Download
1 / 32
320 likes | 446 Views
第 3 章 网络设备配置. 本章主要内容. 网络互联设备配置基础 配置方式 命令解释器 交换机 路由器 网络地址转换. 本课主要内容. 1. 私有地址 2. NAT 操作 3. NAT 分类 4. 配置 NAT. IP 地址分类与范围. 1-126 128-191 192-223. Class A: Class B: Class C:. 没有 127 开头的,为什么?. 公网地址和私有地址. 1. 公网地址必须被注册 2. 私有地址被保留,并可以被任何人使用. 私有地址范围. 上海建桥学院网络拓扑图. 上海建桥学院网络拓扑图.
E N D
本章主要内容 • 网络互联设备配置基础 • 配置方式 • 命令解释器 • 交换机 • 路由器 • 网络地址转换
本课主要内容 • 1. 私有地址 • 2. NAT操作 • 3. NAT分类 • 4. 配置NAT
IP地址分类与范围 • 1-126 • 128-191 • 192-223 • Class A: • Class B: • Class C: 没有127开头的,为什么?
公网地址和私有地址 • 1. 公网地址必须被注册 • 2. 私有地址被保留,并可以被任何人使用
NAT操作 • NAT(网络地址转换或网络地址翻译),就是将网络地址从一个地址空间转换到另一个地址空间的行为。 • 边界路由器执行NAT功能,将内部私有地址转换成公网可路由的地址。
NAT NAT将网络划分为内部网络(inside)和外部网络(outside)两部分。局域网主机利用NAT访问网络时,将局域网内部的本地地址转换成了全局地址(互联网合法的IP地址)后转发数据包。
NAT分类 NAT分为两种类型:NAT(网络地址转换)和NAPT(网络地址端口转换) • NAT是实现转换后一个本地IP地址对应一个全局地址。 • NAPT是实现转换后多个本地IP地址对应一个全局IP地址。 目前网络中由于公网IP地址紧缺,而局域网主机数量较多,因此一般使用动态的NAPT实现局域网多台主机公用一个或少数几个公网IP访问互联网。
NAT术语 • 1. Inside local address –指定给内部主机使用的地址 • 2. Inside global address –从SP或NIC注册的地址,即内部主机地址被NAT转换的外部地址 • 3. Address Pool-NIC或SP分配使用的多个地址
NAT术语 • 内部本地地址(Inside Local Address) • 内部全局地址(Inside Global Address) • 外部本地地址(Outside Local Address) • 外部全局地址(Outside Global Address) 分配给内部网络上主机的IP地址。这些地址通常只有内部主机知道。 分配给内部主机的以用于NAT处理的地址。对外进行IP通信时,代表一个或多个内部本地地址的合法IP地址。这种内部主机的地址可以被外部主机看到。 是目标主机可路由的公网地址被转换之后的地址,通常这种地址是私有地址。 是与内部主机通信的目标主机的地址,通常是一个可路由的公网地址。
NAT术语 • 内部网络和外部网络的区分根据IP主机相对于NAT路由器的物理位置(Location)来判断,本地地址和全局地址的区分根据用户相对于NAT路由器的位置或视角(viewpoint)来判断。
NAT原理 • 当内部网络中的一台主机想传输数据到外部网络时,它先将数据包传输到NAT路由器上,路由器检查数据包的报头,获取该数据包的源IP信息,并从它的NAT映射表中找出与该IP匹配的转换条目,用所选用的内部全局地址(全球唯一的IP地址)来替换内部局部地址,并转发数据包。 • 当外部网络对内部主机进行应答时,数据包被送到NAT路由器上,路由器接收到目的地址为内部全局地址的数据包后,它将用内部全局地址通过NAT映射表查找出内部局部地址,然后将数据包的目的地址替换成内部局部地址,并将数据包转发到内部主机。
何时使用NAT技术 出现如下需求的时候,可以考虑使用NAT: • 主机没有全局唯一的可路由IP地址,却需要与互联网连接。 • 必须变更内部网络的IP地址。 • 需要做TCP流量的负载均衡,又不想购买昂贵的专业设备。
NAT的限制 NAT很大程度缓解了全局地址不足的问题,但同时也会带来一些限制: • 影响网络速度。 • 跟某些应用不兼容。 • 地址转换不能处理IP报头加密的报文。 • 无法实现对IP端到端的路径跟踪。
NAT的配置 • 内部源地址NAT配置 • 内部源地址NAPT配置
内部源地址NAT的配置 当内部网络需要与外部网络通讯时,需要配置NAT,将内部私有IP地址转换成全局唯一IP地址。可以配置静态或动态的NAT来实现互联互通的目的,或者需要同时配置静态和动态的NAT。
静态NAT 静态NAT的特征是内部主机地址被一对一映射到外部主机地址。当外部网络需要通过固定的全局可路由地址访问内部主机,静态NAT就显得十分重要。 Pc1:10.1.1.1---------->200.200.200.1 Pc2:10.1.1.2---------->200.200.200.2 Pc3:10.1.1.3----------> Pc4:10.1.1.4----------> X 200.200.200.2?
