网络地址转换Cisco路由器NAT配置

《网络地址转换Cisco路由器NAT配置》由会员分享，可在线阅读，更多相关《网络地址转换Cisco路由器NAT配置（46页珍藏版）》请在装配图网上搜索。

1、会计学1网络地址转换网络地址转换Cisco路由器路由器NAT配置配置第第6章章 路由器配置基础路由器配置基础第1页/共46页6.1 6.1 路由器概述路由器概述6.1.1 路由器简介路由器简介路由器是工作在网络层的网络设备，最主要的功能是提供路由和网络地址转换（NAT）的功能。路由器常用于实现网络的互联，特别是异构网络之间的互联。第2页/共46页6.1 6.1 路由器概述路由器概述6.1.2 路由器的组成路由器的组成路由器由硬件和软件两部分组成。硬件系统主要由CPU、存储器和各种网络接口组成。软件系统主是由自引导程序、IOS操作系统、启动配置文件和路由器管理程序等组成。1.CPU2.存储器（只

2、读存储器ROM、闪存Flash Memory、NVRAM、RAM）第3页/共46页6.1 6.1 路由器概述路由器概述6.1.2 路由器的组成路由器的组成3.管理接口4.网络接口5.自举程序6.路由器操作系统7.配置文件8.实现管理程序第4页/共46页6.2 6.2 路由协议简介路由协议简介6.2.1 可被路由协议与路由协议可被路由协议与路由协议1.可被路由协议属于网络层的协议，主要有IP、IPX、AppleTalk。2.路由协议也称为路由选择协议，属于应用层协议，主要有:RIP、IGRP、EIGRP、OSPF、BGP第5页/共46页6.2 6.2 路由协议简介路由协议简介6.2.2 静态路由

3、与动态路由静态路由与动态路由1.直连路由对在同一个网络设备的不同接口的网络地址，路由器会自动添加这些网络地址之间的路由到路由表中，这种路由就属于直连路由。2.静态路由由管理员手工配置和添加的路由。第6页/共46页6.2 6.2 路由协议简介路由协议简介6.2.2 静态路由与动态路由静态路由与动态路由3.动态路由又称为自适应路由。通过各路由器之间相互连接的网络，利用路由协议，动态地相互交换路由信息，从而实现自动更新和维护路由表。第7页/共46页6.3 6.3 网络地址转换网络地址转换6.3.1 NAT概述概述1.NAT的概念为了解决IP地址紧缺的问题，将一部分IP地址划分为私网地址。为了解决使用

4、私网地址的局域网用户访问因特网的问题，从而诞生了网络地址转换技术（NAT）。代理服务器的实质就是网络地址转换。第8页/共46页6.3 6.3 网络地址转换网络地址转换6.3.1 NAT概述概述2.NAT的相关术语（1）内部网络（2）外部网络（3）内部本地地址（4）内部全局地址（5）外部本地地址（6）外部全局地址（7）地址池第9页/共46页6.3 6.3 网络地址转换网络地址转换6.3.2 NAT的工作原理的工作原理报文出去时，替换修改源IP地址；报文回来时，替换修改目的IP地址。第10页/共46页6.3 6.3 网络地址转换网络地址转换6.3.3 NAT的分类的分类1.静态地址转换局域网内部的

5、私网地址，一对一地映射为一个公网地址。2.动态地址转换有一个供转换用的公网地址池，从地址池中选择未用的公网地址，实现私网地址与公网地址间一对一对映射转换。可提供公网地址的利用率。第11页/共46页6.3 6.3 网络地址转换网络地址转换6.3.3 NAT的分类的分类3.网络地址端口转换用一个公网地址的一个端口来对应一个私网地址的某个端口，从而建立起基于IP地址和端口的一一对应关系。对于一个公网IP地址，由于有6万多个TCP端口，因此，理论上可代理6万多台使用私网地址的主机访问因特网。第12页/共46页6.3 6.3 网络地址转换网络地址转换6.3.4 Cisco路由器路由器NAT配置配置1.配

