路由器协议配置-nat技术说课材料.ppt

《路由器协议配置-nat技术说课材料.ppt》由会员分享，可在线阅读，更多相关《路由器协议配置-nat技术说课材料.ppt（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、路由器协议配置-NAT技术学习目标v掌握静态掌握静态NAT、动态、动态NAT、NAPT的配置的配置步骤步骤;v掌握三种掌握三种NAT的不同应用的不同应用;v熟悉熟悉NAT的排错的排错;Nat 的概念NAT英文全称是英文全称是Network Address Translation，称为网络地址转换，它是，称为网络地址转换，它是一个一个IETF标准，允许一个机构众多的用标准，允许一个机构众多的用户仅用少量的公网地址连接到户仅用少量的公网地址连接到Internet上。上。NAT的优缺点比较.NAT增加了延迟增加了延迟NAT隐藏了端到端隐藏了端到端的地址，丢失了的地址，丢失了IP地址地址的跟踪，不能支

2、持一些的跟踪，不能支持一些特定的应用程序特定的应用程序需要更多的资源如需要更多的资源如内存、内存、CPU来处理来处理NAT局域网内保持私局域网内保持私有有IP，无需改变，只，无需改变，只需改变路由器，做需改变路由器，做NAT转换，就可上外转换，就可上外网网NAT节省了大量节省了大量的地址空间的地址空间NAT隐藏了内部隐藏了内部网络拓扑结构网络拓扑结构NATNAT解决的问题？解决的问题？v NAT NAT技术能帮助解决令人头痛的IPIP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。v它解决问题的办法是：在内部网络中使用内部地址，通过NATNAT把内部地址翻译成合法的IPIP地址

3、在InternetInternet上使用，其具体的做法是把IPIP包内的地址域用合法的IPIP地址来替换。NATNAT使用环境使用环境NATNAT使用的几种情况：A A、连接到internetinternet，但却没有足够的合法地址分配给内部主机。B B、更改到一个需要重新分配地址的ISPISP。C C、有相同的IPIP地址的两个internetinternet合并。NAT 术语vl Inside local address 内部私有地址。指定内部私有地址。指定给内部主机使用的地址，局域网内部地址，可给内部主机使用的地址，局域网内部地址，可为私有的地址。为私有的地址。vl Inside glo

4、bal address 内部公有地址。从内部公有地址。从ISP或或NIC注册的地址，为合法的公网的地址。注册的地址，为合法的公网的地址。即内部主机地址被即内部主机地址被NAT转换的外部地址。转换的外部地址。vl Address Pool -NIC或或ISP分配的多个公网分配的多个公网地址。地址。vl Outside local address 外部网络中的内部外部网络中的内部主机地址，是另一个局域网的内部地址。主机地址，是另一个局域网的内部地址。vl Outside global address 外部网络的公网外部网络的公网地址地址 NAT NAT基本概念基本概念共有地址和私有地址v私有地址是

5、指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址：10.0.0.0 -10.255.255.255 172.16.0.0 -172.31.255.255 192.168.0.0 -192.168.255.255 NAT的基本工作原理vNAT在系统在系统中的位置中的位置 NAT的基本工作原理 NAT基本工作原理（以出口基本工作原理（以出口NAT为例）为例）v 在在IP层的出口处调用层的出口处调用NAT NAT的基本工作原理v在在IP层的入口出调用层的入口出调用NATNAT的分类静态静态NA

6、T动态地址池动态地址池网络地址网络地址端口转换端口转换静态静态NAT设置起来最设置起来最为简单和最容易实现为简单和最容易实现的一种，内部网络中的一种，内部网络中的每个主机都被永久的每个主机都被永久映射成外部网络中的映射成外部网络中的某个合法的地址，多某个合法的地址，多用于服务器的永久映用于服务器的永久映射。射。动态地址动态地址NAT则则是在外部网络中是在外部网络中定义了一系列的定义了一系列的合法地址，采用合法地址，采用动态分配的方法动态分配的方法映射到内部网络，映射到内部网络，多用于网络中的多用于网络中的工作站的转换。工作站的转换。NAPT则是则是把内部地址把内部地址映射到外部映射到外部网络的

7、一个网络的一个IP地址的不地址的不同端口上。同端口上。静态NAT转换过程动态地址池NAT转换过程网络地址端口转换NAT的主要命令命令行命令行作用作用注释注释Router(config-if)#ip nat outside定义出口定义出口只有一个出口只有一个出口Router(config-if)#ip nat inside定义一个入口定义一个入口可以多个入口可以多个入口Router(config)#ip nat inside source static 内部内部私有地址私有地址 内部公有地址内部公有地址建立私有与公建立私有与公有地址之间一有地址之间一对一的静态映对一的静态映射射用用Router(

