CCNA2.0笔记_NAT

  NAT:园区网内的PC是私有地址,整个园区网共享一个公有IP,如果园区网内的PC不做NAT,那么在发数据包给外网的时候会出现传输问题
  PAT:是NAT的升级,地址多路复用

  

  内部本地地址(InsideLocal ):内部网络主机使用的IP地址

  内部全局地址(InsideGlobal ):内部网络使用的公有IP地址

  外部全局地址(OutsideGlobal):外部网络主机使用的IP地址

  验证NAT:

show ip nat translations   //查看生效的NAT设置
show ip nat statistics   //查看NAT统计信息
debug ip nat  //用于排错

  静态NAT:将内部主机IP一对一的翻译成外部地址。
  这种方法主要用在内部网络中有对外提供服务的服务器,如WEB、MAIL服务器时。该方法的缺点是需要独占宝贵的合法IP地址。即,如果某个合法IP地址已经被NAT静态地址转换定义,即使该地址当前没有被使用,也不能被用作其它的地址转换。

  

  

  

  在内部主机连接到外部网络,当数据包到达NAT路由器时,路由器检查静态NAT表,然后将数据包的内部本部IP(源地址)更换成内部全局地址,再转发出去。外部主机接收到数据包后,用内部全局地址来响应,NAT接受到外部回来的数据包,再根据NAT表把地址翻译成内部本部IP。

   
  此例中:

  InsideLocal:10.1.1.1

  InsideGlobal:20.1.1.222

  OutsideGlobal:20.1.1.2

  R1负责NAT转换,R0模拟为内网主机,R2为外网节点。要求通过静态NAT实现10.1.1.1到20.1.1.2(外网)的访问。

  R1配置:

(config)#interface GigabitEthernet0/0
(config-if)#ip address 10.1.1.2 255.255.255.0
(config-if)#ip nat inside
(config)#interface GigabitEthernet0/1
(config-if)#ip address 20.1.1.1 255.255.255.0
(config-if)#ip nat outside
(config)#ip nat inside source static 10.1.1.1 20.1.1.222     //将10.1.1.1 映射为公网地址 20.1.1.222来访问外网
(config)#ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1     //实现路由

  R0配置:

(config)#no ip routing
(config)#interface GigaitEthernet0/0
(config-if)#ip address 10.1.1.1 255.255.255.0
(config-if)#ip default-gateway 10.1.1.2

  R2配置:

(config)#interface GigaitEthernet0/1
(config-if)#ip address 200.1.1.2 255.255.255.0

  动态NAT:将私有IP地址随机映射到一组公网IP池中的一个
  从内部全局地址池中动态地选择一个未使用的地址对内部本地地址进行转换。该地址是由未被使用的地址组成的地址池中在定义时排在最前面的一个。当数据传输完毕后,路由器将把使用完的内部全局地址放回到地址池中,以供其它内部本地地址进行转换。但是在该地址被使用时,不能用该地址再进行一次转换。

  

  

  缺点:地址池内公网地址被耗尽后,余下的内网主机将无法被翻译,不能访问外网

   
  R0配置:

(config)#interface GigabitEthernet0/0
(config-if)#ip address 10.1.1.1 255.255.255.0
(config-if)#ip nat inside
(config)#interface GigabitEthernet0/1
(config-if)#ip address 220.150.123.23 255.255.255.0
(config-if)#ip nat outside
(config)#access-list 1 permit 10.1.1.0 0.0.0.255     //定义10.1.1.0/24网段,即内网网段
(config)#ip nat pool test 220.150.123.50 220.150.123.60 netmask 255.255.255.0     //定义一个名为test的NAT地址池
(config)#ip nat inside source list 1 pool test     //指定动态地址转换,由访问列表1定义的地址范围内的内网地址进行地址转换,转换后的地址是名为test的地址池中的公网IP地址

  动态建立的映射的生存周期缺省为24小时

(config)#ip nattranslation timeout 60    //通过适当设置超时时间,可及时清除空闲连接,提供给有需要的内网主机

  端口地址转换:PAT内部全局地址复用
  

  也称"端口多路复用",使用地址和端口,将多个内部地址映射到比较少的外部地址,也是所谓的PAT(Port Address Translation)。和内部地址翻译一样,路由器同样也负责查表和翻译内部IP地址,唯一的区别就是由于使用了复用,路由器将复用同样的内部全局IP地址。

  

  方法一:直接使用接口地址

  R0配置:

(config)#interface GigabitEthernet0/0
(config-if)#ip address 10.1.1.1 255.255.255.0
(config-if)#ip nat inside
(config)#interface GigabitEthernet0/1
(config-if)#ip address 220.150.123.23 255.255.255.0
(config-if)#ip nat outside
(config)#access-list 1 permit 10.1.1.0 0.0.0.255     //定义10.1.1.0/24网段,即内网网段
(config)#ip nat inside source list 1 interface gigabitEthernet 0/1 overload    //关键字overload,启用地址复用功能。由访问列表1定义的地址范围内的内网IP地址将被地址转换,转换后的地址是接口G0/1的IP地址,方式为动态转换.

