《路由交換技術(shù)》部署和實(shí)施企業(yè)網(wǎng)絡(luò)互聯(lián)（任務(wù)1）

部署和實(shí)施企業(yè)網(wǎng)絡(luò)互聯(lián)引例描述按照公司的整體網(wǎng)絡(luò)功能和性能規(guī)劃，運(yùn)維部工程師需要完成的任務(wù)如下。（1）按照公司A

IP地址規(guī)劃方案和網(wǎng)絡(luò)連接配置各臺設(shè)備的IP地址。（2）在深圳總部部署和實(shí)施浮動(dòng)靜態(tài)默認(rèn)路由和NAT實(shí)現(xiàn)整個(gè)公司A接入Internet。（3）在深圳總部以及廣州分公司之間部署多區(qū)域OSPF。（4）在廣州分公司內(nèi)部部署IS-IS協(xié)議。（5）通過路由引入技術(shù)實(shí)現(xiàn)公司A整個(gè)網(wǎng)絡(luò)的連通。（6）部署和實(shí)施路由優(yōu)化，實(shí)現(xiàn)深圳總部和廣州分公司的內(nèi)網(wǎng)設(shè)備只學(xué)習(xí)到彼此業(yè)務(wù)網(wǎng)段路由。（7）在深圳總部部署IPv6試驗(yàn)網(wǎng)絡(luò)，為公司全面部署IPv6網(wǎng)絡(luò)做好準(zhǔn)備。引例描述項(xiàng)目任務(wù)任務(wù)3-1部署和實(shí)施靜態(tài)路由和NAT實(shí)現(xiàn)Internet接入任務(wù)3-2部署和實(shí)施OSPF協(xié)議實(shí)現(xiàn)總部和分公司網(wǎng)絡(luò)互聯(lián)任務(wù)3-3部署和實(shí)施IS-IS協(xié)議實(shí)現(xiàn)分公司網(wǎng)絡(luò)互聯(lián)任務(wù)3-4部署和實(shí)施網(wǎng)絡(luò)路由引入和路由優(yōu)化任務(wù)3-5部署和實(shí)施總部IPv6網(wǎng)絡(luò)任務(wù)3-1部署和實(shí)施靜態(tài)路由和NAT實(shí)現(xiàn)Internet接入任務(wù)陳述知識準(zhǔn)備任務(wù)實(shí)施任務(wù)陳述本任務(wù)主要要求讀者夯實(shí)和理解靜態(tài)路由的特征和使用場合、路由聚合概念、BFD工作原理和檢測機(jī)制、NAT工作原理和類型以及靜態(tài)路由、BFD和NAT配置命令等基礎(chǔ)知識，通過在企業(yè)邊界路由器部署和實(shí)施靜態(tài)路由和NAT，掌握IP地址配置、BFD配置和驗(yàn)證、靜態(tài)默認(rèn)路由配置和驗(yàn)證以及NAT配置和驗(yàn)證等職業(yè)技能，為后續(xù)網(wǎng)絡(luò)互聯(lián)做好準(zhǔn)備。知識準(zhǔn)備1.1靜態(tài)路由1.2雙向轉(zhuǎn)發(fā)檢測1.3NAT技術(shù)1.4靜態(tài)路由和NAT基本配置命令3.1靜態(tài)路由路由是指導(dǎo)報(bào)文轉(zhuǎn)發(fā)的路徑信息，通過路由可以確認(rèn)轉(zhuǎn)發(fā)IP報(bào)文的路徑。路由設(shè)備是依據(jù)路由轉(zhuǎn)發(fā)報(bào)文到目的網(wǎng)段的網(wǎng)絡(luò)設(shè)備，最常見的路由設(shè)備：路由器。路由設(shè)備維護(hù)著一張路由表，保存著路由信息。R1R2R3NMR4DATA路由指導(dǎo)報(bào)文轉(zhuǎn)發(fā)路徑依據(jù)路由轉(zhuǎn)發(fā)路由設(shè)備3.1

