NAT地址转换原理及配置解读课件_第1页
NAT地址转换原理及配置解读课件_第2页
NAT地址转换原理及配置解读课件_第3页
NAT地址转换原理及配置解读课件_第4页
NAT地址转换原理及配置解读课件_第5页
已阅读5页,还剩55页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

NAT地址转换原理及配置ISSUE1.1日期:杭州华三通信技术有限公司版权所有,未经授权不得使用与传播NAT地址转换原理及配置ISSUE1.1日期:杭州华三通信掌握NAT的工作原理熟悉NAT的配置实现了解NAT监控调试方法常见组网及故障排查方法课程目标学习完本课程,您应该能够:掌握NAT的工作原理课程目标学习完本课程,您应该能够:NAT工作原理NAT配置实现NAT验证及调试NAT常见组网目录NAT工作原理目录NAT地址转换是在IP地址日益短缺的背景下出现的。一个局域网内部有很多台主机,可是不能保证每台主机都拥有合法的IP地址,为了使所有的内部主机都可以访问Internet,需要进行地址转换。地址转换技术可以有效隐藏局域网内的主机,是一种有效的网络安全保护技术。地址转换可以按照用户的需要,在局域网内向外提供FTP、WWW、Telnet等服务。NAT地址转换是在IP地址日益短缺的背景下出现的。地址类别(公有地址和私有地址)公有地址和私有地址公有地址是因特网上全球唯一的IP地址,由IANA统一分配。私有地址为RFC规定的保留IP地址段,仅用于内部网,不能与Internet直接通信。Internet私有/8私有/12私有/24LANALANBLANC私有地址范围:-55-55-55地址类别(公有地址和私有地址)公有地址和私有地址InternNAT基本概念2NATtableInsideAddress1PrivatePublicAddressPoolIPAddresspool11……0AddressPoolGlobalAddressHostARTA54/24/24HostBInternetHostC/24address-group1(1~0)NAT基本概念2NATBasicNAT/24HostARTA54/24/24HostBInternetHostC13245S=D=S=198.76.28..11D=S=D=1S=D=2NATtableInsideAddress1GlobalAddressS:源IP地址D:目的IP地址address-group1(1~0)BasicNAT/2410.0.0.NAPTHostARTA54/24/24HostBInternetHostC/2413245S=

P=1024D=P=21S=198.76.28..11P=2001D=P=21S=P=21D=1P=2001S=P=21D=

P=1024102413001NATtableInsideAddressPort102412001GlobalAddressPortS:源IP地址D:目的IP地址P:TCP、UDP端口address-group1(1~0)NAPTHostARTA54ALGALG:有些应用层协议在数据中携带IP地址或端口信息,对它们作NAT时需要同时修改上层数据中的IP地址或端口信息。一些非TCP、UDP的协议(如ICMP、PPTP)作上层NAT时,需要对它们的特征参数(如ICMP的ID参数)进行转换。HostARTA54/24/24HostBInternetHostC/2413245S=

P=1024D=P=21S=198.76.28..11P=2001D=P=21S=P=21D=1P=2002S=P=21D=

P=5001500112002NATtableInsideAddressPort102412001GlobalAddressPort“S=P=5001”“S=1P=2002”FTPControl通道FTPData通道address-group1(1~0)ALGALG:HostARTA10.0.0.NATDNSmappingNATDNSmappingNAT工作原理NAT配置实现NAT验证及调试NAT常见组网目录NAT工作原理目录EASYIPEasyIP:在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在接口视图下配置:natoutboundacl-numberPrivatePublicHostARTA54/24/24HostBInternetHostC/24RTA使用E0/1接口的IP地址作为地址转换后的公有IP地址E0/0E0/1EASYIPEasyIP:在地址转换的过程中直接使用接口StaticNAT静态映射:在内部私有IP与外部公用IP之间建立一对一的映射关系。配置如下:(全局)natstaticip-addr1ip-addr2(接口)

natoutboundstaticPrivatePublicHostARTA54/24/24HostBInternetHostC/24RTA为HostA和HostB静态映射公有地址E0/0E0/1StaticNAT静态映射:在内部私有IP与外部公用IP之多对多NATAddressPool:连续IP地址的集合,用于为内部用户动态分配公用地址。配置如下:(全局)nataddress-grouppool-numberstart-addrend-addr(接口)

