- 上一篇 华为HCNE专题八:访问控制列表及网络地址转换 [2008-5-5 16:47:41]
| 微软认证MCSE2003:Security | 微软认证MCSE2003+MCDBA |
| 国家软考-网络工程师 | 华为认证网络工程师(HCNE) |
| Adobe平面设计师(ACCD) | Adobe网络设计师(ACCD) |
| 国家信息化网络安全工程师 | CEAC网络应用工程师 |
| CEAC微机装配与维护工程师 | 数据恢复职业技术培训 |
| 黑客系列:黑客攻防实战 | 瑞星病毒防范职业技能培训 |
重点:NAT、PAT、过载
难点:理解NAT的原理以及NAT几种方式的区别
亮点/应用/重要性:NAT在实际的工作应用是非常广泛的,掌握它的原理和配置对于一个专业网管来讲是必须的。
主要内容:我们将从NAT的基本工作原来开始,介绍它的基本名词。然后重点讲解几中常见的NAT方式,掌握它们之间的区别和配置命令。
思科CCNA专题十三:NAT(网络地址转换)(第二章)(20080508)在线专题授课音频
(本课程正式学员可登录学习系统,进入对应课程,在窗口左边的“课程资料室”内进行在线浏览。)答疑整理:
1. 什么是NAT,它有哪些分类?
答:NAT——网络地址转换,是通过将专用网络地址(如企业内部网Intranet)转换为公用地址(如互联网Internet),从而对外隐藏了内部管理的 IP 地址。这样,通过在内部使用非注册的 IP 地址,并将它们转换为一小部分外部注册的 IP 地址,从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间(即IPV4)。同时,这也隐藏了内部网络结构,从而降低了内部网络受到攻击的风险。
NAT功能通常被集成到路由器、防火墙、单独的NAT设备中,当然,现在比较流行的操作系统或其他软件(主要是代理软件,如WINROUTE),大多也有着NAT的功能。NAT设备(或软件)维护一个状态表,用来把内部网络的私有IP地址映射到外部网络的合法IP地址上去。每个包在NAT设备(或软件)中都被翻译成正确的IP地址发往下一级。与普通路由器不同的是,NAT设备实际上对包头进行修改,将内部网络的源地址变为NAT设备自己的外部网络地址,而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。
NAT分为三种类型:静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)。其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络,端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
2.我们在一台Cisco 1600上使用网络地址转换(NAT)。我们安装了Web服务器并打开了端口80。在外部我们可以通过域名或IP地址访问这个Web站点,但是在内部,我们只能通过NAT地址访问它。我们可以使用ISP提供的一台外部DNS服务器来解析主机名吗?我们是否缺了什么?
答:来自你内联网的数据包,如果目的地址为外部NAT Web服务器的IP地址,这些数据包在到达时可能看起来像是一次IP欺骗攻击,因此被阻挡在外不让进入。在你试图连接时,可以使用Cisco IOS调试命令来查看路由器上发生的情况。可以按下列方法找到调试命令文件,点击www.cisco.com上的“技术文档”链接,在“配置指南与命令参考”下查找你的IOS版本。Windows环境中最容易的解决办法是在从内联网PC连接时,使用Web服务器的NetBIOS名代替完全合格的域名。在混合环境中,Unix系统需要一个本地主机文件,即将主机名映射到Web服务器地址的名称服务。在更大型的环境中,你可以将一台内部DNS服务器用于内部名称。
3.什么是可配置的 NAT IP地址池的最大的数字(ip nat pool“命名”) ?
答:没有实际的限制。在实际的使用,然而, 可配置的IP地址池的最大的数字由在被使用的特别的路由器的可得到的 DRAM 的数量是有限的。
4.Cisco IOS NAT 能被用于subinterfaces 吗?
答:是的。来源或目的地 NAT 翻译能被用于任何接口或有一个 IP 地址的 subinterface ( 包括拨号程序接口 ) 。
5.NAT三种方式的配置命令是?
