连接互联网点的技术 NAT 配置解析

whenalive

对内：

服务器

移动办公

Lan to  lan

总部和分公司   L2L   VPN

移动办公：  Remote-Access  VPN

连接Internet会有三种故障：

链路故障 （需要链路冗余）

设备故障  （需要设备冗余）

ISP故障  （需要 ISP冗余）

Internet  Service  Provider

联通，电信

连接运营商的方式

公网地址：

节点可以分配的地址只有ABC三类

公有地址和私有地址

私有地址只能企业内部使用，Internet网络中不能出现私有地址

原因：是IPv4地址不够用

NAT（network  address translation）

网络地址转换技术

NAT  能将私有地址转成公有地址

由于私有地址不能访问Internet，所以需要使用NAT技术将访问Internet的用户的私有地址转出公有地址，然后该用户才能访问Internet

IANA完全被ICANN取代了

ICANN的职能：分配IP地址，分配AS号码，分配DNS域，分配协议参数。

RIP在世界区域内负责IP地址分配

ICANN-->RIR：地区性 Internet  注册机构（1. RIPE 欧洲IP地址注册中心，服务于欧洲）

从ISP申请的地址叫做PA（provider  assigement）地址   从RIP申请的地址叫做PI（provider independent  ）地址

PI：  自治系统号码  ，两个字节表示，0~65535,0~64511  公有AS，64512~65535私有地址，0~65535被保留。

四个字节的AS表示方法，0.0~65535.65535

NAT：

静态NAT：一对一的地址对应关系

动态NAT：多对多的地址对应关系

PAT是多对一 的对应关系

一对一就是一个私有地址转换成一个公有地址

多对多就是多个私有地址转换成多个公网地址

多对一就是将多个私有地址装换成一个公有地址

NAT包括四种地址类型：

被内部网络分配的地址（私有）

内部设备上的地址（公有），改地址用于访问外部网络

Inside local  内部本地地址（自己的私有）

Inside globa 内部全局地址（自己的公有）

Outside local 外部本地私有（别人的私有）

Outside globe 外部全局（别人的公有）

NAT的作用就是将inside local 转成 inside global  （访问外部）

配置NAT的步骤：

NAT配置全部都是配置在转换地址的设备上（GW-Router）

• 在网关路由器上指定内部接口（inside）和外部接口（outside）、私有->公有   公有->私有
  
• 指定私有需要转换的inside-local(私有)地址
  
• 指定需要转换的inside-globa(公有)地址
  
• 将inside-local和inside-global关联起来
  

静态NAT

动态NAT

PAT

动态PAT

静态NAT配置过程:

• 在接口上指定inside和outside
  

Int e0/0

Ip nat inside (内部网络才能指定inside接口)

Int e 0/1

Ip nat outsude (外部网络才能定义outside接口)

• 需要转换的私有地址是192.168.1.1
  
• 需要将私有地址转换成公有地址1.1.1.222
  

配置命令:ip nat inside   source static  +要转换的地址+替代地址

• 192.168.1.1(inside-local)->1.1.1.222(inside-global)
  

注意：

查看转换表的命令:

Do show ip nat  translations

注意：静态NAT当关联的一瞬间，就会立刻生成静态NAT装换列表项，且不手工删除静态列表项永远不会消失，所以意味着，无论外部地址先访问我还是我先访问外部地址都会成功

    串型链路不是同一网段也能通

动态NAT：

• 指定内部外部接口
  
• 指定要转换什么私有地址
  
• 指定要转换成什么公有地址
  
• 关联
  

由于动态NAT是多对多的装换

所以在步骤2中，需要用ACL将要转换的多个地址匹配

在步骤3中由于转换的公有地址也是多个，所以需要建立一个公有地址池

在步骤4中需要将ACL和NAT地址关联起来

动态NAT在创建后不会立刻生成装换表项，只有在流量经过GW-Router的时候才会创建表项，如果长时间没有流量经过，那么转换表项会消失

注意： 只有内部主动访问 外部才会自动生成表项

当GW-Router上没有转换表项的时候外部主动访问内部会失败

ACL匹配需要装换的私有地址（inside-local）

指定NAT地址池（inside-global）：

配置命令：

Ip nat pool +名称  +1.1.1.50+1.1.1.50  netmask +掩码

Inside-local和inside-globa 关联

Ip   nat  inside  source  list + acl (名称)+ pool   + nat地址池 名称    //  动态

清空除了静态NAT之外的所有表项:

Clear  ip  nat translations *

PAT技术:

Ip access-list standred+名称

Permit/deny+……….

Ip nat   inside source  list acl    interface   +接口号   +  overload

动态的PAT:

配置命令：

Ip access-list standred+名称

Permit/deny+……….

Ip nat pool +名称  +1.1.1.50+1.1.1.50  netmask +掩码

Inside-local和inside-globa 关联

Ip  nat  inside   source list + acl (名称)+ pool   + nat地址池 名称 + overload   //  动态

内网访问内网的配置

Int  e0/0    ip  nat     enable  

查看配置：

do show ip nat  nvi translations

在使用nat  enable 的方式来做NAT的时候，需要使用ACL匹配源IP地址+目的IP地址

内网之间的流量的访问时不允许的

解决方式：

Ip access-list ex  100

Deny ip  192.168.10.0    0.0.0.255    192.168.20.0   0.0.0.255

Ip  nat   source  list + acl (名称)+ pool   + nat地址池 名称 + overload   //  动态

seko