NATPAT和代理服務器集成_第1頁
NATPAT和代理服務器集成_第2頁
NATPAT和代理服務器集成_第3頁
NATPAT和代理服務器集成_第4頁
NATPAT和代理服務器集成_第5頁
已閱讀5頁,還剩31頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

NAT/PAT配置地址轉(zhuǎn)換出現(xiàn)的背景NAT的工作原理NetworkAddressTranslation,網(wǎng)絡地址轉(zhuǎn)換NAT實現(xiàn)方式靜態(tài)轉(zhuǎn)換〔StaticTranslation〕動態(tài)轉(zhuǎn)換〔DynamicTranslation〕端口多路復用〔PortAddressTranslation,PAT〕NAT概述NAT包含4類地址NAT的轉(zhuǎn)換條目簡單轉(zhuǎn)換條目擴展轉(zhuǎn)換條目NAT的術語與轉(zhuǎn)換表NATInternetPC192.168.1.2目的IP=192.168.1.2源IP=203.51.23.55經(jīng)過路由器后的包目的IP=203.51.23.55源IP=192.168.1.2PC訪問服務器的包目的IP=125.25.65.3源IP=203.51.23.55服務器返回PC的包203.51.23.55目的IP=203.51.23.55源IP=125.25.65.3經(jīng)過路由器后的包轉(zhuǎn)換轉(zhuǎn)換內(nèi)部外部內(nèi)部局部地址外部局部地址外部全局地址內(nèi)部全局地址靜態(tài)轉(zhuǎn)換和動態(tài)轉(zhuǎn)換

NAT實現(xiàn)方法的工作過程2-1Internet外部主機BSA10.1.1.1SA192.168.2.2DA192.168.2.2DA10.1.1.1NATNAT轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP10.1.1.1192.168.2.2172.20.7.3:2312345PATNAT實現(xiàn)方法的工作過程2-2Internet外部主機BSA10.1.1.1SA192.168.2.2DA192.168.2.2DA10.1.1.1NATNAT轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP10.1.1.1:1492192.168.2.2:1492172.20.7.3:23TCP10.1.1.2:1493192.168.2.2:1493172.20.7.3:8012345NAT的優(yōu)點節(jié)省公有合法IP地址處理地址重疊增強靈活性平安性NAT的缺點延遲增大配置和維護的復雜性不支持某些應用,可以通過靜態(tài)NAT映射來防止NAT的特性NAT路由器平臺配置NAT配置步驟接口IP地址配置使用訪問控制列表定義哪些內(nèi)部主機能做NAT決定采用什么公有地址,靜態(tài)或地址池Router(config)#ipnatpoolpool-name

star-ip

end-ip{netmasknetmask|prefix-lengthprefix-length}[typerotary]指定地址轉(zhuǎn)換映射Router(config)#ipnatinsidesourcestaticlocal-ip

global-ip[extendable]Router(config)#ipnatinsidesourcelistaccess-list-numberpoolpool-name[overload]在內(nèi)部和外部端口上啟用NATNAT的配置定義地址池靜態(tài)NAT地址映射動態(tài)NAT或PAT地址映射將內(nèi)網(wǎng)地址、靜態(tài)轉(zhuǎn)換為合法的外部地址、,以便訪問外網(wǎng)或被外網(wǎng)訪問靜態(tài)NAT配置4-1192.168.100.2~192.168.100.254/24………內(nèi)部網(wǎng)絡192.168.100.161.159.62.130NAT內(nèi)部端口NAT外部端口InternetF1/0F0/0設置外部端口的IP地址:設置內(nèi)部端口的IP地址:建立靜態(tài)地址轉(zhuǎn)換Router(config)#interfaceFastEthernet0/0Router(config-if)#noshut靜態(tài)NAT配置4-2Router(config)#interfaceFastEthernet1/0Router(config-if)#noshut在內(nèi)部和外部端口上啟用NAT配置默認路由靜態(tài)NAT配置4-3Router(config)#interfaceFastEthernet0/0Router(config-if)#ipnatoutsideRouter(config)#interfaceFastEthernet1/0Router(config-if)#ipnatinside靜態(tài)NAT配置4-4InternetSA192.168.100.2SA61.159.62.131DA61.159.62.131DA192.168.100.2NATNAT轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP192.168.100.261.159.62.131155.34.2.3TCP192.168.100.361.159.62.132155.34.2.3NAT建立NAT端口映射關系配置實例NAT端口映射Router(config)#ipnatinsidesourcestaticprotocollocal-ipUDP/TCP-portglobal-ipUDP/TCP-port[extendable]Router(config)#ipnatinsidesourcestatictcp192.168.100.28061.159.62.1318080extendableInternet

