《RCCP08+局域网与Internet网互联.ppt》由会员分享,可在线阅读,更多相关《RCCP08+局域网与Internet网互联.ppt(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第8章章 局域网与局域网与Internet互联互联锐捷认证资深网络调试工程师锐捷认证资深网络调试工程师RCCPRCCP本章内容局域网与Internet互联概述NAT的工作原理NAT/NAPT的配置NAT的监视和维护NAT的注意事项课程议题局域网与Internet互联概述NAT的工作原理NAT/NAPT的配置NAT的监视和维护NAT的注意事项局域网与Internet的互联常见实现方式代理服务器代理服务器l lproxyproxy、ISAISA、ICSICS、wingatewingate、sysgatesysgate等等NAT/NAPT(NAT/NAPT(网络地址转换网络地址转换/网络地址端口转
2、换网络地址端口转换)l l路由器、防火墙、核心交换机、服务器路由器、防火墙、核心交换机、服务器NAT/NAPT带来的好处解决解决IPv4IPv4地址空间不足的问题;地址空间不足的问题;私有私有IPIP地址网络与公网互联;地址网络与公网互联;l l10.0.0.0/810.0.0.0/8,172.16.0.0/12172.16.0.0/12,192.168.0.0/16192.168.0.0/16非注册非注册IPIP地址网络与公网互联;地址网络与公网互联;l l建网时分配了全局建网时分配了全局IPIP地址但没注册地址但没注册网络改造中,避免更改地址带来的风险;网络改造中,避免更改地址带来的风险;
3、课程议题局域网与Internet互联概述NAT的工作原理NAT/NAPT的配置NAT的监视和维护NAT的注意事项什么是NAT/NAPTNATNAT就是将网络地址从一个地址空间转换到另外一个地就是将网络地址从一个地址空间转换到另外一个地址空间的一址空间的一个行为。个行为。NATNAT的类型的类型l lNATNAT(Network Address TranslationNetwork Address Translation)转换后,一个本地IP地址对应一个全局IP地址l lNAPT NAPT(Network Address Port TranslationNetwork Address Port
4、Translation)转换后,多个本地地址对应一个全局IP地址NAT/NAPT的术语内部网络内部网络 InsideInside外部网络外部网络 OutsideOutside内部本地地址内部本地地址Inside Local AddressInside Local Address内部全局地址内部全局地址Inside Global AddressInside Global Address外部本地地址外部本地地址Outside Local AddressOutside Local Address外部全局地址外部全局地址Outside Global AddressOutside Global Addr
5、ess互联网OutsideInside企业内部网外部网NAT工作原理200.8.7.3/24200.8.7.4/2463.5.8.1192.168.1.5192.168.1.7源源IP:192.168.1.7 目的目的IP:63.5.8.1内部本地地址内部本地地址内部全局地址内部全局地址192.168.1.7192.168.1.7200.8.7.3200.8.7.3192.168.1.5192.168.1.5200.8.7.4200.8.7.4 源源IP:200.8.7.3 目的目的IP:63.5.8.1 源源IP:63.5.8.1 目的目的IP:200.8.7.3 源源IP:63.5.8.1
6、 目的目的IP:192.168.1.7NAPT工作原理200.8.7.3/2463.5.8.1192.168.1.5192.168.1.7源源IP:192.168.1.7:1024 目的目的IP:63.5.8.1:80内部本地地址:端口内部本地地址:端口内部全局地址内部全局地址:端口端口外部全局地址外部全局地址:端口端口192.168.1.7:1024192.168.1.7:1024200.8.7.3:1024200.8.7.3:102463.5.8.163.5.8.1:8080192.168.1.5:1136192.168.1.5:1136200.8.7.3:1136200.8.7.3:11
7、3663.5.8.163.5.8.1:8080 源源IP:200.8.7.3:1023 目的目的IP:63.5.8.1:80 源源IP:63.5.8.1:80 目的目的IP:200.8.7.3:1024 源源IP:63.5.8.1:80 目的目的IP:192.168.1.7:1024Web服务服务什么时候使用NAPT缺乏全局缺乏全局IPIP地址地址甚至没有专门申请的全局甚至没有专门申请的全局IPIP地址,只有一个连接地址,只有一个连接ISPISP的全局的全局IPIP地址地址内部网要求上网的主机数很多内部网要求上网的主机数很多提高内网的安全性提高内网的安全性课程议题局域网与Internet互联概
8、述NAT的工作原理NAT/NAPT的配置NAT的监视和维护NAT的注意事项NAT/NAPT的配置NAT/NAPTNAT/NAPT的配置有两种的配置有两种l l静态静态NAT/NAPTNAT/NAPTl l动态动态NAT/NAPTNAT/NAPT静态静态NAT/NAPTNAT/NAPTl l需要向外网络提供信息服务的主机需要向外网络提供信息服务的主机l l永久的一对一永久的一对一IPIP地址映射关系地址映射关系动态动态NAT/NAPTNAT/NAPTl l只访问外网服务,不提供信息服务的主机只访问外网服务,不提供信息服务的主机l l内部主机数可以大于全局内部主机数可以大于全局IPIP地址数地址数