靜態(tài)路由路由器依據(jù)路由表進(jìn)行路由轉(zhuǎn)發(fā)，為實(shí)現(xiàn)路由轉(zhuǎn)發(fā)，路由器需要發(fā)現(xiàn)路由，以下為常見的路由獲取方式。GE0/0/0/24/24GE0/0/1GE0/0/1/24/24GE0/0/2直連路由路由來源目的網(wǎng)絡(luò)/掩碼出接口直連/24GE0/0/0直連/24GE0/0/1靜態(tài)路由動(dòng)態(tài)路由路由來源目的網(wǎng)絡(luò)/掩碼出接口靜態(tài)/24GE0/0/1動(dòng)態(tài)路由協(xié)議OSPF路由來源目的網(wǎng)絡(luò)/掩碼出接口動(dòng)態(tài)路由協(xié)議/24GE0/0/2由設(shè)備自動(dòng)生成指向本地直連網(wǎng)絡(luò)由網(wǎng)絡(luò)管理員手工配置的路由條目路由器運(yùn)行動(dòng)態(tài)路由協(xié)議學(xué)習(xí)到的路由R1R2R1R2R3R1R33.1

靜態(tài)路由GE0/0/1/24GE0/0/0/24GE0/0/1/24GE0/0/0/24RTARTCRTB前往/24目的網(wǎng)絡(luò)來源下一跳靜態(tài)直連靜態(tài)路由靜態(tài)路由優(yōu)點(diǎn):占用的CPU和RAM資源較少?？煽匦詮?qiáng)，便于管理員了解整個(gè)網(wǎng)絡(luò)路由信息。不需要?jiǎng)討B(tài)路由更新，可以減少對帶寬的占用。簡單和易于配置。3.1

靜態(tài)路由GE0/0/1/24GE0/0/0/24GE0/0/1/24GE0/0/0/24RTARTCRTB前往/24目的網(wǎng)絡(luò)來源下一跳靜態(tài)直連靜態(tài)路由靜態(tài)路由缺點(diǎn)：配置和維護(hù)耗費(fèi)管理員大量時(shí)間，尤其對于大型網(wǎng)絡(luò)，而且配置時(shí)容易出錯(cuò)。當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)，需要管理員維護(hù)變化的路由信息。隨著網(wǎng)絡(luò)規(guī)模的增長和配置的擴(kuò)展，維護(hù)越來越麻煩。需要管理員對整個(gè)網(wǎng)絡(luò)的情況完全了解才能進(jìn)行恰當(dāng)?shù)牟僮骱团渲谩?.1

靜態(tài)路由GE0/0/1/24GE0/0/0/24GE0/0/1/24GE0/0/0/24RTARTCRTB前往/24目的網(wǎng)絡(luò)來源下一跳靜態(tài)直連靜態(tài)路由靜態(tài)路由使用場合：網(wǎng)絡(luò)中僅包含幾臺路由器。網(wǎng)絡(luò)僅通過單個(gè)ISP接入Internet。路由器沒有足夠的CPU和內(nèi)存來運(yùn)行動(dòng)態(tài)路由協(xié)議?？梢酝ㄟ^浮動(dòng)靜態(tài)路由為動(dòng)態(tài)路由提供備份。鏈路的帶寬較低,因?yàn)閯?dòng)態(tài)的路由更新和維護(hù)會帶來額外的鏈路負(fù)擔(dān)。3.1

靜態(tài)路由[Huawei]iproute-staticip-address

{

mask

|

mask-length

}nexthop-address關(guān)聯(lián)下一跳IP的方式[Huawei]iproute-staticip-address

{

mask

|

mask-length

}interface-typeinterface-number關(guān)聯(lián)出接口的方式[Huawei]iproute-staticip-address{mask|mask-length}interface-typeinterface-number[nexthop-address]關(guān)聯(lián)出接口和下一跳IP方式在創(chuàng)建靜態(tài)路由時(shí)，可以同時(shí)指定出接口和下一跳。對于不同的出接口類型，也可以只指定出接口或只指定下一跳。對于點(diǎn)到點(diǎn)接口（如串口），必須指定出接口。對于廣播接口（如以太網(wǎng)接口），必須指定下一跳。3.1

靜態(tài)路由配置舉例S1/0/0/24GE0/0/0/24S1/0/0/24GE0/0/0/24RTARTCRTB前往/24前往/24[RTA]iproute-static[RTC]iproute-staticS1/0/0RTA的配置如下：RTC的配置如下：RTA與RTC上配置靜態(tài)路由，實(shí)現(xiàn)/24與/24的互通。因?yàn)閳?bào)文是逐跳轉(zhuǎn)發(fā)的，所以每一跳路由設(shè)備上都需要配置到達(dá)相應(yīng)目的地址的路由。另外需要注意通信是雙向的，針對通信過程中的往返流量，都需關(guān)注途徑設(shè)備上的路由配置。3.1

