第九章:NAT(网络地址转换协议)

最新推荐文章于 2024-03-15 10:35:20 发布
最新推荐文章于 2024-03-15 10:35:20 发布
阅读量3.1k 收藏 22
点赞数 1
分类专栏: 网络 文章标签: 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57515995/article/details/124469347
版权

文章目录

一、NAT

1、NAT介绍

●NAT称为 “网络地址转换协议” ,用于实现私有网络和公有网络之间的互访。

●回顾一下网络地址:

①公有网络地址

是指在互联网上全球唯一的IP地址

●A类:1.0.0.1 ~ 126.255.255.254

●127开头的IP地址代表本机地址,

●B类:128.0.0.1 ~ 191.255.255.254

●C类:192.0.0.1 ~ 223.255.255.254

●D类:224.0.0.1 ~ 239.255.255.254

●E类:240.0.0.1 ~ 255.255.255.254

②私有网络地址

私有网络地址是指内部网络或主机的IP地址,IANA(互联网数字分配机构)规定将下列的IP保留用作死亡地址,不在internet上被分配,可在一个单位公司内部使用:

●A类私有地址:10.0.0.0~10.255.255.255

●B类私有地址:172.16.0.0~172.31.255.255

●C类私有地址:192.168.0.0~192.168.255.255

2、NAT工作原理

NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与共外网主机进行通信。

●特点:

NAT外部的主机无法跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发。

image-20220427171141156

●小结:

数据有来也有回

数据包是从内网------》外网(会转换源IP地址,由私网地址转换成公网地址)

数据包是从外网------》内网(会转换目的IP地址,由公网地址转换成内网地址)

3、NAT功能

●NAT不仅解决了IP地址不足的问题,而且还能够有效的避免来自网络外部的入侵,隐藏并保护网络内部的计算机。

**①宽带分享:**这是NAT主机最大的功能

**②安全防护:**NAT之内的PC端到internet上面时,他所显示的IP是NAT主机的公网IP,所以客户端段的PC就具有一定程度的安全性,外界在进行portscan(端口扫描)的时候,就侦测不到源客户端的pc。

**优点:**节省公有合法IP地址,处理地址重叠、增强灵活性、安全性。

**缺点:**延迟增大、配置和维护的复制性,不支持某些应用(比如VPN)

二、NAT的实现方式

1、静态转换(static Translation)

●静态NAT实现私网地址和公网地址的一对一转换,有多个私网地址就需要配置多少个公网地址。

●静态NAT不能节约公网地址,但可以起到隐藏内部网络的作用

●内部网络向外部网络发送报文时,静态将报文的原地址替换为对应的公网地址。

●外部网络向内部网络发送响应报文时,静态NAT将报文的目的地址替换为相应的私网地址。

●有两种配置方法

①全局模式下设置静态NAT

[R1]nat static global 10.0.0.5 inside 192.168.10.10  ###全局设置内网IP映射为公网IP
#中文:静态NAT   全局  转换后的公网IP 内部 内网IP
[R1]int  g0/0/1   ###外网口

[R1-GigabitEthernet0/0/1]nat static enable     ###在网口上启动nat功能

②直接在接口上申明nat static

[R1]int g0/0/1   ###外网口

[R1-GigabitEthernet0/0/1]nat static global 10.0.0.5 inside 192.168.10.10  ###全局设置内网IP映射为公网IP

[R1]dis nat static   ###查看NAT静态配置信息

实验对比

image-20220427194142184

●说明:蓝色部分为内网,通过路由器AR1访问外部服务器。上述拓扑图进行正常配置,然后抓包查看公网时源IP和目标IP的地址,抓包图可以看出,源IP为:192.168.10.10,目标IP:10.0.0.2,这正是我们配置的IP。

后续将配置NAT静态,再次查看源和目标IP

image-20220427194743324

●说明:配置NAT静态后,重新抓包发现,源目标IP发生改变,源IP已被转换为公网IP地址。需要注意的是:转换后的公网IP地址不能与公网接口IP冲突。

2、动态转换

多个私网IP地址对应多个公网IP地址,基于地址池映射。相当于就多对多映射。

2.1 ACL(访问控制列表)

●在理解动态转换之前,需要了解ACL是什么。

●ACL为访问控制列表,主要作用就是允许或拒绝源地址和反掩码(/24的反掩码:0.0.0.255)通过

●简单理解:相当于一种协议,门槛,如果要用到动态NAT就必须使用ACL来进行定义数据怎么通过以什么方向通过。

①工作原理

当数据包从接口经过时,由于接口启动了ACL,此时路由器会对报文进行检查,然后做出相应的处理。

②ACL种类

基本ACL(2000-2999):只能匹配源IP地址

高级ACL(3000-3999):可以匹配源IP,目标IP,源端口、目标端口等三层和四层的字段和协议

二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息指定规则。

③ACL的应用原则

基本ACL,尽量用在靠近目的点

高级ACL,尽量在靠近源的地方(可以保护带宽和其它资源)

2.2 配置动态NAT

●定义外网地址池

[R1]nat address-group 1 200.10.100.10 200.10.100.20   

 ###新建一个名为1的nat公网地址池,范围是200.10.100.10 到200.10.100.20

●定义ACL访问列表

[R1]acl 2000   ###创建ACL

[R1-ACL-BASIC-2000]rule permit source 192.168.1.0 0.0.0.255
           中文:    规则  允许   源头 (要通过的IP地址和反掩码,注:如果要允许所有通过IP为:0.0.0.0)
###允许192.168.1.0网段通过(将permit换成deny则是拒绝)

●在外网口上设置动态IP地址转换

[R1]int g0/0/1   ###进入外网口

[R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1
                    中文:  端口出的方向          地址组为
###将ACL 2000匹配的数据转换为地址组里面的任意一个
[R1]dis nat outbound    ###查看nat信息表

实验效果

image-20220427210045562

●说明:根据静态NAT对比实验,理解了如果不设置NAT,抓包将会出现我们配置的源和目标IP,这里直接体现当我们配置了动态NAT时查看抓包数据。

●使用PC2去pingPC3时,原来源IP应为:192.168.1.20,现设置了动态NAT后,源IP将会在公网地址池中随机映射一个公网IP。由抓包数据发现源IP已变为200.10.12,属于我们设置的公网地址池中的一个。

●再来看一下PC1pingPC3时源IP将会映射什么样的公网IP。

image-20220427210746240

●说明:可发现源IP已变成200.10.100.17,也在公网地址池范围内。

3、端口多路复用

3.1 PAT的作用

●改变数据包的IP地址和端口号

●能大量节约公网IP地址

3.2 PAT类型

●动态PAT:包括NAPT和EasyIP

●静态PAT:包括NAT Server

3.3 EasyIP配置

●Easy IP:多个私网IP地址对应路由器外网接口公网IP地址,相当于多对一

优势:不需要像静态NAT和动态NAT那样消耗大量的公网IP地址。

●定义ACL访问控制列表

[R1]acl 2000   ###创建ACL

[R1-acl-adv-2000]rule permit source 192.168.1.0 0.0.0.255
#允许192.168.1.0网段ip地址通过

在外网口上设置动态IP地址转换

[R1]int g0/0/1   ##进入外网口

[R1-GigabitEthernet0/0/1]nat outbound 2000  ##当ACL2000匹配到源ip数据到达此接口时,转换为该接口的IP地址作为公网ip地址(此处不需要再标识地址池,因为前面没有定义,且是转换为端口ip)

[R1]display nat outbound   ###查看nat信息表

●实验效果

image-20220427222857317

●说明:在PC2上进行配置PC3,可发现源ip地址已被转换为:200.10.100.1。

image-20220427223639402

●说明:在PC1上进行pingPC3,可发现源ip转换的外网地址与PC2转换的一致,所以可以呈现出多对一的效果。

3.4 静态PAT配置

●NAT Server:端口映射,将私网地址端口映射到公网地址,实现内网服务器供外网用户访问。

image-20220428000602248

●在外网口设置静态PAT转换

[R1]int g0/0/1   ###进入外网接口
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 200.10.100.5 21 inside 192.168.1.10 21
###设置服务器ip和端口映射为公网ip地址和端口号(公网ip存储在本机回环上,且子网掩码为32,所以需要设置静态路由)
R1-GigabitEthernet0/0/1]display nat server   ###查看nat服务器
[R1]nat alg all enable 
#FTP服务默认数据端口没有开启,需要手动去开

●设置静态路由

[R1]ip route-static 0.0.0.0 0.0.0.0 200.10.100.2  ###设置默认路由
[R2]ip route-static 200.10.100.5 32 200.10.100.2  ###设置静态路由(目的地址是R1的公网地址,也就是服务器映射的公网地址,它存储在回环上面,子网掩码为32)

三、总结

●NAT 是对内网IP/PORT 转换为外网IP/PORT 的一种映射的技术
●NAT 的作用:
① 节省ipv4地址(跨2个网络环境的IP就可以借助于NAT的技术来支持重复IP)
② 安全性(让外网网络设备无法直接获取内网的IP/PORT)
③ 灵活性

●NAT 常用的方式:
① EasyIP ——》EIP : 一组内网地址映射为一个外网接口IP
场景:常规企业的公网IP 例如www.baidu.com 域名对应的IP
② 静态NAT
③ 静态PAT
④ 动态NAT-PAT
2 - 4 主要用于公司内部进行划分
●静态NAT 配置:
两种方式:一种在系统视图模式配置
一种在接口模式中配置

