ACL与NAT技术专题与策略路由

NAT技术及应用ACL与NAT技术专题三本章目标●了解地址转换（NAT）的作用和工作原理●了解各种NAT术语●理解NAT的各种应用：转换内部LAN地址、复用内部地址、负载均衡和处理地址交叉●掌握NAT的配置和排错中小型企业网络拓扑结构网络地址转换概述●地址转换的提出背景合法的IP地址资源日益短缺一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用；作为一种安全手段使用。地址转换可以在局域网内部提供给外部FTP、、Telnet服务，实现TCP负载均衡功能。●NAT简介NATNetworkAddressTranslation是指将网络地址从一个地址空间转换为另一个地址空间的行为；一种把内部私有网络地址翻译成合法IP地址的技术。●NAT的原理改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换NAT将网络划分为内部网络（inside）和外部网络（outside）公有地址：统一分配保证全球唯一私有地址：在内部网络内自行分配，内部唯一●NAT的应用对NAT的连接支持有限NAT功能通常被集成到路由器、防火墙网络地址转换概述InternetLANinsideoutsideF0/0S0/0NAT技术的表述词汇●NAT技术中包括几个关键技术术语:Inside、Outside、Local、GlobalInternet192.168.100.3192.168.100.2155.34.2.3外部主机inside●内部局部地址：指分配给内网上主机的IP地址。●内部全局地址：分配给内部主机以用于NAT处理的地址。●外部局部址址：外部主机呈现在内网中的地址，私有地址●外部全局地址：分配给外部网络上主机的IP地址。外部主机的真实地址●内网访问外网的internet环境动态NATPAT技术●外网访问内网的server环境静态NATNAT的应用场景及实现方式NAT的设置方法：(StaticNAT）案例●1、静态地址转换原理静态NAT是建立内部本地地址与内部合法地址进行一对一永久映射。●2、静态地址转换原理适用的环境外部网络需要通定固定的全局路由地址访问内部主机、服务器，为外部用户提供的服务功能。●3、静态地址转换工作流程●4、静态地址转换基本配置步骤：1、接口IP地址配置2、指定连接网络的内部端口在端口设置状态下输入：Ipnatinside3、指定连接外部网络的外部端口在端口设置状态下输入：Ipnatoutside4、在内部本地地址与内部合法地址之间建立静态地址转换。在全局下：Ipnatinsidesourcestatic内部本地地址内部合法地址注：可以根据实际需要定义多个内部端口及多个外部端口。静态NAT工作流程InternetSA192.168.100.21DA192.168.100.252NAT转换4SA61.159.62.1303192.168.100.161.159.62.129NAT转换表192.168.100.6192.168.100.3192.168.100.2协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP192.168.100.261.159.62.130155.34.2.3TCP192.168.100.361.159.62.131210.3.4.5TCP192.168.100.661.159.62.134210.3.4.5155.34.2.3外部主机210.3.4.5外部主机静态NAT案例InternetNAT外部端口NAT内部端口内部网络192.168.100.2-192.168.100.6/2461.159.62.129192.168.100.1将内部网络地址192.168.100.2-192.168.100.6,转换为合法的外部地址61.159.62.130-61.159.62.134●第一步：设置外部端口地址Router(config)#interfaceserial0/0Router(config-if)#ipaddress61.159.62.129255.255.255.248●第二步：设置内部端口地址Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress192.168.100.1255.255.255.0●第三步：在内部本地和内部合法地址之间建立静态地址转换Router(config)#ipnatinsidesourcestatic192.168.100.261.159.62.130Router(config)#ipnatinsidesourcestatic192.168.100.361.159.62.131ipnatinsidesourestatictcp192.168.10.58068.10.14.280●第四步：在内部和外部端口上启用NATRouter(config)#interfaceserial0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet0/0Router(config-if)#ipnatinside静态NAT案例配置NAT的设置方法：动态地址NAT(Pooled）1、动态地址转换原理：动态地址转换也是将本地地址与内部合法地址一对一的转换，但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。2、动态NAT工作流程3、动态地址转换基本配置步骤：（1）、指定与内部网络相连的内部端口：Ipnatinside（2）、指定与外部网络相连的外部端口：Ipnatoutside（3）、在全局下，定义内部合法地址池Ipnatpool地址池名称起始IP地址终止IP地址子网掩码（4）、在全局下，定义ACL以允许哪些内部地址可以进行动态地址转换。