靜態(tài)路由缺省路由是一種特殊的路由，當(dāng)報(bào)文沒有在路由表中找到匹配的具體路由表項(xiàng)時(shí)才使用的路由。如果報(bào)文的目的地址不能與路由表的任何目的地址相匹配，那么該報(bào)文將選取缺省路由進(jìn)行轉(zhuǎn)發(fā)。缺省路由在路由表中的形式為/0，缺省路由也被叫做默認(rèn)路由。[RTA]iproute-static0RTARTB/24/24.GE0/0/0GE0/0/0/24/24.RTA前往非本地直連網(wǎng)段，將報(bào)文轉(zhuǎn)發(fā)給。/24企業(yè)網(wǎng)絡(luò)3.1

靜態(tài)路由[RTA]iproute-static054缺省路由應(yīng)用場景:一般用于企業(yè)網(wǎng)絡(luò)出口，配置一條缺省路由讓出口設(shè)備能夠轉(zhuǎn)發(fā)前往Internet上任意地址的IP報(bào)文。/24RTAGE0/0/0PC00Gateway:54GE0/0/154Internet54企業(yè)網(wǎng)絡(luò)3.2靜態(tài)路由[RTA]iproute-static054缺省路由應(yīng)用場景:一般用于企業(yè)網(wǎng)絡(luò)出口，配置一條缺省路由讓出口設(shè)備能夠轉(zhuǎn)發(fā)前往Internet上任意地址的IP報(bào)文。/24RTAGE0/0/0PC00Gateway:54GE0/0/154Internet54在R1路由器上配置到網(wǎng)關(guān)R2的默認(rèn)路由，當(dāng)SW1與R2之間的鏈路出現(xiàn)故障時(shí)R1能快速感知嗎？R1與R2通過二層交換機(jī)連接建立OSPF鄰接關(guān)系，當(dāng)SW1與SW2之間的鏈路出現(xiàn)故障時(shí)，R1與R2能快速感知嗎？3.2雙向轉(zhuǎn)發(fā)檢測BFD在無法通過硬件信號檢測故障的系統(tǒng)中，應(yīng)用通常采用上層協(xié)議本身的Hello報(bào)文機(jī)制檢測網(wǎng)絡(luò)故障。常用路由協(xié)議的Hello報(bào)文機(jī)制檢測時(shí)間較長，檢測時(shí)間超過1秒鐘。當(dāng)應(yīng)用在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)超過GB/s時(shí)，秒級的檢測時(shí)間將會導(dǎo)致應(yīng)用傳輸?shù)臄?shù)據(jù)大量丟失。在三層網(wǎng)絡(luò)中，靜態(tài)路由本身沒有故障檢查機(jī)制。R1R2SW1SW2OSPFNeighbor[R1]iproute-staticR1SW1R2/30/30Internet動(dòng)態(tài)路由故障檢測問題靜態(tài)路由故障檢測問題3.2雙向轉(zhuǎn)發(fā)檢測BFD雙向轉(zhuǎn)發(fā)檢測BFD（BidirectionalForwardingDetection）提供了一個(gè)通用的、標(biāo)準(zhǔn)化的、介質(zhì)無關(guān)的、協(xié)議無關(guān)的快速故障檢測機(jī)制，有以下兩大優(yōu)點(diǎn)：對相鄰轉(zhuǎn)發(fā)引擎之間的通道提供輕負(fù)荷、快速故障檢測。用單一的機(jī)制對任何介質(zhì)、任何協(xié)議層進(jìn)行實(shí)時(shí)檢測。BFD是一個(gè)簡單的“Hello”協(xié)議。兩個(gè)系統(tǒng)之間建立BFD會話通道，并周期性發(fā)送BFD檢測報(bào)文，如果某個(gè)系統(tǒng)在規(guī)定的時(shí)間內(nèi)沒有收到對端的檢測報(bào)文，則認(rèn)為該通道的某個(gè)部分發(fā)生了故障。BFD控制報(bào)文采用UDP封裝，目的端口號為3784，源端口在49152-65535之間隨機(jī)應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理側(cè)應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理側(cè)BFD會話檢測3.2雙向轉(zhuǎn)發(fā)檢測BFDBFD會話的建立有兩種方式，即靜態(tài)建立BFD會話和動(dòng)態(tài)建立BFD會話。BFD通過控制報(bào)文中的本地標(biāo)識符和遠(yuǎn)端標(biāo)識符區(qū)分不同的會話。靜態(tài)和動(dòng)態(tài)創(chuàng)建BFD會話的主要區(qū)別在于LocalDiscriminator和RemoteDiscriminator的配置方式不同。R1R2本地標(biāo)識符（LocalDiscriminator=A）遠(yuǎn)端標(biāo)識符（RemoteDiscriminator=B）本地標(biāo)識符（LocalDiscriminator=B）遠(yuǎn)端標(biāo)識符（RemoteDiscriminator=A）BFDSession靜態(tài)建立BFD會話靜態(tài)建立BFD會話是指通過命令行手工配置BFD會話參數(shù)，包括配置本地標(biāo)識符和遠(yuǎn)端標(biāo)識符等，然后手工下發(fā)BFD會話建立請求。