●动态NAT配置
需要配置ACL
●ACL 范围:
基本acl (2000-2999) :只能匹配源ip地址。 (与接口中的outbound 和inbound(方向)来配合)
高级acl (3000-3999) :可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。
二层ACL(4000-4999):根据数据包的源MAC地址、目的MAc地址、802.1q优先级、二层协议类型等二层信息制定规则。

yu.deqiang
关注
  • 1
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机网络考研期末知识点总结
03-12
计算机网络考研期末知识点总结,背诵,背诵,背诵 第一章概述 1.计算机网络的组成 2.电路交换、报文交换、分组交换 3.计算机网络的类别及其特点 4.计算机网络的性能指标 5.采用分层网络体系结构的原因 6.具有五层协议网络体系结构的特点及各层的主要功能 7.实体、协议、服务 第二章物理层 1.物理层的主要任务 2.常用的传输媒体及其特点 3.三种通信交互方式 4.编码与调制 5.奈氏准则 6.香农公式 7.中继器和集线器 第三章数据链路层 1.数据链路层的三个基本问题 2.封装成帧 3.差错检测 4.透明传输 5.PPP协议 6.常用的信道复用技术 7.CSMA/CD协议 8.最大&最小帧长 9.CSMA/CA协议 10.局域网和广域网 11.以太网 12.网桥&以太网交换机 第四章网络层 1.网络层提供的服务 2.IP数据报 3.IP地址 4.地址解析协议ARP 5.网际控制报文协议ICMP 6.网络地址转换NAT 7.IPv6 8.路由选择协议 9.路由器 10.路由表与转发表 第五章传输层 1.传输层的功能 2.传输层常用端口号 3.面向连接与无连接 4.UDP的主要特点
网络互连_网桥.路由器.交换机和互连协议
11-24
前 言本书讲述了在互联网上传送数据的“盒子”的内部是如何工作的,这些“盒子”有不同的名称:网桥、路由器、交换机和集线器。本书也讲述了连接到网络上的设备。在这个领域有不少的混乱。大多数术语的定义不准确,使用时相互抵触;术语及规范的数量惊人;一些知识分布在不同的文档中,还有很多非书面的民间智慧。引起混乱的还有教条。信念被当成真理,对任何教条的置疑都会引起不满的回应。但良好的工程要求我们懂得我们在做什么,以及为什么这样做;要求我们保持开放的思想,从经验中获得知识。在本书中,我没有直接讨论某个协议的细节,而是首先集中在所要解决的问题上。我考查了每个问题的多种解决方法,讨论其中涉及的工程折衷。然后我检查已经应用的方案,对这些方案进行比较。对任何观点,我都给出了技术上的理由,如果你认为我遗落了某些论据,欢迎通过电子邮件与我进行讨论。我的电子邮件地址附在书后,希望你从头到尾读过本书后才能找到它。在本书第1版中,我的意图是帮助人们理解问题和通常的解决方案,而假定他们会去阅读规范以得到特定协议的细节。但人们不仅利用本书来理解问题,还把它当作参考书。因此在本版中,我收录了更多的协议细节。我认为,要深入了解某件东西必须把它与其它东西作比较。第1版是“最小化”的,因为我常只举两个例子:两种网桥,网桥与路由器,面向连接的与无连接的网络协议,两个无连接的协议(CLNP和IP)。在本版中我增加了更多的例子,包括ATM、IPv6、IPX、AppleTalk和DECnet。这样做,部分是因为这些协议存在着,并且较难找到相关的信息。但更主要的,是因为这些协议体现了不该错过的有趣的想法。当我们设计新协议时,应该学习以前的想法,无论是好的还是坏的。另外,在对问题作了一般描述之后,就很容易讨论一些例子。本书导读前四章与第1版中的相应部分没有明显的不同,但其余部分已大量重写。第1章至第4章包括了一般网络概念、数据链路问题(如编址和复用)、透明桥和生成树算法及源路由网桥。第5章是全新的,解释了交换的概念如何演变到重新发现网桥。它也包括了VLAN和快速以太网。余下部分集中在第三层(网络层)。第6章是网络层概览,第7章涉及面向连接的网络,包括ATM和X.25。第8章讨论无连接网络层的一般问题,第9章包括了第三层中的一般编址技术,详尽比较了IP、IPv6、CLNP、DECnet、AppleTalk和IPX。第10章谈到在网络层报头中应出现的信息及几种协议报头的对比。第11章涉及自动配置和近邻发现,包括ARP和DHCP协议。第12章是一般的路由选择算法。第13章讨论最长前缀匹配问题,这在快速转发IP包时需要。第14章讨论各种路由选择协议的特点,包括RIP、IS-IS、OSPF、PNNI、NLSP和BGP。第15章是网络层组播。第16章说明如何设计免受破坏的网络,这在将来会有用。最后两章总结了本书,我希望它们是轻松有趣的。第17章探究了将网桥和路由器区别开来的秘密,第18章试图收集人们有关如何设计协议的经验知识。最后有一张术语表。我在第一次使用某个术语时会给出定义,但如果我没有给出定义,你也可以从术语表中找到。 本书被认为是讲述网络理论和实践的主要书籍之一。除介绍了一般的网络概念外,对路由算法和协议、编址、网桥、路由器、交换机和集线器的功能结构等都提供了权威和全面的信息。包括网络领域的最新发展,如交换和桥接技术、VLAN、快速以太网、DHCP、ATM以及IPv6等。作者以专家的洞察力分析了网络的运作过程和工作机理,并深入到技术背后的概念和原理,帮助读者获得对可用的解决方案的更深理解。本书适用于作为大专院校计算机专业本科生网络课程的教材,也适用于从事网络研究的技术人员和其他对网络技术有兴趣的人员。 译者序 前言 第1章 网络基本概念 1 1.1 网络分层模型 1 1.2 服务模型 5 1.3 网络的重要特性 7 1.4 可靠的数据传输协议 9 第2章 数据链路层 14 2.1 一般的LAN 14 2.1.1 什么是局域网 14 2.1.2 轮转 15 2.2 IEEE 802 LAN 16 2.3 名字、地址与路由 17 2.4 局域网地址 18 2.5 组播地址与单播地址 19 2.6 广播地址 20 2.7 复用字段 20 2.8 位序 23 2.9 逻辑链路控制 24 2.10 802.3中的问题 25 2.11 802.5中的问题 27 2.12 包的突发性 28 2.13 需要网桥的理由 28 2.14 点对点链路 29 第3章 透明网桥 32 3.1 纯网桥 32 3.2 学习式网桥 33 3.3 生成树算法 41 3.3.1 配置消息 42 3.3.2 计算根ID以及到根网桥的费用 44 3.3.3 选择生成树的端口 44 3.3.4 一个例子 45 3.4 生成树算法的改进 45 3.4.1 故障 46 3.4.2 避免临时循环 47 3.4.3 站点缓冲区超时值 49 3.4.4 网络范围的参数 50 3.4.5 端口ID 51 3.4.6 分配端口号 52 3.4.7 性能问题 53 3.4.8 单向连通 53 3.4.9 可设参数 54 3.5 网桥报文格式 55 3.5.1 配置信息格式 55 3.5.2 拓扑变化通告信息的格式 56 3.6 其他的网桥问题 57 3.6.1 多连接的站点 57 3.6.2 配置过滤器 58 3.6.3 网桥的不完全透明 60 3.7 远程网桥 62 第4章 源路由网桥 68 4.1 纯源路由 68 4.1.1 路由信息报头 68 4.1.2 网桥编号 69 4.1.3 网桥算法 72 4.2 SR-TB网桥 74 4.2.1 从TB端口发出的包 74 4.2.2 从SR端口发出的包 75 4.2.3 环 76 4.3 SRT网桥 77 4.4 端系统算法 78 4.4.1 什么时候寻找路由 78 4.4.2 怎样发现一个路由 79 4.4.3 通过目的端发现路由 83 4.4.4 路由选择 83 4.5 源路由与透明网桥 83 4.5.1 带宽费用 83 4.5.2 配置难易度 84 4.5.3 普遍性 84 4.5.4 网桥的费用和性能 85 4.6 改善源路由网桥的方法 85 4.6.1 源路由网桥的自动配置 85 4.6.2 使指数级的开销固定 86 第5章 集线器、交换机、虚拟局域网与 快速以太网 90 5.1 集线器 90 5.1.1 学习式HUB和安全性 91 5.1.2 存储-转发和生成树 91 5.1.3 混合L1和L2的交换机 92 5.1.4 产品与标准,L1与L2 93 5.2 快速LAN 93 5.3 虚拟局域网 95 5.3.1 为什么需要虚拟局域网 96 5.3.2 映射端口到虚拟局域网 97 5.3.3 举例:虚拟局域网使用独立路由器 转发 97 5.3.4 举例:虚拟局域网使用交换机作为 路由器转发 98 5.3.5 动态绑定链路到虚拟局域网 99 5.3.6 动态虚拟局域网绑定,交换机- 交换机 101 第6章 网络接口:服务模型 104 6.1 什么是网络层 104 6.2 网络服务类型 104 6.2.1 性能保证 105 6.2.2 服务模型选择举例 105 6.2.3 混合策略 106 6.2.4 无连接与面向连接 107 第7章 面向连接的网络:X.25和ATM 110 7.1 一般的面向连接的网络 110 7.2 X.25:可靠的面向连接服务 111 7.2.1 基本思想 112 7.2.2 虚电路号 113 7.2.3 呼叫建立 113 7.2.4 数据转发 114 7.2.5 流控制 117 7.2.6 功能 119 7.2.7 呼叫释放 119 7.2.8 中断 120 7.3 在网络内部实现X.25 120 7.3.1 电路方法 120 7.3.2 基于数据报的可靠连接方法 121 7.3.3 比较 121 7.4 异步传输模式 121 7.4.1 信元大小 122 7.4.2 虚电路和虚路径 122 7.4.3 ATM服务种类 124 7.4.4 ATM信元头部格式 124 7.4.5 连接的建立与释放 125 7.4.6 ATM适应层 126 第8章 一般的无连接的服务 129 8.1 数据传输 129 8.2 地址 129 8.3 跳计数 129 8.4 服务类型信息 130 8.4.1 优先级 130 8.4.2 带宽预留和服务保证 131 8.4.3 特别的路由计算 131 8.5 网络反馈 132 8.6 分段和重组 132 8.7 最大包的发现 133 第9章 网络地址 135 9.1 有固定边界的分层地址 135 9.2 有活动边界的分层地址 136 9.3 自有地址和租用地址 137 9.4 地址类型 138 9.5 IP 138 9.5.1 IP地址规定 140 9.5.2 IP地址文字表示 141 9.6 IPX 141 9.6.1 采用唯一ID的保密性问题 142 9.6.2 对IPX恶意的中伤 142 9.6.3 IPX地址管理 142 9.6.4 内部IPX网络号 143 9.7 IPX+ 144 9.8 IPv6 145 9.8.1 IPv6版本编号由来 146 9.8.2 IPv6地址的书写表示 146 9.8.3 IPv6前缀的书写表示 146 9.8.4 EUI-64 147 9.8.5 IPv6中用的EUI-64类型 148 9.8.6 IPv6地址约定 148 9.8.7 从IPv4到IPv6的转换 149 9.9 CLNP网络地址 149 9.9.1 自动配置 151 9.9.2 内嵌的DTE地址 151 9.10 AppleTalk网络地址 