路由器协议配置 NAT技术

NAT基本概念
共有地址和私有地址 私有地址是指内部网络(局域网内部)的主机地址，而公 有地址是局域网的外部地址（在因特网上的全球唯一的 IP地址）。因特网地址分配组织规定以下的三个网络地 址保留用做私有地址： 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255
园区网中的NAT综合配置
1．在三层交换机SW1及SW2上进行以下配置。以SW1为例 1）定义每个VLAN 1、2、3、7、8、9，给出SVI；
Sw1(config)# int f0/1 Sw1(config-if)# switch mode access Sw1(config-if)# switch access vlan 2 Sw1(config-if)# no sh Sw1(config-if)# int f0/2 Sw1(config-if)# switch mode access Sw1(config-if)# switch access vlan 3 Sw1(config-if)# no sh Sw1(config-if)# int f0/5 Sw1(config-if)# switch mode access Sw1(config-if)# switch access vlan 1 Sw1(config-if)# no sh Sw1(config-if)# exi Sw1(config)# int range f0/3 - 4 Sw1(config-if-range)# channel-g 1 m o Sw1(config-if-range)# exi Sw1(config)# int vlan 2 Sw1(config-if)# ip add 192.168.2.1 255.255.255.0 Sw1(config-if)# no sh Sw1(config-if)# int vlan 3 Sw1(config-if)# ip add 192.168.3.1 255.255.255.0 Sw1(config-if)# no sh Sw1(config-if)# int vlan 1 Sw1(config-if)# ip add 192.168.0.2 255.255.255.0
静态NAT的配置步骤
1
1）定义内网
2
3
接口和外网接 口
2）建立静态 的一对一的映 射关系
3）设置默 认路由
动态NAT的配置步骤
1 1）定义内网接 口和外网接口 2）定义访问控 制列表(内部本 地地址范围)
2 3）定义转 换的外网地 2） 址池 (ISP提 供的全局地 址池)
3
来自百度文库
4）建立映射 关系 5）设置默认 路由
静态PAT配置步骤
1
1）定义内 网接口和外 网接口
2
2）建 立静态 的映射 关系
3
3）设置默 认路由
动态PAT配置步骤
1
2
3
1）定义内网接口 3）定义内 4）建立映射关系 部全局地 和外网接口 址池 5）设置默认路由 2）定义内部本地 地址范围
(1) 路由器R1的主要配置命令代码
R1(config)# int f1/0 R1(config-if)# ip add 192.168.1.1 255.255.255.0 R1(config-if)# ip nat inside R1(config-if)# no sh R1(config-if)# exi R1(config)# int s1/1 R1(config-if)# clock rate 64000 R1(config-if)# ip add 202.121.241.1 255.255.255.0 R1(config-if)# ip nat outside R1(config-if)# no sh R1(config-if)# exi R1(config)# ip nat inside source static 192.168.1.2 202.121.241.1 R1(config)# ip route 0.0.0.0 0.0.0.0 202.121.241.2
Nat 技术
LOGO
Contents
1 3
NAT 基 础 NAT 的配置 NAT 排错
2
3 4
NAT 限速
学习目标
掌握静态NAT、动态NAT、NAPT的配置 步骤; 掌握三种NAT的不同应用;
熟悉NAT的排错;
Nat 的概念
NAT英文全称是Network Address
Translation，称为网络地址转换，它是 一个IETF标准，允许一个机构众多的用 户仅用少量的公网地址连接到Internet上。
NAT使用环境
NAT使用的几种情况： A、连接到internet，但却没有足够的 合法地址分配给内部主机。 B、更改到一个需要重新分配地址的 ISP。 C、有相同的IP地址的两个internet合 并。
NAT 术语
l Inside local address –内部私有地址。指定 给内部主机使用的地址，局域网内部地址，可 为私有的地址。 l Inside global address –内部公有地址。从 ISP或NIC注册的地址，为合法的公网的地址。 即内部主机地址被NAT转换的外部地址。 l Address Pool - NIC或ISP分配的多个公网 地址。 l Outside local address – 外部网络中的内部 主机地址，是另一个局域网的内部地址。 l Outside global address – 外部网络的公网 地址
作用
定义出口
注释
只有一个出口
定义一个入口 可以多个入口 建立私有与公 有地址之间一 对一的静态映 射
用 Router(config)#no ip nat inside source static删除静态映射 Router(config)# ip nat 建立一个公有 用Router(config)# pool 池名 开始内部公有地 地址池 no ip nat pool删除 址 结束内部公有地址 公有地址池 [netmask 子网掩码 | prefix-length 前缀长度]
NAT的优缺点比较
.１．局域网内保持私
有IP，无需改变，只 需改变路由器，做 NAT转换，就可上外 网 ２．NAT节省了大量 的地址空间 ３．NAT隐藏了内部 网络拓扑结构
