网络出口设计概述(ppt 38页).ppt
38页
第九章第九章 网络出口设计网络出口设计本章内容 NATNAT背景背景 NATNAT术语术语 静态静态NATNAT 动态动态NATNAT NAPTNAPT 处理地址空间重叠的网络处理地址空间重叠的网络 TCPTCP负载均衡负载均衡 配置配置NATNAT 使用策略路由使用策略路由 配置基于策略的路由选择配置基于策略的路由选择 策略路由示例策略路由示例课程议题NATNAT为什么使用NAT?使用单个使用单个IPIP地址支持基本的地址支持基本的TCPTCP负载分配负载分配没有足够的全局唯一的没有足够的全局唯一的IPIP地址供网络中的主机用来连接到地址供网络中的主机用来连接到internetinternet更换更换internetinternet服务提供商后,需要对网络进行重新编址服务提供商后,需要对网络进行重新编址合并两个使用重叠地址空间的内部网络合并两个使用重叠地址空间的内部网络NAT实施 NATNAT优点:优点:节省公共地址节省公共地址可减少编址方案重叠的情况发生可减少编址方案重叠的情况发生将私有网络转化成公网时,无需要重新进行编址将私有网络转化成公网时,无需要重新进行编址 NATNAT缺点:缺点:NATNAT会增加延迟会增加延迟无法进行端到端的无法进行端到端的IPIP跟踪跟踪NATNAT使某些在有效负载中使用使某些在有效负载中使用IPIP地址的应用无法运行地址的应用无法运行NAT术语 内部内部内部内部/外部:外部:外部:外部:IPIP主机相对于主机相对于NATNAT设备的物理位置。
设备的物理位置本地本地本地本地/全局:全局:全局:全局:用户相对于用户相对于NATNAT设备的位置或视角设备的位置或视角NAT术语参数参数参数参数描述描述描述描述内部本地内部本地IPIP地址地址 分配给内部网络中的主机的分配给内部网络中的主机的IPIP地址,通常这种地址来自地址,通常这种地址来自RFC 1918RFC 1918指定的私有地址空指定的私有地址空间内部全局内部全局IPIP地址地址 内部全局内部全局IPIP地址,对外代表一个或多个内部本地地址,对外代表一个或多个内部本地IPIP地址,通常这种地址来自全局惟一地址,通常这种地址来自全局惟一的地址空间,通常是的地址空间,通常是ISPISP提供的外部全局外部全局IPIP地址地址 外部网络中的主机的外部网络中的主机的IPIP地址,通常来自全局可路由的地址空间地址,通常来自全局可路由的地址空间外部本地外部本地IPIP地址地址 在内部网络中看到的外部主机的在内部网络中看到的外部主机的IPIP地址,通常来自地址,通常来自RFC 1918RFC 1918定义的私有地址空间定义的私有地址空间简单转换条目简单转换条目 将一个将一个IPIP地址映射到另一个地址映射到另一个IPIP地址(通常被称为网络地址转换)的转换条目。
地址(通常被称为网络地址转换)的转换条目扩展转换条目扩展转换条目 将一个将一个IPIP地址和端口对映射到另一个地址和端口对映射到另一个IPIP地址和端口(通常被称为端口地址转换)对的地址和端口(通常被称为端口地址转换)对的转换条目转换条目NAT术语 静态静态NATNAT:按照一一对应的方式将每个内部:按照一一对应的方式将每个内部IPIP地址转换为一个外部地址转换为一个外部IPIP地址,地址,这种方式经常用于企业网的内部设备需要能够被外部网络访问到时这种方式经常用于企业网的内部设备需要能够被外部网络访问到时动态动态NATNAT:将一个内部:将一个内部IPIP地址转换为一组外部地址转换为一组外部IPIP地址(地址池)中的一个地址(地址池)中的一个IPIP地址超载(超载(OverloadingOverloading)NATNAT:动态:动态NATNAT的一种实现形式,利用不同端口号的一种实现形式,利用不同端口号将多个内部将多个内部IPIP地址转换为一个外部地址转换为一个外部IPIP地址,也称为地址,也称为PATPAT、NAPTNAPT或端口复或端口复用用NATNAT重叠(重叠(OverlappingOverlapping)NATNAT:当在内部网络中使用的:当在内部网络中使用的IPIP地址是其它网络中地址是其它网络中已经使用的已注册已经使用的已注册IPIP地址时,地址时,NATNAT路由器就需要维护一张查找表,以便用路由器就需要维护一张查找表,以便用惟一的惟一的IPIP地址来替换这些已注册的地址来替换这些已注册的IPIP地址。
地址静态NAT 静态静态静态静态NATNAT:按照一一对应的方式将每个内部:按照一一对应的方式将每个内部IPIP地址转换为一个外部地址转换为一个外部IPIP地址,这种方式经常用于企业网的内部设备需要能够被外部网络地址,这种方式经常用于企业网的内部设备需要能够被外部网络访问到时访问到时动态NAT 动态动态动态动态NATNAT:将一个内部:将一个内部IPIP地址转换为一组外部地址转换为一组外部IPIP地址(地址池)中地址(地址池)中的一个的一个IPIP地址NAPT NAPTNAPT是动态是动态NATNAT的一种实现形式,的一种实现形式,NAPTNAPT利用不同的端口号将多利用不同的端口号将多个内部个内部IPIP地址转换为一个外部地址转换为一个外部IPIP地址,地址,NAPTNAPT也称为也称为PATPAT或端口级或端口级复用复用NATNAT地址空间重叠 TCP负载均衡 NAT TCPNAT TCP负载均衡只适用于负载均衡只适用于TCPTCP连接,对于非连接,对于非TCPTCP连接请求,连接请求,NATNAT进程将不会对其进行转换进程将不会对其进行转换配置静态NAT 第一步:在路由器上配置第一步:在路由器上配置IPIP路由选择和路由选择和IPIP地址。
