路由器协议配置NAT技术

1、LOGONat 技术技术ContentsContents NAT 的配置2NAT 限速4NAT 基 础3 1NAT 排错3 3学习目标v掌握静态掌握静态NAT、动态、动态NAT、NAPT的配置的配置步骤步骤;v掌握三种掌握三种NAT的不同应用的不同应用;v熟悉熟悉NAT的排错的排错;Nat 的概念NAT英文全称是英文全称是Network Address Translation，称为网络地址转换，它是，称为网络地址转换，它是一个一个IETF标准，允许一个机构众多的用标准，允许一个机构众多的用户仅用少量的公网地址连接到户仅用少量的公网地址连接到Internet上。上。NAT的优缺点比较.NAT增加

2、了延迟增加了延迟NAT隐藏了端到端隐藏了端到端的地址，丢失了的地址，丢失了IP地址地址的跟踪，不能支持一些的跟踪，不能支持一些特定的应用程序特定的应用程序需要更多的资源如需要更多的资源如内存、内存、CPU来处理来处理NAT局域网内保持私局域网内保持私有有IP，无需改变，只，无需改变，只需改变路由器，做需改变路由器，做NAT转换，就可上外转换，就可上外网网NAT节省了大量节省了大量的地址空间的地址空间NAT隐藏了内部隐藏了内部网络拓扑结构网络拓扑结构NATNAT解决的问题？解决的问题？v NAT NAT技术能帮助解决令人头痛的IPIP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障

3、。v它解决问题的办法是：在内部网络中使用内部地址，通过NATNAT把内部地址翻译成合法的IPIP地址在InternetInternet上使用，其具体的做法是把IPIP包内的地址域用合法的IPIP地址来替换。NATNAT使用环境使用环境NATNAT使用的几种情况：A A、连接到internetinternet，但却没有足够的合法地址分配给内部主机。B B、更改到一个需要重新分配地址的ISPISP。C C、有相同的IPIP地址的两个internetinternet合并。NAT 术语vl Inside local address 内部私有地址。指定内部私有地址。指定给内部主机使用的地址，局域网内部地

4、址，可给内部主机使用的地址，局域网内部地址，可为私有的地址。为私有的地址。vl Inside global address 内部公有地址。从内部公有地址。从ISP或或NIC注册的地址，为合法的公网的地址。注册的地址，为合法的公网的地址。即内部主机地址被即内部主机地址被NAT转换的外部地址。转换的外部地址。vl Address Pool - NIC或或ISP分配的多个公网分配的多个公网地址。地址。vl Outside local address 外部网络中的内部外部网络中的内部主机地址，是另一个局域网的内部地址。主机地址，是另一个局域网的内部地址。vl Outside global addres

5、s 外部网络的公网外部网络的公网地址地址 NAT NAT基本概念基本概念共有地址和私有地址v 私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址： 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 NAT的基本工作原理vNAT在系统在系统中的位置中的位置 IPTCP/UDPLink LayerNAT NAT的基本工作原理 NAT基本工作原理（以出口基本工作原理（以

6、出口NAT为例）为例）v 在在IP层的出口处调用层的出口处调用NAT是否是LIST中允许的地址？建立新的HASH表项，记录有关转换信息,转换地址以及端口Yes是否是内部服务器的数据报由NATSERVER命令形成的关联表No转换源地址、源端口YesHASH表NoIP层 NAT的基本工作原理v 在在IP层的入口出调用层的入口出调用NAT是否是到内部服务器的数据报？转换目的地址和端口Yes由NATSERVER命令形成的关联表是否是HASH表中的地址NoHASH表还原数据目的地址以及端口YesIP层NoNAT的分类静态静态NAT动态地址池动态地址池网络地址网络地址端口转换端口转换静态静态NAT设置起来

7、最设置起来最为简单和最容易实现为简单和最容易实现的一种，内部网络中的一种，内部网络中的每个主机都被永久的每个主机都被永久映射成外部网络中的映射成外部网络中的某个合法的地址，多某个合法的地址，多用于服务器的永久映用于服务器的永久映射。射。动态地址动态地址NAT则则是在外部网络中是在外部网络中定义了一系列的定义了一系列的合法地址，采用合法地址，采用动态分配的方法动态分配的方法映射到内部网络，映射到内部网络，多用于网络中的多用于网络中的工作站的转换。工作站的转换。NAPT则是则是把内部地址把内部地址映射到外部映射到外部网络的一个网络的一个IP地址的不地址的不同端口上。同端口上。静态NAT转换过程动态

