版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、NAT應(yīng)用,卓越服務(wù) 智慧校園,NAT技術(shù)——場(chǎng)景描述,172.16.0.0/16,192.168.0.0/16,10.0.0.0/8,1、NAT原理與配置,NAT原理與配置:—— NAT概述,NATNetwork Address Translation,把數(shù)據(jù)包中的IP地址轉(zhuǎn)換為另一個(gè)IP地址主要用于解決校園網(wǎng)使用私有地址上公網(wǎng)的問(wèn)題大多數(shù)應(yīng)用基于IPv4IPv4地址短缺使用私有地址(RFC1918)和NAT技術(shù)緩解IP
2、v4公網(wǎng)地址短缺的問(wèn)題10.0.0.0/8172.16.0.0/12192.168.0.0/16,NAT原理與配置:—— NAT工作原理,,,,,192.168.1.10,,inside,outside,校園網(wǎng),100.1.10.12,200.10.20.30,源IP:192.168.1.10,目的IP:200.10.20.30,,源IP:100.1.10.12,目的IP:200.10.20.30,IP數(shù)據(jù)包,源IP:200.1
3、0.20.30,目的IP:100.1.10.12,源IP:200.10.20.30,目的IP:192.168.1.12,inside local,Outside global,inside global,Outside local,outside local,inside global,outside global,inside local,NAT的轉(zhuǎn)換過(guò)程,NAT原理與配置:—— NAT轉(zhuǎn)換表,EG1000#show ip nat
4、translations Pro Inside global Inside local Outside local Outside globalTCP 100.1.10.12:6004 192.168.1.10:6004 200.10.20.30:80 200.10.20.30:80 Tcp 61.186.178.5:
5、4010 192.168.1.20:4010 221.238.198.149:80 221.238.198.149:80 Udp 61.186.178.9:1496 192.168.1.50:1496 117.78.198.58:14108 117.78.198.58:14108Tcp 100.1.10.12:80 192.168.1.10:80
6、 117.25.172.10:12567 117.25.172.10:12567,,,PAT方式,NAT方式,什么是PAT方式何為NAT方式,NAT原理與配置:—— NAT的分類,根據(jù)轉(zhuǎn)換地址的對(duì)應(yīng)關(guān)系NAT方式只轉(zhuǎn)換IP報(bào)文頭中的IP地址,在內(nèi)部局部和內(nèi)部全局地址之間建立一對(duì)一映射實(shí)現(xiàn)簡(jiǎn)單,無(wú)法滿足實(shí)際通訊的需要PAT方式Port Address Translation,采用了“IP地址+端口”的映射方式進(jìn)行
7、地址轉(zhuǎn)換,利用TCP/UDP協(xié)議的端口號(hào)區(qū)分不同的主機(jī),建立多對(duì)多的映射關(guān)系。,NAT原理與配置:—— NAT的分類,動(dòng)態(tài)NAT建立內(nèi)部局部地址和內(nèi)部全局地址池的臨時(shí)映射關(guān)系,過(guò)一段時(shí)間沒(méi)有用就會(huì)刪除映射關(guān)系靜態(tài)NAT建立內(nèi)部局部地址和內(nèi)部全局地址的永久映射。當(dāng)外部網(wǎng)絡(luò)需要通過(guò)固定的全局可路由地址訪問(wèn)內(nèi)部服務(wù)器,7,NAT原理與配置:——轉(zhuǎn)換關(guān)聯(lián),轉(zhuǎn)換關(guān)聯(lián)就是將一個(gè)地址池和一個(gè)訪問(wèn)列表或者路由圖關(guān)聯(lián)起來(lái),這種關(guān)聯(lián)指定了具有指
8、定特征的IP報(bào)文能否進(jìn)行轉(zhuǎn)換,能使用哪個(gè)地址池中的地址。在地址轉(zhuǎn)換時(shí),是根據(jù)這樣的轉(zhuǎn)換關(guān)聯(lián)進(jìn)行地址轉(zhuǎn)換的。當(dāng)一個(gè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包文發(fā)往外部網(wǎng)絡(luò)時(shí),首先判斷是否是允許轉(zhuǎn)換的數(shù)據(jù)包,然后根據(jù)轉(zhuǎn)換關(guān)聯(lián)找到和它相對(duì)應(yīng)的地址池,完成地址轉(zhuǎn)換。,8,NAT原理與配置:——配置案例,實(shí)現(xiàn)以下需求1、內(nèi)部主機(jī)(10.10.10.0/24)能訪問(wèn)公網(wǎng)2、內(nèi)部服務(wù)器私有ip:172.16.10.100,對(duì)外提供www 服務(wù)。,9,202.100.99
9、.0/24,,R2,NPE,,,,PC,Web server,10.10.10.0/24,192.168.1.1/30,,,Nat地址池pool 為 202.112.192.0/24Web server映射成202.112.194.1/24,202.112.193.2/30,L3 SW,172.16.10.100/24,192.168.1.2/30,202.112.193.1/30,NAT原理與配置:——配置案例,10,202.1