9、l l最多访问外网主机数决定于全局最多访问外网主机数决定于全局IPIP地址数地址数l l临时的一对一临时的一对一IPIP地址映射关系地址映射关系静态NAT1 1、定义内网接口和外网接口、定义内网接口和外网接口l lRouter(config)#interfaceRouter(config)#interface fastethernetfastethernet 0 0l lRouter(config-if)#ipRouter(config-if)#ip natnat outside outsidel lRouter(config)#interfaceRouter(config)#interfac
10、e fastethernetfastethernet 1 1l lRouter(config-if)#ipRouter(config-if)#ip natnat inside inside2 2、建立静态的映射关系、建立静态的映射关系l lRouter(config)#ipRouter(config)#ip natnat inside source static 192.168.1.7 inside source static 192.168.1.7 200.8.7.3200.8.7.3静态NAPT1 1、定义内网接口和外网接口、定义内网接口和外网接口l lRouter(config)#int
11、erfaceRouter(config)#interface fastethernetfastethernet 0 0l lRouter(config-if)#ipRouter(config-if)#ip natnat outside outsidel lRouter(config)#interfaceRouter(config)#interface fastethernetfastethernet 1 1l lRouter(config-if)#ipRouter(config-if)#ip natnat inside inside2 2、建立静态的映射关系、建立静态的映射关系l lRoute
12、r(config)#ipRouter(config)#ip natnat inside source static inside source static tcptcp 192.168.1.7 1024 200.8.7.3 1024 192.168.1.7 1024 200.8.7.3 1024l lRouter(config)#ipRouter(config)#ip natnat inside source static inside source static udpudp 192.168.1.7 1024 200.8.7.3 1024192.168.1.7 1024 200.8.7.3
13、 1024动态NAT配置1 1、定义内网接口和外网接口、定义内网接口和外网接口l lRouter(config-if)#ipRouter(config-if)#ip natnat outside outsidel lRouter(config-if)#ipRouter(config-if)#ip natnat inside inside2 2、定义内部本地地址范围、定义内部本地地址范围l lRouter(config)#accessRouter(config)#access-list 10 permit 192.168.1.0-list 10 permit 192.168.1.0 0.0.0.
14、2550.0.0.2553 3、定义内部全局地址池、定义内部全局地址池l lRouter(config)#ipRouter(config)#ip natnat pool pool abcabc 200.8.7.3 200.8.7.10 200.8.7.3 200.8.7.10 netmasknetmask 255.255.255.0 255.255.255.04 4、建立映射关系、建立映射关系l lRouter(config)#ipRouter(config)#ip natnat inside source list 10 pool inside source list 10 pool abc
15、abc动态NAPT配置1 1、定义内网接口和外网接口、定义内网接口和外网接口l lRouter(config-if)#ipRouter(config-if)#ip natnat outside outsidel lRouter(config-if)#ipRouter(config-if)#ip natnat inside inside2 2、定义内部本地地址范围、定义内部本地地址范围l lRouter(config)#accessRouter(config)#access-list 10 permit 192.168.1.0-list 10 permit 192.168.1.0 0.0.0.2
16、550.0.0.2553 3、定义内部全局地址池、定义内部全局地址池l lRouter(config)#ipRouter(config)#ip natnat pool pool abcabc 200.8.7.3 200.8.7.3 200.8.7.3200.8.7.3 netmasknetmask 255.255.255.0 255.255.255.04 4、建立映射关系、建立映射关系l lRouter(config)#ipRouter(config)#ip natnat inside source list 10 pool inside source list 10 pool abcabc
17、overloadoverload课程议题局域网与Internet互联概述NAT的工作原理NAT/NAPT的配置NAT的监视和维护NAT的注意事项NAT/NAPT的监视和维护命令显示命令显示命令l lshow show ipip natnat statistics statistics 显示翻译统计显示翻译统计l lshow show ipip natnat translations verbose translations verbose 显示活动翻译显示活动翻译清除状态命令清除状态命令l lclear clear ipip natnat translation*translation*从NA