8、地址池NAT转换过程网络地址端口转换NAT的主要命令命令行命令行作用作用注释注释Router(config-if)# ip nat outside定义出口定义出口只有一个出口只有一个出口Router(config-if)# ip nat inside定义一个入口定义一个入口 可以多个入口可以多个入口Router(config)#ip nat inside source static 内部内部私有地址私有地址 内部公有地址内部公有地址建立私有与公建立私有与公有地址之间一有地址之间一对一的静态映对一的静态映射射用用Router(config)#no ip nat inside source sta

9、tic删除静态映射删除静态映射Router(config)# ip nat pool 池名池名 开始内部公有地开始内部公有地址址 结束内部公有地址结束内部公有地址 netmask 子网掩码子网掩码 | prefix-length 前缀长度前缀长度建立一个公有建立一个公有地址池地址池用用Router(config)# no ip nat pool删除删除公有地址池公有地址池NAT的主要命令命令行命令行作用作用注释注释Router(config)# access-list 号码号码 permit内部私有地址内部私有地址 反码反码创建内网访问地址列表创建内网访问地址列表用用Router(config

10、)# no access-list 号码号码 删除内删除内网访问地址列表网访问地址列表Router(config)#ip nat inside source list号码号码 pool 池名池名配置基于源地址的动态配置基于源地址的动态NAT用用Router(config)#no ip nat inside source删除动删除动态映射态映射Router(config)#ip nat inside source list号码号码 pool池名池名 overload配置基于源地址的动态配置基于源地址的动态PAT用用Router(config)#no ip nat inside source删除动

11、删除动态态PAT映射映射show ip nat translations显示显示NAT转换情况包括：转换情况包括：Pro、Inside global、 Inside local、 Outside local、Outside lobal项项debug ip natNAT*表示转换是在快速交换路径上进行的，一个会表示转换是在快速交换路径上进行的，一个会话的第一个分组总是通过低速路径（处理交换）当话的第一个分组总是通过低速路径（处理交换）当缓存条目存在，以后的分组通过快速交换路径。缓存条目存在，以后的分组通过快速交换路径。s=a.b.c.d表示源地址表示源地址, -w.x.y.z源地址转换的地址源地

12、址转换的地址，d=e.f.g.h表示目的地址，表示目的地址，n方括号中的数字表示方括号中的数字表示IP标识号标识号静态NAT的配置步骤11）定义内网定义内网接口和外网接接口和外网接口口22）建立静态）建立静态的一对一的映的一对一的映射关系射关系33）设置默）设置默认路由认路由动态NAT的配置步骤11）定义内网接）定义内网接口和外网接口口和外网接口2）定义访问控）定义访问控制列表制列表(内部本内部本地地址范围地地址范围)234）建立映射）建立映射关系关系5）设置默认）设置默认路由路由3）定义转）定义转换的外网地换的外网地址池址池(ISP提提供的全局地供的全局地址池址池)2）静态PAT配置步骤11

13、）定义内）定义内网接口和外网接口和外网接口网接口233）设置默）设置默认路由认路由2）建）建立静态立静态的映射的映射关系关系动态PAT配置步骤11）定义内网接口）定义内网接口和外网接口和外网接口2）定义内部本地）定义内部本地地址范围地址范围234）建立映射关系）建立映射关系5）设置默认路由）设置默认路由3）定义内）定义内部全局地部全局地址池址池(1) 路由器路由器R1的主要配置命令代码的主要配置命令代码 R1(config)# int f1/0 R1(config-if)# ip add 192.168.1.1 255.255.255.0 R1(config-if)# ip nat insid

14、e R1(config-if)# no sh R1(config-if)# exi R1(config)# int s1/1 R1(config-if)# clock rate 64000 R1(config-if)# ip add 202.121.241.1 255.255.255.0 R1(config-if)# ip nat outside R1(config-if)# no sh R1(config-if)# exi R1(config)# ip nat inside source static 192.168.1.2 202.121.241.1 R1(config)# ip rout