  方法二:使用InsideGlobal地址
  R0配置

(config)#interface GigabitEthernet0/0
(config-if)#ip address 10.1.1.1 255.255.255.0
(config-if)#ip nat inside
(config)#interface GigabitEthernet0/1
(config-if)#ip address 220.150.123.23 255.255.255.0
(config-if)#ip nat outside
(config)#access-list 1 permit 10.1.1.0 0.0.0.255
(config)#ip nat pool test 220.150.123.25 220.150.123.25 netmask 255.255.255.0         //定义一个名为test的NAT地址池,开始和结束地址均为220.150.123.25 (InsideGlobal地址)
(config)#ip nat inside source list 1 pool test overload     //启用地址复用功能。由访问列表1定义的地址范围内的内网IP地址将被地址转换,转换后的地址是名为test的NAT地址池中的IP地址,方式为动态转换.
时间: 2024-11-10 00:58:08

CCNA2.0笔记_NAT的相关文章

CCNA2.0笔记_路由相关

路由表IP地址条目,一个网段(广播域)对应一个下一跳 CAM表MAC地址条目,每个MAC地址对应一个主机 路由表里的路由条目有六个元素1:前缀 主机位全为0的网络号(网段)2:掩码 上述网段的掩码3:下一跳地址 去往目的网段的下一跳的三层设备(通常是路由器)接口的IP地址4:出站接口 本设备连接下一跳设备的接口5:Metric(度量值) 描述路由条目的好坏6:AD(管理距离) 描述一种路由信息获悉方式(动态路由)的可靠程度 路由汇总条件1:被汇总的路由条目必须连续2:被汇总的路由条目必须共享相同

CCNA2.0笔记_安全管理设备

设备安全 配置Console密码 Switch(config)#line console 0 Switch(config-line)#login Switch(config-line)#password cisco 配置vty线路密码 Switch(config)#line vty 0 4 Switch(config-line)#login Switch(config-line)#password cisco 配置enable密码 Switch(config)#enable password c

CCNA2.0笔记_子网划分

FLSM:定长子网掩码 对一个主类网络(地址段)进行一次划分,划分出来的每个地址掩码长度一致 VLSM:不定长子网掩码 对以上在进行划分,这就是vlsm 做子网划分的时候,子网掩码最多只能到30位,不能再多划 在有类环境中,由于路由器只能支持有类路由选择协议,即便支持子网段,也只能实现FLSM; 在无类环境中才可以使用VLSM FLSM就是对一个主类地址段(10.0.0.0/172.16.0.0)进行一次借位划分出若干个掩码长度完全一致的子网段 A类主类网络:10.0.0.0 FLSM:10.1

CCNA2.0笔记_动态路由

动态路由协议: 向其他路由器传递路由信息 接收其他路由器的路由信息 根据收到的路由信息计算出到每个目的网络的最优路径,并由此生成路由表 根据网络拓朴变化及时调整路由表,同时向其他路由器宣告拓朴改变的信息 基于某种路由协议实现 根据所执行的算法分类 •距离矢量路由协议 路由器每经过特定时间周期向邻居发送自己的路由表 *距离:有多远 *矢量:从哪个方向 协议举例: RIP:RIP路由协议向邻居发送整个路由表信息,以跳数作为度量值根据跳数的多少来选择最佳路由(最大跳数为15跳,16跳为不可达) •链路

CCNA2.0笔记_IP连接排错

IPv4 路由排错 ping tracert traceroute telnet show mac address-table show interfaces fastEthernet 0/1 show ip route show ip access-lists show ip interface gigabitEthernet 0/1 | include access list PC排错 ping arp -a route print IPv6 show ipv6 neighbors show

CCNA2.0笔记_路由原理

直连路由:当在路由器上配置了接口的IP地址,并且接口状态为up的时候,路由表中就出现直连路由项 静态路由:静态路由是由管理员手工配置的,是单向的. 默认路由:当路由器在路由表中找不到目标网络的路由条目时,路由器把请求转发到默认路由接口 静态与默认路由适用的环境 1,静态路由和动态路由       静态路由一般是由管理员手工设置的路由,而动态路由则是路由器中的动态路由协议根据网络拓扑情况和特定的要求自动生成的路由条目.一般中小型的网络,网络拓扑比较简单,不存在线路冗余等因素,所以通常采用静态路由的

CCNA2.0笔记_HSRP

HSRP也叫热备份路由协议,即第一跳冗余协议,第一跳实际就是网关.从而实现网关的冗余和自动切换.该协议确保了当网络边缘设备或接入链路出现故障时,用户通信能迅速并透明地恢复,并以此为IP网络提供冗余性.为IP网络提供了容错和增强的路由选择功能. 1.HSRP定义了一组路由:一个活动路由,一个后备路由 2.两个路由器共享一个虚拟IP地址和MAC地址 3.使用show standby命令,验证HSRP状态 4.HSRP是思科私有协议,VRRP是公有协议 活动路由 使用虚拟路由MAC地址响应默认网关的A

CCNA2.0笔记_VTP

VTP域的组成 - 相同域名的,通过Trunk相互连接的,一组交换机 VTP模式有3种 - 服务器模式(Server) - 客户机模式(Client) - 透明模式(Transparent) VTP的运行模式 VTP通告 - 使用组播发送,地址为01-00-0c-cc-cc-cc - 只通过中继端口传递 - VTP消息通过VLAN 1传送 - 交换机接收到了配置修订号大的汇总通告 VTP pruning VTP 配置 switch(config)# vtp domian domain_name

CCNA2.0笔记_OSPF

OSPF协议概述: •链路状态路由协议 •无类路由 •RouterID  •邻居发现——使用hello包发现邻居 •以传播 LSA 代替路由表更新 -链路:路由器接口 -状态:描述接口以及它与邻居路由器的关系 •将 LSA 泛洪到区域中的所有 OSPF 路由器,而不仅是直连的路由器 •收集由 OSPF 路由器生成的所有 LSA 以创建 OSPF 链路状态数据库 •使用 SPF 算法计算到每个目的地的最短距离,并将其置于路由表中 OSPF协议概述-区域: -为了适应大型的网络,OSPF在AS内划分