05-网络协议配置
神州数码网络有限公司2008年8月
目录
第1章配置IP寻址 (1)
1.1 IP寻址任务列表 (1)
1.2 IP寻址任务 (1)
1.2.1 在网络接口配置IP地址 (1)
1.2.2 配置地址解析 (3)
1.2.3 配置一个路由进程 (4)
1.2.4 配置广播报文处理 (5)
1.2.5 检测和维护IP寻址 (6)
1.3 IP寻址示例 (6)
第2章配置NAT (7)
2.1 NAT概述 (7)
2.1.1 NAT应用 (7)
2.1.2 NAT的优点 (7)
2.1.3 NAT术语 (7)
2.1.4 NAT规则匹配顺序 (8)
2.2 NAT配置任务表 (8)
2.2.1 翻译内部源地址 (8)
2.2.2 内部全局地址的重载 (10)
2.2.3 翻译重叠地址 (11)
2.2.4 提供TCP负载均衡 (12)
2.2.5 改变翻译超时及限制连接数目 (14)
2.2.6 监视和维护NAT (14)
2.2.7 NAT快速转发 (15)
2.3 NAT配置示例 (15)
2.3.1 动态内部源转换示例 (15)
2.3.2 内部全局地址重载示例 (16)
2.3.3 转换重叠地址举例 (16)
2.3.4 TCP负载分配示例 (17)
2.3.5 翻译H323配置示例 (17)
2.3.6 网吧应用示例 (18)
2.3.7 快速NAT应用示例 (19)
第3章配置DHCP (23)
3.1 DHCP概述 (23)
3.1.1 DHCP应用 (23)
3.1.2 DHCP的优点 (23)
3.1.3 DHCP术语 (23)
3.2 配置DHCP Client (24)
3.2.1 DHCP Client配置任务列表 (24)
3.2.2 DHCP Client配置任务 (24)
3.2.3 DHCP Client配置示例 (25)
3.3 配置DHCP Server (25)
3.3.1 DHCP 配置任务列表 (25)
3.3.2 DHCP 配置任务 (26)
3.3.3 DHCP Server配置示例 (29)
3.4 配置DHCP Relay (29)
3.4.1 DHCP Relay配置任务列表 (29)
3.4.2 DHCP Relay配置任务 (29)
3.4.3 DHCP Relay配置示例 (29)
第4章配置IP服务 (31)
4.1 配置IP服务 (31)
4.1.1 管理IP连接 (31)
4.1.2 配置性能参数 (34)
4.1.3 在广域网上配置IP (34)
4.1.4 检测和维护IP网络 (34)
4.2 配置访问列表 (36)
4.2.1 过滤IP报文 (36)
4.2.2 扩展访问列表示例 (37)
第1章配置IP寻址
1.1 IP寻址任务列表
配置IP的一个基本和必需的要求就是要在路由器的网络接口上配置IP地址。这样才能
激活这个接口,使它可以和其它系统用IP进行通信。同时还要确定IP网络掩码。
为了配置IP寻址功能,需要完成下列各项任务,其中第一项任务是必需的,其它都是可
选的。
z在网络接口配置IP地址
z配置地址解析
z配置一个路由进程
z配置广播报文处理
z检测和维护IP寻址
1.2 IP寻址任务
1.2.1 在网络接口配置IP地址
IP 地址确定了IP报文可以发送到的目的地址。某些 IP地址是有特殊的意义而被保留的,
不能作为主机地址或者是网络地址使用。表 1-1列出了IP地址的范围,以及保留地址和
可以使用的IP地址。
表 1-1 IP地址的范围
类别地址或范围状态
A 0.0.0.0
1.0.0.0 to 126.0.0.0
127.0.0.0
保留
可用
保留
B 128.0.0.0 to 191.254.0.0
191.255.0.0
可用
保留
C 192.0.0.0
192.0.1.0 to 223.255.254
223.255.255.0
保留
可用
保留
D 224.0.0.0 to 239.255.255.255 多目广播地址
E 240.0.0.0 to 255.255.255.254
255.255.255.255
保留
广播
有关IP地址的正式描述在RFC 1166 “Internet 数字”中。如果希望得到可用的网络地址,和Internet服务提供商联系。
一个接口只能拥有一个主IP 地址。要配置网络接口的主IP 地址和网络掩码,在接口配置态使用下列命令:
命令目的
ip address ip-address mask配置接口的主IP地址。
掩码(mask)表示IP地址中的网络部分。
注意:
我们只支持按网络字节序从最高位开始连续置位的网络掩码。
其它附加、可选的IP寻址功能在下面介绍:
z在网络接口配置多个IP地址
z激活串口上的IP处理功能
1. 在网络接口配置多个IP地址
每个接口可以拥有多个IP地址,包括一个主IP地址和任意个从属IP地址。在以下几种
情况下,需要配置从属IP地址:
当一个特定网段中没有足够的IP地址时。例如,某个逻辑子网中最多只有254个有效
IP地址,但是需要在实际的物理网络中连接300台主机。在路由器或者是访问服务器上
