网络地址转换NAT精选PPT.ppt

BenetBENET 4.0关于网络地址转换NAT第1页，讲稿共33张，创作于星期二简述扩展访问控制列表与标准访问控制列表的区别？简述命名访问控制列表的优势？简述如何删除命名列表中的条目？课程回顾第2页，讲稿共33张，创作于星期二理解NAT的实现方式理解NAT的工作过程会配置NAT会分析并排查各类NAT故障技能展示第3页，讲稿共33张，创作于星期二本章结构NAT的配置的配置NAT实现方法的工作过程实现方法的工作过程NAT的特性的特性动态动态NAT静态静态NAT网络地址转换网络地址转换（NAT）PATNAT的概念与实现方式的概念与实现方式NAT的故障处理的故障处理NAT概述概述验证验证NAT的配置的配置NAT的术语与转换表的术语与转换表第4页，讲稿共33张，创作于星期二地址转换出现的背景NAT的工作原理Network Address Translation，网络地址转换NAT实现方式静态转换（Static Translation）动态转换（Dynamic Translation）端口多路复用（Port Address Translation，PAT）NAT概述第5页，讲稿共33张，创作于星期二NAT包含4类地址NAT的转换条目简单转换条目扩展转换条目NAT的术语与转换表NATInternetPC192.168.1.2目的目的IP=192.168.1.2源源IP=203.51.23.55经过路由器后的包经过路由器后的包目的目的IP=203.51.23.55源源IP=192.168.1.2PC访问服务器的包访问服务器的包目的目的IP=125.25.65.3源源IP=203.51.23.55服务器返回服务器返回PC的包的包203.51.23.55目的目的IP=203.51.23.55源源IP=125.25.65.3经过路由器后的包经过路由器后的包转换转换转换转换内部内部外部外部内部局部地址内部局部地址外部局部地址外部局部地址外部全局地址外部全局地址内部全局地址内部全局地址第6页，讲稿共33张，创作于星期二静态转换和动态转换 NAT实现方法的工作过程2-1Internet10.1.1.110.1.1.2172.20.7.3外部主机外部主机BSA10.1.1.1SA192.168.2.2DA192.168.2.2DA10.1.1.1NATNAT转换表转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP10.1.1.1192.168.2.2172.20.7.3:2312345第7页，讲稿共33张，创作于星期二PATNAT实现方法的工作过程2-2Internet10.1.1.110.1.1.2172.20.7.3外部主机外部主机BSA10.1.1.1SA192.168.2.2DA192.168.2.2DA10.1.1.1NATNAT转换表转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP10.1.1.1:1492192.168.2.2:1492172.20.7.3:23TCP10.1.1.2:1493192.168.2.2:1493172.20.7.3:8012345第8页，讲稿共33张，创作于星期二NAT的优点节省公有合法IP地址处理地址重叠增强灵活性安全性NAT的缺点延迟增大配置和维护的复杂性不支持某些应用，可以通过静态NAT映射来避免NAT的特性第9页，讲稿共33张，创作于星期二NAT配置步骤接口IP地址配置使用访问控制列表定义哪些内部主机能做NAT决定采用什么公有地址，静态或地址池Router(config)#ip nat pool pool-name star-ip end-ip netmask netmask|prefix-length prefix-length type rotary指定地址转换映射Router(config)#ip nat inside source static local-ip global-ip extendableRouter(config)#ip nat inside source list access-list-number pool pool-name overloadn在内部和外部端口上启用NATNAT的配置定义地址池定义地址池静态静态NAT地址映射地址映射动态动态NAT或或PAT地址映射地址映射第10页，讲稿共33张，创作于星期二将内网地址192.168.100.2、192.168.100.3静态转换为合法的外部地址61.159.62.131、61.159.62.132，以便访问外网或被外网访问静态NAT配置4-1192.168.100.2192.168.100.254/24内部网络内部网络192.168.100.161.159.62.130NATNAT内部端口内部端口NATNAT外部端口外部端口InternetF1/0F0/0第11页，讲稿共33张，创作于星期二设置外部端口的IP地址：设置内部端口的IP地址：建立静态地址转换Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.248Router(config-if)#no shut静态NAT配置4-2Router(config)#interface FastEthernet 1/0Router(config-if)#ip address 192.168.100.1 255.255.255.0Router(config-if)#no shutRouter(config)#ip nat inside source static 192.168.100.2 61.159.62.130Router(config)#ip nat inside source static 192.168.100.3 61.159.62.131第12页，讲稿共33张，创作于星期二在内部和外部端口上启用NAT配置默认路由静态NAT配置4-3Router(config)#interface FastEthernet 0/0Router(config-if)#ip nat outsideRouter(config)#interface FastEthernet 1/0Router(config-if)#ip nat insideRouter(config)#ip route 0.0.0.0 0.0.0.0 