網(wǎng)絡(luò)設(shè)備調(diào)試網(wǎng)絡(luò)地址轉(zhuǎn)換NAT_第1頁
網(wǎng)絡(luò)設(shè)備調(diào)試網(wǎng)絡(luò)地址轉(zhuǎn)換NAT_第2頁
網(wǎng)絡(luò)設(shè)備調(diào)試網(wǎng)絡(luò)地址轉(zhuǎn)換NAT_第3頁
網(wǎng)絡(luò)設(shè)備調(diào)試網(wǎng)絡(luò)地址轉(zhuǎn)換NAT_第4頁
網(wǎng)絡(luò)設(shè)備調(diào)試網(wǎng)絡(luò)地址轉(zhuǎn)換NAT_第5頁
已閱讀5頁,還剩27頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、授課專業(yè):計(jì)算機(jī)應(yīng)用技術(shù)第22講 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)網(wǎng)絡(luò)設(shè)備調(diào)試簡述擴(kuò)展訪問控制列表與標(biāo)準(zhǔn)訪問控制列表的區(qū)別?簡述命名訪問控制列表的優(yōu)勢?簡述如何刪除命名列表中的條目?課程回顧本章結(jié)構(gòu)NAT的配置NAT實(shí)現(xiàn)方法的工作過程N(yùn)AT的特性動(dòng)態(tài)NAT靜態(tài)NAT網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)PATNAT的概念與實(shí)現(xiàn)方式NAT的故障處理NAT概述驗(yàn)證NAT的配置NAT的術(shù)語與轉(zhuǎn)換表地址轉(zhuǎn)換出現(xiàn)的背景NAT的工作原理Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換NAT實(shí)現(xiàn)方式靜態(tài)轉(zhuǎn)換(Static Translation)動(dòng)態(tài)轉(zhuǎn)換(Dynamic Translation)端口多路復(fù)用(Po

2、rt Address Translation,PAT)NAT概述NAT包含4類地址NAT的轉(zhuǎn)換條目簡單轉(zhuǎn)換條目擴(kuò)展轉(zhuǎn)換條目NAT的術(shù)語與轉(zhuǎn)換表NATInternetPC192.168.1.2目的IP= 192.168.1.2源IP= 203.51.23.55經(jīng)過路由器后的包目的IP=203.51.23.55源IP=192.168.1.2PC訪問服務(wù)器的包目的IP=125.25.65.3源IP=203.51.23.55服務(wù)器返回PC的包203.51.23.55目的IP=203.51.23.55源IP=125.25.65.3經(jīng)過路由器后的包轉(zhuǎn)換轉(zhuǎn)換內(nèi)部外部內(nèi)部局部地址外部局部地址外部全局地址內(nèi)部全

3、局地址靜態(tài)轉(zhuǎn)換和動(dòng)態(tài)轉(zhuǎn)換 NAT實(shí)現(xiàn)方法的工作過程2-1Internet10.1.1.110.1.1.2172.20.7.3外部主機(jī)BSA10.1.1.1SA192.168.2.2DA192.168.2.2DA10.1.1.1NATNAT轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP10.1.1.1192.168.2.2172.20.7.3:2312345PATNAT實(shí)現(xiàn)方法的工作過程2-2Internet10.1.1.110.1.1.2172.20.7.3外部主機(jī)BSA10.1.1.1SA192.168.2.2DA192.168.2.2DA10.1.1.1NATNAT

4、轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP10.1.1.1:1492192.168.2.2:1492172.20.7.3:23TCP10.1.1.2:1493192.168.2.2:1493172.20.7.3:8012345NAT的優(yōu)點(diǎn)節(jié)省公有合法IP地址處理地址重疊增強(qiáng)靈活性安全性NAT的缺點(diǎn)延遲增大配置和維護(hù)的復(fù)雜性不支持某些應(yīng)用,可以通過靜態(tài)NAT映射來避免NAT的特性NAT的配置定義地址池靜態(tài)NAT地址映射動(dòng)態(tài)NAT或PAT地址映射NAT配置步驟接口IP地址配置使用訪問控制列表定義哪些內(nèi)部主機(jī)能做NAT決定采用什么公有地址,靜態(tài)或地址池Router(con

5、fig)#ip nat pool pool-name star-ip end-ip netmask netmask | prefix-length prefix-length type rotary指定地址轉(zhuǎn)換映射Router(config)#ip nat inside source static local-ip global-ip extendableRouter(config)#ip nat inside source list access-list-number pool pool-name overload在內(nèi)部和外部端口上啟用NAT將內(nèi)網(wǎng)地址192.168.100.2、192.1

