9、学习资料一-网络出口设计

1、第九章 网络出口设计本章内容NAT背景NAT术语静态NAT动态NATNAPT处置地址空间重叠的网络TCP负载平衡配置NAT运用战略路由配置基于战略的路由选择战略路由例如课程议题NAT为什么运用NAT？ 运用单个IP地址支持根本的TCP负载分配没有足够的全局独一的IP地址供网络中的主机用来衔接到internet改换internet效力提供商后，需求对网络进展重新编址合并两个运用重叠地址空间的内部网络NAT实施NAT优点：节省公共地址可减少编址方案重叠的情况发生将私有网络转化成公网时，无需求重新进展编址NAT缺陷：NAT会添加延迟无法进展端到端的IP跟踪NAT使某些在有效负载中运用IP地址的运用无

2、法运转NAT术语内部/外部：IP主机相对于NAT设备的物理位置。本地/全局：用户相对于NAT设备的位置或视角。NAT术语参数描述内部本地IP地址 分配给内部网络中的主机的IP地址，通常这种地址来自RFC 1918指定的私有地址空间。 内部全局IP地址 内部全局IP地址，对外代表一个或多个内部本地IP地址，通常这种地址来自全局惟一的地址空间，通常是ISP提供的。 外部全局IP地址 外部网络中的主机的IP地址，通常来自全局可路由的地址空间。 外部本地IP地址 在内部网络中看到的外部主机的IP地址，通常来自RFC 1918定义的私有地址空间。 简单转换条目 将一个IP地址映射到另一个IP地址（通常被

3、称为网络地址转换）的转换条目。 扩展转换条目 将一个IP地址和端口对映射到另一个IP地址和端口（通常被称为端口地址转换）对的转换条目。 NAT术语静态NAT：按照一一对应的方式将每个内部IP地址转换为一个外部IP地址，这种方式经常用于企业网的内部设备需求可以被外部网络访问到时。动态NAT：将一个内部IP地址转换为一组外部IP地址地址池中的一个IP地址。超载OverloadingNAT：动态NAT的一种实现方式，利用不同端口号将多个内部IP地址转换为一个外部IP地址，也称为PAT、NAPT或端口复用NAT。重叠OverlappingNAT：当在内部网络中运用的IP地址是其它网络中曾经运用的已注册

4、IP地址时，NAT路由器就需求维护一张查找表，以便用独一的IP地址来交换这些已注册的IP地址。静态NAT 静态NAT：按照一一对应的方式将每个内部IP地址转换为一个外部IP地址，这种方式经常用于企业网的内部设备需求可以被外部网络访问到时。动态NAT 动态NAT：将一个内部IP地址转换为一组外部IP地址地址池中的一个IP地址。 NAPT NAPT是动态NAT的一种实现方式，NAPT利用不同的端口号将多个内部IP地址转换为一个外部IP地址，NAPT也称为PAT或端口级复用NAT。 地址空间重叠 TCP负载平衡 NAT TCP负载平衡只适用于TCP衔接，对于非TCP衔接恳求，NAT进程将不会对其进展

5、转换。 配置静态NAT第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置方式下，执行命令ip nat inside | outside 。第三步：运用全局命令ip nat inside source static local-ip interface interface | global-ip 配置静态转换条目。配置静态端口地址转换第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，并执行命令ip nat inside | outside 。第三步：运用全局命令ip nat inside sourc

6、e static tcp | udp local-ip local-port interface interface | global-ip global-port指定静态PAT条目。配置静态外部源地址转换 第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置方式下，并执行命令ip nat inside | outside 。第三步：运用全局命令ip nat outside source static global-ip local-ip指定静态转换条目。配置动态NAT第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部

7、接口和一个外部接口，方法是进入接口配置方式下，并执行命令ip nat inside | outside 。第三步：运用命令access-list access-list-number permit | deny 定义IP访问控制列表，以明确哪些报文将被进展NAT转换。第四步：运用命令ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-length 定义一个地址池，用于转换地址。配置动态NAT第五步：运用命令ip nat inside source list access-list-number