答:NAT包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。一般我们实际工作中都使用复用NAT,即复用断口NAT,也叫PNAT。
静态NAT配置步骤:首先,配置各接口的IP地址。内网使用私有IP.外网使用公网IP.并指定其属于内外接口。其次,定义静态建立IP地址之间的静态映射。最后,指定其默认路由。
Router>en (进入特权模式)
Router#config (进入全局配置模式)
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ho R3 (命名为R3)
R3(config)#no ip domain-lo
(关闭域名查询,在实验环境中,敲入错误的命令,它将进行域名查询,故关闭他)
R3(config)#line c 0 (进入线路CONSOLE接口0下)
R3(config-line)#logg syn (启用光标跟随,防止日志信息冲断命令显示的位置)
R3(config-line)#exec-t 0 0 (防止超时,0 0 为永不超时)
R3(config-line)#exit
R3(config)#int e0 (进入以太网接口下)
R3(config-if)#ip add 192.168.1.1 255.255.255.0 (设置IP地址)
R3(config-if)#ip nat inside (设置为内部接口)
R3(config-if)#no shut
R3(config-if)#exit
R3(config)#int ser1 (进入串口下)
R3(config-if)#ip add 100.0.0.1 255.255.255.0
R3(config-if)#no shut
R3(config-if)#ip nat outside (设置为外部接口)
R3(config-if)#exit
R3(config)#ip nat inside source static 191.168.1.1 100.0.0.1
(设置静态转换,其中ip nat inside source 为NAT转换关键字,这里是静态,故为STATIC)
R3(config)#ip classless
R3(config)#ip route 0.0.0.0 0.0.0.0 s0(这里是出口或者下一跳地址)
R3(config)#exit
动态NAT配置步骤:首先,配置各需要转换的接口的IP,设置内外网IP等。其次,定义动态地址转换池列表,再次,配置ACL列表,需要转换的内网IP地址(或者网段)。最后,设置转换后的出口地址段及MASK(多IP可以多分流,减轻转换后的负担)。配置示例:
一):
Router#config
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ho R2
R2(config)#no ip domain-lo
R2(config)#line c 0
R2(config-line)#logg syn
R2(config-line)#exec-t 0 0
R2(config-line)#exit
R2(config)#int ser0
R2(config-if)#ip add 100.0.0.1 255.255.255.0
R2(config-if)#ip nat inside
R2(config-if)#no shut
R2(config-if)#clock rate 5600
R2(config-if)#ip access-group 1 out
R2(config-if)#exit
R2(config)#int e0
R2(config-if)#ip ad 10.0.0.1 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
(二):
R2(config)#ip nat inside source list 1 pool dongsheng
(三):
R2(config)#access-list 1 permit 10.0.0.1 0.0.0.0
R2(config)#access-list 1 permit 10.0.0.2 0.0.0.0
(四):
R2(config)#ip nat pool dongsheng 100.0.0.1 100.0.0.2 netmask 255.255.255.0
R2(config)#exit
PAT配置示例:
Router>en
Router#config
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int ser1
Router(config-if)#exit
Router(config)#no ip domain-lo
Router(config)#line c 0
Router(config-line)#logg syn
Router(config-line)#exec-t 0 0
Router(config-line)#exit
Router(config)#int ser1
Router(config-if)#ip add 100.0.0.1 255.255.255.0
Router(config-if)#ip nat outside
Router(config-if)#ip access-group 1 out
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int e0
Router(config-if)#ip add 192.168.1.1 255.255.255.0
Router(config-if)#ip nat inside
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#ip nat inside source list 1 pool ds1 overload
(其中ip nat inside source list X pool xx overload为关键字)
Router(config)#access-list 1 permit 192.168.0.1 255.255.0.0
(设置访问列表,允许内部的网络转换出去,网段自由设顶)
Router(config)#ip nat pool ds1 100.0.0.1 100.0.0.2 netmask 255.255.255.0
(这里的IP为能在公网上使用的IP,这里设置了2个IP,可以为几个,
如果后面设置为10。0。0。5,那么这里就有5个公网IP,一般2个就够了)
Router(config)#exit
站内检索: |
 |