配置从属IP地址,可以使两个逻辑子网使用同一个物理子网。
许多较早期的网络是基于第二层网桥,而不是被划分成多个子网。正确使用从属IP地址
可以把这样的网络改造成基于路由的多个子网。在网络中的路由器,通过配置的从属IP
地址,可以了解同样连接在这个物理网络中的多个子网。
当一个网络的两个子网,被另一个网络在物理上分隔开。这时,可以把这个网络的地址
作为从属IP地址,从而可以把一个逻辑网络中的两个在物理上被分隔开的网络在逻辑上
连接在一起。
注意:
如果一个网段上的任意一台路由器配置了一个从属地址,则相同网段上的所有其它路由
器也需要配置同样网段的从属IP地址。
在网络接口配置多个地址,在接口配置态使用下列命令:
命令目的
ip address ip-address mask secondary 在网络接口上配置多个IP 地址。
注意:
IP 路由协议在发送路由更新信息时,可能会以不同的方式对待从属IP地址。
2. 激活串口上的IP处理功能
你可能希望一个串口或者是一个隧道接口可以不配置IP地址就具备IP处理功能。当这
样的接口生成一个报文,例如路由更新报文时,它所使用的源地址是你所指定的该路由
器的其它接口的有效IP地址,这样的接口被称为无编号(unnumbered)接口。路由器
还使用被指定接口的IP地址来确定哪些路由进程在无编号接口上发送更新报文。下列是
使用规则:
封装HDLC,SLIP,PPP,LAPB和帧中继的串口,还有隧道接口,都可以不配置IP地
址就进行IP报文处理。但是对于封装帧中继的串口,该串口必须是一个点到点的子接
口。对于封装X.25和 SMDS的接口,不能使用这项功能。
这样的接口不能通过Ping来确定是否正常,因为该接口没有IP地址。可以使用SNMP
来远程检测接口状态。
注意:
在不同主网之间的串行链路上使用这一配置,必须十分小心,任意运行在这条链路上的
路由协议,都必须被配置成不广播任何有关子网的信息。
要在无编号串口上激活IP处理功能,在接口配置态使用下列命令:
命令目的
ip unnumbered type number在串口或者是隧道接口上不配置IP地址就激
活IP处理功能。
上述命令中指定的接口,必须是这个路由器的其它某个拥有IP地址的接口,而不可以也
是一个无编号接口。这个接口还必须是被激活的(在 show interfaces命令的显示中接
口是“up”的)。
本章最后“串口配置示例”显示如何配置串口。
1.2.2 配置地址解析
IP实现允许在接口上控制IP地址解析和其它一些功能。下面介绍如何配置地址解析:
z建立地址解析
z映射主机名称到IP地址
1. 建立地址解析
一个IP设备可以同时有两个地址:本地地址(在本地网段或者是LAN唯一标识这台设
备)和网络地址(表示设备所属的网络)。本地地址也就是通常所说的链路层地址,因
为它是包含在链路层报文头部的,而且是由链路层设备读取、使用的。专业人员通常称
之为MAC 地址,因为链路层中的介质访问控制(MAC)子层是用来处理地址的。
例如,如果要与以太网上的一台设备通信,必须首先知道它的48比特MAC或者是本地
数据链路层地址。从IP地址得到本地数据链路层地址的过程称为地址解析(ARP)。
从本地链路层地址得到IP地址的过程称为反向地址解析(reverse address
resolution)。
本系统使用两种形式的地址解析:地址解析协议(ARP)和代理ARP(proxy ARP)。
ARP和代理ARP分别定义在RFC 826和 1027中。
ARP 用于映射IP地址到介质或者说是MAC地址。已知IP地址,ARP确定相应的
MAC地址。一旦MAC地址被确定,IP地址/MAC地址的关系就被保存在ARP缓存中
以便快速取得。然后IP报文就可以被封装在链路层报文中,被发送到网络上去。
设置地址解析包括下列任务:
z定义一条静态ARP缓存
z激活代理ARP
(1) 定义一条静态ARP缓存
ARP 和其它的地址解析协议提供了在IP地址和介质地址之间的动态映射。由于
大多数主机都支持动态地址解析,所以一般不需要配置静态的ARP缓存项。如果
必须定义的话,可以在全局配置态定义,在ARP缓存中建立一个永久的表项。系
统将使用这一表项把32比特的IP地址翻译成为48比特的硬件地址。另外,还可
以指定路由器代替其它主机应答ARP请求。
静态ARP缓存的配置最多可以配置2000个,静态ARP缓存与动态ARP缓存共
用同一个缓存表,所以静态ARP缓存加上动态ARP缓存不能超过2000。
如果不希望ARP表项永久存在的话,可以设置ARP表项的生存时间。下面的两
个表格列出了如何配置静态的IP地址/介质地址映射。
在全局配置态,使用下面的其中一条命令:
命令目的
arp ip-address hardware-address在ARP缓存中全局地映射一个IP地址到介质
地址。
arp ip-address hardware-address alias指定路由器以自己的介质地址应答对指定IP
地址的ARP请求。
在接口配置态使用下述命令:
命令目的
arp timeout seconds设置ARP缓存项在ARP缓存中的超时时间。
