網(wǎng)絡故障診斷與排除數(shù)字化資源魏建英項目11課件

1、精品課程 —— 項目六,NAT在網(wǎng)絡中的應用,,,,,,任務10.1了解NAT的使用環(huán)境,任務10.2通過測試發(fā)現(xiàn)故障,任務10.5NAT的故障排除,任務10.3NAT故障定位,任務10.4了解NAT相關知識,目錄 CONTENTS PAGE,項目十一、NAT在網(wǎng)絡中的應用,11.1 了解NAT的使用環(huán)境,某企業(yè)根據(jù)業(yè)務的拓展需要上網(wǎng)，向當?shù)氐腎SP供應商申請了公網(wǎng)的IP地址：202.99.192.1—202.99.1

2、92.6的六個地址，將其中的一個分配給web服務器，使其外網(wǎng)用戶通過該IP地址可以訪問到企業(yè)內(nèi)部的網(wǎng)頁，了解企業(yè)的文化發(fā)展方向等，同時為了企業(yè)內(nèi)部的網(wǎng)絡安全和要求提供一個一致的內(nèi)部網(wǎng)絡編地方案，將其中的另外一個地址分配給企業(yè)內(nèi)網(wǎng)的出接口，同時將局域網(wǎng)中的領導的電腦通過出口地址一對多的方式映射到公網(wǎng)中。將剩余的4個地址做成地址池將企業(yè)內(nèi)部的另外一個地址段映射到公網(wǎng)中。主要同以下任務來完成。查看現(xiàn)有交換機、路由器配置，了解現(xiàn)有網(wǎng)絡結(jié)構(gòu)；

3、將申請到的IP地址應用到出口路由器上；對出口路由器進行配置；進行NAT的互連測試，并分析測試過程中數(shù)據(jù)包的轉(zhuǎn)發(fā)過程,Chp1 了解NAT的使用環(huán)境,,11.2 通過測試發(fā)現(xiàn)故障,現(xiàn)有拓撲（如下圖，R1的F0/0連接web服務器，F(xiàn)0/1連接內(nèi)網(wǎng)邊界路由R2；E1/1連接交換機S1；E1/2連接交換機S2；在邊界路由器R2中,接口F0/1內(nèi)網(wǎng)路由器R1，接口F0/0配置ISP提供的IP地址連接到Internet。在領導辦公網(wǎng)中S1

4、的接入交換機中F0/1連接PC1,F0/2連接PC2。在企業(yè)內(nèi)部公網(wǎng)中S2的接入交換機中F0/1連接PC3,F0/2連接PC4。其中202.99.192.1應用到web服務器，通過這個地址將服務器映射到外網(wǎng)，供外網(wǎng)用戶訪問。領導辦公網(wǎng)通過邊界路由器R2的F0/0接口地址（202.99.192.6）來訪問Internet資源。企業(yè)辦公網(wǎng)由于用戶比較多，需求外網(wǎng)訪問量大，特提供nat地址池202.99.192.2-5供他們訪問Interne

5、t資源。進行如表11-1的測試，發(fā)現(xiàn)存在如表所示的故障現(xiàn)象。,Chp2 通過測試發(fā)現(xiàn)故障,,項目十一、NAT在網(wǎng)絡中的應用,,現(xiàn)有拓撲如圖11-1：,,表11-1 主機互通測試表,完成如表11-1中的6項測試，共有6項測試失敗，因測試失敗可確定本次操作沒有成功完成項目目標。是什么原因造成故障現(xiàn)象呢？是規(guī)劃設計的問題，是操作的問題，還是概念沒有理解清楚的問題？據(jù)此，我們要深入的進行故障分析來確定問題所在。,項目十一、NAT在網(wǎng)絡中的應用,

