交换机路由器的配置与管理6.ppt

,交换机/路由器的配置与管理 （第2版） 作者：冯昊 黄治虎 清华大学出版社,第6章 路由器配置基础,6.1 路由器概述,6.1.1 路由器简介,路由器是工作在网络层的网络设备，最主要的功能是提供路由和网络地址转换（NAT）的功能。 路由器常用于实现网络的互联，特别是异构网络之间的互联。,6.1 路由器概述,6.1.2 路由器的组成,路由器由硬件和软件两部分组成。硬件系统主要由CPU、存储器和各种网络接口组成。软件系统主是由自引导程序、IOS操作系统、启动配置文件和路由器管理程序等组成。 1.CPU 2.存储器（只读存储器ROM、闪存Flash Memory、NVRAM、RAM）,6.1 路由器概述,6.1.2 路由器的组成,3. 管理接口 4. 网络接口 5. 自举程序 6. 路由器操作系统 7. 配置文件 8. 实现管理程序,6.2 路由协议简介,6.2.1 可被路由协议与路由协议,1. 可被路由协议 属于网络层的协议，主要有IP、IPX、AppleTalk。 2. 路由协议 也称为路由选择协议，属于应用层协议，主要有: RIP、IGRP、EIGRP、OSPF、BGP,6.2 路由协议简介,6.2.2 静态路由与动态路由,1. 直连路由 对在同一个网络设备的不同接口的网络地址，路由器会自动添加这些网络地址之间的路由到路由表中，这种路由就属于直连路由。 2. 静态路由 由管理员手工配置和添加的路由。,6.2 路由协议简介,6.2.2 静态路由与动态路由,3. 动态路由 又称为自适应路由。通过各路由器之间相互连接的网络，利用路由协议，动态地相互交换路由信息，从而实现自动更新和维护路由表。,6.3 网络地址转换,6.3.1 NAT概述,1. NAT的概念 为了解决IP地址紧缺的问题，将一部分IP地址划分为私网地址。 为了解决使用私网地址的局域网用户访问因特网的问题，从而诞生了网络地址转换技术（NAT）。 代理服务器的实质就是网络地址转换。,6.3 网络地址转换,6.3.1 NAT概述,2. NAT的相关术语 （1）内部网络 （2）外部网络 （3）内部本地地址 （4）内部全局地址 （5）外部本地地址 （6）外部全局地址 （7）地址池,6.3 网络地址转换,6.3.2 NAT的工作原理,报文出去时，替换修改源IP地址；报文回来时，替换修改目的IP地址。,6.3 网络地址转换,6.3.3 NAT的分类,1. 静态地址转换 局域网内部的私网地址，一对一地映射为一个公网地址。 2. 动态地址转换 有一个供转换用的公网地址池，从地址池中选择未用的公网地址，实现私网地址与公网地址间一对一对映射转换。 可提供公网地址的利用率。,6.3 网络地址转换,6.3.3 NAT的分类,3. 网络地址端口转换 用一个公网地址的一个端口来对应一个私网地址的某个端口，从而建立起基于IP地址和端口的一一对应关系。 对于一个公网IP地址，由于有6万多个TCP端口，因此，理论上可代理6万多台使用私网地址的主机访问因特网。,6.3 网络地址转换,6.3.4 Cisco路由器NAT配置,1. 配置地址端口转换 配置步骤和配置方法： （1）配置内部全局地址池 （可选配置） ip nat pool pool-name start-ip end-ip netmask netmask ip nat pool pool-name start-ip end-ip prefix-length prefixlength （2）配置接口类型 ip nat inside|outside inside定义接口为内网接口，outside定义为外网口。,6.3 网络地址转换,6.3.4 Cisco路由器NAT配置,（3）配置访问列表 access-list number permit network wildcard 访问列表用于配置允许哪些网络可以进行NAT以访问因特网。Number取值范围为1-99，wildcard为子网掩码的反码。 例如：若允许192.168.0.0/16网络进行NAT，则配置命令为： access-list 1 permit 192.168.0.0 0.0.255.255,6.3 网络地址转换,6.3.4 Cisco路由器NAT配置,（4）配置内部源地址的转换 ip nat inside source list acl-number pool pool-name overload ip nat inside source list acl-number interface int-type int-number overload 示例： ip nat inside source list 1 pool mypool overload ip nat inside source list 1 interface fa0/1 overload,6.3 网络地址转换,6.3.4 Cisco路由器NAT配置 配置示例参见教材第198页的例6.1。