152 9.11 DECnet Phase 3和Phase 4 153 9.11.1 位的来由 153 9.11.2 DECnet Phase 4地址 153 9.11.3 从DECnet 地址到以太网地址的 映射 153 9.12 NAT/NAPT 154 第10章 无连接数据包格式 156 10.1 无连接网络层的几个部分 156 10.2 数据包 156 10.3 包格式汇总以便参阅 157 10.3.1 IP 157 10.3.2 IPX 157 10.3.3 IPX+ 158 10.3.4 AppleTalk 159 10.3.5 IPv6 160 10.3.6 DECnet 160 10.3.7 CLNP 161 10.4 数据包格式的技术特征与比较 162 10.4.1 目的地址 162 10.4.2 源地址 163 10.4.3 目标与源套接字 163 10.4.4 报头长度 163 10.4.5 包长度 163 10.4.6 报头校验和 164 10.4.7 允许分段 164 10.4.8 包标识 165 10.4.9 分段偏移 165 10.4.10 预分段长度 166 10.4.11 多分段 166 10.4.12 寿命 166 10.4.13 版本号 168 10.4.14 填充 168 10.4.15 协议 168 10.4.16 类型 169 10.4.17 错误报告要求 169 10.4.18 拥塞反馈:源抑制与DEC位 170 10.4.19 服务类型 171 10.4.20 选项 173 10.5 源路由 176 10.5.1 松源路由和紧源路由 177 10.5.2 用一个外出的链路地址重写源 路由 178 10.5.3 用外出的链路地址重写一个目的 地址 178 10.5.4 有源路由选项的安全漏洞 178 10.6 IPX帧格式的大秘诀 179 10.6.1 IPX的四种帧格式 179 10.6.2 多重IPX帧格式的处理 180 10.7 给端节点的出错报告和其他网络 反馈 181 10.7.1 CLNP错误报文 181 10.7.2 ICMP:IP错误报文 182 10.7.3 IPv6错误报文 185 第11章 邻机问候和自动配置 188 11.1 经由点到点链路相连的端节点 188 11.2 经由LAN相连的端节点 189 11.2.1 ES-IS:CLNP的解决方案 190 11.2.2 IP的解决方案 192 11.2.3 IPX的解决方案 197 11.2.4 DECnet的解决方案 198 11.2.5 AppleTalk的解决方案 198 11.2.6 IPv6的解决方案 200 11.2.7 回顾和比较 200 11.2.8 比较 201 11.3 通过非广播的多路访问媒体相连的 端节点 202 11.3.1 不同的解决方案 202 11.3.2 在协议Y的网络中提供组播 203 11.3.3 LAN仿真 205 11.3.4 传统的IP及ARP over ATM 206 11.3.5 去除额外的跳 207 11.4 查找 208 11.4.1 一般性的查找服务 208 11.4.2 AppleTalk的方案 209 11.4.3 NetWare的服务通告协议 210 第12章 路由选择算法概念 212 12.1 距离向量路由 212 12.2 链路状态路由 217 12.2.1 与邻机会话 218 12.2.2 构建一个LSP 218 12.2.3 给所有路由器散播LSP 218 12.2.4 计算路由 224 12.3 链路状态和距离向量路由的比较 225 12.3.1 内存 225 12.3.2 带宽耗费 227 12.3.3 计算量 227 12.3.4 对计算成本的说明 228 12.3.5 健壮性 228 12.3.6 功能性 229 12.3.7 收敛速度 229 12.4 负载分割 230 12.5 链路代价 231 12.6 迁移路由算法 233 12.6.1 运行两个算法 233 12.6.2 人工逐个节点切换 233 12.6.3 转换 234 12.7 LAN 234 12.7.1 把LAN当成一个节点 234 12.7.2 散布路由信息 236 12.8 服务类型 237 12.8.1 处理指令 237 12.8.2 多种度量 237 12.8.3 基于策略的路由和约束 239 12.8.4 静态路由 240 12.8.5 过滤器 240 12.8.6 源路由 240 12.8.7 路由域特有的策略 240 12.8.8 服务类别特有的策略 241 12.9 划分修复:第1层子网划分 242 第13章 快速包转发 245 13.1 使用附加报头 245 13.2 地址前缀匹配 246 13.3 使用Trie算法的最长前缀匹配 247 13.3.1 倒塌一个无分支的长路径 248 13.3.2 以存储空间换取查找时间 248 13.3.3 前缀长度的二分查找 251 13.3.4 利用特殊硬件实现并行性 252 13.4 二分查找 255 13.4.1 前缀排序 255 13.4.2 给用1填充的前缀增加前缀长度 255 13.4.3 排除重复的填充前缀 256 13.4.4 k-ary查找 257 13.4.5 做一次查询 257 第14章 特定的路由协议 259 14.1 域内路由协议简史 259 14.2 RIP 260 14.3 RTMP、IPX-RIP和DECnet 262 14.4 IS-IS、OSPF、NLSP和PNNI 263 14.4.1 层次结构 263 14.4.2 区域地址 268 14.4.3 LAN与指定路由器 269 14.4.4 LAN上LSP的可靠传播 270 14.4.5 参数同步 272 14.4.6 每个包的目的地数目 273 14.4.7 LSP数据库过载 273 14.4.8 认证 274 14.4.9 IS-IS细节 275 14.4.10 OSPF 288 14.4.11 PNNI细节 300 14.5 域间路由协议 301 14.5.1 静态路由 301 14.5.2 EGP 302 14.5.3 BGP 307 第15章 广域网组播 317 15.1 简介 317 15.1.1 第2层组播 317 15.1.2 第3层组播的原因 317 15.1.3 需要考虑的方面 318 15.1.4 (非IP中的)多跳组播 319 15.2 IP中的组播 319 15.2.1 集中式的组播与分散式的组播 320 15.2.2 可以不用第3层组播吗 321 15.2.3 映射NL组播到DL组播 321 15.2.4 IGMP协议 322 15.2.5 IGMP探听 323 15.2.6 反向路径转发 323 15.2.7 距离向量组播路由协议 324 15.2.8 组播OSPF 325 15.2.9 基于核心的树 327 15.2.10 PIM-DM 328 15.2.11 PIM-SM 328 15.2.12 BGMP/MASC 329 15.2.13 组播源分布协议 330 15.2.14 简化组播 330 第16章 防破坏的路由 337 16.1 问题 337 16.2 需要了解的密码系统知识 337 16.3 方法概述 339 16.3.1 强健扩散 339 16.3.2 强健路由 340 16.4 方法的详细描述 340 16.4.1 再谈强健扩散 340 16.4.2 强健的包路由器 343 16.4.3 其他的动态数据库 343 16.5 小结 345 16.6 其他参考资料 345 第17章 路由、桥接,还是交换: 是问题吗 347 17.1 交换机 347 17.2 网桥与路由器 347 17.3 网桥的扩展 349 17.3.1 不只是使用生成树 349 17.3.2 分段网桥 349 17.3.3 IGMP探听 349 17.4 路由器的扩展 350 17.4.1 更快的路由器 350 17.4.2 多协议路由器 350 17.4.3 单协议主干 351 17.4.4 Brouter 352 第18章 协议设计中的诀窍 353 18.1 简单性、灵活性与最优性 353 18.2 了解需要解决的问题 354 18.3 开销与升级 354 18.4 超出能力时的操作 355 18.5 紧凑ID与对象标识符 355 18.6 最普遍或最重要情况的最优化 356 18.7 向前兼容 357 18.7.1 足够大的字段 357 18.7.2 层的独立性 357 18.7.3 保留字段 358 18.7.4 单个版本号字段 358 18.7.5 分割版本号字段 358 18.7.6 选项 359 18.8 迁移:路由算法与编址 359 18.9 参数 360 18.9.1 避免参数 361 18.9.2 合法的参数设置 361 18.10 使多协议操作成为可能 362 18.11 在第3层与第2层上运行 363 18.12 健壮性 364 18.13 决定性与稳定性 365 18.14 实现正确性的性能要求 365 18.15 结束语 366 术语 367
网络地址转换协议NAT功能详解及NAT基础知识介绍
最新发布
qq_64162562的博客
03-15 957
建立一个IL地址池,范围是服务器所占用的地址范围,类型为rotary是指将在这段地址内轮循GW1(config)#ip nat inside destination list 1 pool POOL1 /对目的地址为列表内匹配的访问进行地址转换,把目的地址轮流转换成pool指定的地址,要注意的是如果服务器群里有一台或多台甚至是全部服务器不再工作了,路由器是无法辨别的,依旧会将流量进行轮循,不管服务器能否应答。(一些协议有时可以在应用层网关的辅助下,在参与NAT的主机之间容纳一个NAT的实例,比如FTP。
华为Datacom HCIA学习笔记
09-19
该笔记是笔者学习基础网络技术知识的记录。 目录 1 第一章 数据通信和网络基础 4 第二章 华为VRP系统基础 7 第三章 网络参考模型 19 第四章 网络协议及IP编址 38 4.1 IP首部字段 38 4.2 IP协议中包分片与重组原理介绍 39 4.3 IP地址 42 4.4 ICMP协议 45 4.5 Loopback接口 48 第五章 IP路由基础 49 5.1 什么是路由? 49 5.2 路由表 49 5.3 路由类型 53 第六章 OSPF基础 57 6.1 为什么需要动态路由? 57 6.2 OSPF基本概念 57 6.3 OSPF邻居关系 60 6.4 OSPF网络类型 62 6.5 DR和BDR 62 6.6 OSPF区域 64 第七章 以太网交换基础 67 7.4 MAC地址 69 7.6 ARP协议原理 71 第八章 VLAN 72 8.1 VLAN的作用 72 8.4 VLAN基于接口划分方式 73 8.5 VLAN配置实验 74 8.6 VLAN间通信 77 第九章 ACL访问控制列表 81 第十章 NAT网络地址转换 85
网格工程设计-肇庆市外经贸委网络规划-课程设计.rar
06-23
