《Cisco地址空间管理-使用NAT和PAT扩展网络.ppt》由会员分享,可在线阅读,更多相关《Cisco地址空间管理-使用NAT和PAT扩展网络.ppt(26页珍藏版)》请在三一文库上搜索。
1、地址空间管理,使用 NAT 和 PAT 扩展网络,网络地址转换,IP 地址是本地地址或全局地址。 本地 IPv4 地址在网络内部可见。 全局 IPv4 地址在网络外部可见。,端口地址转换,转换内部源地址,建立内部本地地址与内部全局地址间的静态转换,RouterX(config)# ip nat inside source static local-ip global-ip,将该接口标记为连接内部网络的接口,RouterX(config-if)# ip nat inside,将该接口标记为连接外部网络的接口,RouterX(config-if)# ip nat outside,显示活动的转换,R
2、outerX# show ip nat translations,配置和检验静态转换,启用静态 NAT 地址映射示例,RouterX# show ip nat translations Pro Inside global Inside local Outside local Outside global - 192.168.1.2 10.1.1.2 - -,interface s0 ip address 192.168.1.1 255.255.255.0 ip nat outside ! interface e0 ip address 10.1.1.1 255.255.255.0 ip nat
3、 inside ! ip nat inside source static 10.1.1.2 192.168.1.2,建立动态源转换,指定上一步定义的 ACL,RouterX(config)# ip nat inside source list access-list-number pool name,定义可根据需要进行分配的全局地址池,RouterX(config)# ip nat pool name start-ip end-ip netmask netmask | prefix-length prefix-length,定义允许那些要被转换的内部本地地址的标准 IP ACL,Router
4、X(config)# access-list access-list-number permit source source-wildcard,显示活动的转换,RouterX# show ip nat translations,配置和检验动态转换,动态地址转换示例,RouterX# show ip nat translations Pro Inside global Inside local Outside local Outside global - 172.19.233.209 192.168.1.100 - - - 172.19.233.210 192.168.1.101 - -,过载内
5、部全局地址,配置过载,建立动态源转换,指定上一步定义的 ACL,RouterX(config)# ip nat inside source list access-list-number interface interface overload,定义允许那些要被转换的内部本地地址的标准 IP ACL,RouterX(config)# access-list access-list-number permit source source-wildcard,显示活动的转换,RouterX# show ip nat translations,过载内部全局地址示例,RouterX# show ip n
6、at translations Pro Inside global Inside local Outside local Outside global TCP 172.17.38.1:1050 192.168.3.7:1050 10.1.1.1:23 10.1.1.1:23 TCP 172.17.38.1:1776 192.168.4.12:1776 10.2.2.2:25 10.2.2.2:25,hostname RouterX ! interface Ethernet0 ip address 192.168.3.1 255.255.255.0 ip nat inside ! interfa
7、ce Ethernet1 ip address 192.168.4.1 255.255.255.0 ip nat inside ! interface Serial0 description To ISP ip address 172.17.38.1 255.255.255.0 ip nat outside ! ip nat inside source list 1 interface Serial0 overload ! ip route 0.0.0.0 0.0.0.0 Serial0 ! access-list 1 permit 192.168.3.0 0.0.0.255 access-l
8、ist 1 permit 192.168.4.0 0.0.0.255 !,清除包含内部转换或同时包含内部转换与外部转换的简单动态转换条目,RouterX# clear ip nat translation inside global-ip local-ip outside local-ip global-ip,清除所有动态地址转换条目,RouterX# clear ip nat translation *,清除包含外部转换的简单动态转换条目,RouterX# clear ip nat translation outside local-ip global-ip,清除扩展动态转换条目(PAT 条
9、目),RouterX# clear ip nat translation protocol inside global-ip global-port local-ip local-port outside local-ip local-port global-ip global-port,清除 NAT 转换表,未执行转换: 转换表中没有包含转换,检验: 不存在拒绝数据包进入 NAT 路由器的入站 ACL NAT 命令所引用的 ACL 是否允许所有必需的网络 NAT 池中是否有足够的地址 路由器接口是否被正确定义为 NAT 内部接口或 NAT 外部接口,RouterX# show ip nat
