1 / 28

组网技术

组网技术. 邹董董 jsj_zdd @wznc.zj.cn. 网络地址转换 (NAT). 一、 NAT 技术的定义 NAT 英文全称是 Network Address Translation ,称是网络地址转换,它是一个 IETF 标准,允许一个机构以一个地址出现在 Internet 上。 NAT 将每个局域网节点的地址转换成一个 IP 地址,反之亦然。它也可以应用到防火墙技术里,把个别 IP 地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有 Internet 地址和私有 IP 地址的使用。.

demetrius-kelly
Download Presentation

组网技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 组网技术 邹董董 jsj_zdd @wznc.zj.cn

  2. 网络地址转换(NAT) • 一、NAT技术的定义 • NAT英文全称是Network Address Translation,称是网络地址转换,它是一个IETF标准,允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址,反之亦然。它也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet 地址和私有IP地址的使用。

  3. NAT技术基本原理 NAT技术能帮助解决令人头痛的IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。它解决问题的办法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址在Internet上使用,其具体的做法是把IP包内的地址域用合法的IP地址来替换。

  4. NAT技术的类型 三种类型: • 静态NAT(Static NAT):设置起来最为简单和最容易,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。 • 动态地址NAT(Pooled NAT):在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。 • 网络地址端口转换NAPT(Port-Level NAT):把内部地址映射到外部网络的一个IP地址的不同端口上。 NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。

  5. NAT使用的几种情况: A、连接到internet,但却没有足够的合法地址分配给内部主机。 B、更改到一个需要重新分配地址的ISP。 C、有相同的IP地址的两个internat合并。 D、想支持负载均衡(主机)。

  6. NAT的几个相关概念: • Inside Local IP address: 指定于内部网络的主机地址,全局唯一,但为私有地址。 • Inside Global IP address: 代表一个或更多内部IP到外部世界的合法IP。 • Outside Global IP address: 外部网络主机的合法IP。 • Outside Local IP address: 外部网络的主机地址,看起来是内部网络的,私有地址。 • Simple Translation Entry: 影射IP到另一个地址的Entry。 • Extended Translation Entry:影射IP地址和端口到另一个pair的Entry。

  7. 静态地址转换基本配置步骤 (1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入: Ip nat inside source static 内部本地地址 内部合法地址 (2)、指定连接网络的内部端口 在端口设置状态下输入: ip nat inside (3)、指定连接外部网络的外部端口 在端口设置状态下输入: ip nat outside

  8. 实例1: 本实例实现静态NAT地址转换功能。将2501的以太口作为内部端口,同步端口0作为外部端口。其中10.1.1.2,10.1.1.3,10.1.1.4的内部本地地址采用静态地址转换。其内部合法地址分别对应为192.1.1.2,192.1.1.3,192.1.1.4。 路由器2501的配置:Current configuration: version 11.3 no service password-encryption hostname 2501 ip nat inside source static 10.1.1.2 192.1.1.2 ip nat inside source static 10.1.1.3 192.1.1.3 ip nat inside source static 10.1.1.4 192.1.1.4 interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside interface Serial0 ip address 192.1.1.1 255.255.255.0 ip nat outside no ip mroute-cache

  9. bandwidth 2000 no fair-queue clockrate 2000000 interface Serial1 no ip address shutdown no ip classless ip route 0.0.0.0 0.0.0.0 Serial0 line con 0 line aux 0 line vty 0 4 password cisco end 配置完成后可以用以下语句进行查看: show ip nat statistcs show ip nat translations

  10. 动态地址转换基本配置步骤 (1)、在全局设置模式下,定义内部合法地址池 ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码    其中地址池名称可以任意设定。 (2)、在全局设置模式下,定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。 Access-list 标号 permit 源地址 通配符    其中标号为1-99之间的整数。

  11. (3)、在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。 ip nat inside source list 访问列表标号 pool内部合法地址池名字 (4)、指定与内部网络相连的内部端口在端口设置状态下: ip nat inside (5)、指定与外部网络相连的外部端口 Ip nat outside

  12. 实例2:    本实例中硬件配置同上,运用了动态NAT地址转换功能。将2501的以太口作为内部端口,同步端口0作为外部端口。其中10.1.1.0网段采用动态地址转换。对应内部合法地址为192.1.1.2~192.1.1.10 Current configuration: version 11.3 no service password-encryption hostname 2501 ip nat pool aaa 192.1.1.2 192.1.1.10 netmask 255.255.255.0 ip nat inside source list 1 pool aaa interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside interface Serial0 ip address 192.1.1.1 255.255.255.0 ip nat outside no ip mroute-cache bandwidth 2000 no fair-queue clockrate 2000000 interface Serial1