静态NAT配置举例 将内网的一台服务器192.168.12.3 映射到全局IP地址200.198.12.1。此功能可应用到内部网的WWW发布、Ftp Server及Mail Server。 Route(config)#interface FastEthernet 1/0 Route(config-if)#ip address 192.168.12.1 255.255.255.0 Route(config-if)#ip nat inside Route(config-if)#no shutdown Route(config-if)#exit Route(config)#interface FastEthernet 1/1 Route(config-if)#ip address 200.198.12.1 255.255.255.0 Route(config-if)#ip nat outside Route(config-if)#no shutdown Route(config-if)#exit Route(config)#ip nat inside source static 192.168.12.3 200.198.12.1
动态NAT 动态NAT的特征是内部主机使用地址池中的公网地址来映射。 Pc1:10.1.1.1---------->200.200.200.1 Pc2:10.1.1.2---------->200.200.200.2 Pc3:10.1.1.3----------> Pc4:10.1.1.4----------> √ 200.200.200.2?
动态NAT配置举例 本地全局地址从NAT地址池net100中分配,该地址池定义了地址范围为200.168.12.2~ 200.168.12.100。只有内部源地址匹配访问列表1的数据包才会建立NAT转换记录。 Route(config)#ip nat pool net100 200.168.12.2 200.168.12.100 netmask 255.255.255.0 Route(config)#access-list 1 permit 192.168.12.0 0.0.0.255 Route(config)#ip nat inside source list 1 pool net100
动态NAT配置举例(续) Route(config)#interface FastEthernet 1/0 Route(config-if)#ip address 192.168.12.1 255.255.255.0 Route(config-if)#ip nat inside Route(config-if)#no shutdown Route(config-if)#exit Route(config)#interface Serial 1/2 Route(config-if)#ip address 200.168.12.1 255.255.255.0 Route(config-if)#ip nat outside Route(config-if)#no shutdown Route(config-if)#exit
内部源地址NAPT的配置 传统的NAT一般是指一对一的地址映射,不能同时满足所有的内部网络主机与外部网络通讯的需要。使用NAPT,可以将多个内部本地地址映射到一个内部全局地址,路由器用“内部全局地址+ TCP/UDP端口号”来对应“一个内部主机地址+TCP/UDP 端口号”。当进行NAPT转换时,路由器需要维护足够的信息(比如IP地址、TCP/UDP端口号)才能将全局地址转换回内部本地地址, 目前锐捷路由器的NAT缺省就是支持NAPT转换的。
静态NAPT 当你内部主机需要对外部网络提供服务,而又缺乏全局地址,或者就没有申请全局地址,就可以考虑配置静态NAPT,静态NAPT 的内部全局地址可以是路由器外部(Outside)接口的IP地址,也可以是向CNNIC申请来的地址。
静态NAPT配置举例 将一台内网的WEB服务器192.168.12.3 映射到全局IP地址200.198.12.1的80端口。 Route(config)#interface FastEthernet 1/0 Route(config-if)#ip address 192.168.12.1 255.255.255.0 Route(config-if)#ip nat inside Route(config-if)#no shutdown Route(config-if)#exit Route(config)#interface FastEthernet 1/1 Route(config-if)#ip address 200.198.12.1 255.255.255.0 Route(config-if)#ip nat outside Route(config-if)#no shutdown Route(config-if)#exit Route(config)#ip nat inside source static tcp 192.168.12.3 80 200.198.12.1 80
动态NAPT 允许内部所有主机可以访问外部网络,动态NAPT的内部全局地址可以是路由器外部(Outside)接口的IP 地址,也可以是向CNNIC 申请来的地址。
动态NAPT配置举例 本地全局地址从NAT地址池net200中分配,该地址池只定义200.168.12.200一个IP地址,但允许复用。只有内部源地址匹配访问列表2的数据包才会建立该类型NAT转换记录。 Route(config)#ip nat pool net200 200.168.12.200 200.168.12.200 netmask 255.255.255.0 Route(config)#access-list 2 permit 192.168.12.0 0.0.0.255 Route(config)#ip nat inside source list 2 pool net200 overload
动态NAPT配置举例(续) Route(config)#interface FastEthernet 1/0 Route(config-if)#ip address 192.168.12.1 255.255.255.0 Route(config-if)#ip nat inside Route(config-if)#no shutdown Route(config-if)#exit Route(config)#interface Serial 1/2 Route(config-if)#ip address 200.168.12.1 255.255.255.0 Route(config-if)#ip nat outside Route(config-if)#no shutdown Route(config-if)#exit
查看命令 show ip nat translations:显示当前存在的NAT转换信息。 show ip nat statistics:查看NAT的统计信息。 show ip nat translations verbose:显示当前存在的NAT转换的详细信息。 debug ip nat:跟踪NAT操作,显示出每个被转换的数据包。 Clear ip nat translations *:删除NAT映射表中的所有内容
