运维之思科篇——NAT基础配置
1、作⽤:通过将内部⽹络的私有IP地址翻译成全球唯⼀的公⽹IP地址,使内部⽹络可以连接到互联⽹等外部⽹络上。
2、优点:
节省公有合法IP地址
处理地址重叠
增强灵活性
安全性
3、NAT的缺点
延迟增⼤
配置和维护的复杂性
不⽀持某些应⽤,可以通过静态NAT映射来避免
4、NAT实现⽅式
1)静态转换
IP地址的对应关系是⼀对⼀,⽽且是不变的,借助静态转换,能实现外部⽹络对内部⽹络中某些特设定服务器的访问。
静态NAT配置:
配置接⼝IP及路由爆笑喜剧电影
全局:
Ip nat inside source static 192.168.1.1 61.159.62.131
在内外接⼝上启⽤NAT:
进⼊出⼝配置:ip nat outside
进⼊⼊⼝配置:ip nat inside
端⼝映射:
ip nat inside source static tcp 192.168.1.6 80 61.159.62.133 80
2)动态转换
IP地址的对应关系是不确定的,⽽是随机的,所有被授权访问互联⽹的私有地址可随机转换为任何指定的合法的外部IP地址。(内部⽹络同时访问Internet的主机数少于配置的合法地址中的IP个数时适⽤)
母亲节写给老婆的一封信动态NAT的配置:
1.全局:access-list 1 permit 19
2.168.1.0 0.0.0.255
2.全局:ip nat pool nsd 210.1
3.11
4.113 210.13.114.118 netmask 25
5.255.255.248(定义地址池名称为nsd,地址池IP范围
210.13.114.113 到210.13.114.118)
3.全局:ip nat inside source list 1 pool nsd
4.进⼊出⼝配置:ip nat outside
进⼊⼊⼝配置:ip nat inside
动态转换NAT配置步骤:
1.配置ACL,⽤于限定可以做地址转换的内⽹范围
2.配置电信给予的地址池
3.设置ACL和地址池的映射关系,匹配做地址转换的数据流
4.指定内外部接⼝
3)端⼝多路复⽤(PAT)
通过改变外出数据包的源IP地址和源端⼝并进⾏端⼝转换,内部⽹络的所有主机均可共享⼀个合法IP地址实现互联⽹的访问,节约IP。PAT的配置:
4.全局:ip nat inside source list 1 interface f0/1 overload
5、NAT三种实现⽅式的区别:
静态转换的对应关系⼀对⼀且不变,并且没有节约公⽤IP,只隐藏了主机的真实地址。
动态转换虽然在⼀定情况下节约了公⽤IP,但当内部⽹络同时访问Internet的主机数⼤于合法地址池中的IP数量时就不适⽤了。
端⼝多路复⽤可以使所有内部⽹络主机共享⼀个合法的外部IP地址,从⽽最⼤限度地节约IP地址资源。
⼆、查看NAT转换条⽬
1、特权:show ip nat translations显⽰当前NAT转换表项
三、清除NAT转换条⽬
1、特权: clear ip nat translation * 清除NAT转换表项中的所有所条⽬
注:静态NAT条⽬不会被清除
四、 NAT常见问题
ACL阻⽌转换后的流量
进⾏地址转换的ACL不全
overload参数漏配
不对称路由问题
动态地址池IP地址范围配置错误
动态地址池与静态转换地址重叠
Inside和outside接⼝配置错误
五、显⽰每个转换的数据包
特权:debug ip nat
Undebug all
S表⽰源地址
D表⽰⽬的地址
192.168.1.2->61.159.62.130表⽰将192.168.1.2转换为61.159.62.130
du
Clear ip nat translation *
动态NAT配置步骤
1、配置ACL,⽤于限定可以做地址转换的内⽹范围
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
2、配置合法地址池
R1(config)#ip nat pool mylan 201.1.1.2 201.1.1.8 netmask 255.255.255.0
3、设置ACL和地址池的映射关系
R1(config)#ip nat inside source list 1 pool mylan
号改成什么比较有意义4、指定内部接⼝和外部接⼝
R1(config)#int f0/0
R1(config-if)#ip nat inside
R1(config-if)#int f0/1
R1(config-if)#ip nat outside
R1#sho ip nat translations 查看NAT转换表
R1#clear ip nat translation * 清除动态转换的NAT表
将内⽹服务器发布到互联⽹,可以采⽤静态NAT
1、配置将哪个内⽹IP映射为哪个合法地址
R1(config)#ip nat inside source static 192.168.1.100 201.1.1.9
2、指定内部接⼝和外部接⼝
R1(config)#int f0/0
R1(config-if)#ip nat inside
R1(config-if)#int f0/1
R1(config-if)#ip nat outside
R1#sho ip nat translations
NAT:将⼀个⽹络的地址转换成另⼀个⽹络地址
端⼝映射
当互联⽹⽤户访问发布的IP地址+端⼝号,才能到相应的内⽹服务器
1、清除上⼀步的静态映射
R1(config)#no ip nat inside source static 192.168.1.100 201.1.1.9
2、映射192.168.1.100的80端⼝到201.1.1.9的80端⼝
R1(config)#ip nat inside source static tcp 192.168.1.100 80 201.1.1.9 80
3、将192.168.1.101的DNS服务发布到互联⽹
R1(config)#ip nat inside source static udp 192.168.1.101 53 201.1.1.9 53
4、指定内部接⼝和外部接⼝
R1(config)#int f0/0
R1(config-if)#ip nat inside
R1(config-if)#int f0/1
R1(config-if)#ip nat outside
R1#sho ip nat translations
5、内⽹增加⼀台server3,ip地址是192.168.1.101,⽹关指向192.168.1.1。在services选项卡中选择左侧的DNS,右侧name填du,Address填201.1.1.1,点击add,设置DNS Service为On的状态