動(dòng)態(tài)建立BFD會話動(dòng)態(tài)建立BFD會話的本地標(biāo)識符由觸發(fā)創(chuàng)建BFD會話的系統(tǒng)動(dòng)態(tài)分配，遠(yuǎn)端標(biāo)識符從收到對端BFD消息的LocalDiscriminator的值學(xué)習(xí)而來。R1R2LocalDiscriminator=ARemoteDiscriminator=0LocalDiscriminator=BRemoteDiscriminator=0LocalDiscriminator=ARemoteDiscriminator=BLocalDiscriminator=BRemoteDiscriminator=ABFDSession相互發(fā)送匹配學(xué)習(xí)123.2雙向轉(zhuǎn)發(fā)檢測BFDBFD的檢測機(jī)制：兩個(gè)系統(tǒng)建立BFD會話，并沿它們之間的路徑周期性發(fā)送BFD控制報(bào)文，如果一方在既定的時(shí)間內(nèi)沒有收到BFD控制報(bào)文，則認(rèn)為路徑上發(fā)生了故障。BFD的檢測模式有異步模式和查詢模式兩種。異步模式系統(tǒng)之間相互周期性地發(fā)送BFD控制包，如果某個(gè)系統(tǒng)在檢測時(shí)間內(nèi)沒有收到對端發(fā)來的BFD控制報(bào)文，就宣布會話為Down。查詢模式在需要驗(yàn)證連接性的情況下，系統(tǒng)連續(xù)發(fā)送多個(gè)BFD控制包，如果在檢測時(shí)間內(nèi)沒有收到返回的報(bào)文就宣布會話為Down。R1R2BFDSession……R1R2BFDSessionBFDmessageBFDmessageBFDmessageBFDmessageBFDmessageBFDmessage周期性發(fā)送BFD控制報(bào)文按需發(fā)送BFD控制報(bào)文3.2雙向轉(zhuǎn)發(fā)檢測BFDBFD會話檢測時(shí)長由TX（DesiredMinTXInterval），RX（RequiredMinRXInterval），DM（DetectMulti）三個(gè)參數(shù)決定。BFD報(bào)文的實(shí)際發(fā)送時(shí)間間隔，實(shí)際接受時(shí)間間隔由BFD會話協(xié)商決定。本地BFD報(bào)文實(shí)際發(fā)送時(shí)間間隔＝MAX{本地配置的發(fā)送時(shí)間間隔，對端配置的接收時(shí)間間隔}本地BFD報(bào)文實(shí)際接收時(shí)間間隔＝MAX{對端配置的發(fā)送時(shí)間間隔，本地配置的接收時(shí)間間隔}本地BFD報(bào)文實(shí)際檢測時(shí)間：異步模式：本地BFD報(bào)文實(shí)際檢測時(shí)間＝本地BFD報(bào)文實(shí)際接收時(shí)間間隔×對端配置的BFD檢測倍數(shù)查詢模式：本地BFD報(bào)文實(shí)際檢測時(shí)間=本地BFD報(bào)文實(shí)際接收時(shí)間間隔×本端配置的BFD檢測倍數(shù)R1R2BFDSession當(dāng)前配置時(shí)間參數(shù)：TX:100msRX:200msDM:3當(dāng)前配置時(shí)間參數(shù)：TX:150msRX:50msDM:4協(xié)商后時(shí)間參數(shù)：TX:100msRX:200msDM:3協(xié)商后時(shí)間參數(shù)：TX:200msRX:100msDM:4參數(shù)協(xié)商R1在異步模式下的實(shí)際檢測時(shí)間=4*200msR1在查詢模式下的實(shí)際檢測時(shí)間=3*200ms3.2雙向轉(zhuǎn)發(fā)檢測BFDBFD檢測方式包括單跳檢測和多跳檢測。BFD單跳檢測是指對兩個(gè)直連系統(tǒng)進(jìn)行IP連通性檢測，這里所說的“單跳”是IP的一跳。在進(jìn)行BFD單跳檢測的兩個(gè)系統(tǒng)中，對于一種給定的數(shù)據(jù)協(xié)議，在指定接口上只存在一個(gè)BFD會話。因此，BFD會話是與接口綁定的，接口類型包括物理接口、虛電路以及隧道。3.2雙向轉(zhuǎn)發(fā)檢測BFDBFD檢測方式包括單跳檢測和多跳檢測。BFD多跳檢測是指BFD可以檢測兩個(gè)系統(tǒng)間的任意路徑，這些路徑可能跨越很多跳，也可能在某些部分發(fā)生重疊。多跳BFD會話綁定對端IP但不綁定出接口。3.2雙向轉(zhuǎn)發(fā)檢測BFDBFDEcho功能也稱為BFD回聲功能，是由本地發(fā)送BFDEcho報(bào)文，遠(yuǎn)端系統(tǒng)將報(bào)文環(huán)回的一種檢測機(jī)制。在兩臺直接相連的設(shè)備中，其中一臺設(shè)備支持BFD功能（R1）；另一臺設(shè)備不支持BFD功能（R2），只支持基本的網(wǎng)絡(luò)層轉(zhuǎn)發(fā)。為了能夠快速的檢測這兩臺設(shè)備之間的故障，可以在支持BFD功能的設(shè)備上創(chuàng)建單臂回聲功能的BFD會話。支持BFD功能的設(shè)備主動(dòng)發(fā)起回聲請求功能，不支持BFD功能的設(shè)備接收到該報(bào)文后直接將其環(huán)回，從而實(shí)現(xiàn)轉(zhuǎn)發(fā)鏈路的連通性檢測功能。R1R2支持BFD功能設(shè)備不支持BFD功能設(shè)備主動(dòng)發(fā)起回聲請求1網(wǎng)絡(luò)層直接環(huán)回2判斷鏈路是否正常33.2雙向轉(zhuǎn)發(fā)檢測BFD[Huawei]bfd