  13. no ip address shutdown no ip classless ip route 0.0.0.0 0.0.0.0 Serial0 access-list 1 permit 10.1.1.0 0.0.0.255 line con 0 line aux 0 line vty 0 4 password cisco end

  14. 复用动态地址转换配置步骤 在全局设置模式下,定义内部合地址池 ip nat pool 地址池名字 起始IP地址 终止IP地址 子网掩码   其中地址池名字可以任意设定。 在全局设置模式下,定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换。 access-list 标号 permit 源地址 通配符   其中标号为1-99之间的整数。 在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。 ip nat inside source list 访问列表标号 pool 内部合法地址池名字 overload

  15. 在端口设置状态下,指定与内部网络相连的内部端口 ip nat inside 在端口设置状态下,指定与外部网络相连的外部端口 ip nat outside

  16. 实例:应用了复用动态NAT地址转换功能。将2501的以太口作为内部端口,同步端口0作为外部端口。10.1.1.0网段采用复用动态地址转换。假设企业只申请了一个合法的IP地址192.1.1.1。 2501的配置 Current configuration: version 11.3 no service password-encryption hostname 2501 ip nat pool bbb 192.1.1.1 192.1.1.1 netmask 255.255.255.0 ip nat inside source list 1 pool bbb overload interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside interface Serial0 ip address 192.1.1.1 255.255.255.0 ip nat outside no ip mroute-cache bandwidth 2000 no fair-queue

  17. clockrate 2000000 interface Serial1 no ip address shutdown no ip classless ip route 0.0.0.0 0.0.0.0 Serial0 access-list 1 permit 10.1.1.0 0.0.0.255 line con 0 line aux 0 line vty 0 4 password cisco end

  18. cisco NAT 的配置例子 version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname nat-r1 ! enable secret 5 $1$FEQr$INhRecYBeCb.UqTQ3b9mY0 ! ip subnet-zero ! interface Ethernet0 ip address 172.18.150.150 255.255.0.0 no ip directed-broadcast ip nat inside /* 定义此为网络的内部端口 */ !

  19. interface Serial0 ip address 192.1.1.161 255.255.255.252 no ip directed-broadcast ip nat outside /*定义此为网络的外部端口 */ no ip mroute-cache no fair-queue ! interface Serial1 no ip address no ip directed-broadcast shutdown

  20. ! /* 定义从ISP那里申请到的IP在企业内部的分配策阅 */ ip nat pool tech 192.1.1.100 192.1.1.120 netmask 255.255.255.0 ip nat pool deve 192.1.1.121 192.1.1.150 netmask 255.255.255.0 ip nat pool manager 192.1.1.180 192.1.1.200 netmask 255.255.255.0 ip nat pool soft-1 192.1.1.170 192.1.1.179 netmask 255.255.255.0 ip nat pool soft-2 192.1.1.151 192.1.1.159 netmask 255.255.255.0 ip nat pool temp-user 192.1.1.160 192.1.1.160 netmask 255.255.255.0

  21. /* 将访问列表与地址池对应,以下为动态地址转换*/ ip nat inside source list 1 pool tech ip nat inside source list 2 pool deve ip nat inside source list 3 pool manager ip nat inside source list 4 pool soft-1 ip nat inside source list 5 pool soft-2 /*将访问列表与地址池对应,以下为复用动态地址转换*/ ip nat inside source list 6 pool temp-user overload /*将访问列表与地址池对应,以下为静态地址转换*/ ip nat inside source static 172.18.100.168 192.1.1.168 ip nat inside source static 172.18.100.169 192.1.1.169 ip classless ip route 0.0.0.0 0.0.0.0 Serial0 /* 设置一个缺省路由 */

  22. ! /* 内部网访问地址表,他指出内部网络能访问外部网的地址段,分别定义是为了对应不同的地址池 */ access-list 1 permit 172.18.107.0 0.0.0.255 access-list 2 permit 172.18.101.0 0.0.0.255 access-list 3 permit 172.18.108.0 0.0.0.255 access-list 4 permit 172.18.103.0 0.0.0.255 access-list 4 permit 172.18.102.0 0.0.0.255 access-list 4 permit 172.18.104.0 0.0.0.255 access-list 5 permit 172.18.105.0 0.0.0.255 access-list 5 permit 172.18.106.0 0.0.0.255 access-list 6 permit 172.18.111.0 0.0.0.255 ! line con 0 transport input none line 1 16 line aux 0 line vty 0 4 login ! end

More Related