6、置地址端口转换配置步骤和配置方法：（1）配置内部全局地址池 （可选配置）ip nat pool ip nat pool pool-name start-ip end-ip netmasknetmask netmaskip nat pool ip nat pool pool-name start-ip end-ip prefix-lengthprefix-length prefixlength（2）配置接口类型ip nat inside|outsideinside定义接口为内网接口，outside定义为外网口。第13页/共46页6.3 6.3 网络地址转换网络地址转换6.3.4 Cisco路由器

7、路由器NAT配置配置（3）配置访问列表access-list number permit network wildcard访问列表用于配置允许哪些网络可以进行NAT以访问因特网。Number取值范围为1-99，wildcard为子网掩码的反码。例如：若允许192.168.0.0/16网络进行NAT，则配置命令为：access-list 1 permit 192.168.0.0 0.0.255.255第14页/共46页6.3 6.3 网络地址转换网络地址转换6.3.4 Cisco路由器路由器NAT配置配置（4）配置内部源地址的转换ip nat inside source list acl-num

8、ber pool pool-name overloadip nat inside source list acl-number interface int-type int-number overload 示例：ip nat inside source list 1 pool mypool overloadip nat inside source list 1 interface fa0/1 overload第15页/共46页6.3 6.3 网络地址转换网络地址转换6.3.4 Cisco路由器路由器NAT配置配置配置示例参见教材第198页的例6.1。可在Cisco Packet Tracert

9、软件中进行模拟操作。第16页/共46页6.3.4 Cisco6.3.4 Cisco路由器路由器NATNAT配置配置2.配置静态地址转换配置静态地址转换配置命令：ip nat inside source static tcp|udp local-ip port global-ip port该命令的具体用法有两种：（1）公网地址与私网地址建立一对一的映射ip nat inside source static local-ip global-ip示例：ip nat inside source static 192.168.2.2 61.186.202.35第17页/共46页6.3.4 Cisco6.

10、3.4 Cisco路由器路由器NATNAT配置配置2.配置静态地址转换配置静态地址转换（2）公网地址的某个端口与私网地址的某个端口间建立一一对应的映射关系ip nat inside source static tcp|udp local-ip port global-ip port 例 如，若 要 将 61.186.202.34的 TCP 80端 口 与192.168.2.2主机的TCP 80端口建立一一对应关系。ip nat inside source static tcp 192.168.2.2 80 61.186.202.34 80第18页/共46页6.3.4 Cisco6.3.4 Ci

11、sco路由器路由器NATNAT配置配置3.配置动态地址转换配置动态地址转换与使用地址池的地址端口转换配置方法和配置步骤基本相同，只是在配置内部源地址转换时，命令中不使用overload关键字。第19页/共46页6.3.4 Cisco6.3.4 Cisco路由器路由器NATNAT配置配置4.验证验证NAT配置配置show ip nat translations 显示NAT转换表show ip nat statistics 显示NAT统计信息clear ip nat translations*清除NAT转换表clear ip nat statistics 清除NAT统计信息以上命令在特权模式执行。

12、第20页/共46页6.3.4 Cisco6.3.4 Cisco路由器路由器NATNAT配置配置5.NAT配置的删除配置的删除使用带no的相同命令来删除。删除时，不能有内网用户正在使用NAT转换。可断开路由器与内网用户的连接，并清除NAT转换表，然后再删除NAT的相关配置。第21页/共46页6.3.5 6.3.5 华为华为NE20NE20路由器路由器NATNAT配置配置1.配置地址端口转换配置地址端口转换华为路由器不支持以外网口地址来作为NAT转换的地址，必须使用NAT地址池的方式。配置步骤如下：（1）配置内、外网接口的IP地址（2）配置NAT转换用的地址池nat address-group g

13、roup-name start-ip end-ip mask netmask示例：nat address-group 1 61.186.202.35 61.186.202.36 mask 255.255.255.248nat address-group 1 61.186.202.35 61.186.202.36 mask 255.255.255.248第22页/共46页6.3.5 6.3.5 华为华为NE20NE20路由器路由器NATNAT配置配置1.配置地址端口转换配置地址端口转换（3）配置访问控制列表，指定允许进行NAT转换的内网地址段acl number acl-numberrule r

14、ule-id permit source network wildcardAcl-number取值范围为2000至2999。示例：若允许192.168.0.0/16网络进行NAT转换。acl number 2000rule 0 permit source 192.168.0.0 0.0.255.255第23页/共46页6.3.5 6.3.5 华为华为NE20NE20路由器路由器NATNAT配置配置1.配置地址端口转换配置地址端口转换（4）在外网口配置对匹配访问列表的主机进行NAT转换。nat outbound acl-number address-group address-group-num