6、68.100.3靜態(tài)轉(zhuǎn)換為合法的外部地址61.159.62.131、61.159.62.132,以便訪問外網(wǎng)或被外網(wǎng)訪問靜態(tài)NAT配置4-1192.168.100.2192.168.100.254/24內(nèi)部網(wǎng)絡(luò)192.168.100.161.159.62.130NAT內(nèi)部端口NAT外部端口InternetF1/0F0/0設(shè)置外部端口的IP地址:設(shè)置內(nèi)部端口的IP地址:建立靜態(tài)地址轉(zhuǎn)換Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.248Router(c

7、onfig-if)#no shut靜態(tài)NAT配置4-2Router(config)#interface FastEthernet 1/0Router(config-if)#ip address 192.168.100.1 255.255.255.0Router(config-if)#no shutRouter(config)#ip nat inside source static 192.168.100.2 61.159.62.130Router(config)#ip nat inside source static 192.168.100.3 61.159.62.131在內(nèi)部和外部端口上啟用

8、NAT配置默認(rèn)路由靜態(tài)NAT配置4-3Router(config)#interface FastEthernet 0/0Router(config-if)#ip nat outsideRouter(config)#interface FastEthernet 1/0Router(config-if)#ip nat insideRouter(config)#ip route 0.0.0.0 0.0.0.0 61.159.62.129靜態(tài)NAT配置4-4Internet192.168.100.2192.168.100.3155.34.2.3SA192.168.100.2SA61.159.62.13

9、1DA61.159.62.131DA192.168.100.2NATNAT轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP192.168.100.261.159.62.131155.34.2.3TCP192.168.100.361.159.62.132155.34.2.3192.168.100.161.159.62.130NAT建立NAT端口映射關(guān)系配置實(shí)例NAT端口映射Router(config)#ip nat inside source static protocol local-ip UDP/TCP-port global-ip UDP/TCP-port exten

10、dableRouter(config)#ip nat inside source static tcp 192.168.100.2 80 61.159.62.131 8080 extendableInternet192.168.100.261.159.62.131 8080192.168.100.2 80協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP192.168.100.2:8061.159.62.131:8080155.34.2.3將內(nèi)部地址172.168.100.2172.168.100.254轉(zhuǎn)換為合法地址61.159.62.13161.159.62.190,以便訪問

11、Internet動(dòng)態(tài)NAT配置3-1172.168.100.2172.168.100.254/24內(nèi)部網(wǎng)絡(luò)172.168.100.161.159.62.130NAT內(nèi)部端口NAT外部端口InternetF0/0F1/0設(shè)置外部端口的IP地址:設(shè)置內(nèi)部端口的IP地址:動(dòng)態(tài)NAT配置3-2定義訪問控制列表 定義合法IP地址池實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換在內(nèi)部和外部端口上啟用NAT,以及配置默認(rèn)路由與靜態(tài)NAT配置相同Router(config)#access-list 1 permit 172.168.100.0 0.0.0.255Router(config)#ip nat pool test0 61.159

12、.62.131 61.159.62.190 netmask 255.255.255.192Router(config)#ip nat inside source list 1 pool test0Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.192Router(config-if)#no shuRouter(config)#interface FastEthernet 1/0Router(config-if)#ip address 172.168.1

13、00.1 255.255.255.0Router(config-if)#no shu動(dòng)態(tài)NAT配置3-3Internet172.168.100.2172.168.100.3155.34.2.3SA172.168.100.2SA61.159.62.131DA61.159.62.131DA172.168.100.2NATNAT轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP172.168.100.261.159.62.131155.34.2.3TCP172.168.100.361.159.62.132155.34.2.3172.168.100.161.159.62.130將內(nèi)

14、部網(wǎng)絡(luò)地址10.1.1.110.1.1.254轉(zhuǎn)換為合法的地址61.159.62.131/29,以便訪問InternetPAT配置5-110.1.1.210.1.1.254/24內(nèi)部網(wǎng)絡(luò)10.1.1.161.159.62.130NAT內(nèi)部端口NAT外部端口InternetF0/0F1/0設(shè)置外部端口的IP地址:設(shè)置內(nèi)部端口的IP地址:PAT配置5-2定義訪問控制列表:定義合法IP地址池:實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換:在內(nèi)部和外部端口上啟用NAT,以及配置默認(rèn)路由與靜態(tài)NAT配置相同Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255Router(co

15、nfig)#ip nat pool onlyone 61.159.62.131 61.159.62.131 netmask 255.255.255.248Router(config)#ip nat inside source list 1 pool onlyone overload進(jìn)行端口復(fù)用Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.192Router(config-if)#no shuRouter(config)#interface FastE

16、thernet 1/0Router(config-if)#ip address 10.1.1.1 255.255.255.0Router(config-if)#no shuPAT配置5-3Internet10.1.1.210.1.1.3155.34.2.3SA10.1.1.2SA61.159.62.131DA61.159.62.131DA10.1.1.2NATNAT轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP10.1.1.2:102861.159.62.131:1028155.34.2.3TCP10.1.1.2:1121261.159.62.131:11212155.