session-name

bind

peer-ip

ip-address[vpn-instance

vpn-name]interface

interface-typeinterface-number[source-ip

ip-address]創(chuàng)建BFD會話綁定信息，并進(jìn)入BFD會話視圖。缺省情況下，未創(chuàng)建BFD會話。在第一次創(chuàng)建單跳BFD會話時(shí)，必須綁定對端IP地址和本端相應(yīng)接口，且創(chuàng)建后不可修改。如果需要修改，則只能刪除后重新創(chuàng)建。[Huawei]bfdsession-namebindpeer-ipdefault-ipinterfaceinterface-typeinterface-number[source-ipip-address]創(chuàng)建使用組播地址作為對端地址的BFD會話，并進(jìn)入BFD會話視圖。[Huawei]bfd

session-name

bind

peer-ip

ip-address[vpn-instance

vpn-name]interface

interface-typeinterface-number[source-ip

ip-address]auto創(chuàng)建靜態(tài)標(biāo)識符自協(xié)商BFD會話3.2雙向轉(zhuǎn)發(fā)檢測BFD[Huawei-bfd-session-test]discriminatorlocaldiscr-value配置BFD會話的本地標(biāo)識符[Huawei-bfd-session-test]discriminatorremotediscr-value配置BFD會話的遠(yuǎn)端標(biāo)識符配置標(biāo)識符時(shí)，本端的本地標(biāo)識符與對端的遠(yuǎn)端標(biāo)識符必需相同，否則BFD會話無法正確建立。并且，本地標(biāo)識符和遠(yuǎn)端標(biāo)識符配置成功后不可修改。此處假設(shè)BFDSession名稱是test。[Huawei]bfd