可在Cisco Packet Tracert软件中进行模拟操作。,6.3.4 Cisco路由器NAT配置,2. 配置静态地址转换,配置命令： ip nat inside source static tcp|udp local-ip port global-ip port 该命令的具体用法有两种： （1）公网地址与私网地址建立一对一的映射 ip nat inside source static local-ip global-ip 示例： ip nat inside source static 192.168.2.2 61.186.202.35,6.3.4 Cisco路由器NAT配置,2. 配置静态地址转换,（2）公网地址的某个端口与私网地址的某个端口间建立一一对应的映射关系 ip nat inside source static tcp|udp local-ip port global-ip port 例如，若要将61.186.202.34的TCP 80端口与192.168.2.2主机的TCP 80端口建立一一对应关系。 ip nat inside source static tcp 192.168.2.2 80 61.186.202.34 80,6.3.4 Cisco路由器NAT配置,3. 配置动态地址转换,与使用地址池的地址端口转换配置方法和配置步骤基本相同，只是在配置内部源地址转换时，命令中不使用overload关键字。,6.3.4 Cisco路由器NAT配置,4. 验证NAT配置,show ip nat translations 显示NAT转换表 show ip nat statistics 显示NAT统计信息 clear ip nat translations * 清除NAT转换表 clear ip nat statistics 清除NAT统计信息 以上命令在特权模式执行。,6.3.4 Cisco路由器NAT配置,5. NAT配置的删除,使用带no的相同命令来删除。删除时，不能有内网用户正在使用NAT转换。 可断开路由器与内网用户的连接，并清除NAT转换表，然后再删除NAT的相关配置。,6.3.5 华为NE20路由器NAT配置,1. 配置地址端口转换,华为路由器不支持以外网口地址来作为NAT转换的地址，必须使用NAT地址池的方式。配置步骤如下： （1）配置内、外网接口的IP地址 （2）配置NAT转换用的地址池 nat address-group group-name start-ip end-ip mask netmask 示例： nat address-group 1 61.186.202.35 61.186.202.36 mask 255.255.255.248,6.3.5 华为NE20路由器NAT配置,1. 配置地址端口转换,（3）配置访问控制列表，指定允许进行NAT转换的内网地址段 acl number acl-number rule rule-id permit source network wildcard Acl-number取值范围为2000至2999。 示例：若允许192.168.0.0/16网络进行NAT转换。 acl number 2000 rule 0 permit source 192.168.0.0 0.0.255.255,6.3.5 华为NE20路由器NAT配置,1. 配置地址端口转换,（4）在外网口配置对匹配访问列表的主机进行NAT转换。 nat outbound acl-number address-group address-group-number 示例：nat outbound 2000 address-group 1 （5）配置路由 配置默认路由指向路由器的网关地址。若NAT地址池中的IP与外网接口不在同一网段，则还要配置空路由。,6.3.5 华为NE20路由器NAT配置,2. 配置示例,参见教材第202页至第203页。,6.3.5 华为NE20路由器NAT配置,3. 静态地址转换,配置步骤与配置方法与地址端口转换基本相同。 （1）配置内、外网接口的IP地址 （2）配置静态地址转换用的地址池 （3）配置访问控制列表 （4）在外网接口上配置NAT Server 将一个私网地址与一个公网地址建立一一对应 nat server global global-ip inside local-ip acl-number address-group group-name,6.3.5 华为NE20路由器NAT配置,3. 静态地址转换,示例： nat server global 61.186.202.37 inside 192.168.2.2 2001 address-group 2 将一个公网地址的某个端口与一个私网地址的某个端口，建立一一对应关系 nat server protocol tcp|udp global global-ip port inside local-ip port acl-number address-group group-name,6.3.5 华为NE20路由器NAT配置,3. 