房智勇CCIE SP 笔记

stevetntbomb
0 ℃
2019-09-30

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

CCIER/S&ServiceProviderExamCertificationGuidePage|174Chapter11NAT网络地址转换11．1NAT简介NAT的优点和缺点：优点：节省IP地址，能够处理地址重复的情况，增加了灵活性，消除了地址重新编号，隐藏了内部的IP地址。缺点：增加了延迟，丢失了端到端IP的跟踪过程，不能够支持一些特定的应用程序（如MSN5.0以下版本），需要更多的内存来储存一个NAT表，需要更多的CPU来进行处理NAT的过程。NAT的概念：INSTDE（内部看）和OUTSIDE（外部看）。本地和全局。NAT的原理转换内部的源地址，转换外部的源地址，PAT，解决地址重叠的问题。地址分类1．IL内部本地，地址不对外公布2．IG内部全局，外部可以知道内部设备3．OG外部全局，分布给外部设备的地址，不会向内部公布4．OL外部本地，通过这个地址，内部设备可以知道外部设备NAT在cisco路由器中采用NAT地址翻译表进行地址映射NATrouter#showipnattranslationsProInsideglobalinsidelocalOutsidelocalOutsideglobal---203.10.5.23192.168.2.23172.16.80.91192.31.7.130---203.10.5.23192.168.2.23---------------172.16.80.91192.31.7.130NATrouter#地址翻译表在一个条目刚加入时，启动一个定时器，如果超时，则去掉该条目，默认时间为86400s（24h）通过ipnattranslationtimeout可以修改CCIER/S&ServiceProviderExamCertificationGuidePage|17511．2NAT和ISP迁移ISP变迁时通过NAT可以极少的变动内部网络的情况下，进行ISP的迁移。11．3多AS系统中使用NAT在没有NAT以前，需要在ISP通告的BGP路由条目中打洞CCIER/S&ServiceProviderExamCertificationGuidePage|176使用NAT后，可以采用将一个ISP的地址段NAT到另一个ISP的地址段或者使用RFC1918保留地址，然后在2个ISP的边界路由器上，同时做NAT但这种方式只限于小规模网络，很多路由器不支持NAT的线速发包，所以在较多主机的时候，会产生很大的delay11．4PATCisco将多个ip映射到一个ip上可以通过PAT将其映射到不同的端口CCIER/S&ServiceProviderExamCertificationGuidePage|17711．5NAT实现虚拟服务器NATandVirtualServer11．6NAT实现负载均衡NATandTCPLoadDistribution11．7NAT的一些不足由于NAT对IP和TCP信头的综合处理，使得一些服务在使用上会出现异常1．信头的checksum需要重新计算2．IPSec等加密服务由于不能让NAT修改Ip报头，所以会工作异常3．ICMP报文被修改4．DNS解析时需要静态的NAT5．FTP需要服务器打开被动模式，并采用PASV传送文件CCIER/S&ServiceProviderExamCertificationGuidePage|17811．8配置NAT11.8.1静态NAT在E0口上启用ipnatinside将其定义为内部端口在S1.705上启用ipnatoutside将其定义为外部端口通过ipnatsourcestatic定义静态的地址映射MazatianConfiginterfaceEthernet0ipaddress10.1.1.1255.255.255.0ipnatinside!interfaceSerial1encapsulationframe-relay!interfaceSerial1.705point-to-pointipaddress199.100.35.254255.255.255.252ipnatoutsideframe-relayinterface-dlci705!routerospf100network10.1.1.10.0.0.0area0default-informationoriginate!ipnatinsidesourcestatic10.1.2.2204.15.87.2ipnatinsidesourcestatic10.1.1.3204.15.87.1!iproute0.0.0.00.0.0.0199.100.35.253Mazatlan#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal---204.15.87.210.1.2.2---------204.15.87.110.1.1.3------CCIER/S&ServiceProviderExamCertificationGuidePage|179ipnatoutsidesourcestatic201.114.37.510.1.3.1将主机D配置外部NAT，使其看上去像内部网的一部分Mazatlan#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal---204.15.87.210.1.2.2---------204.15.87.110.1.1.3---------------10.1.3.1201.114.37.5此后内部地址将自动映射到外部地址Mazatlan#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal---204.15.87.210.1.