8080192.168.100.280協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP192.168.100.2:8061.159.62.131:8080155.34.2.3將內(nèi)部地址~轉(zhuǎn)換為合法地址~,以便訪問Internet動態(tài)NAT配置3-1172.168.100.2~172.168.100.254/24………內(nèi)部網(wǎng)絡172.168.100.161.159.62.130NAT內(nèi)部端口NAT外部端口InternetF0/0F1/0設置外部端口的IP地址:設置內(nèi)部端口的IP地址:動態(tài)NAT配置3-2定義訪問控制列表定義合法IP地址池實現(xiàn)網(wǎng)絡地址轉(zhuǎn)換在內(nèi)部和外部端口上啟用NAT,以及配置默認路由與靜態(tài)NAT配置相同Router(config)#access-list1permit172.168.100.00.0.0.255Router(config)#ipnatpooltest061.159.62.13161.159.62.190netmask255.255.255.192Router(config)#ipnatinsidesourcelist1pooltest0Router(config)#interfaceFastEthernet0/0Router(config-if)#noshuRouter(config)#interfaceFastEthernet1/0Router(config-if)#noshu動態(tài)NAT配置3-3InternetSA172.168.100.2SA61.159.62.131DA61.159.62.131DA172.168.100.2NATNAT轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP172.168.100.261.159.62.131155.34.2.3TCP172.168.100.361.159.62.132155.34.2.3將內(nèi)部網(wǎng)絡地址~轉(zhuǎn)換為合法的地址,以便訪問InternetPAT配置5-110.1.1.2~10.1.1.254/24………內(nèi)部網(wǎng)絡10.1.1.161.159.62.130NAT內(nèi)部端口NAT外部端口InternetF0/0F1/0設置外部端口的IP地址:設置內(nèi)部端口的IP地址:PAT配置5-2

