網(wǎng)絡(luò)地址轉(zhuǎn)換Cisco路由器NAT配置

《網(wǎng)絡(luò)地址轉(zhuǎn)換Cisco路由器NAT配置》由會員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)地址轉(zhuǎn)換Cisco路由器NAT配置（46頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 交換機交換機/路由器的配置與管理路由器的配置與管理（第（第2版）版）第第6章章 路由器配置基礎(chǔ)路由器配置基礎(chǔ)6.1 6.1 路由器概述路由器概述6.1.1 路由器簡介路由器簡介路由器是工作在網(wǎng)絡(luò)層的網(wǎng)絡(luò)設(shè)備，最主要的功能是提供路由和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的功能。路由器常用于實現(xiàn)網(wǎng)絡(luò)的互聯(lián)，特別是異構(gòu)網(wǎng)絡(luò)之間的互聯(lián)。6.1 6.1 路由器概述路由器概述6.1.2 路由器的組成路由器的組成路由器由硬件和軟件兩部分組成。硬件系統(tǒng)主要由CPU、存儲器和各種網(wǎng)絡(luò)接口組成。軟件系統(tǒng)主是由自引導(dǎo)程序、IOS操作系統(tǒng)、啟動配置文件和路由器管理程序等組成。1.CPU2.存儲器（只讀存儲器ROM、閃存Flash

2、 Memory、NVRAM、RAM）6.1 6.1 路由器概述路由器概述6.1.2 路由器的組成路由器的組成3.管理接口4.網(wǎng)絡(luò)接口5.自舉程序6.路由器操作系統(tǒng)7.配置文件8.實現(xiàn)管理程序6.2 6.2 路由協(xié)議簡介路由協(xié)議簡介6.2.1 可被路由協(xié)議與路由協(xié)議可被路由協(xié)議與路由協(xié)議1.可被路由協(xié)議屬于網(wǎng)絡(luò)層的協(xié)議，主要有IP、IPX、AppleTalk。2.路由協(xié)議也稱為路由選擇協(xié)議，屬于應(yīng)用層協(xié)議，主要有:RIP、IGRP、EIGRP、OSPF、BGP6.2 6.2 路由協(xié)議簡介路由協(xié)議簡介6.2.2 靜態(tài)路由與動態(tài)路由靜態(tài)路由與動態(tài)路由1.直連路由對在同一個網(wǎng)絡(luò)設(shè)備的不同接口的網(wǎng)絡(luò)地址

3、，路由器會自動添加這些網(wǎng)絡(luò)地址之間的路由到路由表中，這種路由就屬于直連路由。2.靜態(tài)路由由管理員手工配置和添加的路由。6.2 6.2 路由協(xié)議簡介路由協(xié)議簡介6.2.2 靜態(tài)路由與動態(tài)路由靜態(tài)路由與動態(tài)路由3.動態(tài)路由又稱為自適應(yīng)路由。通過各路由器之間相互連接的網(wǎng)絡(luò)，利用路由協(xié)議，動態(tài)地相互交換路由信息，從而實現(xiàn)自動更新和維護路由表。6.3 6.3 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換6.3.1 NAT概述概述1.NAT的概念為了解決IP地址緊缺的問題，將一部分IP地址劃分為私網(wǎng)地址。為了解決使用私網(wǎng)地址的局域網(wǎng)用戶訪問因特網(wǎng)的問題，從而誕生了網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）。代理服務(wù)器的實質(zhì)就是網(wǎng)絡(luò)地址轉(zhuǎn)換。

4、6.3 6.3 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換6.3.1 NAT概述概述2.NAT的相關(guān)術(shù)語（1）內(nèi)部網(wǎng)絡(luò)（2）外部網(wǎng)絡(luò)（3）內(nèi)部本地地址（4）內(nèi)部全局地址（5）外部本地地址（6）外部全局地址（7）地址池6.3 6.3 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換6.3.2 NAT的工作原理的工作原理報文出去時，替換修改源IP地址；報文回來時，替換修改目的IP地址。6.3 6.3 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換6.3.3 NAT的分類的分類1.靜態(tài)地址轉(zhuǎn)換局域網(wǎng)內(nèi)部的私網(wǎng)地址，一對一地映射為一個公網(wǎng)地址。2.動態(tài)地址轉(zhuǎn)換有一個供轉(zhuǎn)換用的公網(wǎng)地址池，從地址池中選擇未用的公網(wǎng)地址，實現(xiàn)私網(wǎng)地址與公網(wǎng)地址間一對一對映射轉(zhuǎn)換?？商峁?/p>

