Upload
clinton-sullivan
View
60
Download
3
Embed Size (px)
DESCRIPTION
第 3 章 网络设备配置. 本章主要内容. 网络互联设备配置基础 配置方式 命令解释器 交换机 路由器 网络地址转换. 本课主要内容. 1. 私有地址 2. NAT 操作 3. NAT 分类 4. 配置 NAT. IP 地址分类与范围. 1-126 128-191 192-223. Class A: Class B: Class C:. 没有 127 开头的,为什么?. 公网地址和私有地址. 1. 公网地址必须被注册 2. 私有地址被保留,并可以被任何人使用. 私有地址范围. 上海建桥学院网络拓扑图. 上海建桥学院网络拓扑图. - PowerPoint PPT Presentation
Citation preview
第 3 章 网络设备配置
网络互联设备配置基础 配置方式 命令解释器
交换机 路由器 网络地址转换
本章主要内容
1. 私有地址 2. NAT 操作 3. NAT 分类 4. 配置 NAT
本课主要内容
IP 地址分类与范围
Class A: Class B: Class C:
1-126 128-
191 192-
223
没有 127 开头的,为什么?
公网地址和私有地址
1. 公网地址必须被注册
2. 私有地址被保留,并可以被任何人使用
私有地址范围
上海建桥学院网络拓扑图
上海建桥学院网络拓扑图
NAT (网络地址转换或网络地址翻译),就是将网络地址从一个地址空间转换到另一个地址空间的行为。
边界路由器执行 NAT 功能,将内部私有地址转换成公网可路由的地址。
NAT 操作
NAT 将网络划分为内部网络( inside )和外部网络( outside )两部分。局域网主机利用 NAT 访问网络时,将局域网内部的本地地址转换成了全局地址(互联网合法的 IP 地址)后转发数据包。
NAT
NAT 分为两种类型: NAT (网络地址转换)和 NAPT (网络地址端口转换)
NAT 是实现转换后一个本地 IP 地址对应一个全局地址。
NAPT 是实现转换后多个本地 IP 地址对应一个全局 IP 地址。
目前网络中由于公网 IP 地址紧缺,而局域网主机数量较多,因此一般使用动态的 NAPT 实现局域网多台主机公用一个或少数几个公网 IP 访问互联网。
NAT 分类
1. Inside local address – 指定给内部主机使用的地址
2. Inside global address – 从 SP 或 NIC 注册的地址,即内部主机地址被 NAT 转换的外部地址
3. Address Pool-NIC 或 SP 分配使用的多个地址
NAT 术语
内部本地地址( Inside Local Address )
内部全局地址( Inside Global Address )
外部本地地址( Outside Local Address )
外部全局地址( Outside Global Address )
分配给内部网络上主机的 IP 地址。这些地址通常只有内部主机知道。
分配给内部主机的以用于 NAT 处理的地址。对外进行 IP通信时,代表一个或多个内部本地地址的合法 IP 地址。这种内部主机的地址可以被外部主机看到。
是目标主机可路由的公网地址被转换之后的地址,通常这种地址是私有地址。
是与内部主机通信的目标主机的地址,通常是一个可路由的公网地址。
NAT 术语
NAT 术语 内部网络和外部网络的区分根据 IP 主机相对于 NAT 路
由器的物理位置( Location )来判断,本地地址和全局地址的区分根据用户相对于 NAT 路由器的位置或视角( viewpoint )来判断。
举例说明几个术语:
NAT 原理 当内部网络中的一台主机想传输数据到外部网络时,它
先将数据包传输到 NAT 路由器上,路由器检查数据包的报头,获取该数据包的源 IP 信息,并从它的 NAT 映射表中找出与该 IP 匹配的转换条目,用所选用的内部全局地址(全球唯一的 IP 地址)来替换内部局部地址,并转发数据包。
当外部网络对内部主机进行应答时,数据包被送到 NAT路由器上,路由器接收到目的地址为内部全局地址的数据包后,它将用内部全局地址通过 NAT 映射表查找出内部局部地址,然后将数据包的目的地址替换成内部局部地址,并将数据包转发到内部主机。
主机没有全局唯一的可路由 IP 地址,却需要与互联网连接。
必须变更内部网络的 IP 地址。
需要做 TCP 流量的负载均衡,又不想购买昂贵的专业设备。
出现如下需求的时候,可以考虑使用 NAT :
何时使用 NAT 技术
NAT 的限制
影响网络速度。 跟某些应用不兼容。 地址转换不能处理 IP 报头加密的报文。 无法实现对 IP 端到端的路径跟踪。
NAT很大程度缓解了全局地址不足的问题,但同时也会带来一些限制:
内部源地址 NAT 配置
内部源地址 NAPT 配置
NAT 的配置
内部源地址 NAT 的配置
当内部网络需要与外部网络通讯时,需要配置NAT ,将内部私有 IP 地址转换成全局唯一 IP地址。可以配置静态或动态的 NAT 来实现互联互通的目的,或者需要同时配置静态和动态的 NAT 。
静态 NAT 的特征是内部主机地址被一对一映射到外部主机地址。当外部网络需要通过固定的全局可路由地址访问内部主机,静态 NAT就显得十分重要。
静态 NAT
Pc1:10.1.1.1---------->200.200.200.1
Pc2:10.1.1.2---------->200.200.200.2
Pc3:10.1.1.3---------->
Pc4:10.1.1.4---------->
200.200.200.2? X
将内网的一台服务器 192.168.12.3 映射到全局 IP 地址 200.198.12.1 。此功能可应用到内部网的 WWW 发布、 Ftp Server及Mail Server 。Route(config)#interface FastEthernet 1/0Route(config-if)#ip address 192.168.12.1 255.255.255.0Route(config-if)#ip nat insideRoute(config-if)#no shutdownRoute(config-if)#exitRoute(config)#interface FastEthernet 1/1Route(config-if)#ip address 200.198.12.1 255.255.255.0Route(config-if)#ip nat outsideRoute(config-if)#no shutdownRoute(config-if)#exitRoute(config)#ip nat inside source static 192.168.12.3 200.198.12.1