要显示特定接口的ARP超时时间,使用show interfaces命令。使用show arp命令
来检查ARP缓存中的内容。使用clear arp-cache命令清除ARP缓存中所有的表项。
(2)
激活代理ARP
系统使用代理ARP(RFC 1027定义)帮助没有相应路由的主机得到位于其它网
络上的主机的介质地址。例如,当路由器收到一个ARP请求,如果路由器发现它
所请求的主机和发出ARP请求的主机不连在路由器的同一个接口上,而且路由器
所有到目的主机的路由都是通过其他接口,而不是收到ARP请求的接口,则它将
发出一个代理ARP应答,回答自己的本地链路层地址。那台主机就会把报文发送
给路由器,然后由路由器把它转发到目的主机。代理ARP功能缺省是被激活的。
要激活代理ARP,在接口配置态使用下列命令:
命令目的
ip proxy-arp在接口上激活代理ARP。
2. 映射主机名称到IP地址
任一IP地址都可以有一个主机名称与之对应。系统保存了一个可以被telnet,ping等
命令使用的主机名到地址的映射缓存。
要指定主机名到地址的映射,在全局配置态使用下列命令:
命令目的
ip host name address静态地映射主机名到IP地址。
1.2.3 配置一个路由进程
配置到这里,用户可以根据各自网络的需要配置一个或者多个路由协议。路由协议提供
有关互联网络的拓扑结构信息。配置IP路由协议,例如BGP,RIP,OSPF在后面的文
档中介绍。
1.2.4 配置广播报文处理
广播报文的目的地址是某个物理网络上的所有主机。网络主机通过特殊的地址识别广播
报文。某些协议频繁使用广播报文,其中包括一些重要的Internet协议。控制广播报文
是IP网络管理员的一项基本工作。系统支持定向广播,也就是到特定网络的广播。系统
不支持到一个网络中所有子网的广播。
某些早期的IP实现使用的不是现在的广播地址标准,它们使用全“0”而不是全“1”
表示广播地址。因此,系统可以同时识别和接收这两种形式的报文。
z允许从定向广播到物理广播的翻译
z转发UDP广播报文和协议
1. 允许从定向广播到物理广播的翻译
缺省情况下,IP定向广播报文都将被丢弃,而不被转发。丢弃IP定向广播报文使路由
器不易受到“拒绝服务”类型的攻击。
用户可以在定向广播转成物理广播的接口上激活IP定向广播的转发功能。如果这一转发
功能被激活,所有到这个接口所在网络的定向广播报文都将被转发到这个接口,然后作
为物理广播报文发送。
用户可以指定一个访问表来控制广播报文的转发。当指定了访问表以后,只有被访问表
允许的IP报文才可以从定向广播转变到物理广播。
如果要激活IP定向广播的转发,在接口配置态使用下列命令:
命令目的
ipdirected-broadcast [access-list-name] 在一个接口上允许从定向广播到物理广播的
翻译。
2. 转发UDP广播报文和协议
有时,网络主机使用UDP广播报文确定地址,配置和名称等信息。如果该主机所在的
网络上没有相应的服务器,而一般情况下这些UDP报文又不会被转发,则主机无法得
到这些信息。为解决这个问题,用户可以在相应的接口上配置把某些类型的广播报文转
发到一个帮助地址。一个接口可以配置多个帮助地址。
用户可以指定一个UDP目的端口来控制哪些UDP报文将被转发。目前,系统缺省转发
目的端口是NetBIOS名字服务(端口137)的UDP报文。
如果要允许转发并指定目的地址,在接口配置态使用下列命令:
命令目的
ip helper-address address允许转发UDP广播报文并指定目的地址。
如果要指定转发哪些协议,在全局配置态使用下列命令:
命令目的
ip forward-protocol udp [port] 指定哪些接口的UDP协议被转发。
1.2.5 检测和维护IP寻址
要检测和维护网络,执行下列操作:
z清除缓存,列表和数据库
z显示系统和网络统计数据
1. 清除缓存,列表和数据库
用户可以清除某个缓存、列表和数据库中的所有内容。当你认为某个缓存、列表或者数
据库中的内容无效时,就需要清除它。
下表中的操作与清除缓存、列表和数据库有关,在管理态使用下列命令:
命令目的
clear arp-cache清除IP ARP缓存。
2. 显示系统和网络统计数据
系统可以显示特定的统计数据,如IP路由表,缓存和数据库。这些信息可以帮助确定系
统资源使用情况,从而解决网络问题。系统还可以显示端点的可到达性以及发出报文在
网络中的行进路线。
这些操作都列在下面的表中。这些命令的具体使用方法,请参见“IP寻径命令”一章。
在管理态使用下列命令:
命令目的
show arp显示ARP表中的内容。
show hosts显示主机名-IP地址映射缓存表。
show ip interface [type number] 显示接口状态。
show ip route [protocol] 显示路由表的当前状态。
ping {host | address} 测试网络端点的可到达性。
1.3 IP寻址示例
在下面的例子中,串口(serial 1/0)使用了ethernet1/1的地址。