15、ber示例：nat outbound 2000 address-group 1（5）配置路由配置默认路由指向路由器的网关地址。若NAT地址池中的IP与外网接口不在同一网段，则还要配置空路由。第24页/共46页6.3.5 6.3.5 华为华为NE20NE20路由器路由器NATNAT配置配置2.配置示例配置示例参见教材第202页至第203页。第25页/共46页6.3.5 6.3.5 华为华为NE20NE20路由器路由器NATNAT配置配置3.静态地址转换静态地址转换配置步骤与配置方法与地址端口转换基本相同。（1）配置内、外网接口的IP地址（2）配置静态地址转换用的地址池（3）配置访问控制列表（4）

16、在外网接口上配置NAT Server 将一个私网地址与一个公网地址建立一一对应nat server global global-ip inside local-ip acl-number address-group group-name第26页/共46页6.3.5 6.3.5 华为华为NE20NE20路由器路由器NATNAT配置配置3.静态地址转换静态地址转换示例：nat server global 61.186.202.37 inside 192.168.2.2 2001 address-group 2 将一个公网地址的某个端口与一个私网地址的某个端口，建立一一对应关系nat server

17、protocol tcp|udp global global-ip port inside local-ip port acl-number address-group group-name第27页/共46页6.3.5 6.3.5 华为华为NE20NE20路由器路由器NATNAT配置配置3.静态地址转换静态地址转换示例：nat server protocol tcp global 61.186.202.37 80 inside 192.168.2.2 80 2001 address-group 2（5）配置空路由地址池掩码为32位，与外网接口不相同，需要配置到地址池主机的路由为空路由，让下一跳

18、指向null 0ip route-static 61.186.202.37 255.255.255.255 null 0第28页/共46页6.3.5 6.3.5 华为华为NE20NE20路由器路由器NATNAT配置配置3.静态地址转换静态地址转换完整的配置示例参见教材第204页的例6.3。第29页/共46页6.3.6 6.3.6 华为华为NE40NE40路由器的路由器的NATNAT配置配置1.配置案例配置案例配置案例参见教材第205页的第例6.4。第30页/共46页6.3.6 6.3.6 华为华为NE40NE40路由器的路由器的NATNAT配置配置2.配置注意事项配置注意事项对于NE40，路由

19、器与因特网的互联接口地址最好与NAT地址池的地址，属于不同的网段，以简化配置。若规划为同一网段，则必须增加以下两项配置：（1）nat enable address-group address-group-name为地址池中的地址自动添加空接口路由。（2）nat match-host address-group-name配置响应针对地址池中的地址的ARP请求。第31页/共46页6.3.6 6.3.6 华为华为NE40NE40路由器的路由器的NATNAT配置配置3.配置步骤与配置方法配置步骤与配置方法（1）配置地址池nat nat address-group address-group group

20、-name start-ip end-ip maskmask netmask slotslot slot-id no-patno-patslot-id用于指定NAT板所在的槽位号。no-pat为可选项。若选用该参数项，则地址池中的地址仅用于静态地址转换；若不选用，则地址池中的地址用于地址端口转换。第32页/共46页6.3.6 6.3.6 华为华为NE40NE40路由器的路由器的NATNAT配置配置3.配置步骤与配置方法配置步骤与配置方法对于本例6.4的要求，地址池的定义为：nat nat address-group address-group 1 1 61.186.202.36 61.186.