5、公網(wǎng)地址的利用率。6.3 6.3 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換6.3.3 NAT的分類的分類3.網(wǎng)絡(luò)地址端口轉(zhuǎn)換用一個公網(wǎng)地址的一個端口來對應(yīng)一個私網(wǎng)地址的某個端口，從而建立起基于IP地址和端口的一一對應(yīng)關(guān)系。對于一個公網(wǎng)IP地址，由于有6萬多個TCP端口，因此，理論上可代理6萬多臺使用私網(wǎng)地址的主機訪問因特網(wǎng)。6.3 6.3 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換6.3.4 Cisco路由器路由器NAT配置配置1.配置地址端口轉(zhuǎn)換配置步驟和配置方法：（1）配置內(nèi)部全局地址池 （可選配置）ip nat pool ip nat pool pool-name start-ip end-ip netmasknetma

6、sk netmaskip nat pool ip nat pool pool-name start-ip end-ip prefix-lengthprefix-length prefixlength（2）配置接口類型ip nat inside|outsideinside定義接口為內(nèi)網(wǎng)接口，outside定義為外網(wǎng)口。6.3 6.3 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換6.3.4 Cisco路由器路由器NAT配置配置（3）配置訪問列表access-list number permit network wildcard訪問列表用于配置允許哪些網(wǎng)絡(luò)可以進行NAT以訪問因特網(wǎng)。Number取值范圍為1-99，wi

7、ldcard為子網(wǎng)掩碼的反碼。例如：若允許網(wǎng)絡(luò)進行NAT，則配置命令為：6.3 6.3 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換6.3.4 Cisco路由器路由器NAT配置配置（4）配置內(nèi)部源地址的轉(zhuǎn)換ip nat inside source list acl-number pool pool-name overloadip nat inside source list acl-number interface int-type int-number overload 示例：ip nat inside source list 1 pool mypool overloadip nat inside source

8、 list 1 interface fa0/1 overload6.3 6.3 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換6.3.4 Cisco路由器路由器NAT配置配置配置示例參見教材第198頁的例6.1。可在Cisco Packet Tracert軟件中進行模擬操作。6.3.4 Cisco6.3.4 Cisco路由器路由器NATNAT配置配置2.配置靜態(tài)地址轉(zhuǎn)換配置靜態(tài)地址轉(zhuǎn)換配置命令：ip nat inside source static tcp|udp local-ip port global-ip port該命令的具體用法有兩種：（1）公網(wǎng)地址與私網(wǎng)地址建立一對一的映射ip nat inside so

9、urce static local-ip global-ip示例：6.3.4 Cisco6.3.4 Cisco路由器路由器NATNAT配置配置2.配置靜態(tài)地址轉(zhuǎn)換配置靜態(tài)地址轉(zhuǎn)換（2）公網(wǎng)地址的某個端口與私網(wǎng)地址的某個端口間建立一一對應(yīng)的映射關(guān)系ip nat inside source static tcp|udp local-ip port global-ip port 例如，若要將的TCP 80端口與主機的TCP 80端口建立一一對應(yīng)關(guān)系。ip nat inside source static tcp 192.168.2.2 80 61.186.202.34 806.3.4 Cisco6.

10、3.4 Cisco路由器路由器NATNAT配置配置3.配置動態(tài)地址轉(zhuǎn)換配置動態(tài)地址轉(zhuǎn)換與使用地址池的地址端口轉(zhuǎn)換配置方法和配置步驟基本相同，只是在配置內(nèi)部源地址轉(zhuǎn)換時，命令中不使用overload關(guān)鍵字。6.3.4 Cisco6.3.4 Cisco路由器路由器NATNAT配置配置4.驗證驗證NAT配置配置show ip nat translations 顯示NAT轉(zhuǎn)換表show ip nat statistics 顯示NAT統(tǒng)計信息clear ip nat translations*清除NAT轉(zhuǎn)換表clear ip nat statistics 清除NAT統(tǒng)計信息以上命令在特權(quán)模式執(zhí)行。6.3

11、.4 Cisco6.3.4 Cisco路由器路由器NATNAT配置配置5.NAT配置的刪除配置的刪除使用帶no的相同命令來刪除。刪除時，不能有內(nèi)網(wǎng)用戶正在使用NAT轉(zhuǎn)換。可斷開路由器與內(nèi)網(wǎng)用戶的連接，并清除NAT轉(zhuǎn)換表，然后再刪除NAT的相關(guān)配置。6.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置1.配置地址端口轉(zhuǎn)換配置地址端口轉(zhuǎn)換華為路由器不支持以外網(wǎng)口地址來作為NAT轉(zhuǎn)換的地址，必須使用NAT地址池的方式。配置步驟如下：（1）配置內(nèi)、外網(wǎng)接口的IP地址（2）配置NAT轉(zhuǎn)換用的地址池nat address-group group-name start-ip en

