《网络工程师NAT》PPT课件.ppt

上传人：牧羊曲112

文档编号：5569298

上传时间：2023-07-29

格式：PPT

页数：25

大小：2.54MB

《《网络工程师NAT》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《网络工程师NAT》PPT课件.ppt（25页珍藏版）》请在三一办公上搜索。

1、网络地址转换（NAT）,网络地址转换(NAT),IP 地址可以是本地（Local）地址或全局(Global)地址。本地 IPv4 地址在网络内部可见。全局 IPv4 地址在网络外部可见。,端口地址转换(PAT),转换内部源地址,NAT术语,Inside local address(内部本地地址)：一个Inside网络中的设备，在Inside的IP地址，即内部主机的实际地址Inside global address(内部全局地址)：一个Inside网络中的设备，在Outside的IP地址，即内部主机经NAT转换后去往外部的地址Outside local address(外部本地地址)：一个Out

2、side网络中的设备，在Inside的IP地址，即外部主机由NAT设备转换后的地址Outside global address(外部全局地址)：一个Outside网络中的设备，在Outside的IP地址，即外部主机的真实地址,建立内部本地地址与内部全局地址间的静态转换,RouterX(config)#ip nat inside source static local-ip global-ip,将该接口标记为连接内部网络的接口,RouterX(config-if)#ip nat inside,将该接口标记为连接外部网络的接口,RouterX(config-if)#ip nat outside,显

3、示活动的转换,RouterX#show ip nat translations,配置和检验静态转换,启用静态 NAT 地址映射示例,RouterX#show ip nat translations Pro Inside global Inside local Outside local Outside global-192.168.1.2 10.1.1.2-,interface s0ipip nat outside!interface e0ipip nat inside!ip nat,建立动态源转换，指定上一步定义的 ACL,RouterX(config)#ip nat inside sour

4、ce listaccess-list-number pool name,定义可根据需要进行分配的全局地址池,RouterX(config)#ip nat pool name start-ip end-ipnetmask netmask|prefix-length prefix-length,定义允许那些要被转换的内部本地地址的标准 IP ACL,RouterX(config)#access-list access-list-number permitsource source-wildcard,显示活动的转换,RouterX#show ip nat translations,配置和检验动态转换

5、,动态地址转换示例,RouterX#show ip nat translations Pro Inside global Inside local Outside local Outside global-172.19.233.209 192.168.1.100-172.19.233.210 192.168.1.101-,过载内部全局地址(PAT),配置过载,建立动态源转换，指定上一步定义的 ACL,RouterX(config)#ip nat inside source listaccess-list-number interface interface overload,定义允许那些要被转

6、换的内部本地地址的标准 IP ACL,RouterX(config)#access-list access-list-number permitsource source-wildcard,显示活动的转换,RouterX#show ip nat translations,过载内部全局地址示例,RouterX#show ip nat translations Pro Inside global Inside local Outside local Outside global TCP 172.17.38.1:1050 192.168.3.7:1050 10.1.1.1:23 10.1.1.1:2

7、3 TCP 172.17.38.1:1776 192.168.4.12:1776 10.2.2.2:25 10.2.2.2:25,hostname RouterX!interface Ethernet0ipip nat inside!interface Ethernet1ipip nat inside!interface Serial0description To ISPipip nat outside!ip nat inside source list 1 interface Serial0 overload!ip route 0.0.0.0 Serial0!,清除包含内部转换或同时包含内部

8、转换与外部转换的简单动态转换条目,RouterX#clear ip nat translation inside global-iplocal-ip outside local-ip global-ip,清除所有动态地址转换条目,RouterX#clear ip nat translation*,清除包含外部转换的简单动态转换条目,RouterX#clear ip nat translation outsidelocal-ip global-ip,清除扩展动态转换条目（PAT 条目）,RouterX#clear ip nat translation protocol inside global

