7-NAT_策略路由

1、網(wǎng)絡(luò)出口設(shè)計(jì)1本章內(nèi)容NAT背景NAT術(shù)語(yǔ)靜態(tài)NAT動(dòng)態(tài)NATNAPT處理地址空間重疊的網(wǎng)絡(luò)TCP負(fù)載均衡配置NAT使用策略路由配置基于策略的路由選擇策略路由例如2課程議題NAT3為什么使用NAT？ 使用單個(gè)IP地址支持根本的TCP負(fù)載分配沒(méi)有足夠的全局唯一的IP地址供網(wǎng)絡(luò)中的主機(jī)用來(lái)連接到internet更換internet效勞提供商后，需要對(duì)網(wǎng)絡(luò)進(jìn)行重新編址合并兩個(gè)使用重疊地址空間的內(nèi)部網(wǎng)絡(luò)4NAT實(shí)施NAT優(yōu)點(diǎn)：節(jié)省公共地址可減少編址方案重疊的情況發(fā)生將私有網(wǎng)絡(luò)轉(zhuǎn)化成公網(wǎng)時(shí)，無(wú)需要重新進(jìn)行編址NAT缺點(diǎn)：NAT會(huì)增加延遲無(wú)法進(jìn)行端到端的IP跟蹤NAT使某些在有效負(fù)載中使用IP地址的應(yīng)用無(wú)

2、法運(yùn)行5NAT術(shù)語(yǔ)內(nèi)部/外部：IP主機(jī)相對(duì)于NAT設(shè)備的物理位置。本地/全局：用戶相對(duì)于NAT設(shè)備的位置或視角。6NAT術(shù)語(yǔ)參數(shù)描述內(nèi)部本地IP地址 分配給內(nèi)部網(wǎng)絡(luò)中的主機(jī)的IP地址，通常這種地址來(lái)自RFC 1918指定的私有地址空間。 內(nèi)部全局IP地址 內(nèi)部全局IP地址，對(duì)外代表一個(gè)或多個(gè)內(nèi)部本地IP地址，通常這種地址來(lái)自全局惟一的地址空間，通常是ISP提供的。 外部全局IP地址 外部網(wǎng)絡(luò)中的主機(jī)的IP地址，通常來(lái)自全局可路由的地址空間。 外部本地IP地址 在內(nèi)部網(wǎng)絡(luò)中看到的外部主機(jī)的IP地址，通常來(lái)自RFC 1918定義的私有地址空間。 簡(jiǎn)單轉(zhuǎn)換條目 將一個(gè)IP地址映射到另一個(gè)IP地址（通

3、常被稱為網(wǎng)絡(luò)地址轉(zhuǎn)換）的轉(zhuǎn)換條目。 擴(kuò)展轉(zhuǎn)換條目 將一個(gè)IP地址和端口對(duì)映射到另一個(gè)IP地址和端口（通常被稱為端口地址轉(zhuǎn)換）對(duì)的轉(zhuǎn)換條目。 7NAT術(shù)語(yǔ)靜態(tài)NAT：按照一一對(duì)應(yīng)的方式將每個(gè)內(nèi)部IP地址轉(zhuǎn)換為一個(gè)外部IP地址，這種方式經(jīng)常用于企業(yè)網(wǎng)的內(nèi)部設(shè)備需要能夠被外部網(wǎng)絡(luò)訪問(wèn)到時(shí)。動(dòng)態(tài)NAT：將一個(gè)內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址（地址池）中的一個(gè)IP地址。超載（Overloading）NAT：動(dòng)態(tài)NAT的一種實(shí)現(xiàn)形式，利用不同端口號(hào)將多個(gè)內(nèi)部IP地址轉(zhuǎn)換為一個(gè)外部IP地址，也稱為PAT、NAPT或端口復(fù)用NAT。重疊（Overlapping）NAT：當(dāng)在內(nèi)部網(wǎng)絡(luò)中使用的IP地址是其它網(wǎng)絡(luò)