natoutboundacl-numberaddress-grouppool-number[no-pat]注:no-pat指基于IP的地址转换,缺省为pat方式。PrivatePublicHostARTA54/24/24HostBInternetHostC/24从地址池pool1中为HostA和HostB动态分配公有地址E0/0E0/1address-group1(1~0)多对多NATAddressPool:连续IP地址的集合,用NATServer内部服务器:将(外部地址、端口)映射到内部的服务器上,使外部网络可访问内部服务器。配置如下:(接口)natserver[acl-number]protocol

pro-type

globalglobal-addr

[global-port]inside

host-addr

[host-port]PrivatePublicHostARTA54/24/24HostBInternetHostC/24RTA为HostA和HostB静态映射(公有地址:端口)E0/0E0/1NATServer内部服务器:将(外部地址、端口)映射到内NAT工作原理NAT配置实现NAT验证及调试NAT常见组网目录NAT工作原理目录验证调试显示地址转换信息displaynat{address-group|aging-time|all|outbound|server|statistics|session|[slotslot-number

]|[sourceglobalglobal-addr|sourceinsideinside-addr]|[destionationip-addr

]}调试地址转换过程debuggingnat{alg|event|packet[interfaceinterface-typeinterface-number]}清除地址转换连接resetnatsession验证调试显示地址转换信息NAT工作原理NAT配置实现NAT验证、调试NAT常见组网目录NAT工作原理目录(一)EasyIPandStaticNAT组网:HostA访问HostC时使用EasyIP转换,同时在RTA上为HostB提供静态映射地址。PrivatePublicHostARTA54/24/24HostC1RTB/24E0/0E0/12E0/1E0/0HostB(一)EasyIPandStaticNAT组网:Ho(一)配置实现RTA配置interfaceEthernet0/0ipaddress54interfaceEthernet0/1ipaddressnatoutbound2000natoutboundstaticaclnumber2000rule0permitsource55natstaticiproute-static0RTB配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddress(一)配置实现RTA配置RTB配置(二)内部服务器组网:RTA上配置内部服务器,使HostC能够访问内网的FTP服务器。当HostA访问HostC时使用address-group1中的地址。PrivatePublicHostARTA54/24/24HostC1RTB/24E0/0E0/12E0/1E0/0httpServeraddress-group1(1~0)(二)内部服务器组网:RTA上配置内部服务器,使HostC能(二)配置实现RTA配置interfaceEthernet0/0ipaddress54interfaceEthernet0/1ipaddressnatoutbound2000address-group1natserver3000protocoltcpglobal0httpinsidehttpaclnumber2000rule0permitsource55aclnumber3000rule0permitipsource0destination0rule1denyipnataddress-group110iproute-static0RTB配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddress(二)配置实现RTA配置RTB配置内部服务器(续)组网:PC机同时要实现使用公网域名与公网IP访问访问内部服务器内部服务器(续)组网:PC机同时要实现使用公网域名与公网IP配置实现(续)路由器配置命令(MSR最新版本)interfaceGigabitEthernet0/1#外网口portlink-moderoute

natoutbound2000natserverprotocoltcpglobalwwwinsidewwwipaddress路由器配置命令(MSR之前版本)[H3C-acl-adv-3000]rule0permitipsource55destination0interfaceGigabitEthernet0/0#内网口[H3C-GigabitEthernet0/0]natoutbound3000[H3C-GigabitEthernet0/0]natserverprotocoltcpglobalwwwinsidewww配置实现(续)路由器配置命令(MSR最新版本)路由器配置命令(三)双出口地址转换组网:用户有多条Internet出口线路,通往Public1和Public2,要求HostA访问Public1时用address-group1地址,访问Public2时用address-group2地址。PrivatePublic2HostARTA54/24/24HostB1RTB/24HostC/24RTC/24/24E0/0E0/1212E1/0E0/0E0/1E0/1E0/0address-group2(1~0)Public1address-group1(1~0)(三)双出口地址转换组网:用户有多条Internet出口线路(三)配置实现RTA配置interfaceEthernet0/0ipaddress54interfaceEthernet0/1ipaddress

