网安学习(二一)NAT 动态路由

网络地址转换NAT(Network Address Translation)

前言

由于ipv4地址不够用，所以有了公网私网

公网ip只能在公网使用，公网上不允许出现私有ip地址

私网ip只能在私网使用，私有ip可以重复在内网使用

私有地址范围

1）10.0.0.0/8 （10开头的）

2）172.16.0.0/16-172.31.0.0/16(172.16开头的到172.31开头的)

3）192.168.0.0/16 (192.168开头的)

组播地址和科研地址不属于公网ip也不属于私网ip

网络地址转换

作用：NAT主要实现公私有IP地址转换，一般是路由器或者防火墙上来完成，不建议在三层交换机是配置！

NAT有三大类：

1) 静态NAT(服务器)

        1对1映射

        静态PAT（端口映射技术）

2) 动态NAT（少用）

3) PAT（上网）

NAT的工作原理

1.定义内外网端口：

        内到外：转换源IP

        外到内：转换目标IP

转换表中的4类地址

        内部局部地址：发送方的内网

        内部全局地址：发送方的外网

        外部局部地址：接收方的内网

        外部全局地址：接收方的外网

PAT

端口多路复用

        主要是将内网的多个地址转换为外网的一个P地址（将端口一起转换，从而进行区分）

        将内网的多个地址直接转换为外网接口的地址

        是目前企业中最常使用的方式（源地址转换，NAT代理上网）

端口映射

        主要是将内网的某一台服务器（服务器上就会有对应的服务）映射到外网的某一个IP地址的某个端口

                192.168.1.100：80                 23.34.56.78.80

                因为内网的端口标识了服务类型，所以不能更改

                映射出去的外网端口可以更改，但是会影响外网客户端访问

        是目前企业中针对内网服务器对外提供服务时使用（目的地址转化）

NAT命令：

定义内网端口：

        int f0/0

                ip nat inside

                exit

        int f0/1

                ip nat outside

                exit

        配置PAT

                定义内部地址池

                acc 1 permit 192.168.0.0 0.0.255.255

                这里的acl是做匹配的，permit是匹配的意思

                做PAT动态映射                

                conf 

                ip nat inside  source          list 1                 int f0/1           overload（间隔1个空格）

                          源（内网）       目标     源若在地址池1        将目标转化为f0/1接口的地址 

        配置静态地址转换

        conf t

        ip nat inside source static tcp 192.168.1.3 80   100.1.1.2 80                           

  show ip nat translations         查看NAT地址转换表

  clear ip nat translations         清空NAT地址转换表

总结

静态转换

        1对1转换        1个内网地址转化为1个外网地址，形成的是永久的对应关系，可以根据外网地址直接定位到内网地址，可以实现内网访问外网，也可以实现外网访问内网

动态转换

        多对多转换        内网多个IP地址转换为外网多个IP，当内网主句数多于外网的IP地址个数，无法实现内网所有主句同时上网，由于是动态的对应关系，所以无法根据外网地址锁定内网地址，只能实现内网访问外网

端口多路复用PAT

        多对1转换        内网多个IP地址转换为外网一个IP地址，使用不同端口号进行区分，形成的也是动态的对应关系，只能实现内网访问外网

端口映射（服务器映射）

        主要是将内网的某一台服务器（服务器是就会有对应的服务）映射到外网的某一个IP地址的某一个端口

        形成的是一个永久的对应关系，但是只能实现外网访问内网，无法 现内网访问外 网

端口镜像 

1、本地端口镜像

        在一台交换机上

2、远程端口镜像

        将交换机A的某接口数据镜像到交换机B的某个接口上

一、基本概念

1、概述

        将一个或多个源端口的数据流量转发到某一个指定端口

2、目的

        主要是方便一个或多个网络接口流量进行分析（IDS入侵检测）

3、功能

        故障定位、流量分析、流量备份

4、配置

monitor session 1 source int f0/1 both                定义源接口，1为表名，both为监听发送和                                                                                接收的数据

monitor session 1 destination int f0/2                 定义目标接口

动态路由协议

概述

路由器之间用来交换信息的语言

基于某种路由协议实现

动态路由不需要手动配置路由，路由器之间能够互相学习

一般用于运营商，家用和大部分公司使用默认路由

网络稳定的情况建议使用静态路由，不稳定的情况使用动静结合

是在路由器设备上去启用某动态路由协议，进行自己直连网段的宣告，从而相邻的路由器就可以学习到相连的路由器所宣告的网段

常见的动态路由协议

• RIP：路由信息协议(距离矢量路由协议)