Access-list标号permit源地址通配符（5）、在全局下，将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。Ipnatinsidesourcelist访问列表标号pool内部合法地址池名字案例Internet172.168.100.2SA172.168.100.21DA172.168.100.252NAT转换4SA61.159.62.1303155.34.2.3外部主机210.3.4.5外部主机172.168.100.3172.168.100.6172.168.100.161.159.62.129协议内部用局部IP地址内部用全局IP地址：端口号外部用全局IP地址TCP172.168.100.261.159.62.130155.34.2.3TCP172.168.100.361.159.62.131210.3.4.5TCP172.168.100.661.159.62.134210.3.4.5NAT转换表动态NAT工作流程InternetNAT外部端口NAT内部端口内部网络172.168.100.2-172.168.100.6/2461.159.62.129172.168.100.1将内部网络地址172.168.100.1-172.168.100.254转换为合法的外部地址61.159.62.130-61.159.62.190Internet动态NAT案例动态NAT配置●配置步骤：●第一步：设置外部端口IP地址●第二步：设置内部端口IP地址●第三步：定义内部网络中允许访问外部的访问控制列表●第四步：定义合法IP地址池Router(config)#ipnatpooltest061.159.62.13061.159.62.190network255.255.255.192●第五步：指定网络地址转换映射Router(config)#ipnatinsidesourcelist1pooltest0●第六步：在内部和外部端口上启用NATPAT●使用PAT，可以将多个内部本地地址映射到一个内部全局地址，用“内部全局地址+TCP/UDP端口号”来对应“一个内部主机+端口号”；InternetSA10.1.1.21DA10.1.1.252NAT转换4SA61.159.62.1303155.34.2.3外部主机210.3.4.5外部主机10.1.1.161.159.62.129协议内部用局部IP地址内部用全局IP地址：端口号外部用全局IP地址TCP10.1.1.2:102661.159.62.130：1026155.34.2.3：23TCP10.1.1.3:1121261.159.62.130：11212210.3.4.5：23TCP10.1.1.254:102761.159.62.130：1027210.3.4.5：80NAT转换表10.1.1.210.1.1.310.1.1.254PAT的工作流程InternetNAT外部端口NAT内部端口内部网络10.1.1.2-10.1.1.254/2461.159.62.12910.1.1.1将内部网络地址10.1.1.1-10.1.1.254，转换为合法的外部地址61.159.62.130PAT案例●第一步：设置外部端口IP地址●第二步：设置内部端口IP地址●第三步：定义内部网络中允许访问外部的访问控制列表Router(config)#access-list1permit10.1.1.00.0.0.255●第四步：定义合法IP地址池Router(config)#ipnatpoolonlyone61.159.62.13061.159.62.130netmask255.255.255.248●第五步：指定网络地址转换映射Router(config)#ipnatinsidesourcelist1poolonlyoneoverload●第六步：在内部和外部端口上启用NATRouter(config)#interfaceserial0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet0/0Router(config-if)#ipnatinsidePAT案例配置●地址转换过程中，也直接使用接口的IP地址作为转换后的源地址Internet局域网192.168.1.2-254/24PC2PC1S0:207.35.14.82PC1和PC2可以直接使用S0接口的IP地址作为地址转换后的公用IP地址PAT用法之二:接口复用●Router(config)#ipnatinsidesourcelist1interfaceserial0/0overload●PAT接入与内部服务器发布在R2上配置PAT使内部所有主机能访问外网使用一条静态NAT将WEB的80端发布出来供外部用户访问。NAT综合应用案例利用ACL控制地址转换●可以使用访问控制列表来决定哪些主机可以访问Internet，哪些不能。PC1局域网PC2设置访问控制列表控制PC1可以通过地址转换访问Internet,而PC2则不行。Internet网●NAT实现负载分担在R2上进行NAT配置，使WEB1和WEB2实验负载分担。NAT应用案例二●负载均衡配置R1(config)#iproute42.18.8.8255.255.255.25568.10.14.2R2(config)#iproute0.0.0.00.0.0.068.10.14.1R2(config)#ipnatpoolweb192.168.10.5192.168.10.6prefix-length24typerotary//定义一个名为WEB的NAT地址池R2(config)#access-list50permit42.18.8.8//创建一个访问控制列表来定义全局地址R2(con