15NAT与策略路由

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

NAT与策略路由应用部门/姓名内容Contents•NAT原理与配置1•策略路由2•NAT高级应用3NAT技术——场景描述172.16.0.0/16192.168.0.0/1610.0.0.0/81、NAT原理与配置NAT原理与配置:——NAT概述NATNetworkAddressTranslation,把数据包中的IP地址转换为另一个IP地址主要用于解决校园网使用私有地址上公网的问题大多数应用基于IPv4IPv4地址短缺使用私有地址(RFC1918)和NAT技术缓解IPv4公网地址短缺的问题•10.0.0.0/8•172.16.0.0/12•192.168.0.0/16IP数据包IP数据包IP数据包NAT原理与配置:——NAT工作原理192.168.1.10insideoutside校园网100.1.10.12200.10.20.30源IP:192.168.1.10目的IP:200.10.20.30源IP:100.1.10.12目的IP:200.10.20.30IP数据包源IP:200.10.20.30目的IP:100.1.10.12源IP:200.10.20.30目的IP:192.168.1.12insidelocalOutsideglobalinsideglobalOutsidelocaloutsidelocalinsideglobaloutsideglobalinsidelocalNAT的转换过程NAT原理与配置:——NAT转换表EG1000#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalTCP100.1.10.12:6004192.168.1.10:6004200.10.20.30:80200.10.20.30:80Tcp61.186.178.5:4010192.168.1.20:4010221.238.198.149:80221.238.198.149:80Udp61.186.178.9:1496192.168.1.50:1496117.78.198.58:14108117.78.198.58:14108Tcp100.1.10.12:80192.168.1.10:80117.25.172.10:12567117.25.172.10:12567PAT方式NAT方式什么是PAT方式何为NAT方式NAT原理与配置:——NAT的分类根据转换地址的对应关系NAT方式只转换IP报文头中的IP地址,在内部局部和内部全局地址之间建立一对一映射实现简单,无法满足实际通讯的需要PAT方式PortAddressTranslation,采用了“IP地址+端口”的映射方式进行地址转换,利用TCP/UDP协议的端口号区分不同的主机,建立多对多的映射关系。NAT原理与配置:——NAT的分类动态NAT建立内部局部地址和内部全局地址池的临时映射关系,过一段时间没有用就会删除映射关系静态NAT建立内部局部地址和内部全局地址的永久映射。当外部网络需要通过固定的全局可路由地址访问内部服务器9NAT原理与配置:——转换关联转换关联就是将一个地址池和一个访问列表或者路由图关联起来,这种关联指定了具有指定特征的IP报文能否进行转换,能使用哪个地址池中的地址。在地址转换时,是根据这样的转换关联进行地址转换的。当一个内部网络的数据包文发往外部网络时,首先判断是否是允许转换的数据包,然后根据转换关联找到和它相对应的地址池,完成地址转换。10NAT原理与配置:——配置案例实现以下需求1、内部主机(10.10.10.0/24)能访问公网2、内部服务器私有ip:172.16.10.100,对外提供服务。11202.100.99.0/24R2NPEPCWebserver10.10.10.0/24192.168.1.1/30Nat地址池pool为202.112.192.0/24Webserver映射成202.112.194.1/24202.112.193.2/30L3SW172.16.10.100/24192.168.1.2/30202.112.193.1/30NAT原理与配置:——配置案例12202.100.99.0/24R2NPEPCWebserver10.10.10.0/24Gi0/0192.168.1.1/30Gi0/1202.112.193.2/30L3SW172.16.10.100/24192.168.1.2/30202.112.193.1/30Outside外网口Inside内网口interfaceGigabitEthernet0/0ipnatinsideinterfaceGigabitEthernet0/1ipnatoutsideipaccess-liststandard110permit10.10.10.00.0.0.255定义NAT设备的内外网口定义进行NAT的ACL用户列表NAT原理与配置:——配置案例定义NAT地址池和服务器对外映射ipnatpoolnatpoolprefix-length24address202.112.192.1202.112.192.254matchinterfaceGigabitEthernet0/1202.100.99.0/24R2NPEPCWebserver10.10.10.0/24Gi0/0192.168.1.1/30Gi0/1202.112.193.2/30L3SW172.16.10.100/24192.168.1.2/30202.112.193.1/30Outside外网口Inside内网口pool-name前缀长度start-ipend-ipNAT原理与配置:——配置案例202.100.99.0/24R2NPEPCWebserver10.10.10.0/24Gi0/0192.168.1.1/30Gi0/1202.112.193.2/30L3SW172.16.10.100