interface ethernet 1/1
ip address 202.96.2.3 255.255.255.0
interface Serial 1/0
ip unnumbered ethernet 1/1
第2章配置NAT
Internet面临的两个关键问题是IP地址空间的缺乏和路由的度量。网络地址翻译(NAT)
是一种允许一个组织的IP网络从外部看上去使用不同的IP地址空间而不是它实际使用
的地址空间的特性。这样,通过将这些地址转换到全局可路由的地址空间,NAT允许一
个具有非全局可路由地址的组织连接到Internet。NAT也允许一个更好的重编码策略,
为组织机构更改服务提供商或自动编码到CIDR块。NAT也在RFC 1631中讲述。2.1 NAT概述
2.1.1 NAT应用
NAT的应用主要有以下几种:
z需要连接到Internet网上,但是并非所有主机都有唯一的全局IP地址。NAT使得使用非注册的IP地址的私有IP互联网络能够连接到互联网上。NAT一般在单连
接域 (即内部网络)上和公共网络(即Internet) 的边界路由器上配置。在发送报文到
外部网络之前,NAT将内部本地地址转换到全局唯一的IP地址。
z必须改变内部地址。可以通过使用NAT完成地址的转换,而无须改变它们,因为那将费时太多。
z要实现基本的TCP传输负载均衡。可以通过使用TCP负载分布特性将单个全局IP地址映射到多个本地IP地址。
z作为连接问题的解决方案,只有在单连接的域中相对少的主机同时与域外通信时,NAT有实用价值。此时,只有在需要和外部通信时,内部少量主机的IP才被
转换成全局唯一的IP地址。当不再使用时这些地址又可以被重新使用。
2.1.2 NAT的优点
NAT的一个明显的优点是,在不需要改变主机或路由器的情况下可以进行配置。如上所
述,如果在单连接域中的大量主机与域外通信,NAT可能是不实用的。并且,某些使用
嵌入式IP地址的应用,也不适用于NAT设备来进行翻译。这些应用可能不会透明地工
作或者完全(不经翻译的)通过一个NAT设备。NAT也隐藏主机的标识,这可能是一
个优点,也可能是一个缺点。
配置了NAT的router将至少有一个内部接口和一个外部接口。在一个典型的环境中,
NAT配置于单连接域和骨干域之间的出口router。当一个报文离开该域时,NAT将本地
有效源地址转换到全局唯一地址。当报文进入到该域时,NAT将这个全局唯一目的地址
转换到本地地址。如果存在多个出口点,每一个NAT必须有相同的转换表。如果地址用
完了,软件不能分配一个地址,那么它就丢弃该报文,并发出一个主机不可达的ICMP
报文。
配置了NAT的路由器不应该向外公布本地网络。然而,NAT从外部收到的路由信息可
以像通常那样在单域中公告。
2.1.3 NAT术语
如前所述,术语inside是指某一组织机构所拥有的和必须进行转换的那些网络。在这个
域中,主机将会有一个地址空间中的地址,而在域外,配置NAT时,它们会在另一个地
址空间中拥有地址。第一个地址空间指的是局部地址空间,而第二个地址空间是全局地
址空间。
类似地,outside是指单连接网络所连接的那些网络,一般不在一个组织的控制内。就像
在后面将要讨论的那样,外部网络中的主机地址也可以/需要翻译为某个地址并且可能有
局部地址和全局地址。
总之,NAT使用以下定义:
内部局部地址——在内部网络上一个主机分配到的IP地址。这个地址可能不是网络信息
中心(NIC)或服务提供商所分配的合法IP地址。
内部全局地址——一个合法的IP地址(由NIC或服务供应商分配),向外部网络描述一个
或多个本地IP地址。
外部局部地址——出现在内部网络的一个外部主机的IP地址。不一定是合法地址,它可
以在内部网络中从可路由的地址空间进行分配。
外部全局地址——主机的拥有者在外部网络上分配给主机的IP地址。该地址可以从全局
可路由地址或网络空间进行分配。
2.1.4 NAT规则匹配顺序
NAT在翻译报文时,首先要匹配已配置的NAT规则。NAT的规则主要有三大类型:内
部源地址映射、外部源地址映射和内部目的地址映射,每一个大类型下又有子类型。下
面以内部源地址映射为例,介绍NAT匹配规则子类型的顺序如下:
(1) 静态TCP/UDP端口映射规则。
(2) 静态单个地址映射规则。
(3) 静态网段映射规则。
(4) 动态POOL地址映射规则。
(5) PAT映射规则。
对于同一大类型下的相同子类的规则,对于三大规则类型之间,则按添加的先后顺序匹
配。在show running时,NAT规则的显示顺序和实际匹配的顺序一样。
2.2 NAT配置任务表
在配置任何NAT翻译之前,必须知道内部局部地址范围和内部全局地址范围。下一节将
显示如何使用NAT执行以下可选任务:
z翻译内部源地址
z内部全局地址的重载
z翻译重叠地址
z提供TCP负载均衡
z改变翻译超时及限制连接数目
z监视和维护NAT
2.2.1 翻译内部源地址
与网络外部通信时,使用这个特性将自己的IP地址翻译到全局唯一的IP地址。可按以
下方式配置静态或动态内部源地址翻译:
静态翻译在内部本地地址和内部全局地址之间建立一对一的映射。当一个内部主机必须