natoutbound2000address-group1interfaceEthernet1/0ipaddressnatoutbound2000address-group2aclnumber2000rule0permitsource55nataddress-group110nataddress-group210iproute-static24iproute-static24RTB配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddressRTC配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddress(三)配置实现RTA配置RTB配置双出口(续)组网:同一台设备多个公网出口,不同的外网用户从对应的接口访问内部服务器,并且返回数据按照原路返回双出口(续)组网:同一台设备多个公网出口,不同的外网用户从对NAT的应用场合NAT的基本工作原理NAT的分类NAT的基本配置实现NAT的验证及调试方法本章总结NAT的应用场合本章总结参考资料RFC2663IPNetworkAddressTranslator(NAT)TerminologyandConsiderationsRFC2993ArchitecturalImplicationsofNATRFC3022TraditionalIPNetworkAddressTranslator(TraditionalNAT)RFC3027ProtocolComplicationswiththeIPNetworkAddressTranslator参考资料RFC2663NAT地址转换原理及配置解读课件NAT地址转换原理及配置ISSUE1.1日期:杭州华三通信技术有限公司版权所有,未经授权不得使用与传播NAT地址转换原理及配置ISSUE1.1日期:杭州华三通信掌握NAT的工作原理熟悉NAT的配置实现了解NAT监控调试方法常见组网及故障排查方法课程目标学习完本课程,您应该能够:掌握NAT的工作原理课程目标学习完本课程,您应该能够:NAT工作原理NAT配置实现NAT验证及调试NAT常见组网目录NAT工作原理目录NAT地址转换是在IP地址日益短缺的背景下出现的。一个局域网内部有很多台主机,可是不能保证每台主机都拥有合法的IP地址,为了使所有的内部主机都可以访问Internet,需要进行地址转换。地址转换技术可以有效隐藏局域网内的主机,是一种有效的网络安全保护技术。地址转换可以按照用户的需要,在局域网内向外提供FTP、WWW、Telnet等服务。NAT地址转换是在IP地址日益短缺的背景下出现的。地址类别(公有地址和私有地址)公有地址和私有地址公有地址是因特网上全球唯一的IP地址,由IANA统一分配。私有地址为RFC规定的保留IP地址段,仅用于内部网,不能与Internet直接通信。Internet私有/8私有/12私有/24LANALANBLANC私有地址范围:-55-55-55地址类别(公有地址和私有地址)公有地址和私有地址InternNAT基本概念2NATtableInsideAddress1PrivatePublicAddressPoolIPAddresspool11……0AddressPoolGlobalAddressHostARTA54/24/24HostBInternetHostC/24address-group1(1~0)NAT基本概念2NATBasicNAT/24HostARTA54/24/24HostBInternetHostC13245S=D=S=198.76.28..11D=S=D=1S=D=2NATtableInsideAddress1GlobalAddressS:源IP地址D:目的IP地址address-group1(1~0)BasicNAT/2410.0.0.NAPTHostARTA54/24/24HostBInternetHostC/2413245S=

P=1024D=P=21S=198.76.28..11P=2001D=P=21S=P=21D=1P=2001S=P=21D=

P=1024102413001NATtableInsideAddressPort102412001GlobalAddressPortS:源IP地址D:目的IP地址P:TCP、UDP端口address-group1(1~0)NAPTHostARTA54ALGALG:有些应用层协议在数据中携带IP地址或端口信息,对它们作NAT时需要同时修改上层数据中的IP地址或端口信息。一些非TCP、UDP的协议(如ICMP、PPTP)作上层NAT时,需要对它们的特征参数(如ICMP的ID参数)进行转换。HostARTA54/24/24HostBInternetHostC/2413245S=

