连接互联网点的技术 NAT 配置解析
对内:服务器移动办公Lan tolan总部和分公司 L2L VPN移动办公:Remote-AccessVPN连接Internet会有三种故障:链路故障 (需要链路冗余)设备故障(需要设备冗余)ISP故障(需要 ISP冗余)InternetServiceProvider联通,电信
连接运营商的方式
公网地址:节点可以分配的地址只有ABC三类公有地址和私有地址私有地址只能企业内部使用,Internet网络中不能出现私有地址原因:是IPv4地址不够用
NAT(networkaddress translation)网络地址转换技术NAT能将私有地址转成公有地址由于私有地址不能访问Internet,所以需要使用NAT技术将访问Internet的用户的私有地址转出公有地址,然后该用户才能访问InternetIANA完全被ICANN取代了ICANN的职能:分配IP地址,分配AS号码,分配DNS域,分配协议参数。RIP在世界区域内负责IP地址分配ICANN-->RIR:地区性 Internet注册机构(1. RIPE 欧洲IP地址注册中心,服务于欧洲)
从ISP申请的地址叫做PA(providerassigement)地址 从RIP申请的地址叫做PI(provider independent)地址
PI:自治系统号码,两个字节表示,0~65535,0~64511公有AS,64512~65535私有地址,0~65535被保留。四个字节的AS表示方法,0.0~65535.65535
NAT:静态NAT:一对一的地址对应关系动态NAT:多对多的地址对应关系PAT是多对一 的对应关系一对一就是一个私有地址转换成一个公有地址多对多就是多个私有地址转换成多个公网地址多对一就是将多个私有地址装换成一个公有地址
NAT包括四种地址类型:被内部网络分配的地址(私有)内部设备上的地址(公有),改地址用于访问外部网络Inside local内部本地地址(自己的私有)Inside globa 内部全局地址(自己的公有)Outside local 外部本地私有(别人的私有)Outside globe 外部全局(别人的公有)NAT的作用就是将inside local 转成 inside global(访问外部)配置NAT的步骤:NAT配置全部都是配置在转换地址的设备上(GW-Router)
[*]在网关路由器上指定内部接口(inside)和外部接口(outside)、私有->公有 公有->私有
[*]指定私有需要转换的inside-local(私有)地址
[*]指定需要转换的inside-globa(公有)地址
[*]将inside-local和inside-global关联起来
静态NAT动态NATPAT动态PAT静态NAT配置过程:
[*]在接口上指定inside和outside
Int e0/0Ip nat inside (内部网络才能指定inside接口)Int e 0/1Ip nat outsude (外部网络才能定义outside接口)
[*]需要转换的私有地址是192.168.1.1
[*]需要将私有地址转换成公有地址1.1.1.222
配置命令:ip nat inside source static+要转换的地址+替代地址
[*]192.168.1.1(inside-local)->1.1.1.222(inside-global)
注意:查看转换表的命令:Do show ip nattranslations注意:静态NAT当关联的一瞬间,就会立刻生成静态NAT装换列表项,且不手工删除静态列表项永远不会消失,所以意味着,无论外部地址先访问我还是我先访问外部地址都会成功
串型链路不是同一网段也能通
动态NAT:
[*]指定内部外部接口
[*]指定要转换什么私有地址
[*]指定要转换成什么公有地址
[*]关联
由于动态NAT是多对多的装换所以在步骤2中,需要用ACL将要转换的多个地址匹配在步骤3中由于转换的公有地址也是多个,所以需要建立一个公有地址池在步骤4中需要将ACL和NAT地址关联起来
动态NAT在创建后不会立刻生成装换表项,只有在流量经过GW-Router的时候才会创建表项,如果长时间没有流量经过,那么转换表项会消失注意: 只有内部主动访问 外部才会自动生成表项当GW-Router上没有转换表项的时候外部主动访问内部会失败ACL匹配需要装换的私有地址(inside-local)指定NAT地址池(inside-global):配置命令:Ip nat pool +名称+1.1.1.50+1.1.1.50netmask +掩码Inside-local和inside-globa 关联Ip natinsidesourcelist + acl (名称)+ pool + nat地址池 名称 //动态清空除了静态NAT之外的所有表项:Clearipnat translations *PAT技术:Ip access-list standred+名称Permit/deny+……….Ip nat inside sourcelist acl interface +接口号 +overload 动态的PAT:配置命令:Ip access-list standred+名称Permit/deny+……….Ip nat pool +名称+1.1.1.50+1.1.1.50netmask +掩码Inside-local和inside-globa 关联Ipnatinside source list + acl (名称)+ pool + nat地址池 名称 + overload //动态
内网访问内网的配置Inte0/0 ipnat enable查看配置:do show ip natnvi translations在使用natenable 的方式来做NAT的时候,需要使用ACL匹配源IP地址+目的IP地址内网之间的流量的访问时不允许的解决方式:Ip access-list ex100Deny ip192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 Ipnat sourcelist + acl (名称)+ pool + nat地址池 名称 + overload //动态
{:6_265:}{:6_265:}
页:
[1]