被一个固定的外部地址访问时,静态转换是有用的。
动态翻译在一个内部本地地址和外部地址池之间建立一种映射。
下图表明一个路由器,它将一个网络内的源地址转换到网络外的源地址:
图 2-1 NAT 内部源地址转换
以下步骤描述了内部源地址翻译,如上图所示。
(1) 主机1.1.1.1的用户建立一个到主机B的连接。
(2) 路由器接收的来自主机1.1.1.1的第一个数据包使路由器检查它的NAT表。
如果已配置一个静态翻译项,路由器转到第0步。
如果没有翻译项存在,路由器决定源地址(SA) 1.1.1.1必须动态翻译,然后从动态
地址池选择一个合法的、全局地址,最终产生一个翻译项。该类型项称做简单
项。
(3) 路由器用转换项的全局地址替换主机1.1.1.1的内部本地源地址,并且转发该报
文。
(4) 主机B通过使用内部全局IP目的地址(DA)2.2.2.2接收报文并响应主机1.1.1.1。
(5) 路由器收到内部全局IP地址的报文时,它将内部全局地址作为一个关键字执行
NAT表的查询。然后将地址翻译到主机 1.1.1.1的内部本地地址,并向主机
1.1.1.1转发报文。
主机1.1.1.1接收该报文并继续会话。路由器为每一个报文执行第0步到第0步。1. 配置静态转换
为了配置静态内部源地址转换,在全局配置方式下执行下列命令:
命令目的
ip nat inside source static local-ip global-ip在内部局部地址和内部全局地址之间建立一
个静态转换。
interface type number指定内部接口。
ip nat inside 将接口标记为连接到内部网的。
interface type number指定外部接口。
ip nat outside 将接口标记为连接到外部网的。
以上是最小配置。可以配置多个内部和外部接口。
2. 配置动态转换
为配置动态内部源地址翻译,在全局配置方式下执行下列命令:
命令目的
ip nat pool name start-ip end-ip netmask按需要定义一个将要分配的全局地址池。
ip access-list standard access-list-name permit source [source-mask] 定义一个标准的访问列表,允许哪些地址可以转换。
ip nat inside source list access-list-name pool name 建立动态源地址转换,指定前一步定义的访问列表。
interface type number指定内部接口。
ip nat inside将接口标记为连接到内部网的。
interface type number指定外部接口。
ip nat outside将接口标记为连接到外部网的。
注意:
访问表必须只允许列那些可以被转换的地址(记住:在每一个访问表的结尾有一个隐含的
“deny all”)。太随意的访问表可能导致不可预期的结果。
关于动态内部源地址转换的示例,请参阅本章后面的“动态内部源地址转换举例”一节。
2.2.2 内部全局地址的重载
通过允许路由器为多个局部地址使用一个全局地址,可以在内部全局地址池中保存地
址。当配置了重载后,路由器从较高级的协议( 例如TCP或UDP端口号)中保持足够的
信息,将这个全局地址转换回到正确的局部地址。当多个本地地址映射到一个全局地址
时,每一个内部主机的TCP或UDP端口号用于在诸多本地地址之间区分。
图 2-2说明了当一个内部全局地址代表多个内部局部地址时的NAT操作。TCP端口号充
当区分者。
图 2-2 内部全局地址重载时的NAT操作
路由器在重载的内部全局地址中执行以下过程所示。主机B和主机C都认为它们正在与地址为 2.2.2.2的一个主机会话。而实际上它们正在与不同的主机会话,端口号是区分标识。实际上,使用多个不同的端口号可以使多个内部主机共享一个内部全局IP地址。
(1) 主机1.1.1.1的用户发出指令连接到主机B。
(2) 路由器接收来自主机1.1.1.1的第一个报文,引起路由器检查它的NAT表。
如果没有转换项存在,那么路由器决定地址1.1.1.1必须进行翻译,并建立一个内部局部地址1.1.1.1到合法全局地址的翻译。如果重载起作用,就会启动另一个翻译,路由器从那个翻译中重新使用全局地址,并保存能够转换回来的足够信息。
这种项称做扩展项。
(3) 路由器用所选择的全局地址替换内部局部源地址1.1.1.1,并转发该数据包。
(4) 主机B接收该数据包并通过使用内部全局IP地址2.2.2.2响应主机1.1.1.1。
(5) 路由器用内部全局IP地址接收该报文时,它使用协议、内部全局地址和端口,外
部地址和端口作为关键字搜索NAT表。然后,它转换该地址到内部局部地址
1.1.1.1,并转发该报文到主机1.1.1.1。
(6) 主机1.1.1.1接收该报文并继续对话。路由器为每一个报文执行第0到第0步。
为配置内部全局地址的重载,在全局配置方式下执行下列命令:
命令目的
ip nat pool name start-ip end-ip netmask按需要定义一个将要分配的全局地址池。