目 录 第1章 需求分析 1 1.1 需求分析 1 1.2任务定义 1 1.3电子政务网络需求 2 1.4 仿真环境分析 3 第2章 建设内容 4 2.1建设内容 4 2.2可行性分析 4 2.2.1技术可行性 4 2.2.2资金可行性 5 2.3网络支撑平台设计 5 2.3.1设计思路 5 2.3.2支撑平台体系框架设计 5 第3章 总体规划 6 3.1 层次化建设原则 6 3.2层次化设计 6 3.3层次化网络拓扑 7 第4章 网络搭建 9 4.1VLAN划分及IP编址 9 4.1.1 VLAN定义 9 4.1.2 VLAN及地址规划 9 4.2 局域网设计 10 4.2.1OSPF动态路由协议 10 4.2.2 MSTP多生成树协议 10 4.2.3 VRRP虚拟路由器冗余协议 12 4.3网络出口设计 14 4.3.1 VPN 14 4.3.2NAT网络地址转换 15 4.5网络施工 17 4.5.1 设备选购 17 第5章 系统测试 22 测试过程 22 第6章 验收与维护 23 6.1 网络验收 23 6.1.1网络基本安全性测试 23 6.1.2设备可管理性测试[ 23 6.2 维护服务 24 6.2.1甲方义务 24 6.2.2乙方义务 24 第7章 总结 25 参考文献 26 致 谢 27 注:word可编辑文档
TCP拦截和网络地址转换
12-21
TCP拦截和网络地址转换 本书将讨论与访问表相关的技术,而非访问表本身。这些技术提供了控制网络中数据流 量的附加功能。这些功能特性会使读者能够加强进出网络报文的附加功能。通过智能地对数 据本身进行操作,例如,可以操纵 I P报文中的源和目的地址,或者给某种通信报文分配较多 的带宽,读者就能够进一步加强进出网络的报文的安全性和控制能力。本章将讨论两种特性: T C P拦截和网络地址转换(Network Address Tr a n s l a t i o n,N AT),它们可以大大加强对网络中 数据流量的控制能力。先介绍 T C P拦截,并讨论其特性以及它是如何在网络中实现的。还将 介绍有关T C P拦截的所有配置和调试命令。在 T C P拦截这一部分,最后给出几个使用该特性的 示例。之后,介绍 N AT的整体概念,包括 N AT的引入、 N AT特性以及如何将其用于网络中。 最后将讨论有关N AT的配置和调试命令,并介绍许多详细的示例。 8.1 TCP拦截概述 T C P拦截(TCP intercept)从IOS 11 . 3开始引入,现在的所有路由器平台都有该功能。设 计该特征的目的是防止 S Y N攻击内部主机(第 7章已简要地讨论了 S Y N攻击)。S Y N泛洪攻击 是简单的。 T C P三路握手的第一个报文设置了 S Y N位。当某台设备接收到一个请求服务的初 始报文时,该设备响应这个报文,发回一个设置了 S Y N和A C K位的报文,并等待源端来的 A C K应答。如果请求的发出者不作响应,主机就会因为超时而结束连接。当主机在等待这个 事务完成时,这种 h a l f - o p e n的连接消耗了主机的资源。在等待三路握手时资源被耗尽就是攻 击的本质所在。 成千上万个设置了 S Y N位的报文被发往一台主机,以便在设备的侦听端口上建立一个 T C P连接。但是,这些报文中的源 I P地址是伪造的。这些报文中所设置的源地址都是不可达 的地址;在大多数情况下,源地址要么是来自 R F C 1 9 1 8(即,1 0 . 0 . 0 . 0 / 8,1 7 2 . 1 6 . 0 . 0 / 1 5以及 1 9 2 . 1 6 8 . 0 . 0 / 1 6)的未注册地址,要么是不存在的主机地址。从被攻击的主机到初始源 I P地址 主机的返回报文就永远不能到达一个真实的主机。这样,被攻击的主机就永远也收不到完成 三路握手的应答报文。因此,它必然因为成千上万个连接的超时而要关闭这些连接。最终, 被攻击的主机资源被耗尽,主机也就没什么用处了。如果发送有足够数量的 S Y N报文,则某 些操作系统也会崩溃,并且需要重启系统。 这就是常见的D o S攻击,这种攻击本身破坏性极强,而且它有时也作为更复杂的攻击的一 部分。例如,攻击者知道用户的某台服务器信任来自防火墙外面另一台服务器的报文,则他 会先攻击防火墙外面的那台服务器,并设置一个嗅探程序来查看用户网络报文。如果攻击者 不能攻破防火墙外面的这台服务器,他就无法打破防火墙,或者这时他就会尝试获取这两台 主机之间的信任关系。 第一步就是对防火墙外面的这台可信主机发起 S N Y泛洪,以阻止其响应任何新的网络会 话。攻击者而后使用外部服务器的源 I P地址向内部服务器发送报文。内部服务器就会响应该 可信外部服务器的I P地址,但外部服务器会由于 D o S攻击而不能响应内部服务器。攻击者的机 92 C i s c o访问表配置指南 下载 92 C i s c o访问表配置指南 下载 器可能看不到报文,但如果攻击者能够预测内部服务器所用的.. T C P顺序号,就会成功地完成.. T C P的三路握手,从而进一步地攻击到了内部服务器。根据所允许通过防火墙的服务类型,攻 击者可以将对外部可信主机的.. D o S攻击和I P欺骗结合起来,从而对内部主机实施攻击。图.. 8 - 1 说明了这种攻击。 中心问题是.. S Y N泛洪的危险性远不止只是攻破一个单一主机,它可以与其他攻击方法相 结合来攻破网络中的其他主机。 已攻陷的主机 使用源IP地址171.10.1.1 发送报文 信任主机 泛洪 路由器 内部主机 图8-1 对外部主机的DoS攻击。攻击过程分为两个阶段:(1) 用SYN泛洪“麻醉”主机使其不能响应;.. (2) 发送报文到内部主机,并欺骗源IP地址,这样内部主机就会相信来自可信主机的报文 在T C P连接请求到达目标主机之前,.. T C P拦截通过对其进行拦截和验证来阻止这种攻击。 这个特征可以在两种模式上工作:拦截和监视。在拦截模式下(.. intercept mode),路由器拦截 所有到达的.. T C P同步请求,并代表服务器建立与客户机的连接,并代表客户机建立与服务器 的连接。如果两个连接都成功地实现,路由器就会将两个连接进行透明的合并。路由器有更 为严格的超时限制,以防止其自身的资源被.. S Y N攻击耗尽。在监视模式下,路由器被动地观 察h a l f - o p e n连接(没有完成.. T C P三路握手的连接)的数目。如果超过了所配置的时间,路由 器也会关闭连接。访问表则用来定义要进行.. T C P拦截的源和目的地址。.. 8.1.1 开启TCP拦截 开启T C P拦截,有两个步骤是必需的:.. 1) 配置访问表,以开启需要保护的 I P地址。.. 2)开启.. T C P拦截 在第1步中,读者可以使用一个扩展的.. I P访问表。通常指定a n y作为源I P地址,因为我们一.. 第 8章 TCP拦截和网络地址转换 93 下载 般都希望T C P拦截检查所有到达脆弱主机的向内连接。在第 2步中,则真正地开启 T C P拦截特 性。如果第 2步中的访问表没有定义,则 T C P拦截将不会检查任何向内连接。 8.1.2 设置模式 T C P拦截可以在拦截和监视两种模式下工作,缺省为拦截模式。在这种模式下,路由器 响应到达的S Y N请求,并代替服务器发送一个响应初始源 I P地址的S Y N - A C K报文,然后等待 客户机的A C K。如果收到A C K,再将原来的 S Y N报文发往服务器,路由器代替原来的客户机 与服务器一起完成三路握手过程。这种模式增加了路由器的内存和 C P U的额外开销,并且增 加了一些初始会话的延时。 在监视模式下,路由器允许 S Y N请求直接到达服务器。如果这个会话在 3 0秒钟内(缺省 值)没有建立起来,路由器就给服务器发送一个 R S T,以清除这个连接。路由器等待的时间 是可以配置的。其模式可以使用下面的命令设置: 缺省模式是i n t e r c e p t。 8.1.3 主动门槛值 当一个路由器因为其所定义的门槛值而确认服务器正遭受攻击时,路由器就主动删除连 接,直到 h a l f - o p e n的连接值降到小于门槛值。首先关闭的是最早的连接,除非使用了“ ip tcp intercept drop-mode random”命令。当所设置的门槛值被超时时,路由器进行下面的动作: 1) 每一个新的连接导致一个最早的(或随机的)连接被删除。 2) 初始的重传超时时间被减少一半,直到 0 . 5秒。 3) 如果处于监视模式,则超时时间减半,直到 1 5秒。 有两个因素用来判断路由器是否正在遭受攻击。如果超过了两个高门槛值中的一个,则 表明路由器正遭受攻击,直到门槛值已经降至两个低门槛值以下。下面显示了有关的参数及 其缺省值,并对其加以简单描述。 1) ip tcp intercept max-incomplete high number 11 0 0 在路由器开始删除连接之前,能够存在的 h a l f - o p e n连接的最大数目。 2) ip tcp inercept max-incomplete low number 900 在路由器停止删除h a l f - o p e n连接之前,能够存在的最大 h a l f - o p e n连接数目。 3) ip tcp intercept one-minute high number 11 0 0 在路由器开始删除连接之前,每分钟内能存在的最大 h a l f - o p e n连接数目。 4) ip tcp intercept one-minute low number 900 在路由器停止删除连接之前,每分钟内能存在的最小 h a l f - o p e n连接数目。 h a l f - o p e n连接总数与每分钟 h a l f - o p e n连接的数量比率是相联系的。任何一个最大值到达, T C P拦截就被激活并且开始删除 h a l f - o p e n连接。一旦T C P拦截被激活,这两个值都必须下降到 T C P拦截的低设置值,以便停止删除连接。 8.1.4 其他命令 还有一些其他有用的命令可用于检查有关 T C P拦截的信息。下面给出了这些命令,并附 94 C i s c o访问表配置指南 下载 94 C i s c o访问表配置指南 下载 带了一个T C P拦截的简单示例: 下一节将介绍使用上述格式的.. T C P拦截的详细示例。.. 8.2 TCP拦截应用:示例1 在本例中,某公司使用一台路由器,将其一个E t h e r n e t连接到内部.. L A N,并将一个串行接 口连接到一个I S P。在E t h e r n e t上有一台.. We b服务器,其所用的.. I P地址为1 9 8 . 5 0 . 1 . 1 0 0,并且希 望使用.. T C P拦截功能来保护该服务器。该路由器是一个低端服务器,所以我们希望:在能够 监视进来的T C P连接的同时,尽可能多地保留资源(见图.. 8 - 2)。 服务器 工作站 内部网络 客户路 由器 提供者的 路由器 拥有198.50.1.100目的地址的 报文被TCP拦截所监视 图8-2 网络方案:示例1 8.2.1 解决方案 8.2.2 分析 在本方案中,先定义访问表.. 1 0 1,用以指出需要查看的报文,这些报文是到达.. 1 9 8 . 5 0 . 1 . 1 0 0的报文。而后定义.. T C P拦截命令,并将访问表.. 1 0 1用于匹配被监视的报文。还定 义了T C P拦截的操作模式是监视模式,这会比缺省的拦截模式使用更少的路由器资源。这些.. 第 8章 TCP拦截和网络地址转换 95 下载 步骤就是启用T C P拦截保护We b服务器的所有操作。 8.3 TCP拦截应用:示例2 在本例中,公司与示例 1中的公司相同,使用一台路由器,将其一个 E t h e r n e t接口连接到 内部L A N中,并将一个串行接口连接到一个 I S P。