10、00.99.0/24,,R2,NPE,,,,PC,Web server,10.10.10.0/24,Gi0/0 192.168.1.1/30,,,Gi0/1 202.112.193.2/30,L3 SW,172.16.10.100/24,192.168.1.2/30,202.112.193.1/30,Outside外網(wǎng)口,Inside內(nèi)網(wǎng)口,interface GigabitEthernet 0/0 ip nat insidein
11、terface GigabitEthernet 0/1 ip nat outside,ip access-list standard 1 10 permit 10.10.10.0 0.0.0.255,定義NAT設(shè)備的內(nèi)外網(wǎng)口,定義進(jìn)行NAT的ACL用戶列表,NAT原理與配置:——配置案例,定義NAT地址池和服務(wù)器對(duì)外映射ip nat pool natpool prefix-length 24 address 202.112.1
12、92.1 202.112.192.254 match interface GigabitEthernet 0/1,202.100.99.0/24,,R2,NPE,,,,PC,Web server,10.10.10.0/24,Gi0/0 192.168.1.1/30,,,Gi0/1 202.112.193.2/30,L3 SW,172.16.10.100/24,192.168.1.2/30,202.112.193.1/30,Outsid
13、e外網(wǎng)口,Inside內(nèi)網(wǎng)口,,pool-name,,前綴長(zhǎng)度,,start-ip,end-ip,,NAT原理與配置:——配置案例,202.100.99.0/24,,R2,NPE,,,,PC,Web server,10.10.10.0/24,Gi0/0 192.168.1.1/30,,,Gi0/1 202.112.193.2/30,L3 SW,172.16.10.100/24,192.168.1.2/30,202.112.193.1
14、/30,Outside外網(wǎng)口,Inside內(nèi)網(wǎng)口,,協(xié)議,,global-address,,local-address,ip nat inside source static tcp 172.16.10.100 80 202.112.194.1 80,,PORT,,PORT,NAT原理與配置:——配置案例,定義轉(zhuǎn)換方法及轉(zhuǎn)換關(guān)聯(lián)ip nat inside source list 1 pool natpool over
15、load,13,202.100.99.0/24,,R2,NPE,,,,PC,Web server,10.10.10.0/24,Gi0/0 192.168.1.1/30,,,Gi0/1 202.112.193.2/30,L3 SW,172.16.10.100/24,192.168.1.2/30,202.112.193.1/30,Outside外網(wǎng)口,Inside內(nèi)網(wǎng)口,,ACL號(hào),,pool-name,NAT原理與配置:——章節(jié)回顧,
16、1、為什么需要NAT?2、NAT有哪些分類?3、NAT的配置步驟有哪些?,14,NAT高級(jí)應(yīng)用,NAT高級(jí)應(yīng)用:——場(chǎng)景描述,場(chǎng)景需求:1、內(nèi)部宿舍區(qū)私有IP地址用戶可以通過(guò)NPE訪問(wèn)公網(wǎng),且訪問(wèn)電信資源走電信線路,訪問(wèn)教育網(wǎng)資源走教育網(wǎng)線路。2、內(nèi)部服務(wù)器網(wǎng)段172.16.0.0/16只走教育網(wǎng)線路,內(nèi)部web服務(wù)器(172.16.1.1)對(duì)外提供web服務(wù)3、EG啟用NAT日志功能,和elog對(duì)接,elog服務(wù)器地址為1
17、72.16.1.2,16,,,,,出口區(qū)域,RG-RSR50-40,RG-ACE2000,RG-EG,出口路由器,流控設(shè)備,出口引擎,電信,1.1.1.2,1.1.1.1,58.246.1.2,202.101.1.1,202.101.1.2,58.246.1.1,教育網(wǎng),電信地址池為58.246.2.1-58.246.2.10教育網(wǎng)地址池為202.101.3.1-202.101.3.10內(nèi)部web服務(wù)器內(nèi)部地址為172.16.1.1
18、,映射成教育網(wǎng)地址為202.101.2.1,校園網(wǎng),Elog server172.16.1.2,NAT高級(jí)應(yīng)用:——需求分析,1、內(nèi)部宿舍區(qū)私有IP地址用戶可以通過(guò)NPE的兩條線路訪問(wèn)公網(wǎng),且訪問(wèn)電信資源走電信線路,訪問(wèn)教育網(wǎng)資源走教育網(wǎng)線路。分析:宿舍區(qū)私有IP地址用戶通過(guò)NPE的兩條線路都可以訪問(wèn)公網(wǎng),需要在NPE上配置NAT,且電信和教育網(wǎng)都需要配置NAT,配置兩個(gè)地址池,并匹配兩個(gè)接口。2、內(nèi)部服務(wù)器網(wǎng)段172.16.