6、Chp2 通過測試發(fā)現(xiàn)故障,Chp3 NAT故障定位,11.3 NAT故障定位,本次故障我們主要是用模擬環(huán)境來實現(xiàn)，因此物理問題以及設備問題可以忽略。若是實際環(huán)境則應該逐步排查。本次主要從NAT的相關概念以及NAT 的配置和操作方面進行故障排查。,從NAT的實現(xiàn)及技術(shù)原理分析可能存在以下故障點：是否設置了訪問控制列表，阻塞了進行過網(wǎng)絡地址轉(zhuǎn)換或者沒有進行過網(wǎng)絡地址轉(zhuǎn)換流量。配置時要牢記與訪問控制列表相關的網(wǎng)絡地址轉(zhuǎn)換操作。如果針對

7、沒有進行網(wǎng)絡地址轉(zhuǎn)換的流量配置了ACL，而到達的流量實際上是進行了網(wǎng)絡地址轉(zhuǎn)換的流量，這就導致流量被丟棄。定義要進行NAT的訪問控制列表中，漏掉需要進行地址轉(zhuǎn)換的網(wǎng)絡。用來定義需要進行nat操作的網(wǎng)絡地址的訪問控制列表，應該包括所需要進行網(wǎng)絡地址轉(zhuǎn)換的網(wǎng)絡。如果列表中缺少一個或很多個地址，都將導致無法對來自這些地址的流量進行網(wǎng)絡地址轉(zhuǎn)換。在NAT語句中漏掉overload關鍵字。為了建立pat，在NAT配置命令的最后，必須使用ove

8、rload關鍵字。漏掉這個關鍵字，將會導致無法進行pat，最終將會導致只有數(shù)目有限的主機可以訪問公用網(wǎng)絡或者因特網(wǎng)，而不是期望中的所有主機。,項目十一、NAT在網(wǎng)絡中的應用,Chp3 NAT故障定位,,3. 不對稱路由導致NAT失敗，當分組進入一個使用ip nat inside 命令進行配置的接口時，并且從使用ip nat outside 命令進行配置的接口離開時，就會發(fā)生網(wǎng)絡地址轉(zhuǎn)換在很多借口的路由器上，必須確保需要進行網(wǎng)絡地址轉(zhuǎn)

9、換的流量進入路由器的所有接口都是用ip nat inside進行配置；而這個流量離開的所有接口都使用ip nat outside命令進行配置。否則，流量在經(jīng)過沒有使用正確的nat命令配置的接口時，無法進行網(wǎng)絡地址轉(zhuǎn)換。4. NAT池和靜態(tài)NAT表項中的重疊地址。確保NAT池中的ip地址不能也用于靜態(tài)網(wǎng)絡地址轉(zhuǎn)換，這是很重要的。這將導致階段性的NAT失敗。 為了能夠深入的分析故障點，應首先了解ANT的相關的知識點。,項目十一、N

10、AT在網(wǎng)絡中的應用,Chp4 了解NAT相關知識,11.4 了解NAT相關知識,11.4.1 什么是NAT,NAT（Network Address Translation，網(wǎng)絡地址轉(zhuǎn)換）是將IP 數(shù)據(jù)報頭中的IP 地址轉(zhuǎn)換為另一個IP 地址的過程。在實際應用中，NAT 主要用于實現(xiàn)私有網(wǎng)絡訪問公共網(wǎng)絡的功能。這種通過使用少量的公有IP 地址代表較多的私有IP 地址的方式，將有助于減緩可用IP 地址空間的枯竭。,11.4.2

11、NAT的兩種類型,動態(tài)NAT：使用公有地址池，并以先到先得的原則分配這些地址。當使用私有IP地址的主機請求訪問Internet時，動態(tài)NAT地址池中選擇一個未被其他主機使用的IP地址，這就是前面介紹的映射。 靜態(tài)NAT：使用本地址與全局地址的一對一映射，這些映射保持不變。對必須使用固定地址以便能夠從Internet訪問的Wed服務器或主機來說，靜態(tài)NAT很有用。這些內(nèi)部主機可能是企業(yè)服務器或網(wǎng)絡設備。

