1 / 34

利用 NAT 扩展网络

利用 NAT 扩展网络. 学习目标. 在 Cisco 路由器上配置 NAT 。包括说明 NAT 和 NAT 过载的主要功能与运作,说明 NAT 的优点和缺点,配置 NAT 和 NAT 过载以节省网络的 IP 地址空间,配置端口转发,以及检验 NAT 配置和排查 NAT 故障。. 目录. 7.1 公用和私有 IP 编址 7.2 何谓 NAT 7.3 使用 NAT 的利弊 7.4 配置静态 NAT 7.5 配置动态 NAT 7.6 配置 NAT 过载 7.7 检验 NAT 和 NAT 过载.

kevlyn
Download Presentation

利用 NAT 扩展网络

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 利用NAT扩展网络

  2. 学习目标 • 在 Cisco 路由器上配置 NAT。包括说明 NAT 和 NAT 过载的主要功能与运作,说明 NAT 的优点和缺点,配置 NAT 和 NAT 过载以节省网络的 IP 地址空间,配置端口转发,以及检验 NAT 配置和排查 NAT 故障。

  3. 目录 • 7.1 公用和私有IP编址 • 7.2何谓 NAT • 7.3使用 NAT 的利弊 • 7.4配置静态 NAT • 7.5配置动态 NAT • 7.6配置 NAT过载 • 7.7检验 NAT 和 NAT 过载

  4. 7.1 公用和私有IP编址 • 所有公有 Internet 地址都必须在所属地域的相应 Internet 注册管理机构 (RIR) 注册。 • 与公有 IP 地址不同,私有 IP 地址是保留的数值块,任何人均可以使用。

  5. 7.2何谓 NAT? • 何谓 NAT? • NAT 就像大办公室中的前台接待员。客户拨打您办公室的总机号码,这是客户知道的唯一号码。 • NAT 有很多用途,但最主要的用途是让网络能使用私有 IP 地址以节省 IP 地址。NAT 将不可路由的私有内部地址转换成可路由的公有地址。NAT 还能在一定程度上增加网络的私密性和安全性,因为它对外部网络隐藏了内部 IP 地址。 • R2 执行 NAT 过程,将主机的内部私有地址转换为公有、外部、可路由的地址。

  6. 7.2何谓 NAT? • 内部本地地址— 通常不是 RIR 或服务器提供商分配的 IP 地址,极有可能是 RFC 1918 私有地址。图中,IP 地址 192.168.10.10 被分配给内部网络上的主机 PC1。 • 内部全局地址— 当内部主机流量流出 NAT 路由器时分配给内部主机的有效公有地址。当来自 PC1 的流量发往 Web 服务器 209.165.201.1 时,路由器 R2 必须进行地址转换。本例中,PC1 的内部全局地址使用 IP 地址 209.165.200.226。 • 外部全局地址— 分配给 Internet 上主机的可达 IP 地址。例如,Web 服务器的可达 IP 地址为 209.165.201.1。 • 外部本地地址— 分配给外部网络上主机的本地 IP 地址。大多数情况下,此地址与外部设备的外部全局地址相同。

  7. 7.2何谓 NAT? • NAT 如何工作? • 内部主机 (192.168.10.10) 希望与外部 Web 服务器 (209.165.201.1) 通信。它发送数据包给配置了 NAT 的网络边界网关 R2。 • R2 读取数据包的目的 IP 地址,并检查数据包是否符合规定的转换标准。

  8. 7.2何谓 NAT? • NAT 如何工作? • R2 有一个 ACL,它确定内部网络中可进行转换的有效主机。因此,R2 将内部本地 IP 地址转换成内部全局 IP 地址,本例中为 209.165.200.226。它将此本地与全局地址映射关系存储在 NAT 表中。

  9. 7.2何谓 NAT? • NAT 如何工作? • 路由器将数据包发送到目的地。

  10. 7.2何谓 NAT? • NAT 如何工作? • 当 Web 服务器回应时,数据包回到 R2 的全局地址 (209.165.200.226)。

  11. 7.2何谓 NAT? • NAT 如何工作? • R2 参考 NAT 表,发现这是原先转换的 IP 地址。因此,它将内部全局地址转换成内部本地地址,然后将数据包转发给 IP 地址为 192.168.10.10 的 PC1。 • 如果它没有找到映射关系,数据包将被丢弃。

  12. 7.2何谓 NAT? • NAT 转换有两种类型 • 动态 NAT:使用公有地址池,并以先到先得的原则分配这些地址。当具有私有 IP 地址的主机请求访问 Internet 时,动态 NAT 从地址池中选择一个未被其它主机占用的 IP 地址。这就是到目前为止所介绍的映射。 • 静态 NAT :使用本地地址与全局地址的一对一映射,这些映射保持不变。静态 NAT 对于必须具有一致的地址、可从 Internet 访问的 Web 服务器或主机特别有用。这些内部主机可能是企业服务器或网络设备。

  13. 7.2何谓 NAT? • NAT 过载 • NAT 过载(有时称为端口地址转换或 PAT)将多个私有 IP 地址映射到一个或少数几个公有 IP 地址。因为每个私有地址也会用端口号加以跟踪。 • 大多数家用路由器就是这样工作的。