15、e 0.0.0.0 0.0.0.0 202.121.241.2(2) 路由器路由器R2的主要配置命令代码：的主要配置命令代码： R2(config)# int s1/1 R2(config-if)# ip add 202.121.241.2 255.255.255.0 R2(config-if)# no sh R2(config-if)# exi R2(config)# int loopback 0 R2(config-if)# ip add 219.220.234.1 255.255.255.0 R2(config-if)# no sh R2(config-if)# exit园区网中的园区网

16、中的NAT综合配置综合配置1在三层交换机在三层交换机SW1及及SW2上进行以下配置。以上进行以下配置。以SW1为例为例1）定义每个）定义每个VLAN 1、2、3、7、8、9，给出，给出SVI；Sw1(config)# int f0/1Sw1(config-if)# switch mode accessSw1(config-if)# switch access vlan 2Sw1(config-if)# no shSw1(config-if)# int f0/2Sw1(config-if)# switch mode accessSw1(config-if)# switch access vlan

17、 3Sw1(config-if)# no shSw1(config-if)# int f0/5Sw1(config-if)# switch mode accessSw1(config-if)# switch access vlan 1Sw1(config-if)# no shSw1(config-if)# exiSw1(config)# int range f0/3 - 4Sw1(config-if-range)# channel-g 1 m oSw1(config-if-range)# exiSw1(config)# int vlan 2Sw1(config-if)# ip add 192.

18、168.2.1 255.255.255.0Sw1(config-if)# no shSw1(config-if)# int vlan 3Sw1(config-if)# ip add 192.168.3.1 255.255.255.0Sw1(config-if)# no shSw1(config-if)# int vlan 1Sw1(config-if)# ip add 192.168.0.2 255.255.255.0Sw1(config-if)# no sh2）定义三层聚合口，给出）定义三层聚合口，给出IP地址地址Sw1# conf tEnter configuration commands

19、, one per line. End with CNTL/Z.Sw1(config)# int range f0/3 - 4Sw1(config-if-range)# channel-group 1 mode on /*此命令是思科官方交换路由模拟器此命令是思科官方交换路由模拟器PacketTracer中的聚合命令，相当于锐捷中的中的聚合命令，相当于锐捷中的port-group 1 Sw1(config-if-range)# no switchSw1(config)# int port-channel 1/*此命令是思科官方交换路由模拟器此命令是思科官方交换路由模拟器PacketTracer

20、中的进入聚合口配置模式，相当中的进入聚合口配置模式，相当于锐捷中的于锐捷中的int aggr 1 Sw1(config-if)# no switchportSw1(config-if)# ip add 192.168.10.1 255.255.255.0Sw1(config-if)# exi3）指定一条默认路由到路由器）指定一条默认路由到路由器R1的接口；的接口；Sw1(config)# ip route 0.0.0.0 0.0.0.0 192.168.0.14）启动）启动OSPF，宣告各个，宣告各个VLAN网络及聚合口对网络及聚合口对 应的网络，注意各个应的网络，注意各个不同的区域：不同的区

21、域：Sw1(config)# router ospf 100Sw1(config-router)# net 192.168.2.0 0.0.0.255 area 2Sw1(config-router)# net 192.168.3.0 0.0.0.255 area 3Sw1(config-router)# net 192.168.0.0 0.0.0.255 area 0Sw1(config-router)# net 192.168.10.0 0.0.0.255 a rea 0Sw1(config-router)# exi2对对R1进行以下配置进行以下配置1）定义接口R1enR1# conf t

22、R1(config)# int f1/0R1(config-if)# ip add 192.168.0.1 255.255.255.0R1(config-if)# no shR1(config-if)# int f1/1R1(config-if)# ip add 192.168.7.1 255.255.255.0R1(config-if)# no shR1(config-if)# int s1/0R1(config-if)# clock rate 64000R1(config-if)# ip add 202.121.241.1 255.255.255.252 R1(config-if)# no

23、 sh2）启动）启动OSPF，宣告内网接口的每个网络，为，宣告内网接口的每个网络，为area 0R1(config)# router ospf 100R1(config-router)# net 192.168.0.0 0.0.0.255 area 0R1(config-router)# net 192.168.7.0 0.0.0.255 area 0R1(config-router)# net 192.168.7.0 0.0.0.255 area 0R1(config-router)# exiRouter# 3）指定默认路由）指定默认路由R1(config)# ip rout 0.0.0.0 0.0.0.0 202.121.241.2R1(config)# route