/24192.168.1.2/30202.112.193.1/30Outside外网口Inside内网口协议global-addresslocal-addressipnatinsidesourcestatictcp172.16.10.10080202.112.194.180PORTPORTNAT原理与配置:——配置案例定义转换方法及转换关联ipnatinsidesourcelist1poolnatpooloverload15202.100.99.0/24R2NPEPCWebserver10.10.10.0/24Gi0/0192.168.1.1/30Gi0/1202.112.193.2/30L3SW172.16.10.100/24192.168.1.2/30202.112.193.1/30Outside外网口Inside内网口ACL号pool-nameNAT原理与配置:——章节回顾1、为什么需要NAT?2、NAT有哪些分类?3、NAT的配置步骤有哪些?162、策略路由策略路由:——策略路由概述常规路由基于目标IP和路由表进行报文的转发策略路由(Policy-BasedRouting)根据用户制定的策略进行报文转发,是一种比常规的基于目的的路由更灵活的路由机制。基于源IP、源目标IP对、协议、端口号、长度等参数对数据进行分类,对分类的数据执行转发策略。从特定的出口转发数据或者设置数据的优先级。18策略路由:——策略路由数据处理流程19入口数据包策略路由?有匹配条目吗?YNPermit?N正常路由(基于目标)NYY策略路由SetMatch使用Route-map来配置策略路由的流程策略路由:——策略路由配置步骤定义重分布路由图一个路由图可以由多个策略组成,策略按序号大小排列,只要符合了前面策略,就退出路由图的执行定义路由图每个策略的匹配规则或条件定义满足匹配规则后,路由器对符合规则的数据包进行IP优先值和下一跳的设置在指定接口中应用路由图20策略路由:——策略路由配置步骤路由器通过route-map语句对符合条件的数据包实施路由策略permit:对符合条件的数据包实施策略deny:对符合条件的数据包不实施策略Sequence:0-65535,route-map语句的执行顺序(插入/删除route-map语句)21EG(config)#route-maproute-map-name[permit|deny]sequence策略路由:——匹配策略匹配ACL匹配第三层数据包的长度定义匹配规则,只有符合规则的数据包才进行策略路由,如果没有配置匹配规则,则所有数据包都符合规则。要定义策略的匹配规则,在路由图配置模式中执行以下命令:EG(config-route-map)#matchipaddressaccess-list-number22EG(config-route-map)#matchipaddress{access-list-number|name}[...access-list-number|name]EG(config-route-map)#matchlengthminmax策略路由:——定义数据包下一跳23›对符合规则的数据包进行下一跳的设置。要定义匹配规则后的操作,在路由图配置模式中执行以下命令:›NPE(config-route-map)#setinterfacetypenumber›NPE(config-route-map)#setipnext-hopip-address›路由器先检查策略路由,后检查路由表EG(config-route-map)#setipnext-hopip-address[...ip-address]定义发出的数据包的下一跳地址EG(config-route-map)#setinterfacetypenumber[...typenumber]定义发出的数据包的出口策略路由:——应用策略路由在入口上应用策略路由24EG(config-if)#ippolicyroute-mapmap-tag3、NAT高级应用NAT高级应用:——场景描述场景需求:1、内部宿舍区私有IP地址用户可以通过NPE访问公网,且访问电信资源走电信线路,访问教育网资源走教育网线路。2、内部服务器网段172.16.0.0/16只走教育网线路,内部web服务器(172.16.1.1)对外提供web服务3、EG启用NAT日志功能,和elog对接,elog服务器地址为172.16.1.226出口区域RG-RSR50-40RG-ACE2000RG-EG出口路由器流控设备出口引擎电信1.1.1.21.1.1.158.246.1.2202.101.1.1202.101.1.258.246.1.1教育网电信地址池为58.246.2.1-58.246.2.10教育网地址池为202.101.3.1-202.101.3.10内部web服务器内部地址为172.16.1.1,映射成教育网地址为202.101.2.1校园网Elogserver172.16.1.2NAT高级应用:——需求分析1、内部宿舍区私有IP地址用户可以通过NPE的两条线路访问公网,且访问电信资源走电信线路,访问教育网资源走教育网线路。分析:宿舍区私有IP地址用户通过NPE的两条线路都可以访问公网,需要在NPE上配置NAT,且电信和教育网都需要配置NAT,配置两个地址池,并匹配两个接口。2、内部服务器网段172.16.0.0/16只走教育网线路,内部web服务器(172.16.1.1)对外提供web服务分析:1、要求内部服务器网段只走教育网线路,传统的基于目的路由的模式不能满足此需要,需要配置策略路由,匹配源地址来进行路由转发。2、要求内部web服务器对外提供web服务,而内部web服务器是私网地址,因此需要做基于端口的NAT静态映射。3、NPE启用NAT日志功能,和Elog对接,elog服务器地址为172.16

1 / 41
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功