ip access-list standard access-list-name
permit source [source-mask]
定义一个标准访问列表。
ip nat inside source list access-list-name pool name overload 建立动态源地址转换,确定在前一步定义的访问表。
interface type number指定内部接口
ip nat inside将接口标记为连接到内部网的。
interface type number指定外部接口。
ip nat outside将接口标记为连接到外部网的。
注意:
访问表必须只允许列出那些将要被转换的地址(请记住在每一个访问表的结尾有一个隐
含的“deny all”)。太随意的访问表可能导致不可预期的结果。
关于内部全局地址重载的示例,请参阅本章后面的“内部全局地址重载”示例一节。
2.2.3 翻译重叠地址
当一个内部本地地址与所想连接的外部地址相同时,就发生了地址重叠。图 2-3显示了
NAT如何翻译重叠地址的网络环境。
图 2-3 NAT翻译重叠地址的网络环境示意图
当翻译重叠地址的时候,路由器执行以下步骤:
(1) 主机1.1.1.1的用户用域名发出指令连接到主机C,从DNS服务器请求域名到地
址的检查。
(2) DNS服务器有回应,把主机C的地址1.1.1.1返回。路由器截取DNS应答报文,
并从外部本地地址池中选择一个外部本地地址代替源地址,此处是将源地址1.1 .
1.1替换为3.3.3.3。
(3) 路由器建立地址转换映射表,内部本地地址和内部全局地址互相映射,外部全局
地址和外部本地地址互相映射。
(4) 主机1.1.1.1向主机C发送的报文,目的I P地址就是外部本地地址3.3.3.3。
(5) 而当路由器A收到目的为外部本地地址的报文时,就把本地地址转换为全局地
址。
(6) 主机C接收数据包并继续会话。
2.2.4 提供TCP负载均衡
另一种使用NAT的方式是与Internet地址无关的。你的机构可能有多个主机必须与一个频
繁使用的主机通信。使用NAT,在内部网上建立一个虚拟主机用于在那些真实主机中协
调负载均衡。匹配一个访问列表的目地地址用循环地址池中的地址替换。分配是在一个
循环中完成的,且只当打开了一个从外部到内部的新连接时。非TCP的通信不用经过翻
译(除非其他翻译有效)。图 2-4说明了这个特性。
图 2-4 NAT TCP负载均衡
当翻译循环地址时,路由器执行以下步骤:
(1) 主机B(9.6.7.3)上的用户发出指令连接到1.1.1.127上的虚拟主机。
(2) 路由器接收连接请求并建立一个新的翻译项,为内部本地IP地址分配下一个主机
(1.1.1.1)。
(3) 路由器用所选的实际主机地址替换目标地址并转发该报文。
(4) 主机1.1.1.1接收报文并且响应。
(5) 路由器接收该报文,并使用内部本地地址和端口号以及外部地址和端口号作为关
键字检查NAT表。路由器然后转换源地址到虚拟主机地址并且转发该报文。(6) 下一个连接请求将引起路由器为内部本地地址分配1.1.1.2。为了配置目标地址转
换,在全局配置方式下执行下列命令。这些命令允许映射一个虚拟主机到多个真实主机。每一个与虚拟主机打开的新的TCP会话都将转换成与不同的真实主机的会话。
命令目的
ip nat pool name start-ip end-ip netmask 定义一个包含真实主机的地址池。
ip access-list standard access-list-name
permit source [source-mask]
定义允许虚拟主机地址的一个访问表。
ip nat inside destination list access-list-name pool name 建立动态内部目标转换,确定在前一步定义的访问表。
interface type number 指定内部接口。
ip nat inside把接口标记为连接到内网部的。
interface type number 指定外部接口。
ip nat outside把接口标记为连接到外部网的。
注意:
访问表必须只允许列出那些可以被转换的地址(记住:在每一个访问表的结尾有一个隐含的“deny all”)。太随意的访问表可能导致不可预期的结果。
有关循环转换的示例可参看本章末尾的“TCP负载分配举例”。
2.2.5 改变翻译超时及限制连接数目
缺省时,在经过一段时间的空闲后,动态地址翻译会超时。如果需要可以改变超时的缺
省值。当重载没有配置时,在1小时后简单的翻译项就会超时。为了改变这个值,在全
局配置方式下执行下列命令:
命令目的
ip nat translation timeout seconds改变不使用重载的动态地址翻译的超时值。
如果配置了重载,就会对翻译超时有一个较好的控制,因为每一项包含了更多的内容。
在扩展项中改变超时,在全局配置方式下执行下面一条或多条命令:
命令目的
ip nat translation udp-timeout seconds改变UDP超时值(缺省值5分钟)。