61.159.62.129第13页，讲稿共33张，创作于星期二静态NAT配置4-4Internet192.168.100.2192.168.100.3155.34.2.3SA192.168.100.2SA61.159.62.131DA61.159.62.131DA192.168.100.2NATNAT转换表转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP192.168.100.261.159.62.131155.34.2.3TCP192.168.100.361.159.62.132155.34.2.3192.168.100.161.159.62.130第14页，讲稿共33张，创作于星期二NAT建立NAT端口映射关系配置实例NAT端口映射Router(config)#ip nat inside source static protocol local-ip UDP/TCP-port global-ip UDP/TCP-port extendableRouter(config)#ip nat inside source static tcp 192.168.100.2 80 61.159.62.131 8080 extendableInternet192.168.100.261.159.62.131 8080192.168.100.2 80协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP192.168.100.2:8061.159.62.131:8080155.34.2.3第15页，讲稿共33张，创作于星期二将内部地址172.168.100.2172.168.100.254转换为合法地址61.159.62.13161.159.62.190，以便访问Internet动态NAT配置3-1172.168.100.2172.168.100.254/24内部网络内部网络172.168.100.161.159.62.130NATNAT内部端口内部端口NATNAT外部端口外部端口InternetF0/0F1/0第16页，讲稿共33张，创作于星期二设置外部端口的IP地址：设置内部端口的IP地址：动态NAT配置3-2v定义访问控制列表定义访问控制列表 v定义合法定义合法IP地址池地址池v实现网络地址转换实现网络地址转换v在内部和外部端口上启用在内部和外部端口上启用NATNAT，以及配置默认路由，以及配置默认路由n与静态与静态NATNAT配置相同配置相同Router(config)#access-list 1 permit 172.168.100.0 0.0.0.255Router(config)#ip nat pool test0 61.159.62.131 61.159.62.190 netmask 255.255.255.192Router(config)#ip nat inside source list 1 pool test0Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.192Router(config-if)#no shuRouter(config)#interface FastEthernet 1/0Router(config-if)#ip address 172.168.100.1 255.255.255.0Router(config-if)#no shu第17页，讲稿共33张，创作于星期二动态NAT配置3-3Internet172.168.100.2172.168.100.3155.34.2.3SA172.168.100.2SA61.159.62.131DA61.159.62.131DA172.168.100.2NATNAT转换表转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP172.168.100.261.159.62.131155.34.2.3TCP172.168.100.361.159.62.132155.34.2.3172.168.100.161.159.62.130第18页，讲稿共33张，创作于星期二将内部网络地址10.1.1.110.1.1.254转换为合法的地址61.159.62.131/29，以便访问InternetPAT配置5-110.1.1.210.1.1.254/24内部网络内部网络10.1.1.161.159.62.130NATNAT内部端口内部端口NATNAT外部端口外部端口InternetF0/0F1/0第19页，讲稿共33张，创作于星期二设置外部端口的IP地址：设置内部端口的IP地址：PAT配置5-2 v定义访问控制列表：定义访问控制列表：v定义合法定义合法IP地址池：地址池：v实现网络地址转换：实现网络地址转换：v在内部和外部端口上启用在内部和外部端口上启用NAT，以及配置默认路由，以及配置默认路由n与静态与静态NAT配置相同配置相同Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255Router(config)#ip nat pool onlyone 61.159.62.131 61.159.62.131 netmask 255.255.255.248Router(config)#ip nat inside source list 1 pool onlyone overload进进行端口复用行端口复用Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.192Router(config-if)#no shuRouter(config)#interface FastEthernet 1/0Router(config-if)#ip address 10.1.1.1 255.255.255.0Router(config-if)#no shu第20页，讲稿共33张，创作于星期二PAT配置5-3Internet10.1.1.210.1.1.3155.34.2.3SA10.1.1.2SA61.159.62.131DA61.159.62.131DA10.1.1.2NATNAT转换表转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP10.1.1.2:102861.159.62.131:1028155.34.2.3TCP10.1.1.2:1121261.159.62.131:11212155.34.2.310.1.1.161.159.62.130第21页，讲稿共33张，创作于星期二复用路由器外部接口地址PAT配置5-410.1.1.210.1.1.254/24内部网络内部网络动态动态IPInternetF0/0F1/0第22页，讲稿共33张，创作于星期二定义内部访问列表定义合法的IP地址池由于直接使用外部接口地址，所以不再定义IP地址池设置复用动态IP地址转换在内部和外部端口上启用NAT，以及配置默认路由与静态NAT配置相同PAT配置5-5Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255Router(config)#ip nat inside source list 1 interface FastEthernet 0/0 overload外部接口外部接口第23页，讲稿共33张，创作于星期二请思考：企业为什么会在网络边界配置NAT呢？