定義訪問控制列表:定義合法IP地址池:實現(xiàn)網(wǎng)絡地址轉(zhuǎn)換:在內(nèi)部和外部端口上啟用NAT,以及配置默認路由與靜態(tài)NAT配置相同Router(config)#access-list1permit10.1.1.00.0.0.255Router(config)#ipnatpoolonlyone61.159.62.13161.159.62.131netmask255.255.255.248Router(config)#ipnatinsidesourcelist1poolonlyoneoverload進行端口復用Router(config)#interfaceFastEthernet0/0Router(config-if)#noshuRouter(config)#interfaceFastEthernet1/0Router(config-if)#noshuPAT配置5-3InternetSA10.1.1.2SA61.159.62.131DA61.159.62.131DA10.1.1.2NATNAT轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP10.1.1.2:102861.159.62.131:1028155.34.2.3TCP10.1.1.2:1121261.159.62.131:11212155.34.2.3復用路由器外部接口地址PAT配置5-410.1.1.2~10.1.1.254/24………內(nèi)部網(wǎng)絡動態(tài)IPInternetF0/0F1/0定義內(nèi)部訪問列表定義合法的IP地址池由于直接使用外部接口地址,所以不再定義IP地址池設置復用動態(tài)IP地址轉(zhuǎn)換在內(nèi)部和外部端口上啟用NAT,以及配置默認路由與靜態(tài)NAT配置相同PAT配置5-5Router(config)#ipnatinsidesourcelist1interfaceFastEthernet0/0overload外部接口驗證NAT的配置查看NAT轉(zhuǎn)換條目Router#showipnattranslations[verbose]verbose:顯示詳細的NAT轉(zhuǎn)換條目信息Router#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp207.35.18.2:6002192.168.1.3:6002207.35.14.83:6002207.35.14.83:6002icmp207.35.18.2:15488192.168.1.3:15488207.35.14.83:15488207.35.14.83:15488icmp207.35.18.2:14225192.168.1.2:14225207.35.14.83:14225207.35.14.83:14225icmp207.35.18.2:14481192.168.1.2:14481207.35.14.83:14481207.35.14.83:14481---207.35.18.6192.168.2.2------Router#showipnattranslationsverboseProInsideglobalInsidelocalOutsidelocalOutsideglobalIcmp207.35.18.2:31634192.168.1.2:31634207.35.14.83:31634207.35.14.83:31634create00:00:14,use00:00:14timeout:60000,left00:00:45,Map-Id(In):1,flags:extended,use_count:0,entry-id:36,lc_entries:0---207.35.18.6192.168.2.2------create00:34:40,use00:27:57timeout:0,flags:static,use_count:0,entry-id:1,lc_entries:0靜態(tài)NAT條目PAT動態(tài)條目協(xié)議內(nèi)部全局地址內(nèi)部局部地址外部局部地址外部全局地址NAT轉(zhuǎn)換條目的創(chuàng)立時間、使用時間、超時時間值靜態(tài)NAT條目永遠存在查看NAT統(tǒng)計信息Router#showipnatstatistics默認情況下UDP超時值:5分鐘DNS超時值:1分鐘TCP超時值:24小時更改超時時間配置NAT轉(zhuǎn)換條目超時時間Router(config)#ipnattranslation{dns-timeout|icmp-timeout|tcp-timeout|udp-timeout}{seconds|never}去除NAT轉(zhuǎn)換表中的所有條目Router#clearipnattranslation*去除包含內(nèi)部轉(zhuǎn)換的轉(zhuǎn)換條目Router#clearipnattranslationinsidelocal-ipglobal-ip去除包含外部轉(zhuǎn)換的轉(zhuǎn)換條目Router#clearipnattranslationoutsidelocal-ipglobal-ip去除NAT轉(zhuǎn)換條目靜態(tài)NAT條目不會被去除常見問題ACL阻止轉(zhuǎn)換后的流量進行地址轉(zhuǎn)換的ACL不全overload參數(shù)漏配不對稱路由問題動態(tài)地址池IP地址范圍配置錯誤動態(tài)地址池與靜態(tài)轉(zhuǎn)換地址重疊Inside和outside接口配置錯誤NAT的故障處理2-1NAT故障的排除檢查物理設備和NAT配置通過show命令查看NAT的各種信息通過debugipnat命令跟蹤NAT操作NAT故障處理2-2R1#debugipnatIPNATdebuggingison*Mar100:03:56.875:NAT:s=192.168.4.2->145.52.23.2,d=1.1.1.1[52225]*Mar100:03:57.667:NAT*:s=192.168.4.2->145.52.23.2,d=1.1.1.1[52481]*Mar100:03:57.811:NAT*:s=1.1.1.1,d=145.52.23.2->192.168.4.2[52481]s=表示源地址是d=表示目的地址是表示將地址轉(zhuǎn)換為145.52.23.2NAT硬件防火墻配置在硬件防火墻上啟用NAT控制InsideLocalOutsideMappedPool10.0.0.11192.168.0.20TranslationTableNATInternetfw1(config)#nat-controlnat[(if_name)]nat_id

address[netmask][dns][[tcp]tcp_max_conns[emb_limit][norandomseq]]][udpudp_max_conns]firewall(config)#nat

命令啟用IP地址轉(zhuǎn)換fw1(config)#nat(inside)10.0.0.00.0.0.000NATInternetglobal

命令例子:fw1(config)#nat(inside)1fw1(config)#global(outside)1

firewall(config)#global[(if_name)]nat_id{mapped_ip[-mapped_ip]

[netmaskmapped_mask]}|interfaceNATInternetrouteif_name

ip_address

netmask

gateway_ip[metric]firewall(config)#route

命令為接口定義靜態(tài)或默認路由fw1(config)#routeoutside0.0.0.00.0.0.0192.168.0.11fw1(config)#routeinside10.0.1.0255.255.255.010.0.0.1021DefaultRouteStaticRouteInternetfw1(config)#namesfw1(config)#name172.16.0.2bastionhostfw1(config)#name10.0.0.11insidehost主機名到IP的映射:NAME命令在防火墻上配置一個名稱到IP的映射nameip_addressnamefirewall(config)#“bastionhost”.2.1.1.11“insidehost”配置例子writ

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論