但本例中公司不是使用一个简单的 We b服务 器,而是使用一组 We b服务器,其 I P地址从1 9 8 . 5 0 . 1 . 1到1 9 8 . 5 0 . 5 0 . 1 0 0。在本网段中不再使用 其他的I P地址。我们希望使用 T C P拦截来保护所有的 We b服务器。由于使用了一台高性能路由 器,所以路由器资源并不是关键因素,我们有 1 0 0台We b服务器,并且期望有大量的 T C P请求 进来(见图8 - 3)。 目的地址198.50.1.1到198.50.1.100 的报文被TCP拦截所监测。 图8-3 网络方案:示例2 8.3.1 解决方案 8.3.2 分析 在这个方案中,定义了访问表 1 0 1,用来指定匹配目的 I P地址的范围在 1 9 8 . 5 0 . 1 . 0到 1 9 8 . 5 0 . 1 . 1 2 8之间的所有报文。注意到匹配上的地址比实际使用的地址要多,因为 We b服务器 的I P地址只用到 . 1 0 0,但这也不会产生任何问题。而后我们定义 T C P拦截命令来指定访问表 1 0 1用于匹配 T C P所监视到的报文。我们还改变了 T C P拦截的缺省阈值设置,因为我们期望在 大量的 We b服务器中应能够在任何时刻都有大量的 S Y N请求。我们保留拦截模式的缺省值, 因为有足够的资源来管理每个 T C P连接。 至此已介绍完了T C P拦截。下一节将讨论网络地址转换( N AT)。 8.4 网络地址转换概述 网络地址转换可以动态改变通过路由器的 I P报文的内容,以便修改报文的源 I P地址和 96 C i s c o访问表配置指南 下载 96 C i s c o访问表配置指南 下载 (或)目的I P地址。离开路由器的报文的源地址或目的地址转换成与原来不同的地址。这种 功能使得管理员可以隐藏内部网络的 I P地址,并要求路由器可以执行 N AT。这项对于那些使 用来自 R F C 1 8 1 9的未注册地址空间的公司是必需的,或者对于那些为其他公司进行 I P注册的 组织也十分有用。 8.4.1 特征 N AT可以用来修改I P报文头中的源 I P地址和目的 I P地址。I P校验和由N AT处理过程自动进 行修改。有些应用程序将源 I P地址嵌入到了I P报文的数据部分中,所以需要对报文进行修改。 对于这些应用程序, N AT进程也必须修改报文的数据部分,以匹配 I P头中已修改过的源 I P地 址。N AT的C i s c o版本可以处理许多的应用,这些应用的报文数据部分包含 I P地址。C i s c o版本 也允许共享负载的T C P流量,这可以通过允许对单个 I P地址的T C P请求来实现。这些特性将在 本章后面介绍。 在诸如I n t e r n e t,或不同组织互连的管理域边界上, N AT使用得十分普遍。某些组织虽然 申请了一些地址空间,但上网主机的数目超过了 I P地址的数目,此时 N AT就十分有用。没有 注册的地址可以在内部使用,而注册地址只用于报文与外部网络通信。 N AT处理过程对于源 端和目的端主机都是透明的。 8.4.2 局限性 尽管N AT是一个很有用的工具,它还是有一些缺陷。 N AT所面临的最主要的困难在于: 有些应用程序将源I P地址嵌入到了I P报文的数据部分中。这样,报文的源 I P地址在经过N AT的 转换之后,就与报文数据部分的 I P地址不匹配。如果I P头中的源I P地址不匹配报文数据部分的 源I P地址,则这些在报文的数据部分嵌入 I P地址的应用程序不能正常工作。 C i s c o实现的N AT 能够处理许多将 I P地址包含在报文数据部分的应用程序。一个特别例子是 N e t B I O S会话服务。 N e t B I O S服务用于 Windows NT,所以它在数据网络中应用得很普遍。 C i s c o可以支持全部的 N e t B I O S服务。表8 - 1列举了C i s c o目前所支持的应用。 表8-1 Cisco NAT所支持的应用 任何非源和目的的T C P / U D P报文 在I P报文的数据部分中的I P地址 I C M P F T P T C P上的N e t B i o s(除了会话服务) R e a l A u d i o White Pines CUSeeMe S t r e a m w o r k s DNS “A”和 “ P T R”查询 H . 3 2 3① N e t M e e t i n g① V D O L i v e V x t r e m e ①在IOS 12.0.1或更高版本中支持。 Cisco NAT不支持表 8 - 2中的应用。如果读者要使用这些应用,就要知道当路由器执行 下载下载 第 8章 TCP拦截和网络地址转换 97 N AT时它们很可能工作不正常。 表8-2 Cisco NAT不支持的应用 I P组播 路由表更新 D N S域的迁移 B O O T P Talk, ntalk S N M P N e t S h o w 8.5 NAT的术语 讨论N AT时,要用到几个术语: 1) 内部本地地址( inside local address)——分配给内部网络上主机的 I P地址。这些地址 通常只有内部主机知道。 2) 内部全局地址(inside global address)——分配给内部主机的以用于 N AT处理的地址; 这种内部主机的地址可以被外部主机看到。 3) 外部本地地址( outside local address)——分配给外部主机的以用于 N AT处理的I P地 址;这些外部主机的地址可以被内部主机看到。 4) 外部全局地址(outside global address)——分配给外部网络上主机的 I P地址。这类地 址可以被外部主机知道,但不能被内部主机知道。 内部地址被内部网络所使用,这些地址可能要进行转换。外部地址被外部网络所使用, 也可能需要进行转换。术语“本地( l o c a l)”指的是其地址可以被内部主机看到。而术语“全 局(g l o b a l)”指的是地址可以被外部主机看到。注意,如果外部地址没有经过 N AT转换的话, 外部本地地址和外部全局地址可能是一样的。也就是说,外部主机地址在外部网络和内部网 络上可能是相同的,而实际情况也是如此。 理解这些术语的简单方法是抓住其第一个词语:内部或外部,它反映了报文的来源。内 部本地地址(inside local address)和内部全局地址(outside global address)这两个术语都表 明报文是来自内部网络的。第二个词语,本地或全局,则表明地址的可见范围。本地地址是 在本地网络中可见。全局地址则在外部网络上可见。这样,一个内部本地地址来自内部网络, 并且只在内部网络中可见。由于这些地址是在内部网络中,并且只对内部设备可见,因此不 需要进行 N AT操作。相反地,内部全局地址来自内部网络,但却在外部网络中可见。这些地 址一般都要进行N AT操作。 8.6 启用NAT 在路由器上启用 N AT功能需要了解几个命令。首先,读者需要确定在哪个接口上启用 N AT,以及该接口是内部接口还是外部接口。通常,连接到用户内部网络的接口是 N AT内部 接口,而连接到外部网络,例如 I n t e r n e t的接口,是N AT外部接口。这些约定很重要,因为在 后面将要介绍的其他N AT命令配置过程中要参考这些约定。每种接口命令的语法如下: 98 C i s c o访问表配置指南 下载 98 C i s c o访问表配置指南 下载 示例: 在确定启用 N AT的接口之后,接下来就要确定内部全局地址。根据已有的定义,具有这 些地址的报文从内部网络流出到外部网络以后,报文的地址在外部网络上是可见的。这通常 是转换地址地址转换可以是动态的或静态的。如果我们不关心哪些内部本地址应该转换为哪些内部 全局地址,则可以允许路由器从地址缓冲池中选取一个可用的地址。使用 ip nat pool命令来定 义该地址缓冲池: 示例: 注意,上述这些命令是等价的。另外我们已定义了将从 . 1到. 5 0的地址放在内部全局地址 缓冲池中。即使我们指定将掩码用于整个子网, < s t a r t - i p >和< e n d - i p >将地址范围限制在 . 1 到. 5 0之间。 定义了 N AT池之后,当需要将一个内部本地地址映射为内部全局地址时,路由器就从池 中取出第一个地址项。用户不能事先指定取池中的哪个地址。如果需要指定映射的 I P地址, 则需要使用静态映射。我们在后面提供了相关的示例。 在ip nat pool命令的语法中, r o t a r y关键字用于一个可用的内部本地 I P地址池,以将其中 的内部本地 I P地址映射到相同的内部全局地址。该关键字是很有用的,例如,读者拥有一个 繁忙的We b站点,并且希望多个服务器响应对同一 I P地址的We b请求,就应该使用该关键字。 我们将在后面给出示例。 一旦创建了内部全局地址池,读者就需要指定允许哪些报文获得池中的地址。这可以使 用ip nat inside source命令来完成。读者也可以在内部本地和内部全局地址间指定静态映射。 这两种方法都可用命令 ip nat iside source来实现,如下所示: 示例: 当使用 l i s t关键字时,该命令允许那些匹配访问表 l i s t的报文可以从名为 n a m e的N AT池中 获取地址。o v e r l o a d关键字启用端口地址转换( Port Address Translation, PAT)。通过在N AT转 换表中维持 T C P / U D P端口信息和 I P地址信息, PAT允许将多个内部本地地址转换为一个单一 的内部全局地址。当内部全局地址数目有限时,这种特性十分有用。单一的 PAT地址可以与 第 8章 TCP拦截和网络地址转换 99 下载 N AT外部接口的I P地址相同,这在公司只有一个来自 I S P的可用地址时十分有用。在大多数的 配置中,路由器所连接的 I n t e r n e t必须具有一个全局可路由的 I P地址,因此使用与 PAT相同的 地址是有用的。这种情况下还可以使用一种语法格式: 读者也可以将外部全局地址转换为外部本地地址,这在相互连系的公司之间各自所使用 的外部地址存在重叠时是十分有用的。例如,如果两个公司使用 RFC 1918中重叠的地址,例 如1 0 . 0 . 0 . 0 / 2 4网络,则转换外部全局地址的语法如下: 示例: 这些命令的示例,将在后面介绍。 8.7 其他命令 在路由器上配置 N AT时,应该了解一些其他命令。首先,可以使用命令来配置几个超时 值,用以节省地址和路由器内存空间。这里每个 N AT转换都需要一定的内存空间。如果不使 用端口地址转换,只使用如下的一个命令即可: 超时时间的单位是秒,缺省值是 2 4小时或者3 6 4 0 0秒。在需要大量 N AT转换的环境中,最 好将此超时值设为 1 ~ 2小时,或者更小,因为路由器可能没有足够的内存来使用。如果使用 PAT,则还需要其他的命令,这时路由器要查看其 N AT表中的端口号和I P地址(注意,如果不 使用PAT,则不会查看N AT表中的端口号)。要启用PAT功能,可使用如下的定时器: 这些值大多数都是含义自明的。 f i n r s t - t i m e o u t表示在路由器看到 F I N或RST TCP报文之后 的超时值。