

图7 网络测试仪Sever端捕获报文结果

我们再来对比一下Client端与Sever端报文中的FTP Request报文，如下图所示，

FTP Request报文载荷中关于IP地址信息同样被转换了，至此验证防火墙支持NAT64 ALG应用协议转换能力测试完成。

DarPeng2000E应用及安全网络测试仪

DarPeng2000E是一款由信而泰精心打造的高性能网络测试仪，专为语音、视频、数据应用及网络安全而设计。它具备卓越的能力，能够精确模拟数百万真实终端用户的网络访问行为，从而针对单个应用层感知设备（如Firewall、IPS、IDS、WAF、DPI等）或整个系统进行深度、全面的压力测试、性能测试及安全测试。此外，DarPeng2000E还支持NAT44、NAT66、NAT46、NAT64及负载均衡等多样化网络场景测试，为网络安全及性能评估提供了全面且可靠的解决方案。

发送到邮箱 |
+1 赞 0
收藏
评论 0
| 转发至：

本文由walkonair转载自信而泰XINERTEL知乎，原文标题为:如何有效测试防火墙的NAT64与ALG应用协议转换能力，本站所有转载文章系出于传递更多信息之目的，且明确注明来源，不希望被转载的媒体或个人可与我们联系，我们将立即进行删除处理。

全部评论（0）

暂无评论

如何使用信而泰BigTao-V系列网络测试仪进行CPU测试？

信而泰推出的BigTao硬件测试平台，BigTao-V系列网络测试仪是面向中低端路由器、交换机及同级别网络转发设备的研发类测试产品。它采用模块化设计，由机箱、板卡和软件三部分组成。该系列网络测试仪可提供2个或6个插槽，支持从10M到400G多种速率的测试模块任意组合

设计经验发布时间 : 2023-12-26

BIERv6测试解析—如何使用信而泰DarYu-X系列高性能网络测试仪进行转发性能测试

DarYu-X系列高性能网络测试仪是信而泰XINERTEL专为满足高端路由器等高端数通设备的测试需求而推出的产品。它不仅拥有卓越的性能、高密度和高速率，还配备了信而泰最新一代基于PCT架构的测试软件RENIX和X2系列测试模块。为网络行业的发展和新一代组播路由技术的应用拓展提供了可靠的技术支持和验证平台。

设计经验发布时间 : 2024-07-11

【经验】如何使用自动化构造随机路由模型

本文中信而泰XINERTEL将为大家介绍如何使用自动化构造随机路由模型。信而泰DarYu-X系列高性能网络测试仪是信而泰推出的面向高端路由器等高端数通设备的测试产品，可为提供路由器组网测试解决方案

设计经验发布时间 : 2023-07-31

信而泰TSN测试仪板卡搭配BigTao220/6200便携式机框，实现车载终端模块GPTP，CBS等测试

现代汽车的电子控制单元很多，达到几十块或上百块，不同的车载终端控制器、TSN交换机等组件共同构成庞大的车载以太网，电子控制单元通过传感器不断接收外界信号，然后发出指令去控制执行器的动作，不同的ECU之间的数据通过CAN总线进行转发。XINERTEL BigTao220/6200网络测试仪搭配V2-1G-8M-TSN测试板卡配合光转T1模块可实现对车载终端模块进行GPTP、CBS等协议测试。

应用方案发布时间 : 2023-11-15

DPDK技术提升网卡吞吐量几何？

2008年，数据平面开发套件DPDK由英特尔公司的网络通信部门提出，主要针对Intel的处理器和网卡开发，是一款高性能的网络驱动组件，旨在为数据面应用程序提供一个简单方便的，完整的，快速的数据包处理解决方案。

技术探讨发布时间 : 2023-12-30

探索802.1X：DarYu-X/BigTao-V系列网络测试仪助力构筑安全网络的认证之盾

信而泰XINERTEL DarYu-X系列和BigTao-V系列网络测试仪在设计上融合了前沿的模块化理念，集成高性能机箱、强大的板卡以及直观易用的软件界面。支持从10M到800G的多速率以太网测试，展示了卓越的灵活性和扩展性，完美应对企业用户不断增加的测试需求和未来业务扩展的挑战。两个平台均支持802.1x协议MD5、TLS、TLS1.1、TLS1.2、TTLS、PEAP这6种方式认证测试。

