nat與策略路由

1、NAT應(yīng)用,卓越服務(wù) 智慧校園,NAT技術(shù)——場景描述,172.16.0.0/16,192.168.0.0/16,10.0.0.0/8,1、NAT原理與配置,NAT原理與配置：—— NAT概述,NATNetwork Address Translation,把數(shù)據(jù)包中的IP地址轉(zhuǎn)換為另一個IP地址主要用于解決校園網(wǎng)使用私有地址上公網(wǎng)的問題大多數(shù)應(yīng)用基于IPv4IPv4地址短缺使用私有地址（RFC1918）和NAT技術(shù)緩解IP

2、v4公網(wǎng)地址短缺的問題10.0.0.0/8172.16.0.0/12192.168.0.0/16,NAT原理與配置：—— NAT工作原理,,,,,192.168.1.10,,inside,outside,校園網(wǎng),100.1.10.12,200.10.20.30,源IP：192.168.1.10,目的IP：200.10.20.30,,源IP：100.1.10.12,目的IP：200.10.20.30,IP數(shù)據(jù)包,源IP：200.1

3、0.20.30,目的IP：100.1.10.12,源IP：200.10.20.30,目的IP：192.168.1.12,inside local,Outside global,inside global,Outside local,outside local,inside global,outside global,inside local,NAT的轉(zhuǎn)換過程,NAT原理與配置：—— NAT轉(zhuǎn)換表,EG1000#show ip nat

4、translations Pro Inside global Inside local Outside local Outside globalTCP 100.1.10.12:6004 192.168.1.10:6004 200.10.20.30:80 200.10.20.30:80 Tcp 61.186.178.5:

5、4010 192.168.1.20:4010 221.238.198.149:80 221.238.198.149:80 Udp 61.186.178.9:1496 192.168.1.50:1496 117.78.198.58:14108 117.78.198.58:14108Tcp 100.1.10.12:80 192.168.1.10:80

6、 117.25.172.10:12567 117.25.172.10:12567,,,PAT方式,NAT方式,什么是PAT方式何為NAT方式,NAT原理與配置：—— NAT的分類,根據(jù)轉(zhuǎn)換地址的對應(yīng)關(guān)系NAT方式只轉(zhuǎn)換IP報文頭中的IP地址，在內(nèi)部局部和內(nèi)部全局地址之間建立一對一映射實現(xiàn)簡單，無法滿足實際通訊的需要PAT方式Port Address Translation，采用了“IP地址＋端口”的映射方式進行

7、地址轉(zhuǎn)換,利用TCP/UDP協(xié)議的端口號區(qū)分不同的主機，建立多對多的映射關(guān)系。,NAT原理與配置：—— NAT的分類,動態(tài)NAT建立內(nèi)部局部地址和內(nèi)部全局地址池的臨時映射關(guān)系，過一段時間沒有用就會刪除映射關(guān)系靜態(tài)NAT建立內(nèi)部局部地址和內(nèi)部全局地址的永久映射。當外部網(wǎng)絡(luò)需要通過固定的全局可路由地址訪問內(nèi)部服務(wù)器,7,NAT原理與配置：——轉(zhuǎn)換關(guān)聯(lián),轉(zhuǎn)換關(guān)聯(lián)就是將一個地址池和一個訪問列表或者路由圖關(guān)聯(lián)起來，這種關(guān)聯(lián)指定了具有指

8、定特征的IP報文能否進行轉(zhuǎn)換，能使用哪個地址池中的地址。在地址轉(zhuǎn)換時，是根據(jù)這樣的轉(zhuǎn)換關(guān)聯(lián)進行地址轉(zhuǎn)換的。當一個內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包文發(fā)往外部網(wǎng)絡(luò)時，首先判斷是否是允許轉(zhuǎn)換的數(shù)據(jù)包，然后根據(jù)轉(zhuǎn)換關(guān)聯(lián)找到和它相對應(yīng)的地址池，完成地址轉(zhuǎn)換。,8,NAT原理與配置：——配置案例,實現(xiàn)以下需求1、內(nèi)部主機（10.10.10.0/24）能訪問公網(wǎng)2、內(nèi)部服務(wù)器私有ip：172.16.10.100，對外提供www 服務(wù)。,9,202.100.99

9、.0/24,,R2,NPE,,,,PC,Web server,10.10.10.0/24,192.168.1.1/30,,,Nat地址池pool 為 202.112.192.0/24Web server映射成202.112.194.1/24,202.112.193.2/30,L3 SW,172.16.10.100/24,192.168.1.2/30,202.112.193.1/30,NAT原理與配置：——配置案例,10,202.1

10、00.99.0/24,,R2,NPE,,,,PC,Web server,10.10.10.0/24,Gi0/0 192.168.1.1/30,,,Gi0/1 202.112.193.2/30,L3 SW,172.16.10.100/24,192.168.1.2/30,202.112.193.1/30,Outside外網(wǎng)口,Inside內(nèi)網(wǎng)口,interface GigabitEthernet 0/0 ip nat insidein