8、 interface interface | pool pool-name 将符合访问控制列表条件的内部本地地址转换到地址池中的内部全局地址。配置NAPT第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，并执行命令ip nat inside | outside 。第三步：运用命令access-list access-list-number permit | deny 定义IP访问控制列表，以明确哪些报文将被进展NAT转换。第四步：运用命令ip nat pool pool-name start-ip end-ip netmask netmask | pre

9、fix-length prefix-length 定义一个地址池，用于转换地址。第五步：运用命令ip nat inside source list access-list-number interface interface | pool pool-name overload将符合访问控制列表条件的内部本地地址转换到地址池中的内部全局地址。 配置NAPT配置地址重叠中的NAT转换第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，并执行命令ip nat inside | outside 。第三步：定义两个IP访问控制列表，它们分别指定了要对哪些内部地址和外

10、部地址进展转换。由于内部网络和外部网络的地址空间一样，因此也可以运用同一个访问列表，第四步：运用命令ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-length 定义一个内部全局地址池，用于内部到外部的转换。配置地址重叠中的NAT转换第五步：运用命令ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-length 定义一个外部本地地址池，用于从外部到内部的转换。第六步：运用命令ip nat

11、 inside source list access-list-number pool pool-name将符合访问控制列表条件的内部本地地址动态映射到内部全局地址池。第七步：运用命令ip nat outside source list access-list-number pool pool-name将符合访问控制列表条件的外部全局地址动态映射外部本地地址池。配置地址重叠中的NAT转换配置TCP负载平衡第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置方式下，并执行命令ip nat inside | outside 。第三步：定义访问

12、控制列表，指定发送到哪个地址虚拟主机地址的恳求被进展负载分担。第四步：运用命令ip nat pool name start-ip end-ip netmask netmask | prefix-length prefix-length type rotary为真实的内部主机或效力器定义地址池。当运用NAT进展TCP负载平衡时，必需配置type rotary关键字，以保证地址池中的地址被轮番运用。第五步：运用命令ip nat inside destination list access-list-number pool name定义访问控制列表与真实主机地址池之间的映射； 配置TCP负载平衡验证

13、和诊断NAT转换验证和诊断NAT转换的内容包括：运用show命令查看NAT运转的形状运用debug命令对NAT的转换操作进展调试运用clear命令清楚特定的或一切的NAT转换条目常用命令show ip nat translations access-list-number | icmp | tcp | udp verbose show ip nat statisticsdebug ip nat address | event | rule-match clear ip nat translation *clear ip nat statistics课程议题路由战略运用战略路由 战略路由是一种入

14、站机制，用于入站报文。 经过运用基于战略的路由选择，可以根据数据包的源地址、目的地址、源端口、目的端口和协议类型让报文选择不同的途径。 战略路由有以下优点：灵敏的支配报文 效力质量 节省费用 负载平衡 配置基于战略的路由选择 route-map命令route-map name permit | deny sequence-number 参数描述name Route-map的名称，拥有相同名称的route-map子句将组成一个route-map permit 如果报文符合该子句中的匹配条件，则报文将被进行策略路由 deny 如果报文符合该子句中的匹配条件，则报文将不进行策略路由，进行正常的转发

15、sequence-number 该route-map子句的编号，如果不指定则系统会自动赋予一个编号，route-map中的各子句按照编号的顺序执行 配置基于战略的路由选择match命令match ip address access-list-number | name access-list-number | name 参数描述access-list-number | name 标准访问控制列表或扩展访问控制列表的编号或名称，用于匹配入站报文。如果指定了多个访问列表，则与任一个列表匹配就算匹配。 min 最小报文长度（三层报文的长度） max 最大报文长度（三层报文的长度） 配置基于战略的路由选择set命令set ip next-hop ip-address ip-address set ip next-hop set interface set ip default next-hop set default interface set ip tos set ip precedence 在接口上配置战略路由 ip policy route-map route-map 衔接两家ISP时运用基于战略的路由选择 衔接两家ISP时运用基于战略的路由选择根据目的地址运用基于战略的路由选择 根据目的地址运用