8、config)#no ip nat inside source static删除静态映射删除静态映射Router(config)#ip nat pool 池名池名 开始内部公有地开始内部公有地址址 结束内部公有地址结束内部公有地址 netmask 子网掩码子网掩码|prefix-length 前缀长度前缀长度建立一个公有建立一个公有地址池地址池用用Router(config)#no ip nat pool删除删除公有地址池公有地址池NAT的主要命令命令行命令行作用作用注释注释Router(config)#access-list 号码号码 permit内部私有地址内部私有地址 反码反码创建内网访

9、问地址列表创建内网访问地址列表用用Router(config)#no access-list 号码号码 删除内删除内网访问地址列表网访问地址列表Router(config)#ip nat inside source list号码号码 pool 池名池名配置基于源地址的动态配置基于源地址的动态NAT用用Router(config)#no ip nat inside source删除动删除动态映射态映射Router(config)#ip nat inside source list号码号码 pool池名池名 overload配置基于源地址的动态配置基于源地址的动态PAT用用Router(confi

10、g)#no ip nat inside source删除动删除动态态PAT映射映射show ip nat translations显示显示NAT转换情况包括：转换情况包括：Pro、Inside global、Inside local、Outside local、Outside lobal项项debug ip natNAT*表示转换是在快速交换路径上进行的，一个会表示转换是在快速交换路径上进行的，一个会话的第一个分组总是通过低速路径（处理交换）当话的第一个分组总是通过低速路径（处理交换）当缓存条目存在，以后的分组通过快速交换路径。缓存条目存在，以后的分组通过快速交换路径。s=a.b.c.d表示源

11、地址表示源地址,-w.x.y.z源地址转换的地址，源地址转换的地址，d=e.f.g.h表示目的地址，表示目的地址，n方括号中的数字表示方括号中的数字表示IP标识号标识号静态NAT的配置步骤11）定义内网定义内网接口和外网接接口和外网接口口22）建立静态）建立静态的一对一的映的一对一的映射关系射关系33）设置默）设置默认路由认路由动态NAT的配置步骤11）定义内网接）定义内网接口和外网接口口和外网接口2）定义访问控）定义访问控制列表制列表(内部本内部本地地址范围地地址范围)234）建立映射）建立映射关系关系5）设置默认）设置默认路由路由3）定义转）定义转换的外网地换的外网地址池址池(ISP提提供

12、的全局地供的全局地址池址池)2）静态PAT配置步骤11）定义内）定义内网接口和外网接口和外网接口网接口233）设置默）设置默认路由认路由2）建）建立静态立静态的映射的映射关系关系动态PAT配置步骤11）定义内网接口）定义内网接口和外网接口和外网接口2）定义内部本地）定义内部本地地址范围地址范围234）建立映射关系）建立映射关系5）设置默认路由）设置默认路由3）定义内）定义内部全局地部全局地址池址池(1)路由器路由器R1的主要配置命令代码的主要配置命令代码 R1(config)#int f1/0 R1(config-if)#ip add 192.168.1.1 255.255.255.0 R1(

13、config-if)#ip nat inside R1(config-if)#no sh R1(config-if)#exi R1(config)#int s1/1 R1(config-if)#clock rate 64000 R1(config-if)#ip add 202.121.241.1 255.255.255.0 R1(config-if)#ip nat outside R1(config-if)#no sh R1(config-if)#exi R1(config)#ip nat inside source static 192.168.1.2 202.121.241.1 R1(co

14、nfig)#ip route 0.0.0.0 0.0.0.0 202.121.241.2(2)路由器路由器R2的主要配置命令代码：的主要配置命令代码：R2(config)#int s1/1 R2(config-if)#ip add 202.121.241.2 255.255.255.0 R2(config-if)#no sh R2(config-if)#exi R2(config)#int loopback 0 R2(config-if)#ip add 219.220.234.1 255.255.255.0 R2(config-if)#no sh R2(config-if)#exit园区网中的

15、园区网中的NAT综合配置综合配置1在三层交换机在三层交换机SW1及及SW2上进行以下配置。以上进行以下配置。以SW1为例为例1）定义每个）定义每个VLAN 1、2、3、7、8、9，给出，给出SVI；Sw1(config)#int f0/1Sw1(config-if)#switch mode accessSw1(config-if)#switch access vlan 2Sw1(config-if)#no shSw1(config-if)#int f0/2Sw1(config-if)#switch mode accessSw1(config-if)#switch access vlan 3Sw