地址第二步:至少指定一个内部接口和一个外部接口,方法是进入接口第二步:至少指定一个内部接口和一个外部接口,方法是进入接口配置模式下,执行命令配置模式下,执行命令ip nat inside|outside ip nat inside|outside第三步:使用全局命令第三步:使用全局命令ip nat inside source static ip nat inside source static local-ip local-ip interfaceinterface interface|global-ip interface|global-ip 配置静态转换条目配置静态转换条目配置静态端口地址转换 第一步:在路由器上配置第一步:在路由器上配置IPIP路由选择和路由选择和IPIP地址第二步:至少指定一个内部接口和一个外部接口,并执行命令第二步:至少指定一个内部接口和一个外部接口,并执行命令ip ip nat inside|outside nat inside|outside第三步:使用全局命令第三步:使用全局命令ip nat inside source static tcp|udp ip nat inside source static tcp|udp local-ip local-port local-ip local-port interfaceinterface interface|global-ip interface|global-ip global-port global-port指定指定静态静态PATPAT条目。
条目配置静态外部源地址转换 第一步:第一步:第一步:第一步:在路由器上配置在路由器上配置IPIP路由选择和路由选择和IPIP地址第二步:第二步:第二步:第二步:至少指定一个内部接口和一个外部接口,方法是进入接口至少指定一个内部接口和一个外部接口,方法是进入接口配置模式下,并执行命令配置模式下,并执行命令ip nat ip nat inside inside|outsideoutside 第三步:第三步:第三步:第三步:使用全局命令使用全局命令ip nat outside source staticip nat outside source static global-ip global-ip local-iplocal-ip指定静态转换条目指定静态转换条目配置动态NAT 第一步:第一步:第一步:第一步:在路由器上配置在路由器上配置IPIP路由选择和路由选择和IPIP地址第二步:第二步:第二步:第二步:至少指定一个内部接口和一个外部接口,方法是进入接口至少指定一个内部接口和一个外部接口,方法是进入接口配置模式下,并执行命令配置模式下,并执行命令ip nat ip nat insideinside|outside outside 。
第三步:第三步:第三步:第三步:使用命令使用命令access-listaccess-list access-list-numberaccess-list-number permitpermit|denydeny 定义定义IPIP访问控制列表,以明确哪些报文将被进行访问控制列表,以明确哪些报文将被进行NATNAT转换第四步:第四步:第四步:第四步:使用命令使用命令ip nat pool ip nat pool pool-namepool-name start-ip end-ipstart-ip end-ip netmasknetmask netmasknetmask|prefix-lengthprefix-length prefix-length prefix-length 定义一个地址池,定义一个地址池,用于转换地址用于转换地址配置动态NAT 第五步:第五步:第五步:第五步:使用命令使用命令ip nat inside source listip nat inside source list access-list-numberaccess-list-number interfaceinterface interface|interface|pool pool pool-namepool-name 将符合访问控制列表条件的将符合访问控制列表条件的内部本地地址转换到地址池中的内部全局地址内部本地地址转换到地址池中的内部全局地址。
配置NAPT 第一步:第一步:第一步:第一步:在路由器上配置在路由器上配置IPIP路由选择和路由选择和IPIP地址第二步:第二步:第二步:第二步:至少指定一个内部接口和一个外部接口,并执行命令至少指定一个内部接口和一个外部接口,并执行命令ip ip nat nat insideinside|outside outside 第三步:第三步:第三步:第三步:使用命令使用命令access-listaccess-list access-list-numberaccess-list-number permitpermit|denydeny 定义定义IPIP访问控制列表,以明确哪些报文将被进行访问控制列表,以明确哪些报文将被进行NATNAT转换第四步:第四步:第四步:第四步:使用命令使用命令ip nat pool ip nat pool pool-namepool-name start-ip end-ipstart-ip end-ip netmasknetmask netmasknetmask|prefix-lengthprefix-length prefix-length prefix-length 定义一个地址池,定义一个地址池,用于转换地址。
用于转换地址第五步:第五步:第五步:第五步:使用命令使用命令ip nat inside source listip nat inside source list access-list-numberaccess-list-number interfaceinterface interface|interface|pool pool pool-namepool-name overloadove。