18、T转换表中清除所有动态地址转换项l lclear clear ipip natnat translation inside translation inside local-address global-local-address global-addressaddress 清除一个包含指定内部翻译的转换项更多的命令用 clear ip nat?地址重叠问题当一个内部本地地址与所想连接的外部地址相同时,就当一个内部本地地址与所想连接的外部地址相同时,就发生了地址重叠。发生了地址重叠。200.8.7.3/内部本地地址内部本地地址内部全局地址内部全局地址外部全局地址外部全局地址外部本地地址外部本地
19、地址63.5.8.363.5.8.3200.8.7.3200.8.7.363.5.8.363.5.8.310.5.5.310.5.5.3地址重叠(1)(1)局域网主机访问服务器,发出局域网主机访问服务器,发出DNSDNS域名查询域名查询(2)DNS(2)DNS服务器有回应,把服务器服务器有回应,把服务器IP63.5.8.3IP63.5.8.3返回。路由返回。路由器截取器截取DNSDNS应答报文,并从外部本地地址池中选择一个外应答报文,并从外部本地地址池中选择一个外部本地地址代替源地址,此处是将源地址部本地地址代替源地址,此处是将源地址63.5.8.363.5.8.3替换为替换为10.5.5.3
20、10.5.5.3。(3)(3)路由器建立地址转换映射表,内部本地地址和内部全路由器建立地址转换映射表,内部本地地址和内部全局地址互相映射,外部全局地址和外部本地地址互相映射。局地址互相映射,外部全局地址和外部本地地址互相映射。(4)(4)局域网主机向服务器发送的报文,目的局域网主机向服务器发送的报文,目的I PI P地址就是外地址就是外部本地地址部本地地址10.5.5.310.5.5.3。(5)(5)而当路由器收到目的为外部本地地址的报文时,就把而当路由器收到目的为外部本地地址的报文时,就把本地地址转换为全局地址。本地地址转换为全局地址。(6)(6)服务器接收数据包并继续会话。服务器接收数据包
21、并继续会话。地址重叠的配置Router(config)#ipRouter(config)#ip natnat pool pool to_internetto_internet 200.8.7.3 200.8.7.3 200.8.7.3200.8.7.3 netmasknetmask 255.255.255.0 255.255.255.0Router(config)#accessRouter(config)#access-list 10 permit 63.5.8.0-list 10 permit 63.5.8.0 0.0.0.2550.0.0.255Router(config)#ipRoute
22、r(config)#ip natnat inside source list 10 pool inside source list 10 pool to_internetto_internet overload overloadRouter(config)#ipRouter(config)#ip natnat pool pool out_addout_add 10.1.1.1 10.1.1.1 10.1.1.10 10.1.1.10 netmasknetmask 255.255.255.0 255.255.255.0Router(config)#ipRouter(config)#ip natn
23、at outside source list 10 pool outside source list 10 pool out_addout_addTCP负载分担200.8.7.3/24200.8.7.3/24192.168.1.1/24192.168.1.1/24192.168.1.2/24192.168.1.2/24192.168.1.3/24192.168.1.3/24WEBWEB服务器群服务器群服务器群服务器群TCP负载分担的配置Router(config)#ipRouter(config)#ip natnat pool pool web_serweb_ser 192.168.1.1 1
24、92.168.1.1 192.168.1.3 192.168.1.3 netmasknetmask 255.255.255.0 255.255.255.0Router(config)#accessRouter(config)#access-list 10 permit host-list 10 permit host 200.8.7.3200.8.7.3Router(config)#ipRouter(config)#ip natnat inside destination list 10 inside destination list 10 pool pool web_serweb_ser课程
25、议题局域网与Internet互联概述NAT的工作原理NAT/NAPT的配置NAT的监视和维护NAT的注意事项NAT/NAPT带来的限制限制限制l l影响网络性能影响网络性能l l不能处理不能处理IPIP报头加密的报文;报头加密的报文;l l无法实现端到端的路径跟踪(无法实现端到端的路径跟踪(traceroutetraceroute)l l某些应用可能支持不了:内嵌某些应用可能支持不了:内嵌IPIP地址地址内嵌内嵌IPIP地址的应用有:地址的应用有:l lFTPFTPl lDNSDNSl lNetMeetingNetMeetingl lH.323,VoIPH.323,VoIPl l其它自编应用其它自编应用NAT与应用的兼容性问题,详见RFC 3027课程回顾局域网与Internet互联概述NAT的工作原理NAT/NAPT的配置NAT的监视和维护NAT的注意事项