《Cisco地址空间管理使用NAT和PAT扩展网络.ppt》由会员分享,可在线阅读,更多相关《Cisco地址空间管理使用NAT和PAT扩展网络.ppt(26页珍藏版)》请在三一办公上搜索。
1、地址空间管理,使用 NAT 和 PAT 扩展网络,网络地址转换,IP 地址是本地地址或全局地址。本地 IPv4 地址在网络内部可见。全局 IPv4 地址在网络外部可见。,端口地址转换,转换内部源地址,建立内部本地地址与内部全局地址间的静态转换,RouterX(config)#ip nat inside source static local-ip global-ip,将该接口标记为连接内部网络的接口,RouterX(config-if)#ip nat inside,将该接口标记为连接外部网络的接口,RouterX(config-if)#ip nat outside,显示活动的转换,Router
2、X#show ip nat translations,配置和检验静态转换,启用静态 NAT 地址映射示例,RouterX#show ip nat translations Pro Inside global Inside local Outside local Outside global-192.168.1.2 10.1.1.2-,interface s0ip address 192.168.1.1 255.255.255.0ip nat outside!interface e0ip address 10.1.1.1 255.255.255.0ip nat inside!ip nat ins
3、ide source static 10.1.1.2 192.168.1.2,建立动态源转换,指定上一步定义的 ACL,RouterX(config)#ip nat inside source listaccess-list-number pool name,定义可根据需要进行分配的全局地址池,RouterX(config)#ip nat pool name start-ip end-ipnetmask netmask|prefix-length prefix-length,定义允许那些要被转换的内部本地地址的标准 IP ACL,RouterX(config)#access-list acce
4、ss-list-number permitsource source-wildcard,显示活动的转换,RouterX#show ip nat translations,配置和检验动态转换,动态地址转换示例,RouterX#show ip nat translations Pro Inside global Inside local Outside local Outside global-172.19.233.209 192.168.1.100-172.19.233.210 192.168.1.101-,过载内部全局地址,配置过载,建立动态源转换,指定上一步定义的 ACL,RouterX(c
5、onfig)#ip nat inside source listaccess-list-number interface interface overload,定义允许那些要被转换的内部本地地址的标准 IP ACL,RouterX(config)#access-list access-list-number permitsource source-wildcard,显示活动的转换,RouterX#show ip nat translations,过载内部全局地址示例,RouterX#show ip nat translations Pro Inside global Inside local
6、Outside local Outside global TCP 172.17.38.1:1050 192.168.3.7:1050 10.1.1.1:23 10.1.1.1:23TCP 172.17.38.1:1776 192.168.4.12:1776 10.2.2.2:25 10.2.2.2:25,hostname RouterX!interface Ethernet0ip address 192.168.3.1 255.255.255.0ip nat inside!interface Ethernet1ip address 192.168.4.1 255.255.255.0ip nat
7、 inside!interface Serial0description To ISPip address 172.17.38.1 255.255.255.0ip nat outside!ip nat inside source list 1 interface Serial0 overload!ip route 0.0.0.0 0.0.0.0 Serial0!access-list 1 permit 192.168.3.0 0.0.0.255access-list 1 permit 192.168.4.0 0.0.0.255!,清除包含内部转换或同时包含内部转换与外部转换的简单动态转换条目,
8、RouterX#clear ip nat translation inside global-iplocal-ip outside local-ip global-ip,清除所有动态地址转换条目,RouterX#clear ip nat translation*,清除包含外部转换的简单动态转换条目,RouterX#clear ip nat translation outsidelocal-ip global-ip,清除扩展动态转换条目(PAT 条目),RouterX#clear ip nat translation protocol inside global-ipglobal-port lo
9、cal-ip local-port outside local-iplocal-port global-ip global-port,清除 NAT 转换表,未执行转换:转换表中没有包含转换,检验:不存在拒绝数据包进入 NAT 路由器的入站 ACLNAT 命令所引用的 ACL 是否允许所有必需的网络NAT 池中是否有足够的地址路由器接口是否被正确定义为 NAT 内部接口或 NAT 外部接口,RouterX#show ip nat statistics Total active translations:1(1 static,0 dynamic;0 extended)Outside interfa
10、ces:Ethernet0,Serial2 Inside interfaces:Ethernet1 Hits:5 Misses:0,用 show 和 debug 命令显示信息,RouterX#debug ip nat NAT:s=192.168.1.95-172.31.233.209,d=172.31.2.132 6825NAT:s=172.31.2.132,d=172.31.233.209-192.168.1.95 21852 NAT:s=192.168.1.95-172.31.233.209,d=172.31.1.161 6826 NAT*:s=172.31.1.161,d=172.31.