11、terface GigabitEthernet 0/1 ip nat outside,ip access-list standard 1 10 permit 10.10.10.0 0.0.0.255,定義NAT設(shè)備的內(nèi)外網(wǎng)口,定義進行NAT的ACL用戶列表,NAT原理與配置：——配置案例,定義NAT地址池和服務(wù)器對外映射ip nat pool natpool prefix-length 24 address 202.112.1

12、92.1 202.112.192.254 match interface GigabitEthernet 0/1,202.100.99.0/24,,R2,NPE,,,,PC,Web server,10.10.10.0/24,Gi0/0 192.168.1.1/30,,,Gi0/1 202.112.193.2/30,L3 SW,172.16.10.100/24,192.168.1.2/30,202.112.193.1/30,Outsid

13、e外網(wǎng)口,Inside內(nèi)網(wǎng)口,,pool-name,,前綴長度,,start-ip,end-ip,,NAT原理與配置：——配置案例,202.100.99.0/24,,R2,NPE,,,,PC,Web server,10.10.10.0/24,Gi0/0 192.168.1.1/30,,,Gi0/1 202.112.193.2/30,L3 SW,172.16.10.100/24,192.168.1.2/30,202.112.193.1

14、/30,Outside外網(wǎng)口,Inside內(nèi)網(wǎng)口,,協(xié)議,,global-address,,local-address,ip nat inside source static tcp 172.16.10.100 80 202.112.194.1 80,,PORT,,PORT,NAT原理與配置：——配置案例,定義轉(zhuǎn)換方法及轉(zhuǎn)換關(guān)聯(lián)ip nat inside source list 1 pool natpool over

15、load,13,202.100.99.0/24,,R2,NPE,,,,PC,Web server,10.10.10.0/24,Gi0/0 192.168.1.1/30,,,Gi0/1 202.112.193.2/30,L3 SW,172.16.10.100/24,192.168.1.2/30,202.112.193.1/30,Outside外網(wǎng)口,Inside內(nèi)網(wǎng)口,,ACL號,,pool-name,NAT原理與配置：——章節(jié)回顧,

16、1、為什么需要NAT？2、NAT有哪些分類？3、NAT的配置步驟有哪些？,14,NAT高級應(yīng)用,NAT高級應(yīng)用：——場景描述,場景需求：1、內(nèi)部宿舍區(qū)私有IP地址用戶可以通過NPE訪問公網(wǎng)，且訪問電信資源走電信線路，訪問教育網(wǎng)資源走教育網(wǎng)線路。2、內(nèi)部服務(wù)器網(wǎng)段172.16.0.0/16只走教育網(wǎng)線路，內(nèi)部web服務(wù)器（172.16.1.1）對外提供web服務(wù)3、EG啟用NAT日志功能，和elog對接，elog服務(wù)器地址為1

17、72.16.1.2,16,,,,,出口區(qū)域,RG-RSR50-40,RG-ACE2000,RG-EG,出口路由器,流控設(shè)備,出口引擎,電信,1.1.1.2,1.1.1.1,58.246.1.2,202.101.1.1,202.101.1.2,58.246.1.1,教育網(wǎng),電信地址池為58.246.2.1-58.246.2.10教育網(wǎng)地址池為202.101.3.1-202.101.3.10內(nèi)部web服務(wù)器內(nèi)部地址為172.16.1.1

18、，映射成教育網(wǎng)地址為202.101.2.1,校園網(wǎng),Elog server172.16.1.2,NAT高級應(yīng)用：——需求分析,1、內(nèi)部宿舍區(qū)私有IP地址用戶可以通過NPE的兩條線路訪問公網(wǎng)，且訪問電信資源走電信線路，訪問教育網(wǎng)資源走教育網(wǎng)線路。分析：宿舍區(qū)私有IP地址用戶通過NPE的兩條線路都可以訪問公網(wǎng)，需要在NPE上配置NAT，且電信和教育網(wǎng)都需要配置NAT，配置兩個地址池，并匹配兩個接口。2、內(nèi)部服務(wù)器網(wǎng)段172.16.

19、0.0/16只走教育網(wǎng)線路，內(nèi)部web服務(wù)器（172.16.1.1）對外提供web服務(wù)分析：1、要求內(nèi)部服務(wù)器網(wǎng)段只走教育網(wǎng)線路，傳統(tǒng)的基于目的路由的模式不能滿足此需要，需要配置策略路由，匹配源地址來進行路由轉(zhuǎn)發(fā)。2、要求內(nèi)部web服務(wù)器對外提供web服務(wù)，而內(nèi)部web服務(wù)器是私網(wǎng)地址，因此需要做基于端口的NAT靜態(tài)映射。3、NPE啟用NAT日志功能，和Elog對接，elog服務(wù)器地址為172.16.1.2分析：啟用NAT日志

