LargescaleNetworkPPTchap08v1.0.ppt
第八章 网络地址转换(NAT),理论部分,课程回顾,内容回顾VLAN和Trunk的作用?STP的选举过程?ACL的种类及其作用?HSRP的工作原理及其配置?,2,技能展示,理解NAT的实现方式理解NAT的工作过程了解NAT所支持的数据流了解NAT的各种应用会配置NAT会分析并排查各类NAT故障,3,本章结构,网络地址转换,NAT概述,NAT的概念与实现方式,NAT的术语与转换表,NAT实现方法的工作过程,NAT的特性,NAT的配置,静态NAT,动态NAT,PAT,验证NAT配置,NAT的应用,NAT实现网络访问,虚拟服务器的实现,NAT的双线接入,NAT故障处理,4,NAT概述,地址转换出现的背景NAT的工作原理Network Address Translation,网络地址转换NAT实现方式静态转换(Static Translation)动态转换(Dynamic Translation)端口多路复用(Port Address Translation,PAT),5,NAT术语与转换表,NAT包含4类地址,内部局部地址,外部局部地址,外部全局地址,NAT的转换条目简单转换条目扩展转换条目,内部全局地址,6,NAT实现方法的工作过程2-1,静态转换和动态转换,Internet,10.1.1.1,10.1.1.2,172.20.7.3外部主机B,NAT,NAT转换表,1,2,3,4,5,7,NAT实现方法的工作过程2-2,PAT,Internet,10.1.1.1,10.1.1.2,172.20.7.3外部主机B,NAT,NAT转换表,1,2,3,4,5,8,NAT的特性,NAT的优点节省公有合法IP地址处理地址重叠增强灵活性安全性NAT的缺点延迟增大配置和维护的复杂性不支持某些应用,9,NAT支持的数据流,10,NAT配置,NAT配置步骤1、接口IP地址配置2、使用访问控制列表定义哪些内部主机能做NAT3、决定采用什么公有地址,静态或地址池Router(config)#ip nat pool pool-name star-ip end-ip netmask netmask|prefix-length prefix-length type rotary4、指定地址转换映射Router(config)#ip nat inside source static local-ip global-ip extendableRouter(config)#ip nat inside source list access-list-number pool pool-name overload5、在内部和外部端口上启用NAT,定义地址池,静态NAT地址映射,动态NAT或PAT地址映射,11,静态NAT配置3-1,将内网地址192.168.100.2、192.168.100.3静态转换为合法的外部地址61.159.62.131、61.159.62.132,以便访问外网或被外网访问,12,静态NAT配置3-2,设置外部端口的IP地址:Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.248设置内部端口的IP地址:Router(config)#interface FastEthernet 1/0Router(config-if)#ip address 192.168.100.1 255.255.255.0建立静态地址转换Router(config)#ip nat inside source static 192.168.100.2 61.159.62.130Router(config)#ip nat inside source static 192.168.100.3 61.159.62.131在内部和外部端口上启用NATRouter(config)#interface FastEthernet 0/0Router(config-if)#ip nat outsideRouter(config)#interface FastEthernet 1/0Router(config-if)#ip nat inside配置默认路由Router(config)#ip route 0.0.0.0 0.0.0.0 61.159.62.129,13,静态NAT配置3-3,Internet,192.168.100.2,192.168.100.3,155.34.2.3,NAT,NAT转换表,192.168.100.1,61.159.62.130,14,NAT映射,同一内部局部地址映射到多个内部全局地址Router(config)#ip nat inside source static local-ip global-ip extendable配置实例Router(config)#ip nat inside source static tcp 192.168.100.2 61.159.62.131 extendableRouter(config)#ip nat inside source static tcp 192.168.100.2 61.159.62.132 extendable,15,NAT端口映射,NAT端口映射Router(config)#ip nat inside source static protocol local-ip UDP/TCP-port global-ip UDP/TCP-port extendableNAT端口映射配置示例Router(config)#ip nat inside source static tcp 192.168.100.2 80 61.159.62.131 80 extendableRouter(config)#ip nat inside source static tcp 192.168.100.3 80 61.159.62.131 8080 extendable,16,动态NAT配置3-1,将内部地址172.168.100.2172.168.100.254转换为合法地址61.159.62.13161.159.62.190,以便访问Internet,17,动态NAT配置3-2,设置外部端口的IP地址:Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.192 设置内部端口的IP地址:Router(config)#interface FastEthernet 1/0Router(config-if)#ip address 172.168.100.1 255.255.255.0定义内部网络中允许访问外部网络的访问控制列表 Router(config)#access-list 1 permit 172.168.100.0 