2.2---------204.15.87.110.1.1.3---------------10.1.3.1201.114.37.5---204.15.87.110.1.1.310.1.3.1201.114.37.5---204.15.87.210.1.2.210.1.3.1201.114.37.5为了让内部主机只能通过OL地址访问，可以做如下的访问控制过滤interfaceEthernet0ipaddress10.1.1.1255.255.255.0ipaccess-group101inipnatinside!interfaceSerial1noipaddressencapsulationframe-relay!interfaceSerial1.705point-to-pointipaddress199.100.35.254255.255.255.252ipnatoutsideframe-relayinterface-dlci705!routerospf100network10.1.1.10.0.0.0area0default-informationoriginate!ipnatinsidesourcestatic10.1.1.3204.15.87.1ipnatinsidesourcestatic10.1.2.2204.15.87.2ipnatoutsidesourcestatic201.114.37.510.1.3.1!iproute0.0.0.00.0.0.0199.100.35.253!access-list101permitipanyhost10.1.3.1CCIER/S&ServiceProviderExamCertificationGuidePage|180DNS1为内部授权DNS，DNS2为外部授权DNSipnatinsidesourcestatic10.1.1.3204.15.87.1ipnatinsidesourcestatic10.1.2.2204.15.87.2ipnatinsidesourcestatic10.1.1.4204.15.87.3ipnatinsidesourcestatic10.1.1.254204.15.87.254ipnatoutsidesourcestatic201.114.37.510.1.3.1ipnatoutsidesourcestatic201.50.34.110.1.3.211.8.2动态NATinterfaceEthernet0ipaddress10.1.1.1255.255.255.0ipnatinside!CCIER/S&ServiceProviderExamCertificationGuidePage|181interfaceSerial1noipaddressencapsulationframe-relay!interfaceSerial1.705point-to-pointipaddress199.100.35.254255.255.255.252ipnatoutsideframe-relayinterface-dlci705!routerospf100network10.1.1.10.0.0.0area0default-informationoriginate!ipnatpoolPoolOne204.15.86.1204.15.86.254netmask255.255.255.0ipnatpoolPoolTwo204.15.87.1204.15.87.253prefix-length24ipnatinsidesourcelist1poolPoolOneipnatinsidesourcelist2poolPoolTwoipnatinsidesourcestatic10.1.1.254204.15.87.254!iproute0.0.0.00.0.0.0199.100.35.253!access-list1permit10.1.1.00.0.0.255access-list2permit10.1.2.00.0.0.255可以在地址池中加入typemtch-host参数，以匹配主机如果存在较多的IL地址共享IG地址，则可以减小translation计时器，防止地址不够分Ipnattranslationtimeout0Showipnattranslationverbose可以查看因超时被清除的路由信息11.8.3网络合并由于公司合并等原因，2个网络将合并在一起，此时可能产生地址冲突，可以采用NAT解决地址冲突问题在两个网络的边界路由器上采用NATCCIER/S&ServiceProviderExamCertificationGuidePage|182CozumelinterfaceEthernet0ipaddress10.100.85.1255.255.255.0ipnatinside!interfaceEthernet1ipaddress10.255.13.254255.255.255.248ipnatoutside!routerospf1redistributestaticnetwork10.100.85.10.0.0.0area18!ipnatpoolSurf206.100.176.2206.100.191.254prefix-length20ipnatinsidesourcelist1poolSurfipnatinsidesourcestatic10.100.50.1206.100.176.1!iproute206.100.160.0255.255.240.010.255.13.253!access-list1deny10.255.13.254access-list1permitanyGuaymasinterfaceEthernet0ipaddress10.16.95.1255.255.255.0ipnatinside!interfaceEthernet1ipaddress10.255