4、中已經(jīng)使用的已注冊(cè)IP地址時(shí)，NAT路由器就需要維護(hù)一張查找表，以便用惟一的IP地址來(lái)替換這些已注冊(cè)的IP地址。8靜態(tài)NAT 靜態(tài)NAT：按照一一對(duì)應(yīng)的方式將每個(gè)內(nèi)部IP地址轉(zhuǎn)換為一個(gè)外部IP地址，這種方式經(jīng)常用于企業(yè)網(wǎng)的內(nèi)部設(shè)備需要能夠被外部網(wǎng)絡(luò)訪問(wèn)到時(shí)。9動(dòng)態(tài)NAT 動(dòng)態(tài)NAT：將一個(gè)內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址（地址池）中的一個(gè)IP地址。 10NAPT NAPT是動(dòng)態(tài)NAT的一種實(shí)現(xiàn)形式，NAPT利用不同的端口號(hào)將多個(gè)內(nèi)部IP地址轉(zhuǎn)換為一個(gè)外部IP地址，NAPT也稱為PAT或端口級(jí)復(fù)用NAT。 11地址空間重疊 12配置靜態(tài)NAT第一步：在路由器上配置IP路由選擇和IP地址。第二步

5、：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，方法是進(jìn)入接口配置模式下，執(zhí)行命令ip nat inside | outside 。第三步：使用全局命令ip nat inside source static local-ip interface interface | global-ip 配置靜態(tài)轉(zhuǎn)換條目。13配置靜態(tài)端口地址轉(zhuǎn)換第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，并執(zhí)行命令ip nat inside | outside 。第三步：使用全局命令ip nat inside source static tcp | udp local-ip local-p

6、ort interface interface | global-ip global-port指定靜態(tài)PAT條目。14配置靜態(tài)外部源地址轉(zhuǎn)換 第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，方法是進(jìn)入接口配置模式下，并執(zhí)行命令ip nat inside | outside 。第三步：使用全局命令ip nat outside source static global-ip local-ip指定靜態(tài)轉(zhuǎn)換條目。15配置動(dòng)態(tài)NAT第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，方法是進(jìn)入接口配置模式下，并執(zhí)行命令ip

7、nat inside | outside 。第三步：使用命令access-list access-list-number permit | deny 定義IP訪問(wèn)控制列表，以明確哪些報(bào)文將被進(jìn)行NAT轉(zhuǎn)換。第四步：使用命令ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-length 定義一個(gè)地址池，用于轉(zhuǎn)換地址。16網(wǎng)絡(luò)拓?fù)鋱D本工作任務(wù)的網(wǎng)絡(luò)拓?fù)?，如下圖。NAT配置網(wǎng)絡(luò)拓?fù)鋱DISP局端光電轉(zhuǎn)換器f0/1:218.12.226.2用戶端光端機(jī)218.12.226.1192.168.1.0/2

8、4f0/0:192.168.1.1PC117配置動(dòng)態(tài)NAT第五步：使用命令ip nat inside source list access-list-number interface interface | pool pool-name 將符合訪問(wèn)控制列表?xiàng)l件的內(nèi)部本地地址轉(zhuǎn)換到地址池中的內(nèi)部全局地址。18配置NAPT第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，并執(zhí)行命令ip nat inside | outside 。第三步：使用命令access-list access-list-number permit | deny 定義IP訪問(wèn)控制列表，以

9、明確哪些報(bào)文將被進(jìn)行NAT轉(zhuǎn)換。第四步：使用命令ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-length 定義一個(gè)地址池，用于轉(zhuǎn)換地址。第五步：使用命令ip nat inside source list access-list-number interface interface | pool pool-name overload將符合訪問(wèn)控制列表?xiàng)l件的內(nèi)部本地地址轉(zhuǎn)換到地址池中的內(nèi)部全局地址。 19配置NAPT20TCP負(fù)載均衡 NAT TCP負(fù)載均衡只適用于TCP連接，對(duì)于非TCP