19、0.0/16只走教育網(wǎng)線路,內(nèi)部web服務(wù)器(172.16.1.1)對(duì)外提供web服務(wù)分析:1、要求內(nèi)部服務(wù)器網(wǎng)段只走教育網(wǎng)線路,傳統(tǒng)的基于目的路由的模式不能滿足此需要,需要配置策略路由,匹配源地址來(lái)進(jìn)行路由轉(zhuǎn)發(fā)。2、要求內(nèi)部web服務(wù)器對(duì)外提供web服務(wù),而內(nèi)部web服務(wù)器是私網(wǎng)地址,因此需要做基于端口的NAT靜態(tài)映射。3、NPE啟用NAT日志功能,和Elog對(duì)接,elog服務(wù)器地址為172.16.1.2分析:?jiǎn)⒂肗AT日志
20、功能,需要和Elog對(duì)接,因此需要配置和Elog對(duì)接的相關(guān)配置。,17,NAT高級(jí)應(yīng)用:——路由配置,內(nèi)網(wǎng)到外網(wǎng)訪問(wèn)的數(shù)據(jù)流走向:,18,源地址:10.0.0.0/8 目的地址為電信,源地址:10.0.0.0/8 目的地址為I教育網(wǎng),,,route-auto-choose cnii GigabitEthernet 0/1 58.246.1.1route-auto-choose cernet GigabitEther
21、net 0/2 202.101.1.1,ip route 0.0.0.0 0.0.0.0 58.246.1.1ip route 0.0.0.0 0.0.0.0 202.101.1.1,電信,啟用NPE的地址庫(kù)功能,配置接口下的電信和教育網(wǎng)地址庫(kù),訪問(wèn)電信的資源走電信線路,匹配教育網(wǎng)的資源走教育網(wǎng)線路。,同時(shí)配置兩條等價(jià)的缺省路由,不匹配電信和教育網(wǎng)地址庫(kù)的,匹配兩條等價(jià)缺省路由,自動(dòng)負(fù)載到兩條線路,NAT高級(jí)應(yīng)用:——路由配置,到內(nèi)
22、網(wǎng)的回指路由:,19,,目的地址為校園網(wǎng)內(nèi)網(wǎng),,,,RG-RSR50-40,RG-ACE2000,RG-EG,出口路由器,流控設(shè)備,出口引擎,1.1.1.2,1.1.1.1,58.246.1.2,202.101.1.1,202.101.1.2,58.246.1.1,校園網(wǎng),Elog server172.16.1.2,ip route 10.0.0.0 255.0.0.0 1.1.1.2ip route 172.16.0.0 255
23、.255.0.0 1.1.1.2ip route 192.168.0.0 255.255.0.0 1.1.1.2,,NAT高級(jí)應(yīng)用:——NAT配置,配置完了雙出口的路由,我們下面來(lái)分析在NAT方面面臨什么問(wèn)題,20,電信,,源地址:10.0.0.0/8 目的地址為電信,,目的地址為電信源地址:?,,源地址:10.0.0.0/8目的地址為I教育網(wǎng),,目的地址為教育網(wǎng)源地址:?,從上圖中數(shù)據(jù)流向可以看出,源地址為宿舍區(qū)私用地址1
24、0.0.0.0/8的網(wǎng)段,訪問(wèn)電信資源從NPE出去時(shí)需要做NAT,匹配電信的地址池;訪問(wèn)教育網(wǎng)資源從NPE出去時(shí)也需要做NAT,匹配教育網(wǎng)的地址池,否則私網(wǎng)地址在公網(wǎng)上無(wú)法路由,無(wú)法訪問(wèn)互聯(lián)網(wǎng)。 因此,我們需要配置兩個(gè)地址池,并對(duì)應(yīng)的匹配兩個(gè)接口。,NAT高級(jí)應(yīng)用:——NAT配置,,21,,,,,RG-RSR50-40,RG-ACE2000,RG-EG,出口路由器,流控設(shè)備,出口引擎,電信,1.1.1.2,1.1.1.1,58.
