7-NAT_策略路由

网络出口设计本章内容NAT背景NAT术语静态NAT动态NATNAPT处理地址空间重叠的网络TCP负载均衡配置NAT使用策略路由配置基于策略的路由选择策略路由示例课程议题NAT为什么使用NAT？使用单个IP地址支持基本的TCP负载分配没有足够的全局唯一的IP地址供网络中的主机用来连接到internet更换internet服务提供商后，需要对网络进行重新编址合并两个使用重叠地址空间的内部网络NAT实施NAT优点：节省公共地址可减少编址方案重叠的情况发生将私有网络转化成公网时，无需要重新进行编址NAT缺点：NAT会增加延迟无法进行端到端的IP跟踪NAT使某些在有效负载中使用IP地址的应用无法运行NAT术语内部/外部：IP主机相对于NAT设备的物理位置。本地/全局：用户相对于NAT设备的位置或视角。NAT术语参数描述内部本地IP地址分配给内部网络中的主机的IP地址，通常这种地址来自RFC1918指定的私有地址空间。内部全局IP地址内部全局IP地址，对外代表一个或多个内部本地IP地址，通常这种地址来自全局惟一的地址空间，通常是ISP提供的。外部全局IP地址外部网络中的主机的IP地址，通常来自全局可路由的地址空间。外部本地IP地址在内部网络中看到的外部主机的IP地址，通常来自RFC1918定义的私有地址空间。简单转换条目将一个IP地址映射到另一个IP地址（通常被称为网络地址转换）的转换条目。扩展转换条目将一个IP地址和端口对映射到另一个IP地址和端口（通常被称为端口地址转换）对的转换条目。NAT术语静态NAT：按照一一对应的方式将每个内部IP地址转换为一个外部IP地址，这种方式经常用于企业网的内部设备需要能够被外部网络访问到时。动态NAT：将一个内部IP地址转换为一组外部IP地址（地址池）中的一个IP地址。超载（Overloading）NAT：动态NAT的一种实现形式，利用不同端口号将多个内部IP地址转换为一个外部IP地址，也称为PAT、NAPT或端口复用NAT。重叠（Overlapping）NAT：当在内部网络中使用的IP地址是其它网络中已经使用的已注册IP地址时，NAT路由器就需要维护一张查找表，以便用惟一的IP地址来替换这些已注册的IP地址。静态NAT静态NAT：按照一一对应的方式将每个内部IP地址转换为一个外部IP地址，这种方式经常用于企业网的内部设备需要能够被外部网络访问到时。动态NAT动态NAT：将一个内部IP地址转换为一组外部IP地址（地址池）中的一个IP地址。NAPTNAPT是动态NAT的一种实现形式，NAPT利用不同的端口号将多个内部IP地址转换为一个外部IP地址，NAPT也称为PAT或端口级复用NAT。地址空间重叠配置静态NAT第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置模式下，执行命令ipnat{inside|outside}。第三步：使用全局命令ipnatinsidesourcestaticlocal-ip{interfaceinterface|global-ip}配置静态转换条目。配置静态端口地址转换第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，并执行命令ipnat{inside|outside}。第三步：使用全局命令ipnatinsidesourcestatic{tcp|udp}local-iplocal-port{interfaceinterface|global-ip}global-port指定静态PAT条目。配置静态外部源地址转换第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置模式下，并执行命令ipnat{inside|outside}。第三步：使用全局命令ipnatoutsidesourcestaticglobal-iplocal-ip指定静态转换条目。配置动态NAT第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置模式下，并执行命令ipnat{inside|outside}。第三步：使用命令access-listaccess-list-number{permit|deny}定义IP访问控制列表，以明确哪些报文将被进行NAT转换。第四步：使用命令ipnatpoolpool-namestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}定义一个地址池，用于转换地址。网络拓扑图本工作任务的网络拓扑，如图所示。NAT配置网络拓扑图ISP局端光电转换器f0/1:218.12.226.2用户端光端机218.12.226.1192.168.1.0/24f0/0:192.168.1.1PC1配置动态NAT第五步：使用命令ipnatinsidesourcelistaccess-list-number{interfaceinterface|poolpool-name}将符合访问控制列表条件的内部本地地址转换到地址池中的内部全局地址。