1 / 33

網路位址轉換 (NAT)

第 11 章. 網路位址轉換 (NAT). 何時使用 NAT ?. 必須連上網際網路 , 但是主機又沒有唯一的全域 IP 位址 更換到新的 ISP 而必須重新為網路編號 合併兩個具有重複位址的企業內網路. 在哪裡設定 NAT ?. NAT 的優缺點. NAT 的類型. 靜態 NAT 在區域與全域位址之間進行一對一的對應 動態 NAT 將未註冊的 IP 位址對應到一堆已註冊 IP 位址中的一個註冊 IP 位址。靜態與動態 NAT 都必須有足夠的真實 IP 位址 , 供每個想要與網際網路收送封包的機器使用

jean
Download Presentation

網路位址轉換 (NAT)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第 11 章 網路位址轉換 (NAT)

  2. 何時使用 NAT? • 必須連上網際網路, 但是主機又沒有唯一的全域 IP 位址 • 更換到新的 ISP 而必須重新為網路編號 • 合併兩個具有重複位址的企業內網路

  3. 在哪裡設定 NAT?

  4. NAT 的優缺點

  5. NAT的類型 • 靜態 NAT在區域與全域位址之間進行一對一的對應 • 動態 NAT將未註冊的 IP 位址對應到一堆已註冊 IP 位址中的一個註冊 IP 位址。靜態與動態NAT都必須有足夠的真實 IP 位址, 供每個想要與網際網路收送封包的機器使用 • 超載 (overloading)藉由使用不同埠號, 將多個未註冊的 IP 位址對應到單一個註冊的 IP 位址,又稱為埠號位址轉換 (Port Address Translation, PAT)

  6. NAT 的術語

  7. 基本NAT的運作

  8. PAT 的運作

  9. 設定靜態的 NAT 指定哪些IP位址要轉換 指定本界面為內部界面 指定本界面為外部界面

  10. 設定動態的 NAT 設定address pool給NAT用 將符合 access-list 1 的 IP 位址轉換到稱為 todd 的 IP NAT pool

  11. 設定PAT 這個範例只設一個,但也可以有多個address

  12. NAT 的簡易驗證 • 檢視基本的 IP 位址轉換資訊: • 利用debug ip nat命令來驗證您的 NAT 組態。它的輸出會在每一列偵錯訊息中顯示傳送端位址、轉換、以及目的位址: • 使用 clear ip nat translation命令從轉換表格中清除 NAT 項目

  13. 測試與檢修 NAT • 檢查NAT的設定 • 檢查動態儲備池 - 它們是否包含了正確的位址範圍? • 檢查動態儲備池是否有重疊 • 檢查靜態對應及動態儲備池中所使用的位址是否有重疊 • 確定您的存取清單確實指定了待轉換的位址 • 確定沒有任何應該在裡面的位址被遺漏, 並且確定沒有不該在的卻被包含進去 • 檢查您是否有適當地劃定內在與外在界面 • 檢查是否有遶送上的問題 • 確定您的路由器知道要怎麼處理轉換後的新位址!

  14. 測試與檢修 NAT(續) • ip nat translation max-entries命令 • 有時候必須因為效能或是政策限制, 而限制項目的數量 • show ip nat statistics • 提供 NAT 組態的摘要, 並且計算active的轉換類型數目 • 計算現有對應的擊中數 (hit) 和失誤數 (miss) - 失誤的後果就是嚐試建立一個新的對應 • 揭露逾時的轉換 • pool (refcount) 命令 • 檢查動態儲備池、它們的類型、可用的位址總數、已經配置了多少位址、配置失敗的次數、以及已經發生的轉換數目

  15. 測試與檢修 NAT (續) • clear ip nat translations命令 • 手動清除 NAT 表格中的動態 NAT 項目 • 如果儲備池中有任何位址在 NAT 表格中存在對應時, Cisco 的 IOS 軟體就不會讓您變更或刪除位址儲備池 • ip nat translation timeout命令 • 每當新產生一個 NAT 項目到 NAT 表格時, 該項目的計時器就開始計時;計時器的持續時間稱為translation timeout。而每次有該項目的封包經由路由器轉換時, 該計時器就會重新計時 • 如果計時器逾時, 該項目就會悄悄地從 NAT 表格中移除, 而這個動態指定的位址也會還回儲備池中 • Cisco 預設的轉換逾時為 86, 400 秒 (24 小時)

  16. NAT範例1 • 要在哪裡實作 NAT, 以及哪種類型的 NAT?

  17. NAT範例2 • 6 個公眾 IP 位址, 從 192.1.2.109 到 192.1.2.114 • 在內部網路中有 63 台主機使用私有位址 192.168.10.65 到 192.168.10.126 • 也可以使用 prefix-length 29敘述來取代 netmask 命令 • 第二種做法:ip nat pool Todd 192.1.2.109 192.1.2.114 netmask 255.255.255.248。但這是一種浪費, 因為第 2 到第 6 個位址都只有在 TCP 埠號發生衝突時才會用到 • 請確定要在適當的界面上加入 ip nat inside與 ip nat outside敘述

  18. 我們的NAT互連網路圖 Corp 路由器與 R3 路由器間的連線現在是使用全域 PAT 位址

  19. 我們的NAT互連網路位址

  20. 我們的NAT互連網路位址(續)

  21. 我們的NAT互連網路位址(續)

  22. 設定Corp 路由器的NAT 組態 • 首先在 Corp 路由器上設定 NAT 組態,讓所有連到 Corp 路由器的網路能使用新的全域位址 64.1.1.5 / 30, 與所有連到 R3 路由器的網路進行通訊:

  23. 測試互連網路上的NAT組態—sh ip nat trans • 試著從 HostC 執行 ping,再 telnet 連到 HostD

  24. 測試互連網路上的NAT組態—debug ip nat • 開啟 Corp 路由器上的 debug ip nat, 然後從 HostB 用 telnet 連到 HostD: 去 回

  25. 測試互連網路上的NAT組態—show ip nat translation

  26. 測試互連網路上的NAT組態—show ip nat statistics

  27. 使用 SDM 來設定 NAT 組態(1) • 點選 Configure-->NAT • 基本 NAT如果您在受信任網路上有些基本的主機需要存取網際網路, 就可以使用這個精靈, 它會帶領您完成基本 NAT 組態的建立過程 • 進階 NAT如果您有 DMZ, 或是有位於內部網路但允許使用者從外部來存取的伺服器, 您鐵定會想使用進階的 NAT 組態設定

  28. 使用 SDM 來設定 NAT 組態(2) • 選擇Basic NAT, 點選 Launch the Selected Task

  29. 使用 SDM 來設定 NAT 組態(3) • 按下 Next

  30. 使用 SDM 來設定 NAT 組態(4) • 選擇好內部與外部界面之後, 點選 Next • 最後, 按下Finish

  31. 檢視SDM設定的NAT組態(1)

  32. 檢視SDM設定的NAT組態(2)

  33. 檢視SDM設定的NAT組態(3) • 下面是它所建立的 ip nat inside source list: • 為我們在 SDM 畫面上選擇的每個內部網路界面所建立的存取清單:

More Related