21、202.36 61.186.202.39 61.186.202.39 mask mask 255.255.255.252 slot 2255.255.255.252 slot 2(2)配置流分类规则根据流的特征，对报文进行过滤，即进行流分类。NE40利用流分类规则，来定义允许进行NAT转换的内网地址段。第33页/共46页6.3.6 6.3.6 华为华为NE40NE40路由器的路由器的NATNAT配置配置3.配置步骤与配置方法配置步骤与配置方法(2)配置流分类规则配 置 命 令：rule-map intervlan rule-name protocol src-addr wildcard|any

22、 dest-addr wildcard|any对于本例，允许192.168.0.0/16的网络进行NAT，则流分类规则定义为：rule-map intervlan r1 ip 192.168.0.0 0.0.255.255 anyrule-map intervlan r1 ip 192.168.0.0 0.0.255.255 any删除流分类规则：undo rule-map rule-name例如：undo rule-map r1第34页/共46页6.3.6 6.3.6 华为华为NE40NE40路由器的路由器的NATNAT配置配置3.配置步骤与配置方法配置步骤与配置方法（3）配置服务级别为4，

23、连接数没有限制配置命令：nat service-class 4 connections 0（4）配置NAT动作，指定NAT转换所使用的地址池，服务级别设置为4flow-actionflow-action action-name nat nat address-group address-group group-name service-classservice-class class-level命令功能：定义流的动作为按指定的服务级别和地址转换方式进行网络地址转换。第35页/共46页6.3.6 6.3.6 华为华为NE40NE40路由器的路由器的NATNAT配置配置3.配置步骤与配置方法配置步

24、骤与配置方法对于本例，NAT转换使用地址池1，若流动作名命名为to-internet，则配置命令为：flow-action to-internet nat address-group 1 service-class 4flow-action to-internet nat address-group 1 service-class 4删除流动作：undo flow-action 删除所有没有被应用的动作。undo flow-action action-name删除名为action-name的动作，但不能删除正在被应用的流动作。第36页/共46页6.3.6 6.3.6 华为华为NE40NE40路

25、由器的路由器的NATNAT配置配置3.配置步骤与配置方法配置步骤与配置方法（5）配置EACL，将流分类规则与NAT动作关联。EACL（Enhanced Access List）是一种增强的访问控制列表，用于关联报文流和流动作。配置命令：eacl eacl-name rule-name action-name对于本例，其配置命令应为：eacl out r1 to-internet第37页/共46页6.3.6 6.3.6 华为华为NE40NE40路由器的路由器的NATNAT配置配置3.配置步骤与配置方法配置步骤与配置方法（6）配置内网接口地址，并在该接口（入口）上应用EACL配置命令：access

26、-group router eacl eacl-name对于本例，其配置命令应为：access-group router eacl out（7）配置外网接口地址（8）配置路由第38页/共46页6.3.6 6.3.6 华为华为NE40NE40路由器的路由器的NATNAT配置配置4.案例的配置实现案例的配置实现例6.4的完整配置步骤和配置命令，参见教材第209页。第39页/共46页6.4 6.4 配置校园网华为配置校园网华为NE40NE40出口路由器出口路由器6.4.1 NE40路由器的配置需求分析路由器的配置需求分析1.访问因特网的配置需求分析有电信公网和教育网两条出口线路，访问教育网时，优先通

27、过教育网出口访问；访问非教育网资源时，优先通过电信线路出口进行访问。第40页/共46页6.4 6.4 配置校园网华为配置校园网华为NE40NE40出口路由器出口路由器6.4.1 NE40路由器的配置需求分析路由器的配置需求分析2.NE40的接口规划与网络拓扑第41页/共46页6.4 6.4 配置校园网华为配置校园网华为NE40NE40出口路由器出口路由器6.4.1 NE40路由器的配置需求分析路由器的配置需求分析3.路由配置分析4.NAT板在本网络工程案例中，NAT板插在2号槽位上。要求利用NAT板来提供基于硬件的NAT转换。5.静态地址转换配置校园网有少部分服务器使用内网地址，放置在校园网内

28、部，并允许因特网用户访问，对这部分服务器，需要配置静态地址转换。第42页/共46页6.4 6.4 配置校园网华为配置校园网华为NE40NE40出口路由器出口路由器6.4.2 配置配置NE40互联接口与路由互联接口与路由配置步骤与方法参见教材第211页至第212页。第43页/共46页6.4 6.4 配置校园网华为配置校园网华为NE40NE40出口路由器出口路由器6.4.3 NE40的双出口的双出口NAT配置配置配置步骤与方法参见教材第213页至第218页。第44页/共46页6.4 6.4 配置校园网华为配置校园网华为NE40NE40出口路由器出口路由器6.4.4 NE40的静态地址转换配置的静态地址转换配置配置步骤与方法参见教材第218页至第220页。第45页/共46页