配置NAPT第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，并执行命令ipnat{inside|outside}。第三步：使用命令access-listaccess-list-number{permit|deny}定义IP访问控制列表，以明确哪些报文将被进行NAT转换。第四步：使用命令ipnatpoolpool-namestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}定义一个地址池，用于转换地址。第五步：使用命令ipnatinsidesourcelistaccess-list-number{interfaceinterface|poolpool-name}overload将符合访问控制列表条件的内部本地地址转换到地址池中的内部全局地址。配置NAPTTCP负载均衡NATTCP负载均衡只适用于TCP连接，对于非TCP连接请求，NAT进程将不会对其进行转换。配置TCP负载均衡第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置模式下，并执行命令ipnat{inside|outside}。第三步：定义访问控制列表，指定发送到哪个地址（虚拟主机地址）的请求被进行负载分担。第四步：使用命令ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}typerotary为真实的内部主机或服务器定义地址池。当使用NAT进行TCP负载均衡时，必须配置typerotary关键字，以保证地址池中的地址被轮流使用。第五步：使用命令ipnatinsidedestinationlistaccess-list-numberpoolname定义访问控制列表与真实主机地址池之间的映射；配置TCP负载均衡验证和诊断NAT转换验证和诊断NAT转换的内容包括：使用show命令查看NAT运行的状态使用debug命令对NAT的转换操作进行调试使用clear命令清楚特定的或所有的NAT转换条目常用命令showipnattranslations[access-list-number|icmp|tcp|udp][verbose]showipnatstatisticsdebugipnat[address|event|rule-match]clearipnattranslation*clearipnatstatistics课程议题路由策略使用策略路由策略路由是一种入站机制，用于入站报文。通过使用基于策略的路由选择，能够根据数据包的源地址、目的地址、源端口、目的端口和协议类型让报文选择不同的路径。策略路由有以下优点：灵活的操纵报文服务质量节省费用负载均衡注意策略路由是设置在接收报文接口而不是发送接口。在图中，策略就应用在路由器A的FastEthernet0/0接口。RTARTBRTCS0/0S0/1128KbpsISDN512Kbps从PCA到SVA的数据量所有其他的数据量PCASVA服务器基于策略的路由F0/0配置基于策略的路由选择route-map命令route-mapname[permit|deny][sequence-number]参数描述nameRoute-map的名称，拥有相同名称的route-map子句将组成一个route-mappermit如果报文符合该子句中的匹配条件，则报文将被进行策略路由deny如果报文符合该子句中的匹配条件，则报文将不进行策略路由，进行正常的转发sequence-number该route-map子句的编号，如果不指定则系统会自动赋予一个编号，route-map中的各子句按照编号的顺序执行配置基于策略的路由选择match命令matchipaddress{access-list-number|name}[…access-list-number|name]参数描述access-list-number|name标准访问控制列表或扩展访问控制列表的编号或名称，用于匹配入站报文。如果指定了多个访问列表，则与任一个列表匹配就算匹配。min最小报文长度（三层报文的长度）max最大报文长度（三层报文的长度）配置基于策略的路由选择set命令setipnext-hopip-address[…ip-address]setipnext-hopsetinterfacesetipdefaultnext-hopsetdefaultinterfacesetiptossetipprecedence在接口上配置策略路由ippolicyroute-maproute-map连接两家ISP时使用基于策略的路由选择连接两家ISP时使用基于策略的路由选择根据目标地址使用基于策略的路由选择根据目标地址使用基于策略的路由选择三、实训题1.在路由器R1的g0/0接口应用IP策略路由CCNA,使得从主机A来的数据设置下一跳地址为192.168.12.2；从主机B来的数据设置下一跳地址为192.168.21.2,所有其它的数据包正常转发，整个网络运行ospf路由协议.