NAT地址轉(zhuǎn)換原理及配置解讀課件_第1頁
NAT地址轉(zhuǎn)換原理及配置解讀課件_第2頁
NAT地址轉(zhuǎn)換原理及配置解讀課件_第3頁
NAT地址轉(zhuǎn)換原理及配置解讀課件_第4頁
NAT地址轉(zhuǎn)換原理及配置解讀課件_第5頁
已閱讀5頁,還剩55頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

NAT地址轉(zhuǎn)換原理及配置ISSUE1.1日期:杭州華三通信技術(shù)有限公司版權(quán)所有,未經(jīng)授權(quán)不得使用與傳播NAT地址轉(zhuǎn)換原理及配置ISSUE1.1日期:杭州華三通信掌握NAT的工作原理熟悉NAT的配置實現(xiàn)了解NAT監(jiān)控調(diào)試方法常見組網(wǎng)及故障排查方法課程目標學(xué)習(xí)完本課程,您應(yīng)該能夠:掌握NAT的工作原理課程目標學(xué)習(xí)完本課程,您應(yīng)該能夠:NAT工作原理NAT配置實現(xiàn)NAT驗證及調(diào)試NAT常見組網(wǎng)目錄NAT工作原理目錄NAT地址轉(zhuǎn)換是在IP地址日益短缺的背景下出現(xiàn)的。一個局域網(wǎng)內(nèi)部有很多臺主機,可是不能保證每臺主機都擁有合法的IP地址,為了使所有的內(nèi)部主機都可以訪問Internet,需要進行地址轉(zhuǎn)換。地址轉(zhuǎn)換技術(shù)可以有效隱藏局域網(wǎng)內(nèi)的主機,是一種有效的網(wǎng)絡(luò)安全保護技術(shù)。地址轉(zhuǎn)換可以按照用戶的需要,在局域網(wǎng)內(nèi)向外提供FTP、WWW、Telnet等服務(wù)。NAT地址轉(zhuǎn)換是在IP地址日益短缺的背景下出現(xiàn)的。地址類別(公有地址和私有地址)公有地址和私有地址公有地址是因特網(wǎng)上全球唯一的IP地址,由IANA統(tǒng)一分配。私有地址為RFC規(guī)定的保留IP地址段,僅用于內(nèi)部網(wǎng),不能與Internet直接通信。Internet私有/8私有/12私有/24LANALANBLANC私有地址范圍:-55-55-55地址類別(公有地址和私有地址)公有地址和私有地址InternNAT基本概念2NATtableInsideAddress1PrivatePublicAddressPoolIPAddresspool11……0AddressPoolGlobalAddressHostARTA54/24/24HostBInternetHostC/24address-group1(1~0)NAT基本概念2NATBasicNAT/24HostARTA54/24/24HostBInternetHostC13245S=D=S=198.76.28..11D=S=D=1S=D=2NATtableInsideAddress1GlobalAddressS:源IP地址D:目的IP地址address-group1(1~0)BasicNAT/2410.0.0.NAPTHostARTA54/24/24HostBInternetHostC/2413245S=

P=1024D=P=21S=198.76.28..11P=2001D=P=21S=P=21D=1P=2001S=P=21D=

P=1024102413001NATtableInsideAddressPort102412001GlobalAddressPortS:源IP地址D:目的IP地址P:TCP、UDP端口address-group1(1~0)NAPTHostARTA54ALGALG:有些應(yīng)用層協(xié)議在數(shù)據(jù)中攜帶IP地址或端口信息,對它們作NAT時需要同時修改上層數(shù)據(jù)中的IP地址或端口信息。一些非TCP、UDP的協(xié)議(如ICMP、PPTP)作上層NAT時,需要對它們的特征參數(shù)(如ICMP的ID參數(shù))進行轉(zhuǎn)換。HostARTA54/24/24HostBInternetHostC/2413245S=

