15NAT与策略路由

NAT与策略路由应用部门/姓名内容Contents•NAT原理与配置1•策略路由2•NAT高级应用3NAT技术——场景描述172.16.0.0/16192.168.0.0/1610.0.0.0/81、NAT原理与配置NAT原理与配置：——NAT概述NATNetworkAddressTranslation,把数据包中的IP地址转换为另一个IP地址主要用于解决校园网使用私有地址上公网的问题大多数应用基于IPv4IPv4地址短缺使用私有地址（RFC1918）和NAT技术缓解IPv4公网地址短缺的问题•10.0.0.0/8•172.16.0.0/12•192.168.0.0/16IP数据包IP数据包IP数据包NAT原理与配置：——NAT工作原理192.168.1.10insideoutside校园网100.1.10.12200.10.20.30源IP：192.168.1.10目的IP：200.10.20.30源IP：100.1.10.12目的IP：200.10.20.30IP数据包源IP：200.10.20.30目的IP：100.1.10.12源IP：200.10.20.30目的IP：192.168.1.12insidelocalOutsideglobalinsideglobalOutsidelocaloutsidelocalinsideglobaloutsideglobalinsidelocalNAT的转换过程NAT原理与配置：——NAT转换表EG1000#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalTCP100.1.10.12:6004192.168.1.10:6004200.10.20.30:80200.10.20.30:80Tcp61.186.178.5:4010192.168.1.20:4010221.238.198.149:80221.238.198.149:80Udp61.186.178.9:1496192.168.1.50:1496117.78.198.58:14108117.78.198.58:14108Tcp100.1.10.12:80192.168.1.10:80117.25.172.10:12567117.25.172.10:12567PAT方式NAT方式什么是PAT方式何为NAT方式NAT原理与配置：——NAT的分类根据转换地址的对应关系NAT方式只转换IP报文头中的IP地址，在内部局部和内部全局地址之间建立一对一映射实现简单，无法满足实际通讯的需要PAT方式PortAddressTranslation，采用了“IP地址＋端口”的映射方式进行地址转换,利用TCP/UDP协议的端口号区分不同的主机，建立多对多的映射关系。NAT原理与配置：——NAT的分类动态NAT建立内部局部地址和内部全局地址池的临时映射关系，过一段时间没有用就会删除映射关系静态NAT建立内部局部地址和内部全局地址的永久映射。当外部网络需要通过固定的全局可路由地址访问内部服务器9NAT原理与配置：——转换关联转换关联就是将一个地址池和一个访问列表或者路由图关联起来，这种关联指定了具有指定特征的IP报文能否进行转换，能使用哪个地址池中的地址。在地址转换时，是根据这样的转换关联进行地址转换的。当一个内部网络的数据包文发往外部网络时，首先判断是否是允许转换的数据包，然后根据转换关联找到和它相对应的地址池，完成地址转换。10NAT原理与配置：——配置案例实现以下需求1、内部主机（10.10.10.0/24）能访问公网2、内部服务器私有ip：172.16.10.100，对外提供服务。11202.100.99.0/24R2NPEPCWebserver10.10.10.0/24192.168.1.1/30Nat地址池pool为202.112.192.0/24Webserver映射成202.112.194.1/24202.112.193.2/30L3SW172.16.10.100/24192.168.1.2/30202.112.193.1/30NAT原理与配置：——配置案例12202.100.99.0/24R2NPEPCWebserver10.10.10.0/24Gi0/0192.168.1.1/30Gi0/1202.112.193.2/30L3SW172.16.10.100/24192.168.1.2/30202.112.193.1/30Outside外网口Inside内网口interfaceGigabitEthernet0/0ipnatinsideinterfaceGigabitEthernet0/1ipnatoutsideipaccess-liststandard110permit10.10.10.00.0.0.255定义NAT设备的内外网口定义进行NAT的ACL用户列表NAT原理与配置：——配置案例定义NAT地址池和服务器对外映射ipnatpoolnatpoolprefix-length24address202.112.192.1202.112.192.254matchinterfaceGigabitEthernet0/1202.100.99.0/24R2NPEPCWebserver10.10.10.0/24Gi0/0192.168.1.1/30Gi0/1202.112.193.2/30L3SW172.16.10.100/24192.168.1.2/30202.112.193.1/30Outside外网口Inside内网口pool-name前缀长度start-ipend-ipNAT原理与配置：——配置案例202.100.99.0/24R2NPEPCWebserver10.10.10.0/24Gi0/0192.168.1.1/30Gi0/1202.112.193.2/30L3SW172.16.