6、在互联⽹服务器上添加它使⽤的DNS服务器是201.1.1.9,然后运⾏命令⾏⼯具,输⼊du
PAT:如果外⽹地址只有⼀个,配置在路由器的外端⼝上了,那么可以让内⽹所有的地址都转换成外⽹端⼝的地址,进⾏互联⽹访问1、清除前⾯所做的动态转换文明4配置
R1#clear ip nat translation *
R1(config)#no ip nat inside source list 1
R1(config)#no ip nat pool mylan
2、定义ACL,限制可以进⾏PAT转换的内⽹地址
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
3、配置ACL和路由器外端⼝的映射
R1(config)#ip nat inside source list 1 interface fastEthernet 0/1 overload 4、指定内部接⼝和外部接⼝
R1(config)#int f0/0
R1(config-if)#ip nat inside
R1(config-if)#int f0/1
R1(config-if)#ip nat outside
R1#sho ip nat translations
调试(相当于是在路由器上进⾏抓包)
R1#debug ip nat
R1#undebug all 关闭所有存在的抓包操作
最后的综合实验
1、IP地址
server2: 192.168.1.10
pc2: 192.168.2.10
pc3: 192.168.3.10
pc4: 192.168.4.10
server1: 201.1.2.10
ms1:
f0/24: 172.16.0.1 255.255.0.0
vlan1: 192.168.1.1
vlan2: 192.168.2.1
vlan3: 192.168.3.1
vlan4: 192.168.4.1
router1:
f0/0: 172.16.0.2 255.255.0.0
f0/1: 201.1.1.1
router2:
f0/0 : 201.1.1.2
f0/1 : 201.1.2.1
2、配置vlan
sw1-sw4配置vlan,并将端⼝加⼊到指定VLAN
与三层交换机相边的端⼝配置中继
ms1配置vlan,开启三层交换
3、配置路由
ms1配置缺省路由
ip route 0.0.0.0 0.0.0.0 172.16.0.2
router1配置路由
ip route 0.0.0.0 0.0.0.0 201.1.1.2
ip route 192.168.0.0 255.255.0.0 172.16.0.1
正式笔记:
案例1:配置静态NAT
案例2:配置端⼝映射
案例3:配置动态NAT
案例4:PAT配置
案例5:办公区Internet的访问
1 案例1:配置静态NAT
1.1 问题
随着接⼊Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。事实上,除了中国教育和科研计算机⽹(CERNET)外,⼀般⽤户⼏乎申请不到整段的C类IP地址。在其他ISP那⾥,即使是拥有⼏百台计算机的⼤型局域⽹⽤户,当他们申请IP地址时,所分配的地址也不过只有⼏个或⼗⼏个IP地址。显然,这样少的IP地址根本⽆法满⾜⽹络⽤户的需求。
在R1上配置静态NAT使192.168.1.1转换为61.159.62.131,192.168.1.2转换为61.159.62.132,实现外部⽹络访问。
1.2 ⽅案
借助于NAT,私有(保留)地址的"内部"⽹络通过路由器发送数据包时,私有地址被转换成合法的IP地址,⼀个局域⽹只需使⽤少量IP地址(甚⾄是1个)即可实现私有地址⽹络内所有计算机与Internet的通信需求。
这种通过使⽤少量的公有IP 地址代表较多的私有IP 地址的⽅式,将有助于减缓可⽤IP地址空间的枯竭。⽽且还能够有效地避免来⾃⽹络外部的攻击,隐藏并保护⽹络内部的计算机。
⽹络拓扑如图-1所⽰:
图-1
1.3 步骤
实现此案例需要按照如下步骤进⾏。
步骤⼀:通⽤配置
1)配置R1端⼝IP地址,以及默认路由
tarena-R1(config)#interface f0/0
tarena-R1(config-if)#ip address 192.168.1.254 255.255.255.0
tarena-R1(config-if)#no shutdown
tarena-R1(config-if)#interface f0/1
tarena-R1(config-if)#ip address 61.159.62.129 255.255.255.248
tarena-R1(config-if)#no shutdown
tarena-R1(config-if)#exit
tarena-R1(config)#ip route 0.0.0.0 0.0.0.0 f0/1
2)配置R2端⼝IP地址
不需要在R2上配置到企业内⽹的静态路由,因为NAT的存在,企业内部的地址都将被转换、隐藏。
金在中资料tarena-R2(config)#interface f0/0
tarena-R2(config-if)#ip address 61.159.62.130 255.255.255.248
tarena-R2(config-if)#no shutdown
tarena-R2(config-if)#interface f0/1
tarena-R2(config-if)#ip address 192.168.2.254 255.255.255.0
tarena-R2(config-if)#no shutdown
步骤⼆:静态NAT配置
1)在R1上将192.168.1.1映射到61.159.62.131,将192.168.1.2映射到61.159.62.132
静态映射有唯⼀对应的关系。
通过静态NAT,可以把内⽹服务器发布到外⽹。
tarena-R1(config)#ip nat inside source static 192.168.1.1 61.159.62.131
tarena-R1(config)#ip nat inside source static 192.168.1.2 61.159.62.132
2)在R1上配置NAT内、外端⼝
tarena-R1(config)#interface f0/0
迅雷积分tarena-R1(config-if)#ip nat inside
tarena-R1(config-if)#interface f0/1
发布评论