ACL与NAT技术专题与策略路由.ppt

NAT技术及应用,ACL与NAT技术专题三,本章目标,了解地址转换（NAT）的作用和工作原理了解各种NAT术语理解NAT的各种应用：转换内部LAN地址、复用内部地址、负载均衡和处理地址交叉掌握NAT的配置和排错,中小型企业网络拓扑结构,网络地址转换概述,地址转换的提出背景合法的IP地址资源日益短缺一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用；作为一种安全手段使用。地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务，实现TCP负载均衡功能。,NAT简介NAT Network Address Translation是指将网络地址从一个地址空间转换为另一个地址空间的行为；一种把内部私有网络地址翻译成合法IP地址的技术。NAT的原理改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换NAT将网络划分为内部网络（inside）和外部网络（outside）公有地址：统一分配保证全球唯一私有地址：在内部网络内自行分配，内部唯一NAT的应用对NAT的连接支持有限NAT功能通常被集成到路由器、防火墙,网络地址转换概述,NAT技术的表述词汇,NAT技术中包括几个关键技术术语:Inside、Outside、Local、Global,Internet,外部主机,inside,内部局部地址：指分配给内网上主机的IP地址。内部全局地址：分配给内部主机以用于NAT处理的地址。外部局部址址：外部主机呈现在内网中的地址，私有地址外部全局地址：分配给外部网络上主机的IP地址。外部主机的真实地址,内网访问外网的internet环境动态NATPAT技术外网访问内网的server环境静态NAT,NAT的应用场景及实现方式,NAT的设置方法：(Static NAT）,案例,1、静态地址转换原理静态NAT是建立内部本地地址与内部合法地址进行一对一永久映射。2、静态地址转换原理适用的环境 外部网络需要通定固定的全局路由地址访问内部主机、服务器，为外部用户提供的服务功能。3、静态地址转换工作流程 4、静态地址转换基本配置步骤：1、接口IP地址配置2、指定连接网络的内部端口 在端口设置状态下输入：Ip nat inside 3、指定连接外部网络的外部端口 在端口设置状态下输入：Ip nat outside 4、在内部本地地址与内部合法地址之间建立静态地址转换。在全局下：Ip nat inside source static 内部本地地址 内部合法地址 注：可以根据实际需要定义多个内部端口及多个外部端口。,静态NAT工作流程,Internet,2 NAT转换,NAT转换表,外部主机,外部主机,静态NAT案例,Internet,NAT外部端口,NAT内部端口,内部网络,61.159.62.129,将内部网络地址192.168.100.2-192.168.100.6,第一步：设置外部端口地址Router(config)#interface serial 0/0第二步：设置内部端口地址Router(config)#interface FastEthernet 0/0第三步：在内部本地和内部合法地址之间建立静态地址转换ip nat inside soure static tcp 192.168.10.5 80 68.10.14.2 80 第四步：在内部和外部端口上启用NATRouter(config)#interface serial 0/0Router(config-if)#ip nat outsideRouter(config)#interface fastethernet 0/0Router(config-if)#ip nat inside,静态NAT案例配置,NAT的设置方法：动态地址NAT(Pooled）,1、动态地址转换原理：动态地址转换也是将本地地址与内部合法地址一对一的转换，但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。2、动态NAT工作流程 3、动态地址转换基本配置步骤：（1）、指定与内部网络相连的内部端口：Ip nat inside（2）、指定与外部网络相连的外部端口：Ip nat outside（3）、在全局下，定义内部合法地址池 Ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码（4）、在全局下，定义ACL以允许哪些内部地址可以进行动态地址转换。Access-list 标号 permit 源地址 通配符（5）、在全局下，将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。