• OSPF：开放式最短路径优先（内部网关协议）

• BGP：边界网关协议

• EIGRP：增强内部网关路由协议

• IS-IS：中间系统到中间系统

什么是内部、什么是边界？

        AS（自治系统）：运行相同的路由协议的路由器属于同一个自治系统（内部网关）

        通过自治系统内连接外部的路由器，这个时候需要外部网关

        内部网关路由协议（IGP）：用于在单一自治系统中去决策路由的、RIP、OSPF

        外部网关协议（EGP）：用于连接不同自治系统，BGP

特点：

        减少了管理任务

        占用了网络带宽

度量值

        跳数、带宽、负载、时延、可靠性、成本

收敛

        使所有路由器都达到一致状态的过程

静态路由与动态路由的比较

        网络中的静态路由和动态路由互相补充

按照路由执行的算法分类

距离矢量路由协议

        根据从源网络到目标网络所经过的路由器的个数选择路由（度量值:跳数）

        RIP、IGRP

链路状态路由协议

        综合考虑从源网络到目标网络的各条路径的情况选择路由

        OSTF、ISIS

RIP路由协议

RIP是距离-矢量路由选择协议

一种内部网关路由协议，在单一自治系统内的路由器去传递路由信息

基本概念

        定期更新

        邻居

        广播更新

        全路由表更新

路由器学习到直连路由

RIP的版本

RIPv1

        有类型路由协议（采用标准子网掩码）

        广播更新

        不支持VLSM（可变长子网掩码，非标准子网掩码）

        自动路由汇总，不可关闭

        不支持不连续子网

RIPv2

        无类路由协议（可以使用非标准子网掩码）

        组播更新

        支持VLSM

        自动路由汇总，可以关闭

        支持不连续的子网

初始状态 Metric为度量值，此处为跳数

 第一次更新，没学完

 

 RIP度量值为跳数

        最大跳数为15跳，16跳为不可达

RIP更新时间

        每隔30s发送路由更新消息，UDP520端口

RIP路由更新消息

        发送整个路由表信息

路由环路

 

 

 执行水平分割可以阻止路由环路的产生(默认开启) 

从一个接口学习到路由信息，不在从这个接口发送出去

同时也能减少路由更新信息占用的链路带宽

 

图中120为管理路由值 （即优先级，见（十六））1为跳数

相关命令

        router rip

进入路由协议模式

                version 2                        版本1为不携带子网掩码，2携带

由于rip协议路由器在更新消息时默认不携带子网掩码（版本1），所以出现不同方向的路由表信息，两个方向都保留，会往两个方向都发送信息，所以需要关闭自动

                no auto-summary          关闭自动总结

                network 10.0.0.0            配置直连网段，a类地址不看后三位(a类地址子网掩码默                                                                                     认为255.0.0.0)

        exit

可在running-config里查看路由器的协议，也可使用以下命令

show ip protocols                                                                                                      

三层交换机结合路由协议实例

配置vlan30，让路由器连接三层交换机的二层端口

路由器之间配置 HSRP

三层交换机的路由表指向虚拟路由器

OSPF动态路由协议 

基本概念

1.OSPF开放式最短路径优先路由协议，是一个内部网关路由协议（在同一个自治系统内进行决策路）。

2.链路状态路由协议：在单一区域内的路由器是向相邻路由器发送链路信息，网络收敛后形成网络拓扑

3.工作过程

        相邻的路由器首先建立邻接关系

        根据链路状态信息，形成对应链路状态数据库

        根据OSPF自己的算法，进行”最短路径树“

        最终形成路由表

OSPF区域

1、划分区域

        为了适应大型网络

        每个OSPF的路由器只维护自己所在的区域的链路状态信息

        每个区域都有一个区域ID

                区域ID可以表示成一个十进制的数

                也可以表示成一个IP地址

        骨干区域

                主要负责区域之间的路由信息传播

                区域ID：0  或  0.0.0.0

        非骨干区域

                普通区域

        默认情况下，所有的非骨干区域和骨干区域直连

2、单区域内容

        在同一个区域当中通过选举DR和BDR来节省网络中的流量

                区域中的其他路由器只会和DR和BDR建立邻接关系

        DR和BDR的选举

                通过route ID进行选举，route ID最大的路由器作为DR，第二大的作为BDR

                route ID

                        首先选举路由器loopback上数值最高的地址

                                loopback它是路由器上的虚拟接口，是可以进行收发路由协议的报文，也可                                    以配置IP

                        lookback上没有配置地址，选取物理接口是最大的IP地址

                        也可以之间使用命令route-ID直接指定

3、OSPF的度量值

cost值（代价）

        基于链路带宽来决定

                100Mbs        1

                10Mbs         10

4、邻接关系建立

以什么方式去发送数据报文

        以组播方式发送

                224.0.0.5        代表所有OSPF路由器

                224.0.0.6        代表DR、BDR

报文类型

        hello报文：用于发现和维持邻居关系，用于选举DR和BDR

        数据库描述包（DBD）：向邻居发送自己的链路状态描述信息用来同步链路状态数据库

        链路状态请求包（LSR）:

        链路状态更新包（LSU）

        链路状态确认包（LSAck）

OSPF和RIP对比

RIP：rip1和rip2

        rip1：不支持可变长子网掩码，使用广播更新

        rip2：使用组播更新

        跳数限制都是15跳

        不能划分区域，网络收敛慢

OSPF

        使用组播更新

        网络收敛快，通过区域划分

        支持可变长子网掩码，主要体现在宣告是携带子网掩码

相关命令

conf t        

        route ospf 10                                             进入ospf配置模式，10是进程号

                network 网段 反子网掩码 area 0               配置直连网段，区域号

查看相关命令

show ip  ospf

show ip ospf neighbor             

OSPF多区域

一、多区域概念

1、目的

        实现大型网络

        划分区域后，实现单区域网络收敛

2、好处

        改善网络，更具有扩展性

        快速网络收敛

        减少了路由表，也减小了LSU的流量

3、OSPF的通信流量

        在区域内（域内通信量）

                DR和BDR

                内部路由器

        不同区域内（域间通信量）

                ABR（区域边界路由器）

        与其他自治系统之间(外部通信量)

                ASBR（自治系统边界路由器）

4、区域

        骨干区域

                area 0

        非骨干区域

                标准区域

                末梢区域（网络的边界）

                完全末梢（网络的边界，相较于末梢区域链路状态的信息会更少）

                非纯末梢（网络的边界，但还连接着其他AS）

5、链路状态通告（LSA）

6种链路状态通告

        类型1：路由器LSA，由区域内的路由器发出（内部路由器）

        类型2：网络LSA，由区域内的DR发出

        类型3：网络汇总LSA，由ABR发出

        类型4：ASBR汇总LSA,由ABR发出

        类型5：AS外部LSA，由ASBR发出

        类型7：非纯末梢区域的外部LSA

6、末梢区域

定义

        只有一个默认路由作为其区域的出口

        区域不能作为虚链路的穿越区域

        末梢区域里面没有自治系统边界路由器ASBR

        不是骨干区域0

特征

        末梢区域没有LSA4、5、7

        完全末梢区域除了一天路由外的LSA 3通告，没有LSA 3、4、6、7

        减少区域内的链路状态通告

相关命令：

配置为末梢区域

conf t

        route ospf 1

                area 2 stub

若要配置为完全末梢区域

                area 2 stub no-summary

 OSPF的高级配置

1.路由重分发

2.NASS区域

3.虚链路

一、路由重分发

1、需要重分发的路由

        将其他自治系统的路由重分发进OSPF自治系统内

        OSPF重分发RIP、静态路由、默认路由、直连路由

        RIP重分发OSPF

2、基本概念

        一个单一IP路由协议是管理网络中IP路由的首选方案 

        在大型的企业中，可能在同一网内使用到多种路由协议，为了实现多种路由协议的协同工作，路由器可以使用路由重分发将其学习到的一种路由协议的路由通过另一种路由协议广播出去，这样网络的所有部分都可以连通了。为了实现重分发，路由器必须同时运行多种路由协议，这样，每种路由协议才可以取路由表中的所有或部分其他协议的路由来进行广播

3、针对于重分发到OSPF自治系统内路由的路径类型

类型1：E1，内部代价加上外部代价（cost）

类型2：E2，只考虑外部代价（cost）

4、配置

        OSPF重分发配置静态路由配置实例

        router ospf 1

                redistribute static metric 100 subnets metric-type 2

        

        metric 度量值

        subnets 携带子网

OSPF重分发默认路由配置实例

 router ospf 1

        default-information originate

OSPF重分发RIP

  router ospf 1

                redistribute rip metric 200 subnets

 RIP重分发OSPF

router rip 1

        redistribute ospf 1 metric 10

二、NSSA区域

 1、基本概念

        即非纯末梢区域：在此区域内肯定会有一个ASBR路由器，需要在ASBR上配置重分发

        OSPF总计6种LSA：1、2、3、4、7

对LSA的影响

        类型7LSA在一个NSSA区域内携带外部信息

        类型7LSA在NSSA的ABR上被转化为5LSA

        不允许外部LSA

        汇总LSA被引入

NSSA类型

        N1

        N2

        通告NSSA的ABR之后转换为E1、E2

配置为NSSA区域

router ospf 1

        network 10.0.0.0 0.0.0.3 area 2

        area  2 nssa no-summary                                        配置为NSSA区域,关闭自动汇总

三、虚链路

        1、概念

        在两台ABR之间建立一条虚拟链路，穿越一个非骨干区域

        2、目的

        指一条通过一个非骨干区域连接到骨干区域的链路

        通过一个非骨干区域连接一个分段的骨干区域

        3、穿越区域的要求

        虚链路必须配置在两台ABR之间

        传送区域不能是末梢区域

        虚链路的稳定性取决于当前区域的稳定性

        虚链路还可以提供链路冗余

4.配置

router ospf 1

        area 1 virtual-link 对方的routeID

在另一台需要配置的路由器做相同操作

查看虚链路配置信息

sh ip ospf virtual-links