session-name

bind

peer-ip

ip-address[vpn-instance

vpn-name]interface

interface-typeinterface-number[source-ip

ip-address]one-arm-echo創(chuàng)建單臂Echo功能的BFD會話3.3NAT技術(shù)公網(wǎng)地址：由專門的機(jī)構(gòu)管理、分配，可以在Internet上直接通信的IP地址。私有地址：組織和個(gè)人可以任意使用，無法在Internet上直接通信，只能在內(nèi)網(wǎng)使用的IP地址。A、B、C類地址中各預(yù)留了一些地址專門作為私有IP地址：A類：~55B類：~55C類：~55Internet企業(yè)辦公園區(qū)/16校園網(wǎng)/8家庭網(wǎng)絡(luò)/16咖啡廳/16小型廠房園區(qū)/163.3NAT技術(shù)NAT技術(shù)原理：對IP數(shù)據(jù)報(bào)文中的IP地址進(jìn)行轉(zhuǎn)換，是一種在現(xiàn)網(wǎng)中被廣泛部署的技術(shù)，一般部署在網(wǎng)絡(luò)出口設(shè)備，例如路由器或防火墻上。NAT的典型應(yīng)用場景：在私有網(wǎng)絡(luò)內(nèi)部（園區(qū)、家庭）使用私有地址，出口設(shè)備部署NAT，對于“從內(nèi)到外”的流量，網(wǎng)絡(luò)設(shè)備通過NAT將數(shù)據(jù)包的源地址進(jìn)行轉(zhuǎn)換（轉(zhuǎn)換成特定的公有地址），而對于“從外到內(nèi)的”流量，則對數(shù)據(jù)包的目的地址進(jìn)行轉(zhuǎn)換。通過私有地址的使用結(jié)合NAT技術(shù)，可以有效節(jié)約公網(wǎng)IPv4地址。PC0/24Web服務(wù)器私有網(wǎng)絡(luò)NAT源IP：0目的IP：源IP：目的IP：源IP：目的IP：0源IP：目的IP：124354Internet3.3NAT技術(shù)內(nèi)部本地地址：通常不是RIR或服務(wù)提供商分配的IP地址，極有可能是RFC1918私有地址。內(nèi)部全局地址：當(dāng)內(nèi)部主機(jī)流量流出NAT路由器時(shí)分配給內(nèi)部主機(jī)的有效公有地址。外部全局地址：分配給Internet上主機(jī)的可達(dá)IP地址。外部本地地址：分配給外部網(wǎng)絡(luò)上主機(jī)的本地IP地址。PC0/24Web服務(wù)器私有網(wǎng)絡(luò)NAT源IP：0目的IP：源IP：目的IP：源IP：目的IP：0源IP：目的IP：124354Internet3.3NAT技術(shù)靜態(tài)NAT：屬于一對一的地址轉(zhuǎn)換，即私有地址和公有地址之間的關(guān)系是一對一映射。在這種方式下只轉(zhuǎn)換IP地址，而對TCP/UDP協(xié)議的端口號不處理，一個(gè)公網(wǎng)IP地址不能同時(shí)被多個(gè)用戶使用。支持雙向互訪：私有地址訪問Internet經(jīng)過出口設(shè)備NAT轉(zhuǎn)換時(shí)，會被轉(zhuǎn)換成對應(yīng)的公有地址。同時(shí)，外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)時(shí)，其報(bào)文中攜帶的公有地址（目的地址）也會被NAT設(shè)備轉(zhuǎn)換成對應(yīng)的私有地址。私有地址公有地址/24Web服務(wù)器NAT/24/2454Internet私有網(wǎng)絡(luò)NAT映射表------------------------3.3NAT技術(shù)靜態(tài)NAT示例訪問Internet時(shí)，源地址會被轉(zhuǎn)換為。Internet的回包目的地址為，目的地址會被轉(zhuǎn)換為。Internet上的主機(jī)主動(dòng)訪問，報(bào)文的目的地址會被出口設(shè)備NAT轉(zhuǎn)換為。的回包源地址，經(jīng)過出口設(shè)備時(shí)會被NAT轉(zhuǎn)換為。源IP：目的IP：1源IP：目的IP：3源IP：目的IP：4源IP：目的IP：2/24Web服務(wù)器NAT/24/24源IP：目的IP：2源IP：目的IP：4源IP：目的IP：3源IP：目的IP：1外網(wǎng)主機(jī)54Internet3.3NAT技術(shù)[Huawei-GigabitEthernet0/0/0]natstaticglobal{global-address}inside{host-address}方式一：接口視圖下配置靜態(tài)NATglobal參數(shù)用于配置外部公有地址，inside參數(shù)用于配置內(nèi)部私有地址。[Huawei]natstaticglobal{global-address}inside{host-address}方式二：系統(tǒng)視圖下配置靜態(tài)NAT配置命令相同，視圖為系統(tǒng)視圖，之后在具體的接口下開啟靜態(tài)NAT。[Huawei-GigabitEthernet0/0/0]natstaticenable在接口下使能natstatic功能。私有網(wǎng)絡(luò)3.3NAT技術(shù)/24Web服務(wù)器GE0/0/1R1NAT/24/2454[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress24[R1-GigabitEthernet0/0/1]nat