16、1(config-if)#no shSw1(config-if)#int f0/5Sw1(config-if)#switch mode accessSw1(config-if)#switch access vlan 1Sw1(config-if)#no shSw1(config-if)#exiSw1(config)#int range f0/3-4Sw1(config-if-range)#channel-g 1 m oSw1(config-if-range)#exiSw1(config)#int vlan 2Sw1(config-if)#ip add 192.168.2.1 255.255.2

17、55.0Sw1(config-if)#no shSw1(config-if)#int vlan 3Sw1(config-if)#ip add 192.168.3.1 255.255.255.0Sw1(config-if)#no shSw1(config-if)#int vlan 1Sw1(config-if)#ip add 192.168.0.2 255.255.255.0Sw1(config-if)#no sh2）定义三层聚合口，给出）定义三层聚合口，给出IP地址地址Sw1#conf tEnter configuration commands,one per line.End with CN

18、TL/Z.Sw1(config)#int range f0/3-4Sw1(config-if-range)#channel-group 1 mode on/*此命令是思科官方交换路由模拟器此命令是思科官方交换路由模拟器PacketTracer中的聚合命令，相当于锐捷中的中的聚合命令，相当于锐捷中的port-group 1 Sw1(config-if-range)#no switchSw1(config)#int port-channel 1/*此命令是思科官方交换路由模拟器此命令是思科官方交换路由模拟器PacketTracer中的进入聚合口配置模式，相当中的进入聚合口配置模式，相当于锐捷中的于

19、锐捷中的int aggr 1 Sw1(config-if)#no switchportSw1(config-if)#ip add 192.168.10.1 255.255.255.0Sw1(config-if)#exi3）指定一条默认路由到路由器）指定一条默认路由到路由器R1的接口；的接口；Sw1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.14）启动）启动OSPF，宣告各个，宣告各个VLAN网络及聚合口对网络及聚合口对 应的网络，注意各个应的网络，注意各个不同的区域：不同的区域：Sw1(config)#router ospf 100Sw1(confi

20、g-router)#net 192.168.2.0 0.0.0.255 area 2Sw1(config-router)#net 192.168.3.0 0.0.0.255 area 3Sw1(config-router)#net 192.168.0.0 0.0.0.255 area 0Sw1(config-router)#net 192.168.10.0 0.0.0.255 a rea 0Sw1(config-router)#exi2对对R1进行以下配置进行以下配置1）定义接口R1enR1#conf tR1(config)#int f1/0R1(config-if)#ip add 192.1

21、68.0.1 255.255.255.0R1(config-if)#no shR1(config-if)#int f1/1R1(config-if)#ip add 192.168.7.1 255.255.255.0R1(config-if)#no shR1(config-if)#int s1/0R1(config-if)#clock rate 64000R1(config-if)#ip add 202.121.241.1 255.255.255.252 R1(config-if)#no sh2）启动）启动OSPF，宣告内网接口的每个网络，为，宣告内网接口的每个网络，为area 0R1(conf

22、ig)#router ospf 100R1(config-router)#net 192.168.0.0 0.0.0.255 area 0R1(config-router)#net 192.168.7.0 0.0.0.255 area 0R1(config-router)#net 192.168.7.0 0.0.0.255 area 0R1(config-router)#exiRouter#3）指定默认路由）指定默认路由R1(config)#ip rout 0.0.0.0 0.0.0.0 202.121.241.2R1(config)#router ospf 100R1(config-rout

23、er)#redi stat subR1(config-router)#redi stat subnets R1(config-router)#exiR1(config)#NAT排错查看统计信息清除条目显示当前的转换R1#show ip nat translationsror inside ip nat translationspro inside global inside local outside local outside global-192.2.2.1 10.1.1.1-192.2.2.1 10.1.1.2-pro inside global inside local outside

24、 local outside globaltcp 192.168.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.168.2.1:1067 10.0.1.1.1:1067 172.16.2.3:23 172.16.2.3:23R1#show ip nat translationPro Inside global Inside local Outsids local Outside globaltcp 192.168.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.168.2.1:1067 10.1.1.1:1067 172.16.2.2:23 172.16.2.2:23R1#R1#clear ip nat translation*R1#show ip nat translationR1#LOGO此此课课件下件下载载可自行可自行编辑编辑修改，修改，仅仅供参考！供参考！感感谢谢您的支持，我您的支持，我们们努力做得更好！努力做得更好！谢谢谢谢