１．NAT增加了延迟
２．NAT隐藏了端到端 的地址，丢失了IP地址 的跟踪，不能支持一些 特定的应用程序 ３．需要更多的资源如 内存、CPU来处理NAT
转换源地址、源端口
HA SH表
NAT的基本工作原理
在IP层的入口出调用NAT
IP层
由NAT SERVER命 令形成的 关联表
Yes
是否是到内部服务器的数据 报？
No
转换目的地址和端口
Yes
是否是HASH表中的地址 HASH表
还原数据目的地址以 及端口
No
NAT的分类
静态NAT
动态地址池
网络地址 端口转换
(2) 路由器R2的主要配置命令代码：
R2(config)# int s1/1 R2(config-if)# ip add 202.121.241.2 255.255.255.0 R2(config-if)# no sh R2(config-if)# exi R2(config)# int loopback 0 R2(config-if)# ip add 219.220.234.1 255.255.255.0 R2(config-if)# no sh R2(config-if)# exit
静态NAT设置起来最 为简单和最容易实现 的一种，内部网络中 的每个主机都被永久 映射成外部网络中的 某个合法的地址，多 用于服务器的永久映 射。
动态地址NAT则 是在外部网络中 定义了一系列的 合法地址，采用 动态分配的方法 映射到内部网络， 多用于网络中的 工作站的转换。
NAPT则是 把内部地址 映射到外部 网络的一个 IP地址的不 同端口上。
2）定义三层聚合口，给出IP地址
Sw1# conf t Enter configuration commands, one per line. End with CNTL/Z. Sw1(config)# int range f0/3 - 4 Sw1(config-if-range)# channel-group 1 mode on /*此命令是思科官方交换路由模拟器PacketTracer中的聚合命令，相当于锐捷中的 port-group 1 Sw1(config-if-range)# no switch Sw1(config)# int port-channel 1 /*此命令是思科官方交换路由模拟器PacketTracer中的进入聚合口配置模式，相当 于锐捷中的int aggr 1 Sw1(config-if)# no switchport Sw1(config-if)# ip add 192.168.10.1 255.255.255.0 Sw1(config-if)# exi
Router(config)# 创建内网访问地址列表 access-list 号码 permit 内部私有地址 反码 Router(config)#ip nat inside source list号码 pool 池名 Router(config)#ip nat inside source list号码 pool池名 overload show ip nat translations debug ip nat 配置基于源地址的动态 NAT 配置基于源地址的动态 PAT
NAT的主要命令
命令行
作用
注释
用Router(config)# no access-list 号码 删除内 网访问地址列表 用Router(config)#no ip nat inside source删除动 态映射 用Router(config)#no ip nat inside source删除动 态PAT映射
NAT解决的问题？
NAT技术能帮助解决令人头痛的IP 地址紧缺的问题，而且能使得内外网 络隔离，提供一定的网络安全保障。 它解决问题的办法是：在内部网络 中使用内部地址，通过NAT把内部地 址翻译成合法的IP地址在Internet 上使用，其具体的做法是把IP包内的 地址域用合法的IP地址来替换。
显示NAT转换情况包括：Pro、Inside global、 Inside local、 Outside local、Outside lobal项 NAT*表示转换是在快速交换路径上进行的，一个会 话的第一个分组总是通过低速路径（处理交换）当 缓存条目存在，以后的分组通过快速交换路径。 s=a.b.c.d表示源地址, ->w.x.y.z源地址转换的地址 ，d=e.f.g.h表示目的地址，[n]方括号中的数字表示
NAT的基本工作原理
NAT在系统 中的位置
TCP/UDP IP NAT
Link Layer
NAT的基本工作原理
NAT基本工作原理（以出口NAT为例） 在IP层的出口处调用NAT
IP 层 由NA T SE RVER 命 令形成的 关联表 Ye s
No
是否是内部服务器的数据报
是否是LI ST中允许的地址？ Ye s No 建立新的HA SH表项，记 录有关转换信息,转换地 址以及端口
静态NAT转换过程
动态地址池NAT转换过程
网络地址端口转换
NAT的主要命令
命令行
Router(config-if)# ip nat outside Router(config-if)# ip nat inside Router(config)#ip nat inside source static 内部 私有地址 内部公有地址
3）指定一条默认路由到路由器R1的接口；
Sw1(config)# ip route 0.0.0.0 0.0.0.0 192.168.0.1
4）启动OSPF，宣告各个VLAN网络及聚合口对 不同的区域： Sw1(config)# router ospf 100 Sw1(config-router)# net 192.168.2.0 0.0.0.255 area 2 Sw1(config-router)# net 192.168.3.0 0.0.0.255 area 3 Sw1(config-router)# net 192.168.0.0 0.0.0.255 area 0 Sw1(config-router)# net 192.168.10.0 0.0.0.255 a rea 0 Sw1(config-router)# exi 应的网络，注意各个