12、d-ip mask netmask示例：6.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置1.配置地址端口轉(zhuǎn)換配置地址端口轉(zhuǎn)換（3）配置訪問控制列表，指定允許進行NAT轉(zhuǎn)換的內(nèi)網(wǎng)地址段acl number acl-numberrule rule-id permit source network wildcardAcl-number取值范圍為2000至2999。示例：若允許網(wǎng)絡(luò)進行NAT轉(zhuǎn)換。acl number 20006.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置1.配置地址端口轉(zhuǎn)換配置地址端口轉(zhuǎn)換（4）在外網(wǎng)口配置對匹配訪問列

13、表的主機進行NAT轉(zhuǎn)換。nat outbound acl-number address-group address-group-number示例：nat outbound 2000 address-group 1（5）配置路由配置默認路由指向路由器的網(wǎng)關(guān)地址。若NAT地址池中的IP與外網(wǎng)接口不在同一網(wǎng)段，則還要配置空路由。6.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置2.配置示例配置示例參見教材第202頁至第203頁。6.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置3.靜態(tài)地址轉(zhuǎn)換靜態(tài)地址轉(zhuǎn)換配置步驟與配置方法與地址端口轉(zhuǎn)換基本

14、相同。（1）配置內(nèi)、外網(wǎng)接口的IP地址（2）配置靜態(tài)地址轉(zhuǎn)換用的地址池（3）配置訪問控制列表（4）在外網(wǎng)接口上配置NAT Server 將一個私網(wǎng)地址與一個公網(wǎng)地址建立一一對應(yīng)nat server global global-ip inside local-ip acl-number address-group group-name6.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置3.靜態(tài)地址轉(zhuǎn)換靜態(tài)地址轉(zhuǎn)換示例：nat server global 61.186.202.37 inside 192.168.2.2 2001 address-group 2 將一個公

15、網(wǎng)地址的某個端口與一個私網(wǎng)地址的某個端口，建立一一對應(yīng)關(guān)系nat server protocol tcp|udp global global-ip port inside local-ip port acl-number address-group group-name6.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置3.靜態(tài)地址轉(zhuǎn)換靜態(tài)地址轉(zhuǎn)換示例：nat server protocol tcp global 61.186.202.37 80 inside 192.168.2.2 80 2001 address-group 2（5）配置空路由地址池掩碼為32位，

16、與外網(wǎng)接口不相同，需要配置到地址池主機的路由為空路由，讓下一跳指向null 0ip route-static 61.186.202.37 255.255.255.255 null 06.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置3.靜態(tài)地址轉(zhuǎn)換靜態(tài)地址轉(zhuǎn)換完整的配置示例參見教材第204頁的例6.3。6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置1.配置案例配置案例配置案例參見教材第205頁的第例6.4。6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置2.配置注意事項配置注意事項對于NE4

17、0，路由器與因特網(wǎng)的互聯(lián)接口地址最好與NAT地址池的地址，屬于不同的網(wǎng)段，以簡化配置。若規(guī)劃為同一網(wǎng)段，則必須增加以下兩項配置：（1）nat enable address-group address-group-name為地址池中的地址自動添加空接口路由。（2）nat match-host address-group-name配置響應(yīng)針對地址池中的地址的ARP請求。6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置3.配置步驟與配置方法配置步驟與配置方法（1）配置地址池nat nat address-group address-group group-name

18、 start-ip end-ip maskmask netmask slotslot slot-id no-patno-patslot-id用于指定NAT板所在的槽位號。no-pat為可選項。若選用該參數(shù)項，則地址池中的地址僅用于靜態(tài)地址轉(zhuǎn)換；若不選用，則地址池中的地址用于地址端口轉(zhuǎn)換。6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置3.配置步驟與配置方法配置步驟與配置方法對于本例6.4的要求，地址池的定義為：nat nat address-group address-group 1 1 61.186.202.36 61.186.202.36 61.186.