9、-ipglobal-port local-ip local-port outside local-iplocal-port global-ip global-port,清除 NAT 转换表,未执行转换：转换表中没有包含转换,检验：不存在拒绝数据包进入 NAT 路由器的入站 ACLNAT 命令所引用的 ACL 是否允许所有必需的网络NAT 池中是否有足够的地址路由器接口是否被正确定义为 NAT 内部接口或 NAT 外部接口,RouterX#show ip nat statistics Total active translations:1(1 static,0 dynamic;0 extende

10、d)Outside interfaces:Ethernet0,Serial2 Inside interfaces:Ethernet1 Hits:5 Misses:0,用 show 和 debug 命令显示信息,RouterX#debug ip nat NAT:s=192.168.1.95-172.31.233.209,d=172.31.2.132 6825NAT:s=172.31.2.132,d=172.31.233.209-192.168.1.95 21852 NAT:s=192.168.1.95-172.31.233.209,d=172.31.1.161 6826 NAT*:s=172.3

11、1.1.161,d=172.31.233.209-192.168.1.95 23311 NAT*:s=192.168.1.95-172.31.233.209,d=172.31.1.161 6827 NAT*:s=192.168.1.95-172.31.233.209,d=172.31.1.161 6828 NAT*:s=172.31.1.161,d=172.31.233.209-192.168.1.95 23312 NAT*:s=172.31.1.161,d=172.31.233.209-192.168.1.95 23313,问题示例：无法 Ping 通远程主机,问题示例：无法 Ping 通远

12、程主机（续）,转换表中无任何转换。,RouterA#show ip nat translations Pro Inside global Inside local Outside local Outside global-,问题示例：无法 Ping 通远程主机（续）,路由器接口错误地定义成了 NAT 内部接口或 NAT 外部接口。,RouterA#show ip nat statistics Total active translations:0(0 static,0 dynamic;0 extended)Outside interfaces:Ethernet0 Inside interfac

13、es:Serial0 Hits:0 Misses:0,问题示例：无法 Ping 通远程主机（续）,Ping 仍然失败，转换表中仍没有转换。在要定义哪些地址要转换的 ACL 中包含错误的通配符位掩码。,RouterA#show access-listStandard IP access list 20,问题示例：无法 Ping 通远程主机（续）,转换现在可以执行。Ping 仍然失败。,RouterA#show ip nat translations Pro Inside global Inside local Outside local Outside global-172.16.17.20 1

14、92.168.1.2-,问题示例：无法 Ping 通远程主机（续）,路由器 B 上没有到转换后的网络地址 172.16.0.0 的路由。,RouterB#sh ip routeCodes:C-connected,S-static,R-RIP,M-mobile,B-BGP Gateway of last resort is not set subnetted,1 subnetsC 10.1.1.0/24 is directly connected,Serial0 subnetted,1 subnetsR 192.168.2.0/24 is directly connected,Ethernet0

15、 subnetted,3 subnets,3 masksR 192.168.1.0/24 120/1 via 10.1.1.1,2d19h,Serial0,问题示例：无法 Ping 通远程主机（续）,路由器 A 通告了要被转换的网络，但没有通告路由器要被转换到的网络地址。,RouterA#sh ip protocolRouting Protocol is ripOutgoing update filter list for all interfaces is not setIncoming update filter list for all interfaces is not setSend

16、ing updates every 30 seconds,next due in 0 secondsInvalid after 180 seconds,hold down 180,flushed after 240Redistributing:ripDefault version control:send version 1,receive any versionAutomatic network summarization is in effectMaximum path:4Routing for Networks:Routing Information Sources:Gateway Distance Last UpdateDistance:(default is 120),解决方案：正确的配置,总结,有三类 NAT：静态、动态和过载(PAT)。静态 NAT 是一对一的地址映射。动态 NAT 地址是从地址池中挑选的。NAT 过载(PAT)允许将许多内部地址映射到一个外部地址。使用 show ip nat translation 命令显示转换表，并检验是否发生转换。要确定是否在使用当前转换条目，使用 show ip nat statistics 命令检查使用次数计数器。,