10、statistics Total active translations:1 (1 static, 0 dynamic; 0 extended) Outside interfaces: Ethernet0, Serial2 Inside interfaces: Ethernet1 Hits:5 Misses: 0 ,用 show 和 debug 命令显示信息,RouterX# debug ip nat NAT:s=192.168.1.95-172.31.233.209, d=172.31.2.132 6825 NAT:s=172.31.2.132, d=172.31.233.209-192.1
11、68.1.95 21852 NAT:s=192.168.1.95-172.31.233.209, d=172.31.1.161 6826 NAT*:s=172.31.1.161, d=172.31.233.209-192.168.1.95 23311 NAT*:s=192.168.1.95-172.31.233.209, d=172.31.1.161 6827 NAT*:s=192.168.1.95-172.31.233.209, d=172.31.1.161 6828 NAT*:s=172.31.1.161, d=172.31.233.209-192.168.1.95 23312 NAT*:
12、s=172.31.1.161, d=172.31.233.209-192.168.1.95 23313,检验: 应该完成什么样的 NAT 配置 NAT 条目是否准确地存在于转换表中 实际上是否由监控 NAT 过程或统计信息引起转换 如果数据包从内部传向外部,那么 NAT 路由器的路由表中是否存在正确的路由 所有必需的路由器是否有回到转换后地址的返回路由,执行转换:已添加的未使用转换条目,问题示例:无法 Ping 通 远程主机,问题示例:无法 Ping 通 远程主机(续),转换表中无任何转换。,RouterA# show ip nat translations Pro Inside global
13、 Inside local Outside local Outside global - - - - - -,问题示例:无法 Ping 通 远程主机(续),路由器接口错误地定义成了 NAT 内部接口或 NAT 外部接口。,RouterA# show ip nat statistics Total active translations:0 (0 static, 0 dynamic; 0 extended) Outside interfaces: Ethernet0 Inside interfaces: Serial0 Hits:0 Misses: 0 ,问题示例:无法 Ping 通 远程主机(
14、续),Ping 仍然失败,转换表中仍没有转换。 在要定义哪些地址要转换的 ACL 中包含错误的通配符位掩码。,RouterA# show access-list Standard IP access list 20 10 permit 0.0.0.0, wildcard bits 255.255.255.0,问题示例:无法 Ping 通 远程主机(续),转换现在可以执行。 Ping 仍然失败。,RouterA# show ip nat translations Pro Inside global Inside local Outside local Outside global - 172.1
15、6.17.20 192.168.1.2 - -,问题示例:无法 Ping 通 远程主机(续),路由器 B 上没有到转换后的网络地址 172.16.0.0 的路由。,RouterB# sh ip route Codes:C - connected, S - static, R - RIP, M - mobile, B - BGP Gateway of last resort is not set 10.0.0.0/24 is subnetted, 1 subnets C 10.1.1.0/24 is directly connected, Serial0 192.168.2.0/24 is su
16、bnetted, 1 subnets R 192.168.2.0/24 is directly connected, Ethernet0 192.168.1.0/24 is variably subnetted, 3 subnets, 3 masks R 192.168.1.0/24 120/1 via 10.1.1.1, 2d19h, Serial0,问题示例:无法 Ping 通 远程主机(续),路由器 A 通告了要被转换的网络 192.168.1.0, 但没有通告路由器要被转换到的网络地址 172.16.0.0。,RouterA# sh ip protocol Routing Protoc
17、ol is “rip“ Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Sending updates every 30 seconds, next due in 0 seconds Invalid after 180 seconds, hold down 180, flushed after 240 Redistributing:rip Default version control:send version
18、1, receive any version Automatic network summarization is in effect Maximum path: 4 Routing for Networks: 192.168.0.0 10.0.0.0 Routing Information Sources: Gateway Distance Last Update Distance:(default is 120),解决方案:正确的配置,可视目标 7-1: 配置 NAT 与 PAT,WG 路由器 s0/0/0 路由器 fa0/0 交换机 A 10.140.1.2 10.2.2.3 10.2.
19、2.11 B 10.140.2.2 10.3.3.3 10.3.3.11 C 10.140.3.2 10.4.4.3 10.4.4.11 D 10.140.4.2 10.5.5.3 10.5.5.11 E 10.140.5.2 10.6.6.3 10.6.6.11 F 10.140.6.2 10.7.7.3 10.7.7.11 G 10.140.7.2 10.8.8.3 10.8.8.11 H 10.140.8.2 10.9.9.3 10.9.9.11,总结,有三类 NAT:静态、动态和过载 (PAT)。 静态 NAT 是一对一的地址映射。动态 NAT 地址是从地址池中挑选的。 NAT 过载 (PAT) 允许将许多内部地址映射到一个外部地址。 使用 show ip nat translation 命令显示转换表,并检验是否发生转换。 要确定是否在使用当前转换条目,使用 show ip nat statistics 命令检查使用次数计数器。,