11、233.209-192.168.1.95 23311 NAT*:s=192.168.1.95-172.31.233.209,d=172.31.1.161 6827 NAT*:s=192.168.1.95-172.31.233.209,d=172.31.1.161 6828 NAT*:s=172.31.1.161,d=172.31.233.209-192.168.1.95 23312 NAT*:s=172.31.1.161,d=172.31.233.209-192.168.1.95 23313,检验:应该完成什么样的 NAT 配置NAT 条目是否准确地存在于转换表中实际上是否由监控 NAT 过程
12、或统计信息引起转换如果数据包从内部传向外部,那么 NAT 路由器的路由表中是否存在正确的路由所有必需的路由器是否有回到转换后地址的返回路由,执行转换:已添加的未使用转换条目,问题示例:无法 Ping 通远程主机,问题示例:无法 Ping 通远程主机(续),转换表中无任何转换。,RouterA#show ip nat translations Pro Inside global Inside local Outside local Outside global-,问题示例:无法 Ping 通远程主机(续),路由器接口错误地定义成了 NAT 内部接口或 NAT 外部接口。,RouterA#show
13、 ip nat statistics Total active translations:0(0 static,0 dynamic;0 extended)Outside interfaces:Ethernet0 Inside interfaces:Serial0 Hits:0 Misses:0,问题示例:无法 Ping 通远程主机(续),Ping 仍然失败,转换表中仍没有转换。在要定义哪些地址要转换的 ACL 中包含错误的通配符位掩码。,RouterA#show access-listStandard IP access list 20 10 permit 0.0.0.0,wildcard b
14、its 255.255.255.0,问题示例:无法 Ping 通远程主机(续),转换现在可以执行。Ping 仍然失败。,RouterA#show ip nat translations Pro Inside global Inside local Outside local Outside global-172.16.17.20 192.168.1.2-,问题示例:无法 Ping 通远程主机(续),路由器 B 上没有到转换后的网络地址 172.16.0.0 的路由。,RouterB#sh ip routeCodes:C-connected,S-static,R-RIP,M-mobile,B-B
15、GP Gateway of last resort is not set 10.0.0.0/24 is subnetted,1 subnetsC 10.1.1.0/24 is directly connected,Serial0 192.168.2.0/24 is subnetted,1 subnetsR 192.168.2.0/24 is directly connected,Ethernet0 192.168.1.0/24 is variably subnetted,3 subnets,3 masksR 192.168.1.0/24 120/1 via 10.1.1.1,2d19h,Ser
16、ial0,问题示例:无法 Ping 通远程主机(续),路由器 A 通告了要被转换的网络 192.168.1.0,但没有通告路由器要被转换到的网络地址 172.16.0.0。,RouterA#sh ip protocolRouting Protocol is ripOutgoing update filter list for all interfaces is not setIncoming update filter list for all interfaces is not setSending updates every 30 seconds,next due in 0 seconds
17、Invalid after 180 seconds,hold down 180,flushed after 240Redistributing:ripDefault version control:send version 1,receive any versionAutomatic network summarization is in effectMaximum path:4Routing for Networks:192.168.0.0 10.0.0.0Routing Information Sources:Gateway Distance Last UpdateDistance:(de
18、fault is 120),解决方案:正确的配置,可视目标 7-1:配置 NAT 与 PAT,WG路由器 s0/0/0 路由器 fa0/0 交换机 A10.140.1.210.2.2.310.2.2.11 B10.140.2.2 10.3.3.310.3.3.11 C10.140.3.210.4.4.310.4.4.11 D10.140.4.210.5.5.310.5.5.11 E10.140.5.210.6.6.310.6.6.11 F10.140.6.210.7.7.310.7.7.11 G10.140.7.210.8.8.310.8.8.11 H10.140.8.210.9.9.310.9.9.11,总结,有三类 NAT:静态、动态和过载(PAT)。静态 NAT 是一对一的地址映射。动态 NAT 地址是从地址池中挑选的。NAT 过载(PAT)允许将许多内部地址映射到一个外部地址。使用 show ip nat translation 命令显示转换表,并检验是否发生转换。要确定是否在使用当前转换条目,使用 show ip nat statistics 命令检查使用次数计数器。,