p o r t - t i m e o u t值用于T C P和U D P。s y n - t i m e o u t值在看到SYN TCP报文时启用。这些 超时值中绝大多数都很小,一般是几分钟,可以使用其缺省值。例外的是 T C P,其超时值为 2 4小时。如前面所述,我们希望 T C P超时值是1 ~ 2小时,或者更低。 如果使用PAT,随着计数器的增值计数, N AT表中的不活跃表项只能存在很短一段时间。 例如,即使 T C P超时值为2 4小时,如果在 N AT转换中出现了 F I N或R S T报文,则表项会在 1分 钟内被删除。由于正常终止的会话能看到一个 F I N或R S T报文,因此只有那些非正常结束的 T C P连接才会在N AT表中保留一段时间。这就是我们建议使用较低的 T C P超时值的原因。非正 常结束的连接在N AT表中转换时使用较小的超时值。 100 C i s c o访问表配置指南 下载 100 C i s c o访问表配置指南 下载 除了超时命令外,还有其他一些有用的命令。下面给出每个的简短描述和示例输出: 另一个极有用的其他N AT命令是: 该命令用于消除.. N AT表中的转换,这对于调试诊断有用。在后面的示例中,将不再提及 这睦命令,以免重复,但读者最好熟悉它们并在自己的应用中查看其输出。下一节将给出使 用N AT的几个详细示例。.. 8.8 NAT应用:示例1 在本例中,某公司使用一台具有两个E t h e r n e t的路由器。.. E t h e r n e t 0连接到内部网络,而.. 第 8章 TCP拦截和网络地址转换 101 下载 E t h e r n e t 1则连接到一个L A N网段。公司与其I S P的路由器共享该网段。在内部网络中,公司使 用1 0 . 0 . 0 . 0 / 2 4地址空间中的地址。公司为自己提供一个 I P地址或1 7 1 . 1 0 0 . 1 . 0 / 2 4。公司路由器 的接口使用 I P地址 1 7 1 . 1 0 0 . 1 . 1,而 I S P路由器接口则使用 I P地址 1 7 1 . 1 0 0 . 1 . 2,而将那些从 1 7 1 . 1 0 0 . 1 . 0 / 2 4开始的其余地址留给 N AT转换。公司希望在路由器上使用必要的命令,以使其 内部用户能够使用 I S P所提供的地址空间中的有效,全局可路由的地址,以访问 I n t e r n e t(见图 8 - 4)。 外部网络 内部网络 客户路由器 提供者的 路由器 图8-4 NAT应用方案:示例1 8.8.1 解决方案 8.8.2 分析 在该方案中定义了用于 N AT的接口。通过将相应的命令放在每个接口下面,指定该接口 是一个 N AT外部接口或内部接口。这是配置 N AT的第一步。如果读者不将接口指定为一个 N AT内部或N AT外部接口,或者指定的不正确,则 N AT就不能正确工作。如果不定义 N AT接 口,N AT根本不工作,并且debug ip nat detail命令也不会输出任何结果。如果读者已定义了所 有其他的N AT命令,但N AT还是不工作,则确认每个接口下面的所放的 N AT命令是否合理。 在每个接口下面定义了合适的 N AT命令之后,就可以定义存放内部全局地址的 N AT池。 我们定义的起始 I P地址是1 7 1 . 1 0 0 . 1 . 3,而结束地址为 1 7 1 . 1 0 0 . 1 . 2 5 4。我们不使用. 1和. 2地址是 因为这两个地址分别用于用户路由器和 I S P路由器。由于这两个地址也与用户路由器上的 E t h e r n e t 1接口所在的子网是同一子网地址,用户路由器将使用自己的 M A C地址回答来自 I S P 路由器的 A R P请求。这允许I S P路由器从N AT池中解析出I P地址,并使用从 N A P池中取出的目 的I P地址将报文发送给用户路由器。 102 C i s c o访问表配置指南 下载 102 C i s c o访问表配置指南 下载 注意,M AT地址池并非必须来自与用户路由器接口上所配置的子网相同。下一个示例显 示了一个类似的配置,其中 N AT池不是该用户路由器地址空间的一部分。 8.9 NAT应用:示例2 在本例中,公司使用一台具有两个接口的路由器,分别是以太网和串行接口。 E t h e r n e t 0 连接到内部网络,而串行接口则通过点到点协议( P P P)链路连接到 I S P路由器。在内部网络 中,公司使用的地址来自地址空间 1 0 . 0 . 0 . 0 / 2 4,该地址空间在 I n t e r n e t上是不可路由的。公司 自己使用I P地址范围1 7 1 . 1 0 0 . 1 . 0 / 2 4。到I S P的P P P链路使用来自 1 9 8 . 5 0 . 1 . 0 / 3 0子网的地址。公 司希望在路由器上配置合适的命令,以便内部用户可以通过使用有效的、全局可路由的地址 访问I n t e r n e t。这些地址应该是来自 I S P所提供的地址空间 1 7 1 . 1 0 0 . 1 . 0 / 2 4。我们打算与上游的 I S P路由器交换O S P F(开放式最短路径优先)更新信息。从而可以从该路由器接收缺省路由, 并将其通知I S P路由器,该路由正在公司路由器上使用(见图 8 - 5)。 池 串行链接 提供者的路由器 内部网络 用户路由器 图8-5 NAT应用方案:示例2 8.9.1 解决方案1 8.9.2 解决方案2 第 8章 TCP拦截和网络地址转换 103 下载 8.9.3 分析 在解决方案1中,先定义了用于 N AT的接口,并通过将合适的命令放在每个接口下面,来 指定该接口是一个 N AT内部或外部接口。在每个接口下面定义了适当的 N AT命令之后,再定 义内部全局地址所在的 N AT池。定义全局地址的起始 I P地址为 1 7 1 . 1 0 0 . 1 . 1,结束 I P地址为 1 7 1 . 1 0 0 . 1 . 2 5 4。我们使用除. 1和. 2地址之外的所有主机地址,是因为这些主机地址都不用于路 由器接口。通过在 N AT池中使用与用户路由器接口所用子网不同的子网,可以获得一些主机 地址。但这又引入了一个新的问题。 在前一个示例中, I S P路由器直接连接到分配给 N AT池的子网上。这种情况下, I S P路由 器只发出一个 A R P请求,以请求 N AT池中的单个 N AT地址,而用户路由器则使用自己的 M A C 地址来响应,此时工作正常。但是,上游的 I S P路由器并不直接连接到 N AT地址池子网 1 7 1 . 1 0 0 . 1 . 0 / 2 4,所以必须告诉它如何通过路由协议或静态路由的方法到达 N AT池所在的子网。 在解决方案1中,我们启用了O S P F并且为1 7 1 . 1 0 0 . 1 . 0 / 2 4重新分配一个静态路由到 O S P F中。上 游的I S P路由器会接收到该路由,并且将所有目的地址为 N AT池中地址的报文转发到我们的路 由器中。 可选地,I S P可以在其路由器上安装一个静态路由,用来将所有 1 7 1 . 1 0 0 . 1 . 0 / 2 4网络的报文 指向我们的路由器。但是,我们希望:当 N AT池地址不是直接从相连的子网上取出时,能够 显示出路由信息的传播路径。注意,我们将整个 1 7 1 . 1 0 . 1 . 0 / 2 4子网的 N AT地址表置为 n u l l 0。 由于我们要指定 N AT地址表中的某些表项,而非整个 1 7 1 . 1 0 0 . 1 . 0 / 2 4子网,这时路由器并不丢 弃这些报文,而是将它们转发到 N AT表中所定义的内部主机上。 在解决方案 2中,我们使用了另一种方法来通知 I S P路由器有关 N AT池的信息。这种方法 是创建一个闭环( l o o p b a c k)接口,并给其分配一个 N AT池中的 I P地址。通过将 n e t w o r k 171.100.1.0 0.0.0.255 area 0语句包含在我们的 O S P F路由进程下面,可以将该闭环地址作为 O S P F路由的一部分。注意,我们将 . 1地址从N AT池中删除,而使用主机地址 . 2作为N AT池的 起始地址,这样就减少了 N AT池地址和用于闭环接口上的 I P地址重叠的可能性。另外,我们 在闭环接口下面使用接口命令 ip ospf ntwork point-to-point。一般地,O S P F将闭环接口看成是 一个 O S P F桩( s t u b)网络,并且将接口的 3 2位表项作为路由,而非整个子网。在本例中, O S P F进程会发送 1 7 2 . 1 0 0 . 1 . 1 / 3 2而非表 1 7 2 . 1 0 0 . 1 . 0 / 2 4。在这种情况下,由于需要将整个 104 C i s c o访问表配置指南 下载 104 C i s c o访问表配置指南 下载 1 7 1 . 1 0 0 . 1 . 0 / 2 4子网信息传送给上游的 I S P路由器,所以该地址转换过程不能工作。 O S P F接口 命令告诉 O S P F传送该接口的路由,就像该网络是点到点网络一样,而不像是一个桩( s t u b) 网络。这意味着它将通过 O S P F传送整个 1 7 1 . 1 0 0 . 1 . 0 / 2 4子网信息( ip ospf network point-top o i n t命令在I O S版本11 . 3或更高版本中使用),这两种方法都能正常工作,但使用哪一种则是 读者的偏好问题了。 注意:我们知道一个公司通常会在其路由器和 I S P路由器之间运行边界网关协议 (Border Gateway Protocol, BGP)。在本例中,我们选择了O S P F路由协议,目的是为了 分析ip ospf network point-to-point命令。 8.10 NAT应用:示例3 在本例中,公司与示例 2中的公司相同,但情况稍有不同。这里公司处于 I n t e r n e t环境中, 它决定提供一个能从 I n t e r n e t访问的We b服务器,以便那些浏览 We b的用户能够了解公司。该 服务器位于内部网络中,并且能够从 I n t e r n e t上的主机访问该服务器。这样它将拥有 I P地址 1 0 . 1 . 1 . 1 0 0。由于 We b服务器必须能够通过 I n t e r n e t来访问,所以这个源 I P地址在转发给 I S P路 由器之前,必须被转换成内部全局缓冲池中的地址。我们为公司 We b服务器选择 1 7 1 . 1 0 0 . 1 . 1 0 0作为其转换成的内部全局地址。 如示例2那样,E t h e r n e t 0连接到内部网络,而串行接口则通过 P P P链路连接到I S P路由器。 在内部网络中,公司使用 1 0 . 0 . 0 . 0 / 2 4中的地址,而全局池中的 I P地址范围是 1 7 1 . 1 0 0 . 1 . 0 / 2 4。 在本例中,我们将假定 I S P使用静态路由来找到我们的路由器,其中路由器地址在 1 7 2 . 1 0 0 . 1 . 0 / 2 4地址范围内。并且I S P将该路由传送到I n t e r n e t上(见图8 - 6)。 