P=1024D=P=21S=198.76.28..11P=2001D=P=21S=P=21D=1P=2002S=P=21D=

P=5001500112002NATtableInsideAddressPort102412001GlobalAddressPort“S=P=5001”“S=1P=2002”FTPControl通道FTPData通道address-group1(1~0)ALGALG:HostARTA10.0.0.NATDNSmappingNATDNSmappingNAT工作原理NAT配置實現(xiàn)NAT驗證及調(diào)試NAT常見組網(wǎng)目錄NAT工作原理目錄EASYIPEasyIP:在地址轉(zhuǎn)換的過程中直接使用接口的IP地址作為轉(zhuǎn)換后的源地址。在接口視圖下配置:natoutboundacl-numberPrivatePublicHostARTA54/24/24HostBInternetHostC/24RTA使用E0/1接口的IP地址作為地址轉(zhuǎn)換后的公有IP地址E0/0E0/1EASYIPEasyIP:在地址轉(zhuǎn)換的過程中直接使用接口StaticNAT靜態(tài)映射:在內(nèi)部私有IP與外部公用IP之間建立一對一的映射關(guān)系。配置如下:(全局)natstaticip-addr1ip-addr2(接口)

natoutboundstaticPrivatePublicHostARTA54/24/24HostBInternetHostC/24RTA為HostA和HostB靜態(tài)映射公有地址E0/0E0/1StaticNAT靜態(tài)映射:在內(nèi)部私有IP與外部公用IP之多對多NATAddressPool:連續(xù)IP地址的集合,用于為內(nèi)部用戶動態(tài)分配公用地址。配置如下:(全局)nataddress-grouppool-numberstart-addrend-addr(接口)

natoutboundacl-numberaddress-grouppool-number[no-pat]注:no-pat指基于IP的地址轉(zhuǎn)換,缺省為pat方式。PrivatePublicHostARTA54/24/24HostBInternetHostC/24從地址池pool1中為HostA和HostB動態(tài)分配公有地址E0/0E0/1address-group1(1~0)多對多NATAddressPool:連續(xù)IP地址的集合,用NATServer內(nèi)部服務(wù)器:將(外部地址、端口)映射到內(nèi)部的服務(wù)器上,使外部網(wǎng)絡(luò)可訪問內(nèi)部服務(wù)器。配置如下:(接口)natserver[acl-number]protocol

pro-type

globalglobal-addr

[global-port]inside

host-addr

[host-port]PrivatePublicHostARTA54/24/24HostBInternetHostC/24RTA為HostA和HostB靜態(tài)映射(公有地址:端口)E0/0E0/1NATServer內(nèi)部服務(wù)器:將(外部地址、端口)映射到內(nèi)NAT工作原理NAT配置實現(xiàn)NAT驗證及調(diào)試NAT常見組網(wǎng)目錄NAT工作原理目錄驗證調(diào)試顯示地址轉(zhuǎn)換信息displaynat{address-group|aging-time|all|outbound|server|statistics|session|[slotslot-number

]|[sourceglobalglobal-addr|sourceinsideinside-addr]|[destionationip-addr

]}調(diào)試地址轉(zhuǎn)換過程debuggingnat{alg|event|packet[interfaceinterface-typeinterface-number]}清除地址轉(zhuǎn)換連接resetnatsession驗證調(diào)試顯示地址轉(zhuǎn)換信息NAT工作原理NAT配置實現(xiàn)NAT驗證、調(diào)試NAT常見組網(wǎng)目錄NAT工作原理目錄(一)EasyIPandStaticNAT組網(wǎng):HostA訪問HostC時使用EasyIP轉(zhuǎn)換,同時在RTA上為HostB提供靜態(tài)映射地址。PrivatePublicHostARTA54/24/24HostC1RTB/24E0/0E0/12E0/1E0/0HostB(一)EasyIPandStaticNAT組網(wǎng):Ho(一)配置實現(xiàn)RTA配置interfaceEthernet0/0ipaddress54interfaceEthernet0/1ipaddressnatoutbound2000natoutboundstaticaclnumber2000rule0permitsource55natstaticiproute-static0RTB配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddress(一)配置實現(xiàn)RTA配置RTB配置(二)內(nèi)部服務(wù)器組網(wǎng):RTA上配置內(nèi)部服務(wù)器,使HostC能夠訪問內(nèi)網(wǎng)的FTP服務(wù)器。當(dāng)HostA訪問HostC時使用address-group1中的地址。PrivatePublicHostARTA54/24/24HostC1RTB/24E0/0E0/12E0/1E0/0httpServeraddress-group1(1~0)(二)內(nèi)部服務(wù)器組網(wǎng):RTA上配置內(nèi)部服務(wù)器,使HostC能(二)配置實現(xiàn)RTA配置interfaceEthernet0/0ipaddress54interfaceEthernet0/1ipaddressnatoutbound2000address-group1natserver3000protocoltcpglobal0httpinsidehttpaclnumber2000rule0permitsource55aclnumber3000rule0permitipsource0destination0rule1denyipnataddress-group110iproute-static0RTB配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddress(二)配置實現(xiàn)RTA配置RTB配置內(nèi)部服務(wù)器(續(xù))組網(wǎng):PC機同時要實現(xiàn)使用公網(wǎng)域名與公網(wǎng)IP訪問訪問內(nèi)部服務(wù)器內(nèi)部服務(wù)器(續(xù))組網(wǎng):PC機同時要實現(xiàn)使用公網(wǎng)域名與公網(wǎng)IP配置實現(xiàn)(續(xù))路由器配置命令(MSR最新版本)interfaceGigabitEthernet0/1#外網(wǎng)口portlink-moderoute