静态地址转换,示例： nat server protocol tcp global 61.186.202.37 80 inside 192.168.2.2 80 2001 address-group 2 （5）配置空路由 地址池掩码为32位，与外网接口不相同，需要配置到地址池主机的路由为空路由，让下一跳指向null 0 ip route-static 61.186.202.37 255.255.255.255 null 0,6.3.5 华为NE20路由器NAT配置,3. 静态地址转换,完整的配置示例参见教材第204页的例6.3。,6.3.6 华为NE40路由器的NAT配置,1. 配置案例,配置案例参见教材第205页的第例6.4。,6.3.6 华为NE40路由器的NAT配置,2. 配置注意事项,对于NE40，路由器与因特网的互联接口地址最好与NAT地址池的地址，属于不同的网段，以简化配置。 若规划为同一网段，则必须增加以下两项配置： （1）nat enable address-group address-group-name 为地址池中的地址自动添加空接口路由。 （2）nat match-host address-group-name 配置响应针对地址池中的地址的ARP请求。,6.3.6 华为NE40路由器的NAT配置,3. 配置步骤与配置方法,（1）配置地址池 nat address-group group-name start-ip end-ip mask netmask slot slot-id no-pat slot-id用于指定NAT板所在的槽位号。 no-pat为可选项。若选用该参数项，则地址池中的地址仅用于静态地址转换；若不选用，则地址池中的地址用于地址端口转换。,6.3.6 华为NE40路由器的NAT配置,3. 配置步骤与配置方法,对于本例6.4的要求，地址池的定义为： nat address-group 1 61.186.202.36 61.186.202.39 mask 255.255.255.252 slot 2 (2) 配置流分类规则 根据流的特征，对报文进行过滤，即进行流分类。 NE40利用流分类规则，来定义允许进行NAT转换的内网地址段。,6.3.6 华为NE40路由器的NAT配置,3. 配置步骤与配置方法,(2) 配置流分类规则 配置命令：rule-map intervlan rule-name protocol src-addr wildcard|any dest-addr wildcard|any 对于本例，允许192.168.0.0/16的网络进行NAT，则流分类规则定义为： rule-map intervlan r1 ip 192.168.0.0 0.0.255.255 any 删除流分类规则：undo rule-map rule-name 例如：undo rule-map r1,6.3.6 华为NE40路由器的NAT配置,3. 配置步骤与配置方法,（3） 配置服务级别为4，连接数没有限制 配置命令：nat service-class 4 connections 0 （4）配置NAT动作，指定NAT转换所使用的地址池，服务级别设置为4 flow-action action-name nat address-group group-name service-class class-level 命令功能：定义流的动作为按指定的服务级别和地址转换方式进行网络地址转换。,6.3.6 华为NE40路由器的NAT配置,3. 配置步骤与配置方法,对于本例，NAT转换使用地址池1，若流动作名命名为to-internet，则配置命令为： flow-action to-internet nat address-group 1 service-class 4 删除流动作： undo flow-action 删除所有没有被应用的动作。 undo flow-action action-name 删除名为action-name的动作，但不能删除正在被应用的流动作。,6.3.6 华为NE40路由器的NAT配置,3. 配置步骤与配置方法,（5）配置EACL，将流分类规则与NAT动作关联。 EACL（Enhanced Access List）是一种增强的访问控制列表，用于关联报文流和流动作。 配置命令： eacl eacl-name rule-name action-name 对于本例，其配置命令应为： eacl out r1 to-internet,6.3.6 华为NE40路由器的NAT配置,3. 配置步骤与配置方法,（6）配置内网接口地址，并在该接口（入口）上应用EACL 配置命令：access-group r