  14. 7.2何谓 NAT? • NAT 过载 • 当 NAT 处理各数据包时,它使用端口号(本例中为 1331 和 1555)来识别发起数据包的客户端。 • NAT 过载将 SA 变成客户端的内部全局 IP 地址,同样会附加端口号。

  15. 7.2何谓 NAT? • 下一可用端口 • NAT 过载会尝试保留源端口号。

  16. 7.2何谓 NAT? • 下一可用端口 • 但是,如果此源端口已被使用,NAT 过载会从适当的端口组 0-511、512-1023 或 1024-65535 开始分配第一个可用端口号。当没有端口可用时,如果配置了一个以上的外部 IP 地址,则 NAT 过载将会使用下一 IP 地址,再次尝试分配原先的源端口。

  17. 7.2何谓 NAT? • NAT 与 NAT 过载之间的区别 • NAT 一般只按公有 IP 地址与私有 IP 地址之间的一对一对应关系转换 IP 地址。NAT 过载则会同时修改发送者的私有 IP 地址和端口号。NAT 过载选择对公有网络上主机可见的端口号。 • NAT 将传入的数据包路由给其内部目的地时,将以公有网络上主机给出的传入源 IP 地址为依据。利用 NAT 过载,一般只需一个或极少的几个公有 IP 地址。

  18. 7.3使用 NAT 的利弊

  19. 7.4配置静态 NAT • 静态 NAT 为内部地址与外部地址的一对一映射。静态 NAT 允许外部设备发起与内部设备的连接。 • 首先需要定义要转换的地址,然后在适当的接口上配置 NAT。

  20. 7.4配置静态 NAT

  21. 7.5配置动态 NAT • 动态 NAT 则是将私有 IP 地址映射到公有地址。这些公有 IP 地址源自 NAT 池。 • 动态 NAT 不是创建到单一 IP 地址的静态映射,而是使用内部全局地址池。

  22. 7.5配置动态 NAT

  23. 7.6配置 NAT过载 • 为单一公有 IP 地址配置 NAT 过载 • 仅有一个公有 IP 地址时,过载配置通常把该公有地址分配给连接到 ISP 的外部接口。所有内部地址离开该外部接口时,均被转换为该地址。 • 使用 interface 关键字来标识外部 IP 地址,因此没有定义 NAT 池。利用 overload关键字,可以将端口号添加到转换中。

  24. 7.6配置 NAT过载 • 为单一公有 IP 地址配置 NAT 过载

  25. 7.6配置 NAT过载 • 为公有 IP 地址池配置 NAT 过载 • 当 ISP 提供了一个以上公有 IP 地址时,NAT 过载将使用地址池。这种配置与动态、一对一 NAT 配置的主要区别是前者使用了 overload 关键字。overload 关键字允许进行端口地址转换。

  26. 7.6配置 NAT过载 • 为公有 IP 地址池配置 NAT 过载

  27. 7.7检验 NAT 和 NAT 过载 • 检验 NAT 和 NAT 过载 • 以上是测试的例子。.

  28. 7.7检验 NAT 和 NAT 过载 • 检验 NAT 和 NAT 过载 • show ip nat translations命令的输出显示NAT 分配的详细情况。在该命令中增加 verbose可显示关于每个转换的附加信息,包括创建和使用条目的时间长短。 • 该命令显示所有已配置的静态转换和所有由流量创建的动态转换。

  29. 7.7检验 NAT 和 NAT 过载 • 检验 NAT 和 NAT 过载 • show ip nat statistics命令显示以下信息:活动转换总数、NAT 配置参数、池中的地址数量以及已分配的地址数量。 • 转换条目默认超时时间为 24 小时,在全局配置模式下使用 ip nat translation timeouttimeout_ seconds命令可重新配置超时时间。

  30. 7.7检验 NAT 和 NAT 过载 • 检验 NAT 和 NAT 过载 • 要在超时之前清除动态条目,请使用 clear ip nat translation全局命令。 • 可以具体指定删除哪一转换,也可以使用 clear ip nat translation *全局命令清除表中的全部转换,如本例所示。

  31. 7.7检验 NAT 和 NAT 过载 • NAT 和 NAT 过载配置的故障排除

  32. 7.7检验 NAT 和 NAT 过载 • NAT 和 NAT 过载配置的故障排除 • 步骤 1. 根据配置,清楚地确定应该实现什么样的 NAT。这可能会揭示出配置问题。 • 步骤 2. 使用 show ip nat translations命令检验转换表中转换条目是否正确。 • 步骤 3. 使用 clear 和 debug命令检验 NAT 是否如预期一样工作。检查动态条目被清除后,是否又被重新创建出来。 • 步骤 4. 详细审查数据包传送情况,确认路由器具有移动数据包所需的正确路由信息。 • 使用 debug ip nat命令显示关于被路由器转换的每个数据包的信息,检验 NAT 功能的运作。

  33. 总结 • NAT与NAT过载的关键特征和运作过程 • NAT的优缺点 • 配置NAT与NAT过载 • 配置端口转发 • 检验NAT的配置 • NAT配置故障排除

More Related