学习资料一网络出口设计.ppt

第九章网络出口设计,本章内容,NAT背景NAT术语静态NAT动态NATNAPT处理地址空间重叠的网络TCP负载均衡配置NAT使用策略路由配置基于策略的路由选择策略路由示例,课程议题,NAT,为什么使用NAT？,使用单个IP地址支持基本的TCP负载分配没有足够的全局唯一的IP地址供网络中的主机用来连接到internet更换internet服务提供商后，需要对网络进行重新编址合并两个使用重叠地址空间的内部网络,NAT实施,NAT优点：节省公共地址可减少编址方案重叠的情况发生将私有网络转化成公网时，无需要重新进行编址NAT缺点：NAT会增加延迟无法进行端到端的IP跟踪NAT使某些在有效负载中使用IP地址的应用无法运行,NAT术语,内部/外部：IP主机相对于NAT设备的物理位置。本地/全局：用户相对于NAT设备的位置或视角。,NAT术语,NAT术语,静态NAT：按照一一对应的方式将每个内部IP地址转换为一个外部IP地址，这种方式经常用于企业网的内部设备需要能够被外部网络访问到时。动态NAT：将一个内部IP地址转换为一组外部IP地址（地址池）中的一个IP地址。超载（Overloading）NAT：动态NAT的一种实现形式，利用不同端口号将多个内部IP地址转换为一个外部IP地址，也称为PAT、NAPT或端口复用NAT。重叠（Overlapping）NAT：当在内部网络中使用的IP地址是其它网络中已经使用的已注册IP地址时，NAT路由器就需要维护一张查找表，以便用惟一的IP地址来替换这些已注册的IP地址。,静态NAT,静态NAT：按照一一对应的方式将每个内部IP地址转换为一个外部IP地址，这种方式经常用于企业网的内部设备需要能够被外部网络访问到时。,动态NAT,动态NAT：将一个内部IP地址转换为一组外部IP地址（地址池）中的一个IP地址。,NAPT,NAPT是动态NAT的一种实现形式，NAPT利用不同的端口号将多个内部IP地址转换为一个外部IP地址，NAPT也称为PAT或端口级复用NAT。,地址空间重叠,TCP负载均衡,NATTCP负载均衡只适用于TCP连接，对于非TCP连接请求，NAT进程将不会对其进行转换。,配置静态NAT,第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置模式下，执行命令ipnatinside|outside。第三步：使用全局命令ipnatinsidesourcestaticlocal-ipinterfaceinterface|global-ip配置静态转换条目。,配置静态端口地址转换,第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，并执行命令ipnatinside|outside。第三步：使用全局命令ipnatinsidesourcestatictcp|udplocal-iplocal-portinterfaceinterface|global-ipglobal-port指定静态PAT条目。,配置静态外部源地址转换,第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置模式下，并执行命令ipnatinside|outside。第三步：使用全局命令ipnatoutsidesourcestaticglobal-iplocal-ip指定静态转换条目。,配置动态NAT,第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置模式下，并执行命令ipnatinside|outside。第三步：使用命令access-listaccess-list-numberpermit|deny定义IP访问控制列表，以明确哪些报文将被进行NAT转换。第四步：使用命令ipnatpoolpool-namestart-ipend-ipnetmasknetmask|prefix-lengthprefix-length定义一个地址池，用于转换地址。,配置动态NAT,第五步：使用命令ipnatinsidesourcelistaccess-list-numberinterfaceinterface|poolpool-name将符合访问控制列表条件的内部本地地址转换到地址池中的内部全局地址。,配置NAPT,第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，并执行命令ipnatinside|outside。第三步：使用命令access-listaccess-list-numberpermit|deny定义IP访问控制列表，以明确哪些报文将被进行NAT转换。第四步：使用命令ipnatpoolpool-namestart-ipend-ipnetmasknetmask|prefix-lengthprefix-length定义一个地址池，用于转换地址。第五步：使用命令ipnatinsidesourcelistaccess-list-numberinterfaceinterface|poolpool-nameoverload将符合访问控制列表条件的内部本地地址转换到地址池中的内部全局地址。,配置NAPT,配置地址重叠中的NAT转换,第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，并执行命令ipnatinside|outside。第三步：定义两个IP访问控制列表，它们分别指定了要对哪些内部地址和外部地址进行转换。由于内部网络和外部网络的地址空间相同，因此也可以使用同一个访问列表，第四步：使用命令ipnatpoolpool-namestart-ipend-ipnetmasknetmask|prefix-lengthprefix-length定义一个内部全局地址池，用于内部到外部的转换。,配置地址重叠中的NAT转换,第五步：使用命令ipnatpoolpool-namestart-ipend-ipnetmasknetmask|prefix-lengthprefix-length定义一个外部本地地址池，用于从外部到内部的转换。第六步：使用命令ipnatinsidesourcelistaccess-list-numberpoolpool-name将符合访问控制列表条件的内部本地地址动态映射到内部全局地址池。第七步：使用命令ipnatoutsidesourcelistaccess-list-numberpoolpool-name将符合访问控制列表条件的外部全局地址动态映射外部本地地址池。,配置地址重叠中的NAT转换,配置TCP负载均衡,第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置模式下，并执行命令ipnatinside|outside。第三步：定义访问控制列表，指定发送到哪个地址（虚拟主机地址）的请求被进行负载分担。第四步：使用命令ipnatpoolnamestart-ipend-ipnetmasknetmask|prefix-lengthprefix-lengthtyperotary为真实的内部主机或服务器定义地址池。当使用NAT进行TCP负载均衡时，必须配置typerotary关键字，以保证地址池中的地址被轮流使用。第五步：使用命令ipnatinsidedestinationlistaccess-list-numberpoolname定义访问控制列表与真实主机地址池之间的映射；,配置TCP负载均衡,验证和诊断NAT转换,验证和诊断NAT转换的内容包括：使用show命令查看NAT运行的状态使用debug命令对NAT的转换操作进行调试使用clear命令清楚特定的或所有的NAT转换条目常用命令showipnattranslationsaccess-list-number|icmp|tcp|udpverboseshowipnatstatisticsdebugipnataddress|event|rule-matchclearipnattranslation*clearipnatstatistics,课程议题,路由策略,使用策略路由,策略路由是一种入站机制，用于入站报文。通过使用基于策略的路由选择，能够根据数据包的源地址、目的地址、源端口、目的端口和协议类型让报文选择不同的路径。策略路由有以下优点：灵活的操纵报文服务质量节省费用负载均衡,配置基于策略的路由选择,route-map命令route-mapnamepermit|denysequence-number,配置基于策略的路由选择,match命令matchipaddressaccess-list-number|nameaccess-list-number|name,配置基于策略的路由选择,set命令setipnext-hopip-addressip-addresssetipnext-hopsetinterfacesetipdefaultnext-hopsetdefaultinterfacesetiptossetipprecedence在接口上配置策略路由ippolicyroute-maproute-map,连接两家ISP时使用基于策略的路由选择,连接两家ISP时使用基于策略的路由选择,根据目标地址使用基于策略的路由选择,根据目标地址使用基于策略的路由选择,课程议题,总结,总结,NAT技术的提出是为了解决目前IPv4地址匮乏的