9.9 元
下载资源

ACL与NAT技术专题与策略路由

上传人:wuli****0220 文档编号:244827584 上传时间:2024-10-06 格式:PPT 页数:43 大小:998KB
返回 下载 相关 举报
ACL与NAT技术专题与策略路由_第1页
第1页 / 共43页
ACL与NAT技术专题与策略路由_第2页
第2页 / 共43页
ACL与NAT技术专题与策略路由_第3页
第3页 / 共43页
点击查看更多>>
资源描述
PPT内容母版标题,PPT母版文本样式,PPT第二级,PPT第三级,PPT第四级,PPT第五级,*,NAT技术及应用,ACL与NAT技术专题三,本章目标,了解地址转换(NAT)的作用和工作原理,了解各种NAT术语,理解NAT的各种应用:,转换内部LAN地址、复用内部地址、负载均衡,和处理地址交叉,掌握NAT的配置和排错,中小型企业网络拓扑结构,网络地址转换概述,地址转换的提出背景,合法的IP地址资源日益短缺,一个局域网内部有很多台主机,但不是每台主机都有合法的IP地址,为了使所有内部主机都可以连接因特网,需要使用地址转换,地址转换技术可以有效地隐藏内部局域网中的主机,具有一定的网络安全保护作用;作为一种安全手段使用。,地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务,实现TCP负载均衡功能。,NAT简介,NAT Network Address Translation是指将网络地址从一个地址空间转换为另一个地址空间的行为;,一种把内部私有网络地址翻译成合法IP地址的技术。,NAT的原理,改变IP包头,使目的地址、源地址或两个地址在包头中被不同地址替换,NAT将网络划分为内部网络(inside)和外部网络(outside),公有地址:统一分配保证全球唯一,私有地址:在内部网络内自行分配,内部唯一,NAT的应用,对NAT的连接支持有限,NAT功能通常被集成到,路由器,、,防火墙,网络地址转换概述,Internet,LAN,inside,outside,F0/0,S0/0,NAT技术的表述词汇,NAT技术中包括几个关键技术术语:Inside、Outside、Local、Global,Internet,外部主机,inside,内部局部地址:指分配给内网上主机的IP地址。,内部全局地址:分配给内部主机以用于NAT处理的地址。,外部局部址址:外部主机呈现在内网中的地址,私有地址,外部全局地址:分配给外部网络上主机的IP地址。外部主机的真实地址,内网访问外网的internet环境,动态NAT,PAT技术,外网访问内网的server环境,静态NAT,NAT的应用场景及实现方式,NAT的设置方法:(Static NAT),案例,1、静态地址转换原理,静态NAT是建立内部本地地址与内部合法地址进行一对一永久映射。,2、静态地址转换原理适用的环境,外部网络需要通定固定的全局路由地址访问内部主机、服务器,为外部用户提供的服务功能。,3、,静态地址转换工作流程,4、静态地址转换基本配置步骤:,1、接口IP地址配置,2、指定连接网络的内部端口 在端口设置状态下输入:Ip nat inside,3、指定连接外部网络的外部端口 在端口设置状态下输入:Ip nat outside,4、在内部本地地址与内部合法地址之间建立静态地址转换。,在全局下:Ip nat inside source static 内部本地地址 内部合法地址,注:可以根据实际需要定义多个内部端口及多个外部端口。,静态NAT工作流程,Internet,SA,192.168.100.2,1,DA,192.168.100.2,5,2,NAT转换,DA,61.159.62.,130,4,SA,61.159.62.130,3,NAT转换表,协议,内部用局部,IP地址,内部用全局,IP地址,外部用全局IP地址,TCP,192.168.100.2,61.159.62.130,155.34.2.3,TCP,192.168.100.3,61.159.62.131,210.3.4.5,TCP,192.168.100.6,61.159.62.134,210.3.4.5,外部主机,外部主机,静态NAT案例,Internet,NAT外部端口,NAT内部端口,内部网络,61.159.62.129,将内部网络地址192.168.100.2-192.168.100.6,第一步:设置外部端口地址,Router(config)#interface serial 0/0,第二步:设置内部端口地址,Router(config)#interface FastEthernet 0/0,第三步:在内部本地和内部合法地址之间建立静态地址转换,ip nat inside soure static tcp 192.168.10.5 80 68.10.14.2 80,第四步:在内部和外部端口上启用NAT,Router(config)#interface serial 0/0,Router(config-if)#ip nat outside,Router(config)#interface fastethernet 0/0,Router(config-if)#ip nat inside,静态NAT案例配置,NAT的设置方法:动态地址NAT(Pooled),1、动态地址转换原理:,动态地址转换也是将本地地址与内部合法地址一对一的转换,但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。,2、动态NAT工作流程,3、动态地址转换基本配置步骤:,(1)、指定与内部网络相连的内部端口:Ip nat inside,(2)、指定与外部网络相连的外部端口:Ip nat outside,(3)、在全局下,定义内部合法地址池,Ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码,(4)、在全局下,定义ACL以允许哪些内部地址可以进行动态地址转换。,Access-list 标号 permit 源地址 通配符,(5)、在全局下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。