应用方案发布时间 : 2024-08-27

BigTao-V系列产品手册

型号- V2-10G,V8008D,V6000,V2-10G 系列,BIGTAO-V系列,BIGTAO220,TSN 系列,V2-100G-4QSFP28-D,V2-1G-8M-TSN,V2-100G 系列,V2-400G,V8000,V8004F,V2-400G-2QDD-Q,RENIX,V2-100G-2QSFP28-S,V2-100G-2QSFP28-T,V8008F,V2-100G-2QSFP28-Q,V2-100G-4QSFP28-S,V6016F,V2-100G-4QSFP28-T,V6004F,V2-100G-4QSFP28-Q,DARYU3000,V6000 系列,V6008M,BIGTAO-V,V2-400G 系列,V6016M,V2-100G-2QSFP28-D,TSN,DARYU12000,V2-10G-8C-Q,V8000 系列,V6008C,V2-100G,BIGTAO6200,V6016C,V6004C

数据手册 - XINERTEL - 2022/11/14 PDF 中文下载

DarYu系列高性能网络测试仪提供以太网2~7层的流量测试与协议仿真，支持高性能路由仿真与容量测试

如何客观公正的评估这些新一代安全设备的性能，成为摆在用户面前亟待解决的问题。DarYu系列高性能网络测试仪提供以太网2~7层的流量测试与协议仿真，能够快速的对网络设备的性能进行系统评估，支持RFC2544、RFC2889和RFC3918基准测试，支持高性能路由仿真与容量测试，基于应用层的新建连接、并发连接与吞吐量等性能指标检测。

应用方案发布时间 : 2024-03-28

信而泰精彩亮相2024年中国仪器仪表学会学术年会

2024年7月29日-31日，四川成都国际会议中心迎来了一场学术盛宴——2024年中国仪器仪表学会学术年会。信而泰BigTao220网络测试仪、IP主动监测系统、网络损伤仪等产品以及为高校实验室量身定制的解决方案，成为了展会的焦点。BigTao220以其精确的测试能力和便捷的操作体验，赢得了现场专业人士的赞誉。IP主动监测系统则以其对网络性能的实时监控和精准故障定位，展现了信而泰的深厚功底。

厂牌及品类发布时间 : 2024-08-16

10G-400G以太网测试仪供应商信而泰与世强硬创达成战略合作

信而泰（XINERTEL）网络测试仪支持L2-7层流量、协议仿真，最高支持400G；网络损伤仪最高支持100G速率，还支持8类损伤场景仿真模拟，当前已为各类科研、金融、网络设备厂家、音视频企业等服务。

签约新闻发布时间 : 2023-07-17

国产网络测试仪领导者信而泰应邀参加2022世界半导体大会，其芯片测试方案有效降低芯片研发及生产成本

以“世界芯未来梦”为主题的“2022世界半导体大会”在南京国际博览中心盛大开幕。北京信而泰科技股份有限公司作为国产网络测试仪领导者以及国内领先的网络测试设备和解决方案供应商应邀参展。

厂牌及品类发布时间 : 2023-06-14

使用信而泰ALPS进行网络损伤仿真测试，高效模拟真实的网络损伤场景，将真实世界带入实验室

真实世界的网络面临物理损伤、技术故障、网络拥塞等挑战，增加了脆弱性和复杂性。若忽视这些风险，产品开发完成后可能导致在未预料的网络环境中出现异常或崩溃，影响可靠性和用户体验。信而泰的X-Compass系列网络损伤仿真平台和ALPS应用与安全仿真测试软件平台，能够高效模拟真实网络条件，评估网络应用或协议的表现，优化网络系统、应用和设备的设计和部署。

应用方案发布时间 : 2024-08-16