natoutbound2000natserverprotocoltcpglobalwwwinsidewwwipaddress路由器配置命令(MSR之前版本)[H3C-acl-adv-3000]rule0permitipsource55destination0interfaceGigabitEthernet0/0#內(nèi)網(wǎng)口[H3C-GigabitEthernet0/0]natoutbound3000[H3C-GigabitEthernet0/0]natserverprotocoltcpglobalwwwinsidewww配置實現(xiàn)(續(xù))路由器配置命令(MSR最新版本)路由器配置命令(三)雙出口地址轉(zhuǎn)換組網(wǎng):用戶有多條Internet出口線路,通往Public1和Public2,要求HostA訪問Public1時用address-group1地址,訪問Public2時用address-group2地址。PrivatePublic2HostARTA54/24/24HostB1RTB/24HostC/24RTC/24/24E0/0E0/1212E1/0E0/0E0/1E0/1E0/0address-group2(1~0)Public1address-group1(1~0)(三)雙出口地址轉(zhuǎn)換組網(wǎng):用戶有多條Internet出口線路(三)配置實現(xiàn)RTA配置interfaceEthernet0/0ipaddress54interfaceEthernet0/1ipaddress

natoutbound2000address-group1interfaceEthernet1/0ipaddressnatoutbound2000address-group2aclnumber2000rule0permitsource55nataddress-group110nataddress-group210iproute-static24iproute-static24RTB配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddressRTC配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddress(三)配置實現(xiàn)RTA配置RTB配置雙出口(續(xù))組網(wǎng):同一臺設(shè)備多個公網(wǎng)出口,不同的外網(wǎng)用戶從對應(yīng)的接口訪問內(nèi)部服務(wù)器,并且返回數(shù)據(jù)按照原路返回雙出口(續(xù))組網(wǎng):同一臺設(shè)備多個公網(wǎng)出口,不同的外網(wǎng)用戶從對NAT的應(yīng)用場合NAT的基本工作原理NAT的分類NAT的基本配置實現(xiàn)NAT的驗證及調(diào)試方法本章總結(jié)NAT的應(yīng)用場合本章總結(jié)參考資料RFC2663IPNetworkAddressTranslator(NAT)TerminologyandConsiderationsRFC2993ArchitecturalImplicationsofNATRFC3022TraditionalIPNetworkAddressTranslator(TraditionalNAT)RFC3027ProtocolComplicationswiththeIPNetworkAddressTranslator參考資料RFC2663NAT地址轉(zhuǎn)換原理及配置解讀課件NAT地址轉(zhuǎn)換原理及配置ISSUE1.1日期:杭州華三通信技術(shù)有限公司版權(quán)所有,未經(jīng)授權(quán)不得使用與傳播NAT地址轉(zhuǎn)換原理及配置ISSUE1.1日期:杭州華三通信掌握NAT的工作原理熟悉NAT的配置實現(xiàn)了解NAT監(jiān)控調(diào)試方法常見組網(wǎng)及故障排查方法課程目標學(xué)習(xí)完本課程,您應(yīng)該能夠:掌握NAT的工作原理課程目標學(xué)習(xí)完本課程,您應(yīng)該能夠:NAT工作原理NAT配置實現(xiàn)NAT驗證及調(diào)試NAT常見組網(wǎng)目錄NAT工作原理目錄NAT地址轉(zhuǎn)換是在IP地址日益短缺的背景下出現(xiàn)的。一個局域網(wǎng)內(nèi)部有很多臺主機,可是不能保證每臺主機都擁有合法的IP地址,為了使所有的內(nèi)部主機都可以訪問Internet,需要進行地址轉(zhuǎn)換。地址轉(zhuǎn)換技術(shù)可以有效隱藏局域網(wǎng)內(nèi)的主機,是一種有效的網(wǎng)絡(luò)安全保護技術(shù)。地址轉(zhuǎn)換可以按照用戶的需要,在局域網(wǎng)內(nèi)向外提供FTP、WWW、Telnet等服務(wù)。NAT地址轉(zhuǎn)換是在IP地址日益短缺的背景下出現(xiàn)的。地址類別(公有地址和私有地址)公有地址和私有地址公有地址是因特網(wǎng)上全球唯一的IP地址,由IANA統(tǒng)一分配。私有地址為RFC規(guī)定的保留IP地址段,僅用于內(nèi)部網(wǎng),不能與Internet直接通信。Internet私有/8私有/12私有/24LANALANBLANC私有地址范圍:-55-55-55地址類別(公有地址和私有地址)公有地址和私有地址InternNAT基本概念2NATtableInsideAddress1PrivatePublicAddressPoolIPAddresspool11……0AddressPoolGlobalAddressHostARTA54/24/24HostBInternetHostC/24address-group1(1~0)NAT基本概念2NATBasicNAT/24HostARTA54/24/24HostBInternetHostC13245S=D=S=198.76.28..11D=S=D=1S=D=2NATtableInsideAddress1GlobalAddressS:源IP地址D:目的IP地址address-group1(1~0)BasicNAT/2410.0.0.NAPTHostARTA54/24/24HostBInternetHostC/2413245S=