staticglobalinside[R1-GigabitEthernet0/0/1]nat

staticglobalinside[R1-GigabitEthernet0/0/1]nat

staticglobalinside在R1上配置靜態(tài)NAT將內(nèi)網(wǎng)主機(jī)的私有地址一對一映射到公有地址。Internet靜態(tài)NAT配置示例3.3NAT技術(shù)動(dòng)態(tài)NAT原理：靜態(tài)NAT嚴(yán)格地一對一進(jìn)行地址映射，這就導(dǎo)致即便內(nèi)網(wǎng)主機(jī)長時(shí)間離線或者不發(fā)送數(shù)據(jù)時(shí)，與之對應(yīng)的公有地址也處于使用狀態(tài)。為了避免地址浪費(fèi)，動(dòng)態(tài)NAT提出了地址池的概念：所有可用的公有地址組成地址池。當(dāng)內(nèi)部主機(jī)訪問外部網(wǎng)絡(luò)時(shí)臨時(shí)分配一個(gè)地址池中未使用的地址，并將該地址標(biāo)記為“InUse”。當(dāng)該主機(jī)不再訪問外部網(wǎng)絡(luò)時(shí)回收分配的地址，重新標(biāo)記為“NotUse”。NotUseNotUseNotUse/24Web服務(wù)器NAT/24/2454Internet私有網(wǎng)絡(luò)NAT地址池-----------------Select3.3NAT技術(shù)動(dòng)態(tài)NAT示例/24Web服務(wù)器NAT/24/24InUseNotUseNotUse源IP：目的IP：1源IP：目的IP：2STEP1選擇一個(gè)地址池中未使用的地址作為轉(zhuǎn)換后的地址，同時(shí)將該地址的標(biāo)記變?yōu)椤癐nUse”。私有地址公有地址STEP2生成一個(gè)臨時(shí)的NAT映射表。InternetNAT地址池-----------------NAT映射表--------------------Match3.3NAT技術(shù)動(dòng)態(tài)NAT示例/24Web服務(wù)器NAT/24/24私有地址公有地址源IP：目的IP：3源IP：目的IP：4查找NAT映射表，根據(jù)公有地址查找私有地址，并進(jìn)行IP數(shù)據(jù)報(bào)文目的地址轉(zhuǎn)換。InternetNAT映射表----------------------3.3NAT技術(shù)[Huawei]nataddress-groupgroup-index

start-addressend-address創(chuàng)建地址池配置公有地址范圍，其中g(shù)roup-index為地址池編號，start-address、end-address分別為地址池起始地址、結(jié)束地址。[Huawei]acl

number[Huawei-acl-basic-number]rulepermitsourcesource-addresssource-wildcard配置地址轉(zhuǎn)換的ACL規(guī)則配置基礎(chǔ)ACL，匹配需要進(jìn)行動(dòng)態(tài)轉(zhuǎn)換的源地址范圍。[Huawei-GigabitEthernet0/0/0]natoutboundacl-numberaddress-groupgroup-index