25、246.1.2,202.101.1.1,202.101.1.2,校園網(wǎng),Elog server172.16.1.2,Outside外網(wǎng)口,Inside內(nèi)網(wǎng)口,Outside外網(wǎng)口,interface GigabitEthernet 0/0ip nat insideinterface GigabitEthernet 0/1 ip nat outsideinterface GigabitEthernet 0/2 ip nat
26、outside,定義NAT設(shè)備的內(nèi)外口,NAT高級(jí)應(yīng)用:——NAT配置,,22,,,,,RG-RSR50-40,RG-ACE2000,RG-EG,出口路由器,流控設(shè)備,出口引擎,電信,1.1.1.2,1.1.1.1,58.246.1.2,202.101.1.1,202.101.1.2,校園網(wǎng),Elog server172.16.1.2,Outside外網(wǎng)口,Inside內(nèi)網(wǎng)口,ip nat pool sushe prefix-le
27、ngth 24address 202.101.3.1 202.101.3.1 match interface gigabitEthernet 0/2address 58.246.2.1 58.246.2.10 match interface gigabitEthernet 0/1,定義NAT地址池,Outside外網(wǎng)口,NAT高級(jí)應(yīng)用:——端口映射,,23,,,,,RG-RSR50-40,RG-ACE2000,RG-EG,出口路由
28、器,流控設(shè)備,出口引擎,電信,1.1.1.2,1.1.1.1,58.246.1.2,202.101.1.1,202.101.1.2,校園網(wǎng),web server172.16.1.1,Outside外網(wǎng)口,Inside內(nèi)網(wǎng)口,Outside外網(wǎng)口,ip nat inside source static tcp 172.16.1.1 80 202.101.2.1 80,內(nèi)部web服務(wù)器(172.16.1.1)對(duì)外提供web服務(wù),NAT高
29、級(jí)應(yīng)用:——開(kāi)啟日志功能,,電信,,,發(fā)送給NAT日志給Elog服務(wù)器,Elog服務(wù)器是用來(lái)存儲(chǔ)和查詢NPE的nat日志的,NPE上的配置步驟如下:打開(kāi)流日志開(kāi)關(guān),ip session log-on,配置日志服務(wù)器,NPE(config)# rlog server 172.16.1.2,NAT高級(jí)應(yīng)用:——章節(jié)回顧,1、EG特有的地址庫(kù)是做什么用的?2、什么情況下需要策略路由?同普通目的路由有何本質(zhì)區(qū)別?3、雙出口NAT需
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- nat+dhcp+單臂路由
- 路由與交換技術(shù)課程設(shè)計(jì)--多區(qū)域ospf配置與nat技術(shù)
- da路由策略與引入
- 6LoWPAN網(wǎng)絡(luò)能量均衡與NAT64邊緣路由研究.pdf
- 路由策略實(shí)例
- 利用RIP在NAT網(wǎng)關(guān)上實(shí)現(xiàn)靜態(tài)路由的解決方案.pdf
- 一種基于應(yīng)用層路由的SIP穿越NAT方案設(shè)計(jì)與實(shí)現(xiàn).pdf
- nat教材
- 正向nat和反向nat建立映射關(guān)系
- NAT的研究與實(shí)現(xiàn).pdf
- 單播策略路由機(jī)制的設(shè)計(jì)與實(shí)現(xiàn).pdf
- TRIP協(xié)議路由策略的研究與應(yīng)用.pdf
- IPv6過(guò)渡策略——基于NAT的隧道系統(tǒng)研究與設(shè)計(jì).pdf
- 藍(lán)牙系統(tǒng)路由策略.pdf
- 移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)優(yōu)化與路由策略.pdf
- BGP路由策略沖突檢測(cè)研究與實(shí)現(xiàn).pdf
- BGP路由策略沖突引發(fā)的路由振蕩研究.pdf
- 內(nèi)容中心網(wǎng)絡(luò)路由與轉(zhuǎn)發(fā)策略的研究.pdf
- NAT網(wǎng)關(guān)的研究與實(shí)現(xiàn).pdf
- NAT穿越技術(shù)研究與實(shí)現(xiàn).pdf
評(píng)論
0/150
提交評(píng)論