ip nat translation dns-timeout seconds改变DNS超时值(缺省值1分钟)。
ip nat translation tcp-timeout seconds改变TCP超时值(缺省值1小时)。
ip nat translation icmp-timeout seconds设置ICMP的NAT超时时间(缺省值是60秒)。
ip nat translation syn-timeout seconds设置TCP SYN状态的NAT超时时间(缺省值
是60秒)。
ip nat translation finrst-timeout seconds改变TCP FIN or RST超时值(缺省值1分钟)。
限制NAT的连接数目主要有三种方式,在全局配置方式下执行下列命令可以实现这三种
方式:
命令目的
ip nat translation max-entries numbers设置NAT的最大翻译条目数(缺省值是4000)。
ip nat translation max-entries host A.B.C.D numbers 针对指定的内部IP地址,限制该IP地址能建立NAT连接表项的最大数目,无缺省值。
ip nat translation max-entries host any numbers 针对所有的内部IP地址,限制单个IP地址能建立NAT连接表项的最大数目,缺省值与max-entries相同。
2.2.6 监视和维护NAT
缺省时,动态地址翻译将按NAT转换表所规定的时间超时。可以在超时前,通过在管理
态方式下执行下列命令清除超时项:
命令目的
clear ip nat translation * 从NAT转换表中清除所有动态地址转换项。
clear ip nat translation inside local-ip global-ip [outside local-ip global-ip] 清除一个包含内部翻译,或者既有内部翻译也有外部翻译的简单的动态翻译项。
clear ip nat translation outside local-ip 清除包含外部翻译的简单的动态翻译项。
global-ip
clear ip nat translation inside local-ip
清除扩展动态翻译条目。
local-port global-ip global-port[outside
local-ip local-port global-ip global-port]
在管理态方式下通过执行下列任一条命令,可以显示转换信息:
命令目的
show ip nat translations [host A.B.C.D |
显示活动翻译。
tcp | udp | icmp ][verbose]
show ip nat statistics 显示翻译统计。
2.2.7 NAT快速转发
为提高IP NAT的转发性能,使用ip fastnat ito1全局配置命令,开启ip fast nat处理流
程。该命令的NO形式可以恢复正常的IP NAT处理流程。
ip fastnat 1to1 outside {interface-type number} [backup-outside {interface-type
number}] inside {interface-type number} [privateservices] [extend]
同时,使用ip fastaccess deny端口配置命令,开启快速访问控制功能,该命令只能基
于传输层TCP/UDP/ICMP控制IP流。该命令的NO形式删除该项访问限制。
ip fastaccess deny {tcp | udp | icmp} {port number}
使用说明:
为提高IPNAT转发性能,简化了很多处理过程,必然也限制了使用范围:
?只支持一对一转发,也就是说,在同一时间,报文只能从一个标记为NAT inside的接口进入,然后从一个标记NAT outside的接口转发出去。
?支持一个备份端口,只有主线路down掉后,报文才能自动从备份线路转发。
?不支持IP NAT OUTSIDE SOURCE规则
?由于ip fastaccess只能基于传输层限制报文转发,如果需要基于IP地址限制,则需要用到一般访问列表。
有关快速NAT的配置示例可参看本章末尾的“快速NAT应用举例”。
2.3 NAT配置示例
建议:如果需要使用访问列表限制内网用户,如果使用到动态NAT规则,则强烈建议利
用NAT所用的访问列表。特别对于那些需要定义非常多规则的访问列表,这样可以显著
提高性能。
2.3.1 动态内部源转换示例
以下例子将匹配了访问列表a1的所有源地址(192.168.1.0/24) 转换到NET-208池中的
一个地址。池中地址范围是:171.69.233.208到171.69.233.233。
ip nat pool net-208 171.69.233.208 171.69.233.233 255.255.255.240
ip nat inside source list a1 pool net-208
!