服务器 内部网络 客户路 由器 串行链接提供者的 路由器 拥有171.100.1.100目的地址的 报文被传输到10.1.1.100 图8-6 NAT应用:示例3 8.10.1 解决方案 第 8章 TCP拦截和网络地址转换 105 下载 8.10.2 分析 如其他示例那样,我们在使用任何其他 N AT命令之前,应先定义 N AT内部和外部接口。 而后需要配置N AT池地址和N AT源列表,以允许能够从池中获得地址。本例与示例 2的不同之 处在于:我们需要为 We b服务器设置I P地址1 7 1 . 1 0 0 . 1 . 1 0 0。另外,必须在内部全局地址和内部 本地地址之间给出静态映射关系。不然的话,就不能保证 N AT表中的 N AT转换会将N AT池中 的特定I P地址映射到 We b服务器。这也意味着无法从 I n t e r n e t上知道应该使用哪个地址才能到 达We b服务器,显然这是毫无用处的。 注意,我们在配置中使用 ip nat inside source static命令,以建立 1 0 . 1 . 1 . 1 0 0和 1 7 1 . 1 0 0 . 1 . 1 0 0之间的静态映射。注意到在本例中 N AT池的语法有些不同。 C i s c o已扩展了 N AT 语法,所以可以拆分 N AT池所用的 I P地址范围。我们定义了两个不同的地址范围:从 1 7 1 . 1 0 0 . 1 . 1到1 7 1 . 1 0 0 . 1 . 9 9,以及从 1 7 1 . 1 0 0 . 1 . 1 0 1到1 7 1 . 1 0 0 . 1 . 2 5 4。所以我们可以将 I P地址 1 7 1 . 1 0 0 . 1 . 1 0 0从N AT池中排除出去,因为我们使用该地址进行静态转换。我们使用 ip nat inside source list命令来定义I P地址,以允许该I P地址从N AT池中获取相应的I P地址。注意,至 此,只使用了标准I P访问表来定义I P地址。也可以使用一个扩展的 I P访问表,在本章后面的示 例中会涉及到。 8.11 NAT应用:示例4 在本例中,公司有一台三端口路由器、一个以太网端口和两个串行端口。每个串行端口 连接到不同的 I S P,而每个 I S P给本公司分配一个独立的 C类地址。 I S P 1为公司分配 1 7 1 . 1 0 0 . 1 . 0 / 2 4;而I S P 2则为公司分配1 9 8 . 5 0 . 1 . 0 / 2 4。公司通过B G P路由协议实现从每个 I S P的 完全路由过程,并且允许路由器将报文转发到具有到达目的地的最佳路由的 I S P上。为了报文 能够从原来发出报文的同一个 I S P路由回来,路由器在发送报文到相应 I S P之前,需要从每个 提供者的地址空间转换外出报文的源 I P地址。发送给 I S P 1路由器的报文,其源地址将被转换 为I S P 1地址空间中的地址;而发送给 I S P 2路由器的报文,其源地址则被转换为 I S P 2地址空间 中的地址。 除了允许内部主机能够从每个相应的提供者地址空间中获得地址,根据所选择的路由器 不同,该公司希望可以从任何一个提供者都能够访问内部的 We b服务器。这样所需的就是将 每个提供者的地址空间中的一个静态 I P地址分配给We b服务器,以便每个提供者都可用于到达 We b服务器的I P地址。换句话说, I S P 1的用户使用来自I S P 1的地址到达We b服务器;而I S P 2的 用户则使用来自 I S P 2的地址到达该服务器。如前面的示例那样,内部 E t h e r n e t使用1 0 . 0 . 0 . 0 / 2 4 地址空间,而 We b服务器的内部本地地址是 1 0 . 1 . 1 . 1 0 0。从I S P 1来看其地址是 1 7 1 . 1 0 0 . 1 . 1 0 0, 而从I S P 2来看则为1 9 8 . 5 0 . 1 . 1 0 0。每个I S P将保证能够使用合适的 D N S表项来将We b服务器名称 106 C i s c o访问表配置指南 下载 106 C i s c o访问表配置指南 下载 解析为每个相应的 I P地址(见图 8 - 7)。 服务器 静态: 静态: 池 池 提供者1的 路由器 客户路 由器 提供者2的 路由器内部网络 图8-7 NAT应用方案:示例4 8.11.1 解决方案 第 8章 TCP拦截和网络地址转换 107 下载 8.11.2 分析 该示例应该是比前面的几个示例要更加复杂些,并且有一些很吸引人的地方。先定义.. N AT内部和外部接口。在本例中,路由器有两条.. I n t e r n e t连接,每条连接分别位于一个串行接 口上,这样我们就需要两个外部接口。接下来是.. N AT池,内部客户使用该池获取内部全局地 址。如前所述,我们有两池地址,每个地址池来自一个提供者。这样我们就创建两个独立的.. N AT池,分别称为.. I S P 1和I S P 2。注意,由于我们使用每个.. N AT池中的。.. 1 0 0来创建We b服务器 的静态N AT映射,每个N AT池都不包含。.. 1 0 0主机。在前面的示例中已经介绍了.. N AT池语句的 语法。 在创建了.. N AT池之后,就需要定义源列表,用以告诉路由器我们允许哪些.. I P地址能够从 池中获取地址。注意,这里使用.. ip nat source route-map命令,而非ip nat source list命令。我们 使用一个路由映射,而不单单使用访问表。这样不仅能够使用.. I P地址来选择.. N AT池,而且还 可以使用诸如下一跳.. I P地址以及路由器的输出接口等此类内容来选择.. N AT池。我们定义了两 个路由映射语句,i s p - 1和i s p - 2。i s p - 1路由映射匹配访问表1和接口serial 0。这意味着如果I P报 文匹配列表1并且目的接口是serial 0,则表明匹配了i s p - 1路由映射。从接口serial 0上离开路由 器的报文流向.. I S P 1,这样就符合了我们的要求。.. i s p - 2路由映射的定义类似。我们的路由器持 有一组来自每个提供者的路由,这将告诉路由器:报文应从哪个接口离开。根据我们的.. B G P 配置,可以从向外的报文中获得一些负载平衡。注意我们定义.. N AT池的方法。.. ip nat inside source route-map语句允许路由器在将报文发送到.. I S P路由器之前,从每个.. I S P地址空间中选择 一个地址。这将会保证当报文返回时,它们将沿着原先离开内部网络时所用的.. I S P返回。通常 每个I S P只将自己地址空间中的.. I P地址通告给其他提供者。来自.. I S P 1的地址空间的报文将流回.. I S P 1;而来自I S P 2地址空间的报文也将流回到.. I S P 2。 配置的最后一步是允许.. I n t e r n e t上的设备访问公司的.. We b服务器。我们需要在一个内部全 局地址和内部本地地址之间建立一个静态的.. N AT映射。但是,这种情况下,我们需要定义两 个映射,分别用于从两个不同的内部全局地址映射到公司的.. We b服务器。该过程的关键是使 用可选的关键字e x t e n d a b l e。.. e x t e n d a b l e关键字告诉路由器将创建一个扩展的.. N AT映射,该映射是从每个内部全局地址 到单一的内部本地地址的映射;并且它不仅使用.. I P地址,而且还使用源和目的端口。对于从.. N AT内部接口流到.. N AT外部接口的报文而言,动态路由映射表将用于创建扩展的转换操作。 如果不使用e x t e n d a b l e关键字,路由器将不会允许我们将多个内部全局地址映射到一个单一的 内部本地地址。.. 8.12 NAT应用:示例5 在本例中,公司使用一台两接口路由器,一个E t h e r n e t和一个串行接口。其中.. E t h e r n e t 0连 接到内部网络,而串行接口则通过.. P P P链路连接到.. I S P路由器。在内部网络中,公司使用.. 1 0 . 0 . 0 . 0 / 2 4地址空间中的地址,该地址在.. I n t e r n e t上不能路由。公司还提供了.. I P地址范围.. 1 7 1 . 1 0 0 . 1 . 0 / 2 4,用以创建全局可访问的.. We b服务器。公司认为他们将有大量的.. We b服务器连 接,但服务器只是一个低端服务器。并且公司并不打算买更多的机器,因为公司已经花费了 大量资金来购买硬件设备。公司希望只使用少数几台服务器,并且对于外界看来应该就像是 108 C i s c o访问表配置指南 下载 108 C i s c o访问表配置指南 下载 一台服务器一样。换句话说,公司希望发送到一个内部全局地址上的报文能被转换成多个内 部本地地址(见图8 - 8)。 服务器 服务器 服务器 内部网络 客户路 由器 提供者的 路由器 拥有171.100.1.100为目的地址 的报文采用轮循的方法发送到 10.1.1.2-10.1.1.4的机器上 图8-8 NAT应用方案:示例5 8.12.1 解决方案 8.12.2 分析 我们先定义用于 N AT的接口,并通过将合适的命令放在每个接口下面,来确定这些接口 是N AT内部接口,还是外部接口。在每个接口下面定义了合适的 N AT命令之后,接着定义 N AT池。在非本例的情况下,N AT池的We b地址标识了公司所有的 We b服务器的内部本地地址。 注意,在本例中我们使用参数 p r e f i x - l e n g t h而非n e t m a s k。值为2 9的p r e f i x - l e n g t h等价于掩码参 数值2 5 5 . 2 5 5 . 2 5 5 . 2 4 8。再注意 r o t a r y关键字的使用。这表明了我们打算使用 r o u n d - r o b i n策略从 N AT池中取出相应的I P地址用于转换进来的I P报文。 在定义了N AT池之后,我们继续定义将从 r o t a r y池中选中的 I P地址。我们定义一个 i n s i d e 第 8章 TCP拦截和网络地址转换 109 下载 destination list语句,而不使用inside source list语句。其中.. inside destination list语句定义了其.. I P的地址匹配访问表.. 1的报文将使用.. r o u n d - r o b i n策略,将其目的地址转换成.. r o t a r y池中定义的 池地址。在这种情况下访问表.. 1将匹配一个单一的.. I P地址.. 1 7 1 . 1 0 0 . 1 . 1 0 0。这样,具有.. 1 7 1 . 1 0 0 . 1 . 1 0 0目的地址的报文会将其目的.. I P地址修改为:路由器使用轮询策略从.. r o t a r y池中所 取出的地址。这允许使用.. 3个内部服务器来接收目的地址为.. 1 7 1 . 1 0 0 . 1 . 1 0 0的向内报文。所有这 三个内部.. We b服务器将分担发送到该单一全局地址上的请求。着重指出的是路由器不会保证 三台We b服务器都是正常的。如果某台服务器故障,路由器仍会向该服务器发送报文。如果 需要功能更完善的解决方案,则.. C i s c o有一种称为本地导向器(.. Local Director)的产品,它可 以用来确定池中的服务器是否正常工作。