10、連接請(qǐng)求，NAT進(jìn)程將不會(huì)對(duì)其進(jìn)行轉(zhuǎn)換。 21配置TCP負(fù)載均衡第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，方法是進(jìn)入接口配置模式下，并執(zhí)行命令ip nat inside | outside 。第三步：定義訪問(wèn)控制列表，指定發(fā)送到哪個(gè)地址（虛擬主機(jī)地址）的請(qǐng)求被進(jìn)行負(fù)載分擔(dān)。第四步：使用命令ip nat pool name start-ip end-ip netmask netmask | prefix-length prefix-length type rotary為真實(shí)的內(nèi)部主機(jī)或效勞器定義地址池。當(dāng)使用NAT進(jìn)行TCP負(fù)載均衡時(shí)，必須配置ty

11、pe rotary關(guān)鍵字，以保證地址池中的地址被輪流使用。第五步：使用命令ip nat inside destination list access-list-number pool name定義訪問(wèn)控制列表與真實(shí)主機(jī)地址池之間的映射； 22配置TCP負(fù)載均衡23驗(yàn)證和診斷NAT轉(zhuǎn)換驗(yàn)證和診斷NAT轉(zhuǎn)換的內(nèi)容包括：使用show命令查看NAT運(yùn)行的狀態(tài)使用debug命令對(duì)NAT的轉(zhuǎn)換操作進(jìn)行調(diào)試使用clear命令清楚特定的或所有的NAT轉(zhuǎn)換條目常用命令show ip nat translations access-list-number | icmp | tcp | udp verbose sh

12、ow ip nat statisticsdebug ip nat address | event | rule-match clear ip nat translation *clear ip nat statistics24課程議題路由策略25使用策略路由 策略路由是一種入站機(jī)制，用于入站報(bào)文。 通過(guò)使用基于策略的路由選擇，能夠根據(jù)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口和協(xié)議類型讓報(bào)文選擇不同的路徑。 策略路由有以下優(yōu)點(diǎn)：靈活的操縱報(bào)文 效勞質(zhì)量 節(jié)省費(fèi)用 負(fù)載均衡 26注意策略路由是設(shè)置在接收?qǐng)?bào)文接口而不是發(fā)送接口。在圖中，策略就應(yīng)用在路由器A的FastEthernet0/0接口。RT

13、ARTBRTCS0/0S0/1128Kbps ISDN512Kbps 從PCA到SVA的數(shù)據(jù)量所有其他的數(shù)據(jù)量PCASVA服務(wù)器基于策略的路由F0/027配置基于策略的路由選擇 route-map命令route-map name permit | deny sequence-number 參數(shù)描述name Route-map的名稱，擁有相同名稱的route-map子句將組成一個(gè)route-map permit 如果報(bào)文符合該子句中的匹配條件，則報(bào)文將被進(jìn)行策略路由 deny 如果報(bào)文符合該子句中的匹配條件，則報(bào)文將不進(jìn)行策略路由，進(jìn)行正常的轉(zhuǎn)發(fā) sequence-number 該route-m

14、ap子句的編號(hào)，如果不指定則系統(tǒng)會(huì)自動(dòng)賦予一個(gè)編號(hào)，route-map中的各子句按照編號(hào)的順序執(zhí)行 28配置基于策略的路由選擇match命令match ip address access-list-number | name access-list-number | name 參數(shù)描述access-list-number | name 標(biāo)準(zhǔn)訪問(wèn)控制列表或擴(kuò)展訪問(wèn)控制列表的編號(hào)或名稱，用于匹配入站報(bào)文。如果指定了多個(gè)訪問(wèn)列表，則與任一個(gè)列表匹配就算匹配。 min 最小報(bào)文長(zhǎng)度（三層報(bào)文的長(zhǎng)度） max 最大報(bào)文長(zhǎng)度（三層報(bào)文的長(zhǎng)度） 29配置基于策略的路由選擇set命令set ip next-hop ip-address ip-address set ip next-hop set interface set ip default next-hop set default interface set ip tos set ip precedence 在接口上配置策略路由 ip policy route-map