19、202.39 61.186.202.39 mask mask 255.255.255.252 slot 2255.255.255.252 slot 2(2)配置流分類規(guī)則根據(jù)流的特征，對報文進行過濾，即進行流分類。NE40利用流分類規(guī)則，來定義允許進行NAT轉(zhuǎn)換的內(nèi)網(wǎng)地址段。6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置3.配置步驟與配置方法配置步驟與配置方法(2)配置流分類規(guī)則配置命令：rule-map intervlan rule-name protocol src-addr wildcard|any dest-addr wildcard|any對于本

20、例，允許的網(wǎng)絡(luò)進行NAT，則流分類規(guī)則定義為：rule-map intervlan r1 ip 192.168.0.0 0.0.255.255 anyrule-map intervlan r1 ip 192.168.0.0 0.0.255.255 any刪除流分類規(guī)則：undo rule-map rule-name例如：undo rule-map r16.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置3.配置步驟與配置方法配置步驟與配置方法（3）配置服務(wù)級別為4，連接數(shù)沒有限制配置命令：nat service-class 4 connections 0（4）配

21、置NAT動作，指定NAT轉(zhuǎn)換所使用的地址池，服務(wù)級別設(shè)置為4flow-actionflow-action action-name nat nat address-group address-group group-name service-classservice-class class-level命令功能：定義流的動作為按指定的服務(wù)級別和地址轉(zhuǎn)換方式進行網(wǎng)絡(luò)地址轉(zhuǎn)換。6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置3.配置步驟與配置方法配置步驟與配置方法對于本例，NAT轉(zhuǎn)換使用地址池1，若流動作名命名為to-internet，則配置命令為：flow-act

22、ion to-internet nat address-group 1 service-class 4flow-action to-internet nat address-group 1 service-class 4刪除流動作：undo flow-action 刪除所有沒有被應(yīng)用的動作。undo flow-action action-name刪除名為action-name的動作，但不能刪除正在被應(yīng)用的流動作。6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置3.配置步驟與配置方法配置步驟與配置方法（5）配置EACL，將流分類規(guī)則與NAT動作關(guān)聯(lián)。EACL（

23、Enhanced Access List）是一種增強的訪問控制列表，用于關(guān)聯(lián)報文流和流動作。配置命令：eacl eacl-name rule-name action-name對于本例，其配置命令應(yīng)為：eacl out r1 to-internet6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置3.配置步驟與配置方法配置步驟與配置方法（6）配置內(nèi)網(wǎng)接口地址，并在該接口（入口）上應(yīng)用EACL配置命令：access-group router eacl eacl-name對于本例，其配置命令應(yīng)為：access-group router eacl out（7）配置外網(wǎng)

24、接口地址（8）配置路由6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置4.案例的配置實現(xiàn)案例的配置實現(xiàn)例6.4的完整配置步驟和配置命令，參見教材第209頁。6.4 6.4 配置校園網(wǎng)華為配置校園網(wǎng)華為NE40NE40出口路由器出口路由器6.4.1 NE40路由器的配置需求分析路由器的配置需求分析1.訪問因特網(wǎng)的配置需求分析有電信公網(wǎng)和教育網(wǎng)兩條出口線路，訪問教育網(wǎng)時，優(yōu)先通過教育網(wǎng)出口訪問；訪問非教育網(wǎng)資源時，優(yōu)先通過電信線路出口進行訪問。6.4 6.4 配置校園網(wǎng)華為配置校園網(wǎng)華為NE40NE40出口路由器出口路由器6.4.1 NE40路由器的配置需求分析

25、路由器的配置需求分析2.NE40的接口規(guī)劃與網(wǎng)絡(luò)拓撲6.4 6.4 配置校園網(wǎng)華為配置校園網(wǎng)華為NE40NE40出口路由器出口路由器6.4.1 NE40路由器的配置需求分析路由器的配置需求分析3.路由配置分析4.NAT板在本網(wǎng)絡(luò)工程案例中，NAT板插在2號槽位上。要求利用NAT板來提供基于硬件的NAT轉(zhuǎn)換。5.靜態(tài)地址轉(zhuǎn)換配置校園網(wǎng)有少部分服務(wù)器使用內(nèi)網(wǎng)地址，放置在校園網(wǎng)內(nèi)部，并允許因特網(wǎng)用戶訪問，對這部分服務(wù)器，需要配置靜態(tài)地址轉(zhuǎn)換。6.4 6.4 配置校園網(wǎng)華為配置校園網(wǎng)華為NE40NE40出口路由器出口路由器6.4.2 配置配置NE40互聯(lián)接口與路由互聯(lián)接口與路由配置步驟與方法參見教材第211頁至第212頁。6.4 6.4 配置校園網(wǎng)華為配置校園網(wǎng)華為NE40NE40出口路由器出口路由器6.4.3 NE40的雙出口的雙出口NAT配置配置配置步驟與方法參見教材第213頁至第218頁。6.4 6.4 配置校園網(wǎng)華為配置校園網(wǎng)華為NE40NE40出口路由器出口路由器6.4.4 NE40的靜態(tài)地址轉(zhuǎn)換配置的靜態(tài)地址轉(zhuǎn)換配置配置步驟與方法參見教材第218頁至第220頁。