,Ip nat inside source list 访问列表标号 pool内部合法地址池名字,案例,Internet,SA,172.168.100.2,1,DA,172.168.100.2,5,2,NAT转换,DA,61.159.62.,130,4,SA,61.159.62.130,3,外部主机,外部主机,协议,内部用局部,IP地址,内部用全局,IP地址:端口号,外部用全局IP地址,TCP,172.168.100.2,61.159.62.130,155.34.2.3,TCP,172.168.100.3,61.159.62.131,210.3.4.5,TCP,172.168.100.6,61.159.62.134,210.3.4.5,NAT转换表,动态NAT工作流程,Internet,NAT外部端口,NAT内部端口,内部网络,61.159.62.129,将内部网络地址172.168.100.1-172.168.100.254转换为合法的外部地址61.159.62.130-61.159.62.190,Internet,动态NAT案例,动态NAT配置,配置步骤:,第一步:设置外部端口IP地址,第二步:设置内部端口IP地址,第三步:定义内部网络中允许访问外部的访问控制列表,第四步:定义合法IP地址池,第五步:指定网络地址转换映射,Router(config)#ip nat inside source list 1 pool test0,第六步:在内部和外部端口上启用NAT,PAT,使用PAT,可以将多个内部本地地址映射到一个内部全局地址,用“内部全局地址+TCP/UDP端口号”来对应“一个内部主机+端口号”;,Internet,SA,10.1.1.2,1,DA,10.1.1.2,5,2,NAT转换,DA,61.159.62.,130,4,SA,61.159.62.130,3,外部主机,外部主机,协议,内部用局部,IP地址,内部用全局,IP地址:端口号,外部用全局IP地址,TCP,10.1.1.2:1026,61.159.62.130:1026,155.34.2.3:23,TCP,10.1.1.3:11212,61.159.62.130:11212,210.3.4.5:23,TCP,10.1.1.254:1027,61.159.62.130:1027,210.3.4.5:80,NAT转换表,PAT的工作流程,Internet,NAT外部端口,NAT内部端口,内部网络,61.159.62.129,PAT案例,第一步:设置外部端口IP地址,第二步:设置内部端口IP地址,第三步:定义内部网络中允许访问外部的访问控制列表,第四步:定义合法IP地址池,第五步:指定网络地址转换映射,Router(config)#ip nat inside source list 1 pool onlyone overload,第六步:在内部和外部端口上启用NAT,Router(config)#interface serial 0/0,Router(config-if)#ip nat outside,Router(config)#interface fastethernet 0/0,Router(config-if)#ip nat inside,PAT案例配置,地址转换过程中,也直接使用接口的IP地址作为转换后的源地址,Internet,PC2,PC1,PC1 和 PC2 可以直接使用 S0接口的IP 地址作为地址转换后的公用IP地址,PAT用法之二:接口复用,Router(config)#ip,nat,inside source list 1 interface serial0/0 overload,PAT接入与内部服务器发布,在R2上配置PAT使内部所有主机能访问外网,使用一条静态NAT将WEB的80端发布出来供外部用户访问。,NAT综合应用案例,利用ACL控制地址转换,可以使用访问控制列表来决定哪些主机可以访问Internet,哪些不能。,PC1,局域网,PC2,设置访问控制列表控制PC1可以通过地址转换访问Internet,而PC2则不行。,Internet 网,NAT实现负载分担,在R2上进行NAT配置,使WEB1和WEB2实验负载分担。,NAT应用案例二,负载均衡配置,R2(config)#ip nat pool web 192.168.10.5 192.168.10.6 prefix-length 24,type rotary,/定义一个 名为WEB的NAT地址池,R2(config)#access-list 50 permit 42.18.8.8 /创建一个访问控制列表来定义全局地址,R2(config)#ip nat inside,destination,list 50 pool web /链接池和全局地址,R2(config)#int f0/0,R2(config-if)#ip nat inside,R2(config-if)#int f0/1,R2(config-if)#ip nat outside,负载均衡配置,NAT解决地址重叠,通过在R1上配置NAT,实现两个重叠网段间PCA 通过PCB的域名PING通PCB。,NAT应用案例三,解决地址重叠问题配置,NAT检查与排错,常见问题,动态地址池中是否有正确的范围的地址,动态地址池中是否有重复的地址,静态映射的地址与动态地址池中的地址之间是否有重复,访问列表是否指明了要转换的正确地址,是否漏掉一些地址,是否包括了一些不该包括的地址,是否指明了正确的内部和外部接口,NAT检查与排错,测试连通性,检查NAT 配置命令,show ip nat translations,show ip nat statistics,NAT的debug调试,Routerdebug ip nat,Nat:s=10.1.1.1-192.168.2.1,d=172.16.2.2 0,Nat:s=172.16.2.2,d=192.168.2.1-10.1.1.1 0,Nat:s=10.1.1.1-192.168.2.1,d=172.16.2.2 1,清除NAT 配置命令,clear ip nat translation*/,清除NAT转换表中的所有条目,clear ip nat
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!