12、 無論靜態(tài)NAT還是動態(tài)NAT，都必須有共有足夠的地址，能夠給同時發(fā)生的每個用戶會話分配一個地址,項目十一、NAT在網(wǎng)絡中的應用,11.5 NAT的故障排除,Chp5 NAT的故障排除,依據(jù)理論化的故障排除思路，結(jié)合NAT的技術(shù)原理和實際操作步驟，本次故障排除分解為以下幾個子任務：①查看所有路由器配置，并按照要求羅列表格。②查看邊界路由R2的nat配置。③根據(jù)相關知識點確認故障點所在。④修改錯誤配置，并保存配置。⑤在新

13、配置環(huán)境下進行測試⑥整理新的配置文檔,項目十一、NAT在網(wǎng)絡中的應用,子任務1 查看所有路由器的配置,1、任務目標①查看所有路由器配置，確定已有的配置信息；②查看邊界路由器R2的配置，確定現(xiàn)有配置信息；2、任務所需設備①筆記本一臺，并裝有超級終端軟件或TELNET軟件，并確定訪問所需的用戶名和口令；②配置線纜；③記錄所用的筆和紙；3、實施步驟①使用超級終端軟件連接路由器R1、R2，使用show run命令確定路由器

14、接口的ip地址配置和靜態(tài)路由的配置。,項目十一、NAT在網(wǎng)絡中的應用,Chp5 NAT的故障排除,R1,項目十一、NAT在網(wǎng)絡中的應用,Chp5 NAT的故障排除,R2,項目十一、NAT在網(wǎng)絡中的應用,Chp5 NAT的故障排除,子任務2 查看交換機配置,②針對配置，我們將IP地址表列入表11-2中,表11-2 IP地址表,項目十一、NAT在網(wǎng)絡中的應用,Chp5 NAT的故障排除,③使用show ip nat 命令查看R1、R2路由表

15、。,R1#show ip route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 4 subnetsC 172.16.0.0 is directly connected, FastEthernet0/0C 172.16.1.0 is directly connected, Ethernet1/1C 172

16、.16.2.0 is directly connected, Ethernet1/2C 172.16.10.0 is directly connected, FastEthernet0/1S 202.99.192.0/24 is directly connected, FastEthernet0/1R1#,R2#show ip route Gateway of last resort is not set

17、 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masksS 172.16.0.0/16 is directly connected, FastEthernet0/1C 172.16.10.0/24 is directly connected, FastEthernet0/1C 202.99.192.0/24 is directly co

18、nnected, FastEthernet0/0R2#,項目十一、NAT在網(wǎng)絡中的應用,Chp5 NAT的故障排除,④使用show ip nat translations命令顯示nat轉(zhuǎn)換條目，使用show ip nat statistics命令顯示活動的轉(zhuǎn)化條目總數(shù)、nat配置參數(shù)、地址池中有幾個地址以及已分配的地址數(shù)。,項目十一、NAT在網(wǎng)絡中的應用,Chp5 NAT的故障排除,4、實施結(jié)果 目前路由器R1

19、和R2上路由，ip地址配置和靜態(tài)路由都沒有問題，nat配置在邊界路由R2上也正確。,子任務2 查看nat配置并根據(jù)相關知識點確認故障點所在,分析訪問控制列表的設置,access list 1是應用接口地址上的IP地址，也就是一對多，172.16.1.0這一網(wǎng)段為領導使用的網(wǎng)段，所以結(jié)論：access list 1配置正確，并未增加或漏掉需要進行地址轉(zhuǎn)換的網(wǎng)絡。 access list 2是應用的是地址池，也就是多對多，

