第七章 NAT协议配置
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本章重点
• 本章是整个企业网络构建核心所在,要求 学员熟练掌握所有涉及到的知识点
7.1.4 配置静态NAT
7.1.5 配置动态NAT
• • • • • • 配置动态 NAT 1. 确定可用的公有 IP 地址池。 2. 创建访问控制列表 (ACL),以标识需要转换的主机。 3. 将接口指定为内部接口或外部接口。 4. 将访问列表与地址池关联起来。 配置动态 NAT 十分重要的一点是使用标准访问控制 列表 (ACL)。标准 ACL 用于指定需要转换的主机范 围。这一工作可通过 permit 或 deny 语句来完成。 ACL 可包含一个完整网络,一个子网,也可只包含 一台具体主机。ACL 可以只包含单独一行,也可能 包含多条 permit 和 deny 语句。
7.1.2 NAT的实现方式
• • NAT 可以静态配置也可以动态配置。 静态 NAT 将一个内部本地地址映射为一个全局或公有地址。这样的映射 可确保特定的内部本地地址始终与同一公有地址相关联。静态 NAT 可确 保外部设备始终能到达内部设备。例如向外界开放的 Web 服务器和 FTP 服务器。 动态 NAT 使用可用的 Internet 公有地址池,然后将池中的地址分配给内 部本地地址。动态 NAT 将公有地址池中的第一个可用 IP 地址指定给内部 设备。该主机在整个会话期间使用分配到的全局 IP 地址。当会话结束后, 该外部全局地址被地址池收回以供另一台主机使用。
NAT
IN OUT端口
将F0/0定义为NAT的INside端口 R1(config)#int f0/0 R1(config-if)#ip nat inside
将F0/0定义为NAT的OUTside端口
R1(config-if)#int f1/0 R1(config-if)#ip nat outside
•
•
•
内部主机之间用来连接的地址是内部本地地址。分配给组织的公有地址称 为内部全局地址。内部全局地址有时被用作边界路由器外部接口的地址。
NAT 路由器维护着一张包含每个地址对列表的表格,它通过该表格来管理 内部本地地址与内部全局地址之• •
配置静态 NAT 或动态 NAT 时: 列出需要固定外部地址的所有服务器。 确定哪些内部主机需要转换。 确定哪些接口发送内部通信。这些接口即成为内部接口。 确定哪个接口将通信发送到 Internet。此接口即成为外部接口。 确定可用公有地址的范围。 配置静态 NAT 1. 确定外部用户应使用哪个公有 IP 地址来访问内部设备/服务 器。对于静态 NAT,管理员倾向于使用地址范围开头或结尾的 地址。将内部(即私有)地址转换为公有地址。 • 2. 配置内部和外部接口。
第七章 NAT协议配置
钟容江
本章要求
• 本章是整个企业网络构建核心所在, 要求学员熟练掌握所有涉及到的知识 点
本章内容
• 7.1 NAT技术
7.1.1 NAT技术
网络地址转换属接入广域网 (WAN)技术,是一种将私有(保留)地 址转化为合法IP地址的转换技术, 它被广泛应用于各种类型Internet 接入方式和各种类型的网络中。原 因很简单,NAT不仅完美地解决了 lP地址不足的问题,而且还能够有 效地避免来自网络外部的攻击,隐 藏并保护网络内部的计算机。 虽然NAT可以借助于某些代理 服务器来实现,但考虑到运算成本 和网络性能,很多时候都是在路由 器上来实现的。
NAT show
• Show ip nat translations • 查看NAT配置信息
• Traceroutre 追踪数据的走向
DHCP
• • • • • • • • • • • • • • DHCP SW1(config)#service dhcp 开启DHCP服务 SW1(config)#ip dhcp pool king 创建名称为king的DHCP地址池 SW1(dhcp-config)#default-router 192.168.1.1 定义默认网关为192.168.1.1 SW1(dhcp-config)#dns-server 61.153.177.200 61.153.177.202 定义DNS为61.153.177.200 61.153.177.202 SW1(dhcp-config)#network 192.168.1.0 /24 定义该地址池为192.168.1.0网络服务 SW1(dhcp-config)#exit SW1(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.200 定义DHCP地址池范围为除了192.168.1.1到200之外都是(201-254)
静态NAT
• 静态NAT转换 将内网的192.168.1.2出去时转 换成61.153.177.100 • R1(config)#ip nat inside source static 192.168.1.2 61.153.177.100
动态NAT
• • • • 动态 R1(config)#access-list 100 permit ip any any 通过ACL100来决定源地址 R1(config)#ip nat pool king 61.153.177.1 61.153.177.2 netmask 255.255.255.0 • 创建名称为King的地址池范围为61.153.177.1-2 • R1(config)#ip nat inside source list 100 pool king • 将源地址ACL100转成King地址池中的地址