P=1024D=P=21S=198.76.28..11P=2001D=P=21S=P=21D=1P=2002S=P=21D=

P=5001500112002NATtableInsideAddressPort102412001GlobalAddressPort“S=P=5001”“S=1P=2002”FTPControl通道FTPData通道address-group1(1~0)ALGALG:HostARTA10.0.0.NATDNSmappingNATDNSmappingNAT工作原理NAT配置实现NAT验证及调试NAT常见组网目录NAT工作原理目录EASYIPEasyIP:在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在接口视图下配置:natoutboundacl-numberPrivatePublicHostARTA54/24/24HostBInternetHostC/24RTA使用E0/1接口的IP地址作为地址转换后的公有IP地址E0/0E0/1EASYIPEasyIP:在地址转换的过程中直接使用接口StaticNAT静态映射:在内部私有IP与外部公用IP之间建立一对一的映射关系。配置如下:(全局)natstaticip-addr1ip-addr2(接口)

natoutboundstaticPrivatePublicHostARTA54/24/24HostBInternetHostC/24RTA为HostA和HostB静态映射公有地址E0/0E0/1StaticNAT静态映射:在内部私有IP与外部公用IP之多对多NATAddressPool:连续IP地址的集合,用于为内部用户动态分配公用地址。配置如下:(全局)nataddress-grouppool-numberstart-addrend-addr(接口)

natoutboundacl-numberaddress-grouppool-number[no-pat]注:no-pat指基于IP的地址转换,缺省为pat方式。PrivatePublicHostARTA54/24/24HostBInternetHostC/24从地址池pool1中为HostA和HostB动态分配公有地址E0/0E0/1address-group1(1~0)多对多NATAddressPool:连续IP地址的集合,用NATServer内部服务器:将(外部地址、端口)映射到内部的服务器上,使外部网络可访问内部服务器。配置如下:(接口)natserver[acl-number]protocol

pro-type

globalglobal-addr

[global-port]inside

host-addr

[host-port]PrivatePublicHostARTA54/24/24HostBInternetHostC/24RTA为HostA和HostB静态映射(公有地址:端口)E0/0E0/1NATServer内部服务器:将(外部地址、端口)映射到内NAT工作原理NAT配置实现NAT验证及调试NAT常见组网目录NAT工作原理目录验证调试显示地址转换信息displaynat{address-group|aging-time|all|outbound|server|statistics|session|[slotslot-number

]|[sourceglobalglobal-addr|sourceinsideinside-addr]|[destionationip-addr

]}调试地址转换过程debuggingnat{alg|event|packet[interfaceinterface-typeinterface-number]}清除地址转换连接resetnatsession验证调试显示地址转换信息NAT工作原理NAT配置实现NAT验证、调试NAT常见组网目录NAT工作原理目录(一)EasyIPandStaticNAT组网:HostA访问HostC时使用EasyIP转换,同时在RTA上为HostB提供静态映射地址。PrivatePublicHostARTA54/24/24HostC1RTB/24E0/0E0/12E0/1E0/0HostB(一)EasyIPandStaticNAT组网:Ho(一)配置实现RTA配置interfaceEthernet0/0ipaddress54interfaceEthernet0/1ipaddressnatoutbound2000natoutboundstaticaclnumber2000rule0permitsource55natstaticiproute-static0RTB配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddress(一)配置实现RTA配置RTB配置(二)内部服务器组网:RTA上配置内部服务器,使HostC能够访问内网的FTP服务器。当HostA访问HostC时使用address-group1中的地址。PrivatePublicHostARTA54/24/24HostC1RTB/24E0/0E0/12E0/1E0/0httpServeraddress-group1(1~0)(二)内部服务器组网:RTA上配置内部服务器,使HostC能(二)配置实现RTA配置interfaceEthernet0/0ipaddress54interfaceEthernet0/1ipaddressnatoutbound2000address-group1natserver3000protocoltcpglobal0httpinsidehttpaclnumber2000rule0permitsource55aclnumber3000rule0permitipsource0destination0rule1denyipnataddress-group110iproute-static0RTB配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddress(二)配置实现RTA配置RTB配置内部服务器(续)组网:PC机同时要实现使用公网域名与公网IP访问访问内部服务器内部服务器(续)组网:PC机同时要实现使用公网域名与公网IP配置实现(续)路由器配置命令(MSR最新版本)interfaceGigabitEthernet0/1#外网口portlink-moderoute

natoutbound2000natserverprotocoltcpglobalwwwinsidewwwipaddress路由器配置命令(MSR之前版本)[H3C-acl-adv-3000]rule0permitipsource55destination0interfaceGigabitEthernet0/0#内网口[H3C-GigabitEthernet0/0]natoutbound3000[H3C-GigabitEthernet0/0]natserverprotocoltcpglobalwwwinsidew

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论