0.0.0.255定义合法IP地址池Router(config)#ip nat pool test0 61.159.62.131 61.159.62.190 netmask 255.255.255.192实现网络地址转换Router(config)#ip nat inside source list 1 pool test0在内部和外部端口上启用NAT,以及配置默认路由与静态NAT配置相同,18,动态NAT配置3-3,Internet,172.168.100.2,172.168.100.3,155.34.2.3,NAT,NAT转换表,172.168.100.1,61.159.62.130,19,PAT配置3-1,将内部网络地址10.1.1.110.1.1.254转换为合法的地址61.159.62.131/29,以便访问Internet,20,PAT配置3-2,设置外部端口的IP地址:Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.192 设置内部端口的IP地址:Router(config)#interface FastEthernet 1/0Router(config-if)#ip address 10.1.1.1 255.255.255.0定义内部网络中允许访问外部网络的访问控制列表 Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255定义合法IP地址池Router(config)#ip nat pool onlyone 61.159.62.131 61.159.62.131 netmask 255.255.255.248实现网络地址转换Router(config)#ip nat inside source list 1 pool onlyone overload在内部和外部端口上启用NAT,以及配置默认路由与静态NAT配置相同,overload进行端口转换,21,PAT配置3-3,Internet,10.1.1.2,10.1.1.3,155.34.2.3,NAT,NAT转换表,10.1.1.1,61.159.62.130,22,复用路由器外部接口地址,直接使用接口的IP地址作为转换后的源地址Router(config)#ip nat inside source list 1 interface FastEthernet 0/0 overload,复用路由器外网接口地址作为转换后的源地址,23,NAT配置实例,需求描述配置静态NAT实现外网能够访问公司内网服务器配置PAT实现公司内部主机能够访问外网,NAT,ISP,192.168.2.2/24,192.168.2.1/24,192.168.1.2/24,10.0.0.2/30,192.168.1.1/24,10.0.0.1/30,207.35.14.83/24,207.35.14.1/24,公司内网,外部网络,24,验证NAT配置,查看NAT转换条目Router#show ip nat translations verboseverbose:显示详细的NAT转换条目信息,查看NAT统计信息Router#show ip nat statistics,静态NAT条目,PAT动态条目,协议,内部全局地址,内部局部地址,外部局部地址,外部全局地址,NAT转换条目的创建时间、使用时间、超时时间值,静态NAT条目永远存在,25,NAT转换条目超时时间,默认情况下UDP超时值:5分钟DNS超时值:1分钟TCP超时值:24小时更改超时时间配置Router(config)#ip nat translation dns-timeout|icmp-timeout|tcp-timeout|udp-timeout seconds|never,26,清除NAT转换条目,清除NAT转换表中的所有条目Router#clear ip nat translation*清除包含内部转换的转换条目Router#clear ip nat translation inside local-ip global-ip清除包含外部转换的转换条目Router#clear ip nat translation outside local-ip global-ip,静态NAT条目不能被清除,27,小结,请思考:NAT的实现方式?NAT的配置步骤?NAT的4类地址分别是什么?,28,NAT实现网络访问,需求分析根据拓扑图配置NAT实现公司访问Internet配置静态NAT实现外网访问内部服务器,29,虚拟服务器(服务分配)的实现,需求分析内部多台提供不同服务的服务器,对外通过一个IP地址实现访问,30,NAT的双线接入,需求分析提高公司内网访问Internet的速度内部服务器分别转换成ISP1和ISP2地址,确保用户更快速的访问服务器使用访问网站所在ISP的NAT地址池进行地址转换,实施注意事项ACL的配置,确保区分不同ISP的地址范围静态NAT的配置,使用extendable参数路由的配置,配置明细路由和浮动路由实现路由选路和备份,31,NAT故障处理2-1,常见问题ACL阻止转换后的流量进行地址转换的ACL不全overload参数漏配不对称路由问题动态地址池IP地址范围配置错误动态地址池与静态转换地址重叠Inside和outside接口配置错误,32,NAT故障处理2-2,NAT故障的排除检查物理设备和NAT配置通过show命令查看NAT的各种信息通过debug ip nat命令跟踪NAT操作,s192.168.4.2表示源地址是192.168.4.2。d1.1.1.1表示目的地址是1.1.1.1。192.168.4.2-145.52.23.2表示将地址192.168.4.2转换为 145.52.23.2,33,总结,网络地址转换,NAT概述,NAT的概念与实现方式,NAT的术语与转换表,NAT实现方法的工作过程,NAT的特性,NAT的配置,静态NAT,动态NAT,PAT,验证NAT配置,NAT的应用,NAT实现网络访问,虚拟服务器的实现,NAT的双线接入,NAT故障处理,34,上机部分,第八章 网络地址转换(NAT),实验案例1:配置NAT实现公司互通2-1,需求描述总公司和分公司内网能够访问Internet总公司Web服务器需要公网和分公司访问,36,实验案例1:配置NAT实现公司互通2-2,实现思路使用PAT技术实现公司内网访问Internet使用静态NAT技术实现外网访问总公司服务器学员练习,30分钟完成,37,实验案例2:配置双线接入路由器2-1,需求描述访问不同的IP地址使用不同的ISP线路不同ISP的用户通过不同地址访问内网服务器,38,实验案例2:配置双线接入路由器2-2,实现思路配置不同的ACL区分地址转换时使用不同的地址池通过浮动路由和明细路由实现路由选路和备份服务器使用8080端口学员练习,50分钟完成,39,