10.100/24192.168.1.2/30202.112.193.1/30Outside外网口Inside内网口协议global-addresslocal-addressipnatinsidesourcestatictcp172.16.10.10080202.112.194.180PORTPORTNAT原理与配置：——配置案例定义转换方法及转换关联ipnatinsidesourcelist1poolnatpooloverload15202.100.99.0/24R2NPEPCWebserver10.10.10.0/24Gi0/0192.168.1.1/30Gi0/1202.112.193.2/30L3SW172.16.10.100/24192.168.1.2/30202.112.193.1/30Outside外网口Inside内网口ACL号pool-nameNAT原理与配置：——章节回顾1、为什么需要NAT？2、NAT有哪些分类？3、NAT的配置步骤有哪些？162、策略路由策略路由：——策略路由概述常规路由基于目标IP和路由表进行报文的转发策略路由(Policy-BasedRouting)根据用户制定的策略进行报文转发，是一种比常规的基于目的的路由更灵活的路由机制。基于源IP、源目标IP对、协议、端口号、长度等参数对数据进行分类，对分类的数据执行转发策略。从特定的出口转发数据或者设置数据的优先级。18策略路由：——策略路由数据处理流程19入口数据包策略路由？有匹配条目吗？YNPermit？N正常路由（基于目标）NYY策略路由SetMatch使用Route-map来配置策略路由的流程策略路由：——策略路由配置步骤定义重分布路由图一个路由图可以由多个策略组成，策略按序号大小排列，只要符合了前面策略，就退出路由图的执行定义路由图每个策略的匹配规则或条件定义满足匹配规则后，路由器对符合规则的数据包进行IP优先值和下一跳的设置在指定接口中应用路由图20策略路由：——策略路由配置步骤路由器通过route-map语句对符合条件的数据包实施路由策略permit:对符合条件的数据包实施策略deny:对符合条件的数据包不实施策略Sequence:0-65535,route-map语句的执行顺序（插入/删除route-map语句)21EG(config)#route-maproute-map-name[permit|deny]sequence策略路由：——匹配策略匹配ACL匹配第三层数据包的长度定义匹配规则，只有符合规则的数据包才进行策略路由，如果没有配置匹配规则，则所有数据包都符合规则。要定义策略的匹配规则，在路由图配置模式中执行以下命令：EG(config-route-map)#matchipaddressaccess-list-number22EG(config-route-map)#matchipaddress{access-list-number|name}[...access-list-number|name]EG(config-route-map)#matchlengthminmax策略路由：——定义数据包下一跳23›对符合规则的数据包进行下一跳的设置。要定义匹配规则后的操作，在路由图配置模式中执行以下命令：›NPE(config-route-map)#setinterfacetypenumber›NPE(config-route-map)#setipnext-hopip-address›路由器先检查策略路由，后检查路由表EG(config-route-map)#setipnext-hopip-address[...ip-address]定义发出的数据包的下一跳地址EG(config-route-map)#setinterfacetypenumber[...typenumber]定义发出的数据包的出口策略路由：——应用策略路由在入口上应用策略路由24EG(config-if)#ippolicyroute-mapmap-tag3、NAT高级应用NAT高级应用：——场景描述场景需求：1、内部宿舍区私有IP地址用户可以通过NPE访问公网，且访问电信资源走电信线路，访问教育网资源走教育网线路。2、内部服务器网段172.16.0.0/16只走教育网线路，内部web服务器（172.16.1.1）对外提供web服务3、EG启用NAT日志功能，和elog对接，elog服务器地址为172.16.1.226出口区域RG-RSR50-40RG-ACE2000RG-EG出口路由器流控设备出口引擎电信1.1.1.21.1.1.158.246.1.2202.101.1.1202.101.1.258.246.1.1教育网电信地址池为58.246.2.1-58.246.2.10教育网地址池为202.101.3.1-202.101.3.10内部web服务器内部地址为172.16.1.1，映射成教育网地址为202.101.2.1校园网Elogserver172.16.1.2NAT高级应用：——需求分析1、内部宿舍区私有IP地址用户可以通过NPE的两条线路访问公网，且访问电信资源走电信线路，访问教育网资源走教育网线路。分析：宿舍区私有IP地址用户通过NPE的两条线路都可以访问公网，需要在NPE上配置NAT，且电信和教育网都需要配置NAT，配置两个地址池，并匹配两个接口。2、内部服务器网段172.16.0.0/16只走教育网线路，内部web服务器（172.16.1.1）对外提供web服务分析：1、要求内部服务器网段只走教育网线路，传统的基于目的路由的模式不能满足此需要，需要配置策略路由，匹配源地址来进行路由转发。2、要求内部web服务器对外提供web服务，而内部web服务器是私网地址，因此需要做基于端口的NAT静态映射。3、NPE启用NAT日志功能，和Elog对接，elog服务器地址为172.16