在本文開始介紹如何去驗(yàn)證防火墻（DUT）支持NAT64 ALG應(yīng)用協(xié)議轉(zhuǎn)換能力之前，我們先要簡單了解2個(gè)比較重要的知識點(diǎn)，即NAT64和ALG這兩個(gè)家伙到底是什么呢？

01網(wǎng)絡(luò)世界中的“翻譯官” - NAT64技術(shù)

簡而言之，NAT64技術(shù)堪稱網(wǎng)絡(luò)世界的“翻譯官”，其核心功能在于實(shí)現(xiàn)IPv6與IPv4之間的無縫轉(zhuǎn)換，即能將IPv6協(xié)議下的網(wǎng)絡(luò)語言“翻譯”為IPv4所理解的語言，反之亦然。這一轉(zhuǎn)換機(jī)制有效促進(jìn)了兩種原本獨(dú)立的網(wǎng)絡(luò)體系之間的融合與共存，進(jìn)而實(shí)現(xiàn)順暢的數(shù)據(jù)交互，具體來說，NAT64的主要作用有以下幾點(diǎn)：

實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換

NAT64技術(shù)巧妙地將IPv6網(wǎng)絡(luò)地址與IPv4網(wǎng)絡(luò)地址進(jìn)行相互轉(zhuǎn)換，無論是從IPv6到IPv4，還是從IPv4到IPv6，均能無縫對接。這一轉(zhuǎn)換機(jī)制賦予了IPv6主機(jī)訪問IPv4資源的能力，同時(shí)也為IPv4主機(jī)敞開了通往IPv6資源的大門，從而極大地促進(jìn)了兩種不同協(xié)議版本網(wǎng)絡(luò)之間的互聯(lián)互通。

推進(jìn)IPV6的推廣和部署

NAT64技術(shù)作為一種先進(jìn)的過渡方案，有效促進(jìn)了現(xiàn)有IPv4系統(tǒng)與IPv6系統(tǒng)的通信流暢，顯著降低了對IPv4的依賴，為IPv6的廣泛推廣和無縫部署奠定了堅(jiān)實(shí)基礎(chǔ)。

簡化網(wǎng)絡(luò)管理

在IPv6過渡階段，運(yùn)營商僅需專注于分配IPv6地址，從而免除了IPv4地址的維護(hù)需求，極大地簡化了網(wǎng)絡(luò)管理的復(fù)雜流程，提升了整體運(yùn)營效率。

提高安全性

采用NAT64技術(shù)的地址轉(zhuǎn)換，可以避免內(nèi)部網(wǎng)絡(luò)受到外部攻擊，從而提高網(wǎng)絡(luò)的安全性。

值得注意的是，盡管NAT64技術(shù)如同網(wǎng)絡(luò)世界中的出色“翻譯官”，但并非萬能無缺。偶爾，它也會遭遇小挑戰(zhàn)，如翻譯速度放緩，甚至可能導(dǎo)致某些應(yīng)用程序“情緒化”。想象一下，與外國朋友交流時(shí)突然遇到語言障礙或誤解，難免令人尷尬。因此，在部署NAT64技術(shù)之前，我們必須進(jìn)行嚴(yán)格的測試。通過模擬各種復(fù)雜場景，考察其反應(yīng)速度和翻譯準(zhǔn)確性。只有當(dāng)NAT64技術(shù)經(jīng)受住考驗(yàn)，展現(xiàn)出足夠的穩(wěn)定性和可靠性時(shí)，我們才能放心地將其投入使用，確保網(wǎng)絡(luò)性能持續(xù)穩(wěn)定，不受影響。

02“翻譯小助手” - ALG技術(shù)

而ALG技術(shù)算的上是“翻譯小助手”了。由于某些應(yīng)用協(xié)議特別敏感，任何細(xì)微變動都可能導(dǎo)致其“罷工”，因此ALG專門負(fù)責(zé)在NAT64翻譯過程中為這些應(yīng)用協(xié)議提供“保護(hù)傘”，確保它們能夠無障礙地“穿越”防火墻。具體來說，ALG技術(shù)的作用主要集中在對應(yīng)用層數(shù)據(jù)載荷的精細(xì)處理上，它能夠精準(zhǔn)識別并妥善處理典型應(yīng)用協(xié)議IP報(bào)文數(shù)據(jù)載荷中攜帶的地址和端口信息。在NAT64場景中，地址轉(zhuǎn)換主要聚焦于IP層，而應(yīng)用層數(shù)據(jù)載荷中的IP地址則不會被轉(zhuǎn)換，這可能導(dǎo)致某些協(xié)議在通信過程中遭遇障礙。而有了ALG這位“翻譯小助手”的協(xié)助，NAT64能夠更有效地解決這一問題，確保網(wǎng)絡(luò)通信的暢通無阻。

03驗(yàn)證防火墻NAT64 ALG應(yīng)用協(xié)議轉(zhuǎn)換能力的測試方法

簡單介紹完NAT64和ALG這兩個(gè)家伙后，我們言歸正傳，聊聊如何去驗(yàn)證防火墻NAT64 ALG應(yīng)用協(xié)議轉(zhuǎn)換能力。首先，信而泰公司網(wǎng)絡(luò)應(yīng)用及安全測試儀DarPeng2000E可以作為有效測試工具，協(xié)助完成本次驗(yàn)證測試。

圖1驗(yàn)證防火墻NAT64 ALG應(yīng)用協(xié)議轉(zhuǎn)換能力測試拓?fù)?