Ip nat inside source list 访问列表标号 pool内部合法地址池名字,案例,Internet,2 NAT转换,外部主机,外部主机,NAT转换表,动态NAT工作流程,Internet,NAT外部端口,NAT内部端口,内部网络,61.159.62.129,将内部网络地址172.168.100.1-172.168.100.254转换为合法的外部地址61.159.62.130-61.159.62.190,Internet,动态NAT案例,动态NAT配置,配置步骤：第一步：设置外部端口IP地址第二步：设置内部端口IP地址第三步：定义内部网络中允许访问外部的访问控制列表第四步：定义合法IP地址池第五步：指定网络地址转换映射Router(config)#ip nat inside source list 1 pool test0第六步：在内部和外部端口上启用NAT,PAT,使用PAT，可以将多个内部本地地址映射到一个内部全局地址，用“内部全局地址+TCP/UDP端口号”来对应“一个内部主机+端口号”；,Internet,2 NAT转换,外部主机,外部主机,NAT转换表,PAT的工作流程,Internet,NAT外部端口,NAT内部端口,内部网络,61.159.62.129,PAT案例,第一步：设置外部端口IP地址第二步：设置内部端口IP地址第三步：定义内部网络中允许访问外部的访问控制列表第四步：定义合法IP地址池第五步：指定网络地址转换映射Router(config)#ip nat inside source list 1 pool onlyone overload第六步：在内部和外部端口上启用NATRouter(config)#interface serial 0/0Router(config-if)#ip nat outsideRouter(config)#interface fastethernet 0/0Router(config-if)#ip nat inside,PAT案例配置,地址转换过程中，也直接使用接口的IP地址作为转换后的源地址,Internet,PC2,PC1,PC1 和 PC2 可以直接使用 S0接口的IP 地址作为地址转换后的公用IP地址,PAT用法之二:接口复用,Router(config)#ip nat inside source list 1 interface serial0/0 overload,PAT接入与内部服务器发布在R2上配置PAT使内部所有主机能访问外网使用一条静态NAT将WEB的80端发布出来供外部用户访问。,NAT综合应用案例,利用ACL控制地址转换,可以使用访问控制列表来决定哪些主机可以访问Internet，哪些不能。,PC1,NAT实现负载分担在R2上进行NAT配置，使WEB1和WEB2实验负载分担。,NAT应用案例二,负载均衡配置R2(config)#ip nat pool web 192.168.10.5 192.168.10.6 prefix-length 24 type rotary/定义一个 名为WEB的NAT地址池R2(config)#access-list 50 permit 42.18.8.8/创建一个访问控制列表来定义全局地址R2(config)#ip nat inside destination list 50 pool web/链接池和全局地址R2(config)#int f0/0R2(config-if)#ip nat insideR2(config-if)#int f0/1R2(config-if)#ip nat outside,负载均衡配置,NAT解决地址重叠通过在R1上配置NAT，实现两个重叠网段间PCA 通过PCB的域名PING通PCB。,NAT应用案例三,解决地址重叠问题配置,NAT检查与排错,常见问题动态地址池中是否有正确的范围的地址动态地址池中是否有重复的地址静态映射的地址与动态地址池中的地址之间是否有重复访问列表是否指明了要转换的正确地址，是否漏掉一些地址，是否包括了一些不该包括的地址是否指明了正确的内部和外部接口,NAT检查与排错,测试连通性，检查NAT 配置命令show ip nat translationsshow ip nat statisticsNAT的debug调试Routerdebug ip nat Nat:s=10.1.1.1-192.168.2.1,d=172.16.2.2 0 Nat:s=172.16.2.2,d=192.168.2.1-10.1.1.1 0 Nat:s=10.1.1.1-192.168.2.1,d=172.16.2.2 1,清除NAT 配置命令clear ip nat translation*/清除NAT转换表中的所有条目clear ip nat translation inside local-ip global-ip/清除包含内部转换条目clear ip nat translation outside local-ip global-ip/清除包含外部转换条目,NAT总结,优点：节省IP地址，能够处理地址重复的情况，增加了灵活性，消除了地址重新编号，隐藏了内部的IP地址。缺点：增加了延迟，丢失了端到端IP的跟踪过程，不能够支持一些特定的应用程序（如MSN5.0以下版本），需要更多的内存来储存一个NAT表，需要更多的CPU来进行处理NAT的过程。