[no-pat]接口視圖下配置帶地址池的NATOutbound接口下關(guān)聯(lián)ACL與地址池進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換，no-pat參數(shù)指定不進(jìn)行端口轉(zhuǎn)換。私有網(wǎng)絡(luò)3.3NAT技術(shù)[R1]nataddress-group1[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]nat

outbound2000address-group1no-pat在R1上配置動(dòng)態(tài)NAT將內(nèi)網(wǎng)主機(jī)的私有地址動(dòng)態(tài)映射到公有地址。/24Web服務(wù)器NATR1/24/24InternetGE0/0/1動(dòng)態(tài)NAT配置示例NAT映射表-------------私有網(wǎng)絡(luò)3.3NAT技術(shù)動(dòng)態(tài)NAT選擇地址池中的地址進(jìn)行地址轉(zhuǎn)換時(shí)不會轉(zhuǎn)換端口號，即No-PAT（No-PortAddressTranslation，非端口地址轉(zhuǎn)換），公有地址與私有地址還是1:1的映射關(guān)系，無法提高公有地址利用率。NAPT（NetworkAddressandPortTranslation，網(wǎng)絡(luò)地址端口轉(zhuǎn)換）原理：從地址池中選擇地址進(jìn)行地址轉(zhuǎn)換時(shí)不僅轉(zhuǎn)換IP地址，同時(shí)也會對端口號進(jìn)行轉(zhuǎn)換，從而實(shí)現(xiàn)公有地址與私有地址的1:n映射，可以有效提高公有地址利用率。/24Web服務(wù)器NAT/24/24私有地址:端口公有地址:端口:10321:1025:17087:102654NAT地址池-------------InternetSelect映射表-------------3.3NAT技術(shù)NAPT示例源：:10321目的：:801源：:1025目的：:802Step1選擇一個(gè)地址池中的地址，同時(shí)轉(zhuǎn)換源IP、端口。Step2同時(shí)生成一個(gè)臨時(shí)的NAT映射表，其中記錄：[轉(zhuǎn)換前源IP:端口]，[轉(zhuǎn)換后IP:端口]。私有地址:端口公有地址:端口:10321:1025:17087:1026/24Web服務(wù)器NAT/24/24NAT地址池----------Internet3.3NAT技術(shù)NAPT示例/24Web服務(wù)器NAT/24/24查找NAT映射表，根據(jù)[公有地址:端口]信息查找對應(yīng)的[私有地址:端口]，并進(jìn)行IP數(shù)據(jù)報(bào)文目的地址、端口轉(zhuǎn)換。源：:80目的：:10253源：:80目的：:103214InternetNAT映射表-------------Match私有地址:端口公有地址:端口:10321:1025:17087:1026私有網(wǎng)絡(luò)3.3NAT技術(shù)NAPT配置示例[R1]nataddress-group1[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]nat

outbound2000address-group1在R1上配置NAPT讓內(nèi)網(wǎng)所有私有地址通過訪問公網(wǎng)。/24Web服務(wù)器NATR1/24/2454GE0/0/1InternetNAT映射表-------------3.3NAT技術(shù)EasyIP：實(shí)現(xiàn)原理和NAPT相同，同時(shí)轉(zhuǎn)換IP地址、傳輸層端口，區(qū)別在于EasyIP沒有地址池的概念，使用接口地址作為NAT轉(zhuǎn)換的公有地址。EasyIP方式特別適合小型局域網(wǎng)訪問Internet的情況。這里的小型局域網(wǎng)主要指中小型網(wǎng)吧、小型辦公室等環(huán)境，一般具有以下特點(diǎn)：內(nèi)部主機(jī)較少、出接口通過撥號方式獲得臨時(shí)公網(wǎng)IP地址以供內(nèi)部主機(jī)訪問Internet。對于這種情況，可以使用EasyIP方式使局域網(wǎng)用戶都通過這個(gè)IP地址接入Internet。私有網(wǎng)絡(luò)/24Web服務(wù)器NAT/24/24私有地址:端口公有地址:端口:10321:1025:17087:102654Internet3.3NAT技術(shù)EasyIP配置示例[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]nat

outbound2000在R1上配置Easy-IP讓內(nèi)網(wǎng)所有私有地址通過訪問公網(wǎng)。私有網(wǎng)絡(luò)/24Web服務(wù)器NATR1/24/2454G