如圖1所示，分別將DarPeng2000E網(wǎng)絡(luò)測試儀上的2個(gè)測試業(yè)務(wù)口與被測設(shè)備，即防火墻互連。其中，一個(gè)測試業(yè)務(wù)口模擬1個(gè)或多個(gè)應(yīng)用協(xié)議Client客戶端，網(wǎng)絡(luò)地址類型為IPv6地址，另外一個(gè)測試業(yè)務(wù)口模擬1個(gè)或多個(gè)應(yīng)用協(xié)議Sever服務(wù)器，網(wǎng)絡(luò)地址類型為IPv4地址。防火墻上除了網(wǎng)絡(luò)基礎(chǔ)配置外，還要配置NAT64前綴及地址轉(zhuǎn)換表，并開啟ALG功能，至此驗(yàn)證測試的基礎(chǔ)環(huán)境就準(zhǔn)備完成了，接下來我們再看看網(wǎng)絡(luò)測試儀中的一些關(guān)鍵配置。

首先，查看網(wǎng)絡(luò)測試儀ALPS測試軟件中的網(wǎng)絡(luò)鄰居列表配置。在保證2個(gè)測試業(yè)務(wù)口的網(wǎng)絡(luò)地址類型及地址配置正確的前提下，需要將Sever端的網(wǎng)絡(luò)特殊前綴功能開啟，且IPv6前綴配置要與防火墻中的參數(shù)保持一致。

圖2 ALPS測試軟件網(wǎng)絡(luò)鄰居列表配置

其次，創(chuàng)建符合測試要求的應(yīng)用協(xié)議流量，這里以FTP應(yīng)用協(xié)議為例（可以使用測試儀表中的默認(rèn)流量模版），并且配置CPS性能測試?yán)?

圖3 ALPS測試軟件測試?yán)龖?yīng)用流量模型配置

這里使用什么類型的應(yīng)用協(xié)議做測試，取決于防火墻中開啟的ALG類型，本次測試防火墻ALG配置如下：

測試開始后，可以實(shí)時(shí)查看到應(yīng)用協(xié)議在NAT64 ALG場景下CPS性能測試統(tǒng)計(jì)結(jié)果。CPS性能測試時(shí)，主要關(guān)注TCP Attempt Rate、Establish Rate、Failed Rate、Closed Rate、Concurrent和 Count這五個(gè)統(tǒng)計(jì)項(xiàng)。

圖4 ALPS測試軟件統(tǒng)計(jì)結(jié)果

最后，我們在網(wǎng)絡(luò)測試儀Client端和Sever端開啟捕獲功能，看一下測試過程中報(bào)文交互的具體情況。

圖5 網(wǎng)絡(luò)測試儀Client端捕獲報(bào)文結(jié)果

如圖5所示，源IPv6地址為2001:db8:405::1235/48且端口號為1329的Client端向目的地址為IPv41.1.1.2/24的Sever端發(fā)起TCP連接。由于網(wǎng)絡(luò)測試儀在Sever端配置了特殊的IPv6前綴為3001::/48（與防火墻配置一致），故目的IPv4地址1.1.1.2被內(nèi)嵌到IPv6前綴地址中了，即，目的地址為ipv63001::101:1:200:0:0。

這條IPv6報(bào)文流量經(jīng)過防火墻匹配到NAT64策略后，會將源IPv6地址替換成源IPv4地址。測試過程中通過display firewall ipv6 session table 命令查看防火墻IPv6會話表。會發(fā)現(xiàn)源IPv6地址為2001:db8:405::1235/48且端口號為1329，目的IPv6地址為3001::101:1:200:0:0且端口號為21的IPv6報(bào)文被轉(zhuǎn)換成源IPv4地址為1.1.1.44且端口號為60944，目的IPv4地址為1.1.1.2且端口號為21的IPv4報(bào)文進(jìn)行轉(zhuǎn)發(fā)。

圖6 防火墻IPv6會話表

如圖7所示，經(jīng)過NAT64轉(zhuǎn)換后，Client客戶端與Sever服務(wù)端按照預(yù)期通過三次握手成功建立起TCP連接，至此NAT64轉(zhuǎn)換能力驗(yàn)證成功。

圖7 網(wǎng)絡(luò)測試儀Sever端捕獲報(bào)文結(jié)果

我們再來對比一下Client端與Sever端報(bào)文中的FTP Request報(bào)文，如下圖所示，

FTP Request報(bào)文載荷中關(guān)于IP地址信息同樣被轉(zhuǎn)換了，至此驗(yàn)證防火墻支持NAT64 ALG應(yīng)用協(xié)議轉(zhuǎn)換能力測試完成。

04DarPeng2000E應(yīng)用及安全網(wǎng)絡(luò)測試儀

DarPeng2000E是一款由信而泰精心打造的高性能網(wǎng)絡(luò)測試儀，專為語音、視頻、數(shù)據(jù)應(yīng)用及網(wǎng)絡(luò)安全而設(shè)計(jì)。它具備卓越的能力，能夠精確模擬數(shù)百萬真實(shí)終端用戶的網(wǎng)絡(luò)訪問行為，從而針對單個(gè)應(yīng)用層感知設(shè)備（如Firewall、IPS、IDS、WAF、DPI等）或整個(gè)系統(tǒng)進(jìn)行深度、全面的壓力測試、性能測試及安全測試。此外，DarPeng2000E還支持NAT44、NAT66、NAT46、NAT64及負(fù)載均衡等多樣化網(wǎng)絡(luò)場景測試，為網(wǎng)絡(luò)安全及性能評估提供了全面且可靠的解決方案。