P=1024D=P=21S=198.76.28..11P=2001D=P=21S=P=21D=1P=2001S=P=21D=

P=1024102413001NATtableInsideAddressPort102412001GlobalAddressPortS:源IP地址D:目的IP地址P:TCP、UDP端口address-group1(1~0)NAPTHostARTA54ALGALG:有些應(yīng)用層協(xié)議在數(shù)據(jù)中攜帶IP地址或端口信息,對它們作NAT時需要同時修改上層數(shù)據(jù)中的IP地址或端口信息。一些非TCP、UDP的協(xié)議(如ICMP、PPTP)作上層NAT時,需要對它們的特征參數(shù)(如ICMP的ID參數(shù))進行轉(zhuǎn)換。HostARTA54/24/24HostBInternetHostC/2413245S=

P=1024D=P=21S=198.76.28..11P=2001D=P=21S=P=21D=1P=2002S=P=21D=

P=5001500112002NATtableInsideAddressPort102412001GlobalAddressPort“S=P=5001”“S=1P=2002”FTPControl通道FTPData通道address-group1(1~0)ALGALG:HostARTA10.0.0.NATDNSmappingNATDNSmappingNAT工作原理NAT配置實現(xiàn)NAT驗證及調(diào)試NAT常見組網(wǎng)目錄NAT工作原理目錄EASYIPEasyIP:在地址轉(zhuǎn)換的過程中直接使用接口的IP地址作為轉(zhuǎn)換后的源地址。在接口視圖下配置:natoutboundacl-numberPrivatePublicHostARTA54/24/24HostBInternetHostC/24RTA使用E0/1接口的IP地址作為地址轉(zhuǎn)換后的公有IP地址E0/0E0/1EASYIPEasyIP:在地址轉(zhuǎn)換的過程中直接使用接口StaticNAT靜態(tài)映射:在內(nèi)部私有IP與外部公用IP之間建立一對一的映射關(guān)系。配置如下:(全局)natstaticip-addr1ip-addr2(接口)

natoutboundstaticPrivatePublicHostARTA54/24/24HostBInternetHostC/24RTA為HostA和HostB靜態(tài)映射公有地址E0/0E0/1StaticNAT靜態(tài)映射:在內(nèi)部私有IP與外部公用IP之多對多NATAddressPool:連續(xù)IP地址的集合,用于為內(nèi)部用戶動態(tài)分配公用地址。配置如下:(全局)nataddress-grouppool-numberstart-addrend-addr(接口)