静态 NAT 配置举例
动态 NAT
动态 NAT 的特征是内部主机使用地址池中的公网地址来映射。
Pc1:10.1.1.1---------->200.200.200.1
Pc2:10.1.1.2---------->200.200.200.2
Pc3:10.1.1.3---------->
Pc4:10.1.1.4---------->
200.200.200.2? √
动态 NAT 配置举例
本地全局地址从 NAT 地址池 net100 中分配,该地址池定义了地址范围为 200.168.12.2~ 200.168.12.100 。只有内部源地址匹配访问列表 1 的数据包才会建立 NAT 转换记录。
Route(config)#ip nat pool net100 200.168.12.2 200.168.12.100 netmask 255.255.255.0Route(config)#access-list 1 permit 192.168.12.0 0.0.0.255Route(config)#ip nat inside source list 1 pool net100
动态 NAT 配置举例(续)
Route(config)#interface FastEthernet 1/0Route(config-if)#ip address 192.168.12.1 255.255.255.0Route(config-if)#ip nat insideRoute(config-if)#no shutdownRoute(config-if)#exitRoute(config)#interface Serial 1/2Route(config-if)#ip address 200.168.12.1 255.255.255.0Route(config-if)#ip nat outsideRoute(config-if)#no shutdownRoute(config-if)#exit
传统的 NAT 一般是指一对一的地址映射,不能同时满足所有的内部网络主机与外部网络通讯的需要。使用 NAPT ,可以将多个内部本地地址映射到一个内部全局地址,路由器用“内部全局地址 + TCP/UDP 端口号”来对应“一个内部主机地址 +TCP/UDP 端口号”。当进行 NAPT 转换时,路由器需要维护足够的信息(比如 IP 地址、 TCP/UDP 端口号)才能将全局地址转换回内部本地地址, 目前锐捷路由器的 NAT缺省就是支持 NAPT 转换的。
内部源地址 NAPT 的配置
当你内部主机需要对外部网络提供服务,而又缺乏全局地址,或者就没有申请全局地址,就可以考虑配置静态 NAPT ,静态 NAPT 的内部全局地址可以是路由器外部 (Outside) 接口的 IP 地址,也可以是向 CNNIC申请来的地址。
静态 NAPT
静态 NAPT 配置举例将一台内网的 WEB服务器 192.168.12.3 映射到全局 IP 地址 200.198.12.1 的 80 端口。Route(config)#interface FastEthernet 1/0Route(config-if)#ip address 192.168.12.1 255.255.255.0Route(config-if)#ip nat insideRoute(config-if)#no shutdownRoute(config-if)#exit
Route(config)#interface FastEthernet 1/1Route(config-if)#ip address 200.198.12.1 255.255.255.0Route(config-if)#ip nat outsideRoute(config-if)#no shutdownRoute(config-if)#exit
Route(config)#ip nat inside source static tcp 192.168.12.3 80 200.198.12.1 80
允许内部所有主机可以访问外部网络,动态 NAPT 的内部全局地址可以是路由器外部 (Outside) 接口的 IP 地址,也可以是向 CNNIC 申请来的地址。
动态 NAPT
动态 NAPT 配置举例
本地全局地址从 NAT 地址池 net200 中分配,该地址池只定义 200.168.12.200 一个 IP 地址,但允许复用。只有内部源地址匹配访问列表 2 的数据包才会建立该类型 NAT 转换记录。
Route(config)#ip nat pool net200 200.168.12.200 200.168.12.200 netmask 255.255.255.0
Route(config)#access-list 2 permit 192.168.12.0 0.0.0.255
Route(config)#ip nat inside source list 2 pool net200 overload
动态 NAPT 配置举例(续)
Route(config)#interface FastEthernet 1/0Route(config-if)#ip address 192.168.12.1 255.255.255.0Route(config-if)#ip nat insideRoute(config-if)#no shutdownRoute(config-if)#exit
Route(config)#interface Serial 1/2Route(config-if)#ip address 200.168.12.1 255.255.255.0Route(config-if)#ip nat outsideRoute(config-if)#no shutdownRoute(config-if)#exit
查看命令show ip nat translations :显示当前存在的 NAT转换信息。
show ip nat statistics :查看 NAT 的统计信息。
show ip nat translations verbose :显示当前存在的 NAT 转换的详细信息。
debug ip nat :跟踪 NAT操作,显示出每个被转换的数据包。
Clear ip nat translations *:删除 NAT 映射表中的所有内容