20、172.16.2.0這一網(wǎng)段為企業(yè)內(nèi)網(wǎng)網(wǎng)段，所以結(jié)論：access list 2配置正確，并未漏掉需要進行地址轉(zhuǎn)換的網(wǎng)絡。,項目十一、NAT在網(wǎng)絡中的應用,Chp5 NAT的故障排除,②查看在nat語句中漏掉overload關鍵字,發(fā)現(xiàn)在ip nat inside source list 2 pool nat-pool 這一條命令指定list 2使用nat-pool這一地址池，命令中缺少overload 漏掉關鍵字。 其余nat配

21、置正確，并未發(fā)現(xiàn)關鍵字漏掉。,③ 查看ip nat inside和ip nat outside接口應用是否正確,項目十一、NAT在網(wǎng)絡中的應用,Chp5 NAT的故障排除,發(fā)現(xiàn)在interface FastEthernet0/0這一接口連接的是Internet服務器，這一端口應該設置為outside端口，在interface FastEthernet0/1這一端口應該設置為inside。,④ 查看nat地址池是否和靜態(tài)nat地址有重

22、疊,在這一條命令中可以看到202.99.192.1這一個ip地址已經(jīng)應用到了web服務器中屬于靜態(tài)nat但這一IP又出現(xiàn)在了nat-pool地址池中。發(fā)現(xiàn)重疊存在錯誤。,項目十一、NAT在網(wǎng)絡中的應用,Chp5 NAT的故障排除,,再分析交換機S3的配置信息發(fā)現(xiàn)S3中連接終端視頻會議2的F0/12端口存在配置錯誤。下面通過show run命令查看該端口的詳細配置情況：,子任務3 修改配置,1、對R2中遺漏的overload進行添加,

23、R2(config)# ip nat inside source list 2 pool nat-pool overload,配置完成后使用show run進行查看確認。,2、對ip nat inside和ip nat outside接口進行配置配置完成后使用show run信息進行查看確認。,R2(config)#int f0/0R2(config)#ip nat outsideR2(config)#int f0/1

24、R2(config)#ip nat inside,項目十一、NAT在網(wǎng)絡中的應用,Chp5 NAT的故障排除,3、更改nat地址池與靜態(tài)nat地址有重疊刪掉原來的配置增加新的配置,配置完成后使用show run信息進行查看確認。并保存修改過的配置。,R2(config)#no ip nat pool nat-pool 202.99.192.1 202.99.192.5 netmask 255.255.255.0R2(config)#

25、 ip nat pool nat-pool 202.99.192.2 202.99.192.5 netmask 255.255.255.0,子任務3 修改配置,在完成配置后，重新對終端的互連進行測試，測試項和測試結(jié)果如表11-3所示。,表11-3 主機互通測試表,項目十一、NAT在網(wǎng)絡中的應用,Chp5 NAT的故障排除,使用Debug ip nat命令查看web服務器到Internet服務器和Internet服務器到web服務器的互

26、聯(lián)情況，如下所示：,使用Debug ip nat命令查看pc1到Internet服務器和pc2到Internet服務器的互聯(lián)情況，如下所示：,項目十一、NAT在網(wǎng)絡中的應用,Chp5 NAT的故障排除,,使用Debug ip nat命令查看pc3到Internet服務器和pc4到Internet服務器的互聯(lián)情況，如下所示：,完成如表11-3中的6項測試，共有6項測試成功，由此確認故障現(xiàn)象和以上分析完全吻合，經(jīng)過故障點分析確認故障點，通過

27、分步驟的配置修改，成功完成任務，結(jié)束故障排除工作。,項目十一、NAT在網(wǎng)絡中的應用,Chp5 NAT的故障排除,總結(jié),在完成故障處理后，對所有路由器的配置信息重新保存，并更新書面的記錄材料，確保紙面文檔和實際配置的一致性，確保下一次的配置正常使用,總結(jié),通過本次項目實訓，主要針對nat配置的故障排除，以理論化故障排除思路為指導，以任務式驅(qū)動為方法，形象再現(xiàn)了nat的原理學習和操作實現(xiàn)過程，為未來實際環(huán)境的nat故障排除提供了良好的方法和