NAT的一些不足 由于NAT对IP和TCP/UDP报文的处理，使得一些服务在使用上会出现异常1 信头的checksum需要重新计算2 IPSec等加密服务由于不能让NAT修改Ip报头，所以会工作异常3 ICMP报文被修改4 DNS解析时需要静态的NAT5 FTP需要服务器打开被动模式，并采用PASV传送文件NAT的应用：静态NAT、动态NAT、静态PAT、PATNAT的典型应用，重点掌握PAT和内部服务器发布掌握NAT的配置和排错,策略路由技术专题,策略路由,公司在两个外网出口，希望VLAN2和VLAN3通过不同的出口上网,策略路由,路由映射路由映射（路由图）router-map，路由映射与访问列表十分相似，它们都包含匹配确定数据包细节的准则、许可及拒绝这些数据包的操作。策略路由策略路由-PBR(Policy Based Routing)只不过是复杂的静态路由。可以基于源IP转发，还可以通过router-map 连接到扩展列表，基于协议和端口转发。策略路由位于IP层，在做IP转发前，如果报文命中某个策略路由对应的规则，则要进行相应的策略路由的动作。,策略路由,配置策略路由定义router-maproute-map ISP permit 10match ip address 1set interface Serial0/0route-map ISP permit 20match ip address 2set interface Serial0/1应用到接口interface FastEthernet1/0ip policy route-map ISP,控制层面和转发层面,路由器的控制层面和转发层面控制层面：路由协议邻居建立路由信息发起路由信息传播CPU路由计算路由表转发层面：数据包接收入处理查找路由表数据包转发出处理数据包发送,控制层面和转发层面,入方向数据包处理包过滤（允许、拒绝）。QOS（打QOS标记、流量限速）。URPF（反向路径检查）策略路由（改变下一跳）无类路由查找（最长掩码匹配）IP包的目标地址和路由表中的路由的子网掩码进行与运算。运算结果和路由的目标网络相同时，即为选中。继续查找路由表中的更优路由，以满足最长掩码匹配原则 选择最优的路由进行数据包转发,控制层面和转发层面,出方向数据包处理包过滤（允许、拒绝）。NAT（地址转换）。IPSec（加密）分片（报文分片）QOS（队列调度、流量整形）,流量匹配,流量匹配与流量动作 流量匹配：使用ACL对数据流进行匹配。流量动作：对匹配了ACL的流量进行相应动作。入方向动作：允许、拒绝、打QOS标记、限速、改变下一跳出方向动作：允许、拒绝、NAT、IPSec、QOS队列调度、流量整形 流量匹配可匹配条件 目的MAC、源MAC、类型、VLAN ID、COS。源IP、目标IP、协议、IP包大小、IP QOS。TCP/UDP源端口、TCP/UDP目标端口应用层协议、应用层内容 常用的匹配条件五元组：源IP、目标IP、协议、源端口、目标端口,策略路由配置,实验需求：在R4做策略路由：将从192.168.1.0/24来的所有数据走S0，从192.168.2.0/24来的所有数据走S3。,用ACL区分数据流全局模式下定义策略路由route-map PBR permit 10（定义一个名字叫PBR的routemap。10表示编号。）match ip address 1（匹配被ACL1所定义的IP包）set ip next-hop 10.1.1.2（指定下一跳地址为10.1.1.2）route-map PBR permit 20（定义名字叫PBR的routemap。20表示编号）match ip address 2（匹配被ACL2所定义的IP包）set ip next-hop 10.2.2.2（指定下一跳地址为10.2.2.2）将策略绑定到数据入口接口上interface s1 ip policy route-map PBR使用扩展traceroute命令测试数据所经过的路径,双出口NAT,R1实现双出口NAT，并对内网上网流量进行分流，两个出口互为主备，自动切换,双出口NAT,出口路由ip route 0.0.0.0 0.0.0.0 202.96.1.2ip route 0.0.0.0 0.0.0.0 202.96.2.2 50PBR分流route-map P-2 permit 10 match ip address 1 set ip next-hop interface F1/0ip policy route-map P-1,双出口NAT,NATroute-map NAT-1 permit 10match interface Serial0/0/要求S0/0为UProute-map NAT-2 permit 10match interface Serial0/1ip nat inside source route-map NAT-1 interface Serial0/0 overloadip nat inside source route-map NAT-2 interface Serial0/1 overload,双出口NAT,配置接口interface Serial0/0ip address 202.96.1.1 255.255.255.0 ip nat outsideinterface Serial0/1 ip address 202.96.2.1 255.255.255.0 ip nat outsideinterface FastEthernet1/0 ip address 192.168.1.1 255.255.255.0 ip nat inside,