17、34.2.310.1.1.161.159.62.130復(fù)用路由器外部接口地址PAT配置5-410.1.1.210.1.1.254/24內(nèi)部網(wǎng)絡(luò)動(dòng)態(tài)IPInternetF0/0F1/0定義內(nèi)部訪問列表定義合法的IP地址池由于直接使用外部接口地址,所以不再定義IP地址池設(shè)置復(fù)用動(dòng)態(tài)IP地址轉(zhuǎn)換在內(nèi)部和外部端口上啟用NAT,以及配置默認(rèn)路由與靜態(tài)NAT配置相同PAT配置5-5Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255Router(config)#ip nat inside source list 1 interface FastEth

18、ernet 0/0 overload外部接口請思考:企業(yè)為什么會(huì)在網(wǎng)絡(luò)邊界配置NAT呢?靜態(tài)NAT、動(dòng)態(tài)NAT、PAT各有何區(qū)別?什么情況下會(huì)使用NAT端口映射?小結(jié)驗(yàn)證NAT的配置查看NAT轉(zhuǎn)換條目Router# show ip nat translations verboseverbose:顯示詳細(xì)的NAT轉(zhuǎn)換條目信息Router#show ip nat translations Pro Inside global Inside local Outside local Outside globalicmp 207.35.18.2:6002 192.168.1.3: 6002 207.35.

19、14.83: 6002 207.35.14.83: 6002icmp 207.35.18.2:15488 192.168.1.3: 15488 207.35.14.83: 15488 207.35.14.83: 15488icmp 207.35.18.2:14225 192.168.1.2:14225 207.35.14.83:14225 207.35.14.83:14225icmp 207.35.18.2:14481 192.168.1.2:14481 207.35.14.83:14481 207.35.14.83:14481- 207.35.18.6 192.168.2.2 - -Rout

20、er#show ip nat translations verbose Pro Inside global Inside local Outside local Outside globalIcmp 207.35.18.2:31634 192.168.1.2:31634 207.35.14.83:31634 207.35.14.83:31634 create 00:00:14, use 00:00:14 timeout:60000, left 00:00:45, Map-Id(In): 1, flags: extended, use_count: 0, entry-id: 36, lc_ent

21、ries: 0- 207.35.18.6 192.168.2.2 - - create 00:34:40, use 00:27:57 timeout:0, flags: static, use_count: 0, entry-id: 1, lc_entries: 0靜態(tài)NAT條目PAT動(dòng)態(tài)條目協(xié)議內(nèi)部全局地址內(nèi)部局部地址外部局部地址外部全局地址NAT轉(zhuǎn)換條目的創(chuàng)建時(shí)間、使用時(shí)間、超時(shí)時(shí)間值靜態(tài)NAT條目永遠(yuǎn)存在查看NAT統(tǒng)計(jì)信息Router#show ip nat statistics默認(rèn)情況下UDP超時(shí)值:5分鐘DNS超時(shí)值:1分鐘TCP超時(shí)值:24小時(shí)更改超時(shí)時(shí)間配置NAT轉(zhuǎn)換條目超時(shí)時(shí)間

22、Router(config)#ip nat translation dns-timeout | icmp-timeout | tcp-timeout | udp-timeout seconds | never 清除NAT轉(zhuǎn)換表中的所有條目Router#clear ip nat translation *清除包含內(nèi)部轉(zhuǎn)換的轉(zhuǎn)換條目Router#clear ip nat translation inside local-ip global-ip清除包含外部轉(zhuǎn)換的轉(zhuǎn)換條目Router#clear ip nat translation outside local-ip global-ip清除NAT轉(zhuǎn)換條目靜態(tài)NAT條目不會(huì)被清除常見問題ACL阻止轉(zhuǎn)換后的流量進(jìn)行地址轉(zhuǎn)換的ACL不全overload參數(shù)漏配不對稱路由問題動(dòng)態(tài)地址池IP地址范圍配置錯(cuò)誤動(dòng)態(tài)地址池與靜態(tài)轉(zhuǎn)換地址重疊Inside和outside接口配置錯(cuò)誤NAT的故障處理2-1NAT故障的排除檢查物理設(shè)備和NAT配置通過show命令查看NAT的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論