对本地导向器的讨论已超出了本书所讨论的范围, 不过读者可以查看.. C i s c o文档,或者与本地的供应商联系来获得这方面的更多信息。.. 8.13 NAT应用:示例6 在本例中,公司使用一台两接口路由器,一个是E t h e r n e t,另一个是串行接口。.. E t h e r n e t 0 连接到内部网络,而串行接口则通过.. P P P链路连接到.. I S P路由器。在内部网络中,公司使用.. 1 0 . 0 . 0 . 0 / 2 4地址范围内的地址。公司已从其供应商那里获得了一个单一的全局可路由的.. I P地址.. 1 7 1 . 1 0 0 . 1 . 1,并且该地址用于路由器的串行接口上。公司使用.. PAT将其所有的内部本地地址转 换成单一的内部全局地址.. 1 7 1 . 1 0 0 . 1 . 1。公司希望提供可以从.. I n t e r n e t访问的F T P和We b服务器, 并且对We b服务器的请求应被送到.. We b服务器所在的地址.. 1 0 . 1 . 1 . 1 0 0,而F T P请求则被送到F T P 服务器所在的地址1 0 . 1 . 1 . 1 0 1(见图8 - 9)。 服务器 服务器 内部网络 客户路 由器 串行链接提供者的 路由器 拥有171.100.1.1为目的地址的 报文基于不同的部分被传输 图8-9 NAT应用方案:示例6 8.13.1 解决方案 110 C i s c o访问表配置指南 下载 110 C i s c o访问表配置指南 下载 8.13.2 分析 先定义.. N AT所用的接口,并通过将合适的命令放在每个接口下面来定义接口是.. N AT内部 或外部接口。通常,在定义.. N AT接口之后,就要定义.. N AT池来指定所用的内部全局地址。但 是,在本例中只使用了一个单一的内部全局地址,并且将该单一内部全局地址用于路由器的.. serial 0接口上。由于只有一个单一内部全局地址并且用于路由器自己的接口上,所以我们不 需要定义N AT池。我们只简单地使用示例中所示的.. inside source list语句即可。所定义源列表 使用路由器接口的.. I P地址,并且超载该单一.. I P地址。该命令允许来自.. 1 0 . 0 . 0 . 0 / 2 4网络的内部主 机访问I n t e r n e t。路由器执行.. PAT来创建T C P / U D P端口的N AT映射。完成该步以后,接下来需 要为内部We b和F T P服务器创建静态映射。 由于只有一个单一的内部全局.. I P地址,因此要根据I P地址以及T C P或U D P端口来定义静态 映射。在本例中,将目的地址为.. 1 7 1 . 1 0 0 . 1 . 1和目的T C P端口为8 0的报文地址转换成.. T C P端口8 0 上的1 0 . 1 . 1 . 1 0 0内部主机地址。我们还将目的地址为.. 1 7 1 . 1 0 0 . 1 . 1和目的T C P端口为2 1的报文地 址转换成T C P端口2 1上的1 0 . 1 . 1 . 1 0 1内部主机地址。这样我们就在不同的内部服务器上提供了.. We b和F T P服务,虽然我们只有一个单一的内部全局地址。注意,由于该命令语法允许指定内 部服务器的I P地址和端口,所以可以在内部提供多个.. We b和F T P服务器。例如,可以创建如下 的静态映射: 该转换操作将所有目的地址为.. 1 7 1 . 1 0 0 . 1 . 1且目的端口为2 7的向内报文的地址转换为.. F T P端 口上的地址1 0 . 1 . 1 . 1 0 2。当然,我们必须保证,外部用户能够知道我们的.. F T P服务器使用非标 准的端口,而大多数的.. F T P客户机都提供这一能力。显然公司可以使用各种不同的端口转换方 法来提供服务,即使公司只有一个全局可路由的.. I P地址。这些方法使Cisco NAT的功能更加强 大。..
图文并茂详解 NAT 协议
程序员cxuan的个人主页
02-23 3892
什么是 NAT 协议 我们的计算机要想访问互联网上的信息,就需要一个地址,而且这个地址是大家(其他主机)所认可的,是公共的,这个地址也叫做公有 IP 地址。 与之相对的,除了公有 IP 地址外,还有私有 IP 地址,私有 IP 地址就是我们在私有网络中使用的地址,比如局域网或者公司内部的网络。不知道你没有观察过自己家路由器所分配的 IP 地址,当你登上路由器的网关 192.168.1.1 时,在分配的网络下面一般会看到一些 IP 地址,都是 192.168.1.x ,这种地址就是私有 IP 地址。 所以现
NAT——网络地址转换协议
g564231的博客
08-30 1934
文章目录一.NAT协议二.简单设置NAT1.静态NAT2.动态NAT——PAT3.Easyip4.静态PAT三.总结 一.NAT协议        nat ——网络地址转换协议:在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。要求专用网(私网IP)连接到因特网(公网IP)的路由器(NAT路由器)至少有一个有效的外部全球IP地址(公网IP地
NAT协议网络地址转换协议)详解
热门推荐
TABE_的博客
03-18 2万+
这里写目录标题为什么需要NATNAT的特点NAT的实现方式静态NAT动态NATNAPTNAT技术的优缺点优点缺点 为什么需要NAT IPv4地址随着用户的增多压力不断增大,但是每一个路由器的IP地址下面都有很多的私有地址,外部消息只需要找到这个路由器,这个路由器把消息找到真正目的主机传递给它即可。每一个路由器都可以分配很多私有地址,并且不同路由器的私有地址可以重复,通过这种地址转换,能够大大增加地址的容量。 私有地址有三种: ①10.0.0.0~10.255.255.255/8 ②172.16.0.0~17
NAT协议
m0_60027772的博客
11-08 658
以上都是24位子网掩码,其中第一个路由器分割了内网与外网。进入路由器内网接口进入路由器外网端口外网端口用来转换出去包的源IP,内网端口用来转换进来包的目标IP。进入路由器内网接口进入路由器外网端口。
网络基础学习(终章):网络地址转换NAT原理
weixin_42054864的博客
06-07 557
● 在私有网络中使用私有地址,并在网络出口使用NAT技术,可以有效减少网络所需的IPV4公有地址数目,NAT技术有效的缓解了IPV4公有地址短缺的问题。● 动态NAT , NART , Easy IP为私网主机访问公网源地址转换。● NAT Sever实现了内网主机对公网提供服务。● 静态NAT提供了一对一映射,支持双向互访。
网络地址转换NAT)技术
qq_51776588的博客
02-14 9088
网络地址转换原理 NAT技术的基本原理 NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网。 NAT是将IP报文报头中的IP地址转换为另一个IP地址的过程,一般的NAT转换设备都维护着一张地址转换表,所有经过NAT转换设备(处于内部网络和外部网络的连接处,常见的设备有:路由器、防火墙等)并且需要进行地址转换的报文,都会通过这个表做相应的修改。地址转换的机制分为如下两个部分: 1、内部网络主机的IP地址和端口转换NAT转换设备外部网络地址
NAT地址转换(又称为网络地址转换,用于实现私有网络和共有网络之间的互相访问)
a_b_e_l_的博客
06-17 1万+
目录地址类型NAT地址转换工作过程:NAT的好处:静态NATNAT配置命令动态nat配置:ACL:应用规则私有地址和公有地址:公有网络地址(以下简称公网地址)是指在互联网上全球唯一的IP地址。2019年11月26日,是人类互联网时代值得纪念的一-天,全球近43亿个IPv4地址已正式耗尽。私有网络地址(以下简称私网地址)是指内部网络或主机的IP地址,IANA(互联网数字分配机构)规定将下列的IP地址保留用作私网地址,不在Internet(互联网).上被分配,可在一个单位或公司内部使用。RFC1918中规定私
NAT详解
weixin_60917414的博客
03-22 4712
NAT详解
网络地址转换协议——NAT(恐怕是最全的版本)
肥猫警长的博客
08-30 5322
前天我说第二天要跟大家讲一下NAT的,结果放假有些懒,所以就放在今天更新,希望大家不要凶我,哈哈哈。 目录 一、什么是NAT 1.NAT简介 2.NAT作用 3.NAT内网地址的范围 4.主要应用方向: 5.NAT的优点: 二、NAT的几种类型 三、NAT类型的对应实验 1.静态NAT 代码 PC机设置​ ping测试 ​2.动态NAT--PAT 代码 PC机设置 ping测试 三.Easyip 代码 PC机设置 ping通测试 四.静态PAT ...
NAT网络地址转换协议
weixin_51099370的博客
03-16 7491
文章目录一、NAT认识私有网络二、NAT的工作原理NAT包含4类地址三、NAT功能优点:缺点:四、NAT的实现方式1、静态转换(Static Translation)配置方法2、动态转换(dynamic Translation)3、端口多路复用(Port Address Translation----PAT)总结 一、NAT 认识NAT(Network Address Translation):网络地址转换协议,一般用于实现私有网络与公有网络之间的访问 认识私有网络 A类私有地址:10.0.0.0~10.
图文并茂详解NAT协议(含实例分析)
嵌入式Linux内核的博客
02-22 1077
我们的计算机要想访问互联网上的信息,就需要一个地址,而且这个地址是大家(其他主机)所认可的,是公共的,这个地址也叫做公有 IP 地址。与之相对的,除了公有 IP 地址外,还有私有 IP 地址,私有 IP 地址就是我们在私有网络中使用的地址,比如局域网或者公司内部的网络。不知道你没有观察过自己家路由器所分配的 IP 地址,当你登上路由器的网关 192.168.1.1 时,在分配的网络下面一般会看到一些 IP 地址,都是 192.168.1.x ,这种地址就是私有 IP 地址
NAT基础知识
Zuoriqiufeng的博客
08-21 1947
NAT 前言 NAT应用场景 随着网络设备的数量不断增长,对IPv4地址的需求也不断增加,导致可用IPv4地址空间逐渐耗尽。解决IPv4地址枯竭问题的权宜之计是分配可重复使用的各类私网地址段给企业内部或家庭使用。但是,私有地址不能在公网中路由,即私网主机不能与公网通信,也不能通过公网与另外一个私网通信。 NAT是将IP数据报报头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能。NAT一般部署在连接内网和外网的网关设备上。当收到的报文源地址为私网
思科NAT 网络地址转换
05-31
思科NAT(Network Address Translation)是一种网络地址转换技术,可以将内部网络的私有IP地址转换为公网IP地址,从而实现内部网络与外部网络之间的通信。思科NAT通常用于企业网络,可以保护企业内部网络的安全,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值