20、功能，需要和Elog對接，因此需要配置和Elog對接的相關(guān)配置。,17,NAT高級應(yīng)用：——路由配置,內(nèi)網(wǎng)到外網(wǎng)訪問的數(shù)據(jù)流走向：,18,源地址：10.0.0.0/8 目的地址為電信,源地址：10.0.0.0/8 目的地址為I教育網(wǎng),,,route-auto-choose cnii GigabitEthernet 0/1 58.246.1.1route-auto-choose cernet GigabitEther

21、net 0/2 202.101.1.1,ip route 0.0.0.0 0.0.0.0 58.246.1.1ip route 0.0.0.0 0.0.0.0 202.101.1.1,電信,啟用NPE的地址庫功能，配置接口下的電信和教育網(wǎng)地址庫，訪問電信的資源走電信線路，匹配教育網(wǎng)的資源走教育網(wǎng)線路。,同時配置兩條等價的缺省路由，不匹配電信和教育網(wǎng)地址庫的，匹配兩條等價缺省路由，自動負載到兩條線路,NAT高級應(yīng)用：——路由配置,到內(nèi)

22、網(wǎng)的回指路由：,19,,目的地址為校園網(wǎng)內(nèi)網(wǎng),,,,RG-RSR50-40,RG-ACE2000,RG-EG,出口路由器,流控設(shè)備,出口引擎,1.1.1.2,1.1.1.1,58.246.1.2,202.101.1.1,202.101.1.2,58.246.1.1,校園網(wǎng),Elog server172.16.1.2,ip route 10.0.0.0 255.0.0.0 1.1.1.2ip route 172.16.0.0 255

23、.255.0.0 1.1.1.2ip route 192.168.0.0 255.255.0.0 1.1.1.2,,NAT高級應(yīng)用：——NAT配置,配置完了雙出口的路由，我們下面來分析在NAT方面面臨什么問題,20,電信,,源地址：10.0.0.0/8 目的地址為電信,,目的地址為電信源地址：?,,源地址：10.0.0.0/8目的地址為I教育網(wǎng),,目的地址為教育網(wǎng)源地址：?,從上圖中數(shù)據(jù)流向可以看出，源地址為宿舍區(qū)私用地址1

24、0.0.0.0/8的網(wǎng)段，訪問電信資源從NPE出去時需要做NAT，匹配電信的地址池；訪問教育網(wǎng)資源從NPE出去時也需要做NAT，匹配教育網(wǎng)的地址池，否則私網(wǎng)地址在公網(wǎng)上無法路由，無法訪問互聯(lián)網(wǎng)。 因此，我們需要配置兩個地址池，并對應(yīng)的匹配兩個接口。,NAT高級應(yīng)用：——NAT配置,,21,,,,,RG-RSR50-40,RG-ACE2000,RG-EG,出口路由器,流控設(shè)備,出口引擎,電信,1.1.1.2,1.1.1.1,58.

25、246.1.2,202.101.1.1,202.101.1.2,校園網(wǎng),Elog server172.16.1.2,Outside外網(wǎng)口,Inside內(nèi)網(wǎng)口,Outside外網(wǎng)口,interface GigabitEthernet 0/0ip nat insideinterface GigabitEthernet 0/1 ip nat outsideinterface GigabitEthernet 0/2 ip nat

26、outside,定義NAT設(shè)備的內(nèi)外口,NAT高級應(yīng)用：——NAT配置,,22,,,,,RG-RSR50-40,RG-ACE2000,RG-EG,出口路由器,流控設(shè)備,出口引擎,電信,1.1.1.2,1.1.1.1,58.246.1.2,202.101.1.1,202.101.1.2,校園網(wǎng),Elog server172.16.1.2,Outside外網(wǎng)口,Inside內(nèi)網(wǎng)口,ip nat pool sushe prefix-le

27、ngth 24address 202.101.3.1 202.101.3.1 match interface gigabitEthernet 0/2address 58.246.2.1 58.246.2.10 match interface gigabitEthernet 0/1,定義NAT地址池,Outside外網(wǎng)口,NAT高級應(yīng)用：——端口映射,,23,,,,,RG-RSR50-40,RG-ACE2000,RG-EG,出口路由

28、器,流控設(shè)備,出口引擎,電信,1.1.1.2,1.1.1.1,58.246.1.2,202.101.1.1,202.101.1.2,校園網(wǎng),web server172.16.1.1,Outside外網(wǎng)口,Inside內(nèi)網(wǎng)口,Outside外網(wǎng)口,ip nat inside source static tcp 172.16.1.1 80 202.101.2.1 80,內(nèi)部web服務(wù)器（172.16.1.1）對外提供web服務(wù),NAT高

29、級應(yīng)用：——開啟日志功能,,電信,,,發(fā)送給NAT日志給Elog服務(wù)器,Elog服務(wù)器是用來存儲和查詢NPE的nat日志的，NPE上的配置步驟如下：打開流日志開關(guān),ip session log-on,配置日志服務(wù)器,NPE(config)# rlog server 172.16.1.2,NAT高級應(yīng)用：——章節(jié)回顧,1、EG特有的地址庫是做什么用的？2、什么情況下需要策略路由？同普通目的路由有何本質(zhì)區(qū)別？3、雙出口NAT需