静态NAT、动态NAT、PAT各有何区别？什么情况下会使用NAT端口映射？小结第24页，讲稿共33张，创作于星期二验证NAT的配置查看查看NAT转换条目转换条目Router#show ip nat translations verboseverbose：显示详细的：显示详细的NAT转换条目信息转换条目信息Router#show ip nat translations Pro Inside global Inside local Outside local Outside globalicmp 207.35.18.2:6002 192.168.1.3:6002 207.35.14.83:6002 207.35.14.83:6002icmp 207.35.18.2:15488 192.168.1.3:15488 207.35.14.83:15488 207.35.14.83:15488icmp 207.35.18.2:14225 192.168.1.2:14225 207.35.14.83:14225 207.35.14.83:14225icmp 207.35.18.2:14481 192.168.1.2:14481 207.35.14.83:14481 207.35.14.83:14481-207.35.18.6 192.168.2.2 -Router#show ip nat translations verbose Pro Inside global Inside local Outside local Outside globalIcmp 207.35.18.2:31634 192.168.1.2:31634 207.35.14.83:31634 207.35.14.83:31634 create 00:00:14,use 00:00:14 timeout:60000,left 00:00:45,Map-Id(In):1,flags:extended,use_count:0,entry-id:36,lc_entries:0-207.35.18.6 192.168.2.2 -create 00:34:40,use 00:27:57 timeout:0,flags:static,use_count:0,entry-id:1,lc_entries:0静态静态NAT条目条目PAT动态条目动态条目协议协议内部全局地址内部全局地址内部局部地址内部局部地址外部局部地址外部局部地址外部全局地址外部全局地址NATNAT转换条目的创建时间、转换条目的创建时间、使用时间、超时时间值使用时间、超时时间值静态静态NATNAT条目永远存在条目永远存在查看NAT统计信息Router#show ip nat statistics第25页，讲稿共33张，创作于星期二默认情况下UDP超时值：5分钟DNS超时值：1分钟TCP超时值：24小时更改超时时间配置NAT转换条目超时时间Router(config)#ip nat translation dns-timeout|icmp-timeout|tcp-timeout|udp-timeout seconds|never 第26页，讲稿共33张，创作于星期二清除NAT转换表中的所有条目Router#clear ip nat translation*清除包含内部转换的转换条目Router#clear ip nat translation inside local-ip global-ip清除包含外部转换的转换条目Router#clear ip nat translation outside local-ip global-ip清除NAT转换条目静态静态NATNAT条目不会被清除条目不会被清除第27页，讲稿共33张，创作于星期二常见问题ACL阻止转换后的流量进行地址转换的ACL不全overload参数漏配不对称路由问题动态地址池IP地址范围配置错误动态地址池与静态转换地址重叠Inside和outside接口配置错误NAT的故障处理2-1第28页，讲稿共33张，创作于星期二NAT故障的排除检查物理设备和NAT配置通过show命令查看NAT的各种信息通过debug ip nat命令跟踪NAT操作NAT故障处理2-2R1#debug ip nat IP NAT debugging is on*Mar 1 00:03:56.875:NAT:s=192.168.4.2-145.52.23.2,d=1.1.1.1 52225*Mar 1 00:03:57.667:NAT*:s=192.168.4.2-145.52.23.2,d=1.1.1.1 52481*Mar 1 00:03:57.811:NAT*:s=1.1.1.1,d=145.52.23.2-192.168.4.2 52481s s192.168.4.2192.168.4.2表示源地址是表示源地址是192.168.4.2192.168.4.2d d1.1.1.11.1.1.1表示目的地址是表示目的地址是1.1.1.11.1.1.1192.168.4.2-145.52.23.2192.168.4.2-145.52.23.2表示将地址表示将地址192.168.4.2192.168.4.2转换为转换为 145.52.23.2 145.52.23.2 第29页，讲稿共33张，创作于星期二本章总结NAT的配置的配置NAT实现方法的工作过程实现方法的工作过程NAT的特性的特性动态动态NAT静态静态NAT网络地址转换网络地址转换（NAT）PATNAT的概念与实现方式的概念与实现方式NAT的故障处理的故障处理NAT概述概述验证验证NAT的配置的配置NAT的术语与转换表的术语与转换表第30页，讲稿共33张，创作于星期二第四章第四章 网络地址转换（网络地址转换（NAT）上机部分第四章 网络地址转换（NAT）第31页，讲稿共33张，创作于星期二需求描述要求公司内部服务器192.168.2.2采用静态NAT转换为145.52.23.6将内部网络地址192.168.3.0/24和192.168.4.0/24采用PAT转换为合法的外部地址145.52.23.1145.52.23.5实验案例：配置NAT实现网络访问2-1Internet服务器区服务器区VLAN3VLAN4VLAN2NATSW2SW3SW1第32页，讲稿共33张，创作于星期二感感谢谢大大家家观观看看第33页，讲稿共33张，创作于星期二