natoutboundacl-numberaddress-grouppool-number[no-pat]注:no-pat指基于IP的地址轉(zhuǎn)換,缺省為pat方式。PrivatePublicHostARTA54/24/24HostBInternetHostC/24從地址池pool1中為HostA和HostB動態(tài)分配公有地址E0/0E0/1address-group1(1~0)多對多NATAddressPool:連續(xù)IP地址的集合,用NATServer內(nèi)部服務(wù)器:將(外部地址、端口)映射到內(nèi)部的服務(wù)器上,使外部網(wǎng)絡(luò)可訪問內(nèi)部服務(wù)器。配置如下:(接口)natserver[acl-number]protocol

pro-type

globalglobal-addr

[global-port]inside

host-addr

[host-port]PrivatePublicHostARTA54/24/24HostBInternetHostC/24RTA為HostA和HostB靜態(tài)映射(公有地址:端口)E0/0E0/1NATServer內(nèi)部服務(wù)器:將(外部地址、端口)映射到內(nèi)NAT工作原理NAT配置實現(xiàn)NAT驗證及調(diào)試NAT常見組網(wǎng)目錄NAT工作原理目錄驗證調(diào)試顯示地址轉(zhuǎn)換信息displaynat{address-group|aging-time|all|outbound|server|statistics|session|[slotslot-number

]|[sourceglobalglobal-addr|sourceinsideinside-addr]|[destionationip-addr

]}調(diào)試地址轉(zhuǎn)換過程debuggingnat{alg|event|packet[interfaceinterface-typeinterface-number]}清除地址轉(zhuǎn)換連接resetnatsession驗證調(diào)試顯示地址轉(zhuǎn)換信息NAT工作原理NAT配置實現(xiàn)NAT驗證、調(diào)試NAT常見組網(wǎng)目錄NAT工作原理目錄(一)EasyIPandStaticNAT組網(wǎng):HostA訪問HostC時使用EasyIP轉(zhuǎn)換,同時在RTA上為HostB提供靜態(tài)映射地址。PrivatePublicHostARTA54/24/24HostC1RTB/24E0/0E0/12E0/1E0/0HostB(一)EasyIPandStaticNAT組網(wǎng):Ho(一)配置實現(xiàn)RTA配置interfaceEthernet0/0ipaddress54interfaceEthernet0/1ipaddressnatoutbound2000natoutboundstaticaclnumber2000rule0permitsource55natstaticiproute-static0RTB配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddress(一)配置實現(xiàn)RTA配置RTB配置(二)內(nèi)部服務(wù)器組網(wǎng):RTA上配置內(nèi)部服務(wù)器,使HostC能夠訪問內(nèi)網(wǎng)的FTP服務(wù)器。當(dāng)HostA訪問HostC時使用address-group1中的地址。PrivatePublicHostARTA54/24/24HostC1RTB/24E0/0E0/12E0/1E0/0httpServeraddress-group1(1~0)(二)內(nèi)部服務(wù)器組網(wǎng):RTA上配置內(nèi)部服務(wù)器,使HostC能(二)配置實現(xiàn)RTA配置interfaceEthernet0/0ipaddress54interfaceEthernet0/1ipaddressnatoutbound2000address-group1natserver3000protocoltcpglobal0httpinsidehttpaclnumber2000rule0permitsource55aclnumber3000rule0permitipsource0destination0rule1denyipnataddress-group110iproute-static0RTB配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddress(二)配置實現(xiàn)RTA配置RTB配置內(nèi)部服務(wù)器(續(xù))組網(wǎng):PC機同時要實現(xiàn)使用公網(wǎng)域名與公網(wǎng)IP訪問訪問內(nèi)部服務(wù)器內(nèi)部服務(wù)器(續(xù))組網(wǎng):PC機同時要實現(xiàn)使用公網(wǎng)域名與公網(wǎng)IP配置實現(xiàn)(續(xù))路由器配置命令(MSR最新版本)interfaceGigabitEthernet0/1#外網(wǎng)口portlink-moderoute

natoutbound2000natserverprotocoltcpglobalwwwinsidewwwipaddress路由器配置命令(MSR之前版本)[H3C-acl-adv-3000]rule0permitipsource55destination0interfaceGigabitEthernet0/0#內(nèi)網(wǎng)口[H3C-GigabitEthernet0/0]natoutbound3000[H3C-GigabitEthernet0/0]natserverprotocoltcpglobalwwwinsidew

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論