interface serial1/0
ip address 171.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet1/1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
ip access-list standard a1
permit 192.168.1.0 255.255.255.0
!
2.3.2 内部全局地址重载示例
下面示例建立了一个名为 NET-208 的地址池。该池包含了从171.69.233.208到
171.69.233.233的地址。访问表a1允许源地址从192.168.1.0到192.168.1.255的数据
包。如果没有转换,那么匹配访问表a1的包转换到池中的一个地址。路由器允许多个
本地地址(从192.168.1.0到192.168.1.255)使用相同的全局地址。路由器保留端口号以
区分各个连接。
ip nat pool net-208 171.69.233.208 171.69.233.233 255.255.255.240
ip nat inside source list a1 pool net-208 overload
!
interface serial1/0
ip address 171.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet1/1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
ip access-list standard a1
permit 192.168.1.0 255.255.255.0
!
2.3.3 转换重叠地址举例
在下面例子中,局部网络中的地址正被Internet上的其他人合法地使用。访问那个外部
网络需要额外的转换。net-10池是一个外部本地IP地址池。语句ip nat outside source
list 1 pool net-10 将来自外部重叠网络的主机地址转换到池中的地址。
ip nat pool net-208 171.69.233.208 171.69.233.223 255.2555.255.240
ip nat pool net-10 10.0.1.0 10.0.1.255 255.255.255.0
ip nat inside source list a1 pool net-208
ip nat outside source list a1 pool net-10
!
interface serial1/0
ip address 171.69.232.192 255.255.255.240
ip nat outside
!
interface ethernet1/1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
ip access-list standard a1
permit 192.168.1.0 255.255.255.0
!
2.3.4 TCP负载分配示例
以下例子的目的是定义一个虚拟地址,在一组真实主机中到该地址的连接是分布的。该
池定义了真实主机的地址。访问表定义了虚拟地址。来自串口1/0(外部接口)的目的
地址与访问列表匹配的TCP包将翻译成池中的地址。
ip nat pool real-hosts 192.168.15.2 192.168.15.15 255.255.255.240
ip nat inside destination list a2 pool real-hosts
!
interface serial1/0
ip address 192.168.15.129 255.255.255.240
ip nat outside
!
interface ethernet1/1
ip address 192.168.15.17 255.255.255.240
ip nat inside
!
ip access-list standard a2
permit 192.168.15.1 255.255.255.0
2.3.5 翻译H323配置示例
建立Intranet,在Intranet中有若干H323网关;内部网与外界联系 IP网关使用本公司
路由器,在网关上运行H323 NAT程序。Gatekeeper放置在内部网中,接受外部网网
关的注册。
interface FastEthernet1/0
ip address 218.1.119.98 255.255.255.248
ip nat outside
!
interface FastEthernet2/0
ip address 192.168.1.6 255.255.0.0
ip nat inside
!
ip route default 218.1.119.97
!
ip access-list standard nat
permit 192.168.0.0 255.255.0.0
!
ip nat inside source static tcp 192.168.1.11 1720 218.1.119.98 1720
ip nat inside source static udp 192.168.1.10 1718 218.1.119.98 1718
ip nat inside source static udp 192.168.1.10 1719 218.1.119.98 1719
ip nat inside source list nat interface FastEthernet1/0
说明:
1) 只要GK和GW在内部网,上述NAT规则是必须的,其中1720端口主要用来映
射H225消息;1718端口映射GK discovery消息;1719映射RAS消息;PAT
规则映射H245消息和媒体流。
2) 如果内部网有多个GW和一个GK,则可以分配30000-31000端口给H323,如
下配置:
ip nat inside source static udp 192.168.1.10 1718 218.1.119.98 1718
- 计算机网络实验六rip路由协议配置
- OSPF路由协议配置(计算机网络实验)
- 计算机网络实验六 RIP路由协议配置
- 计算机网络实验六rip路由协议配置
- 计算机网络通信协议
- 计算机网络与网络协议
- 计算机网络实验六 RIP路由协议配置
- 计算机网络协议配置与常用网络命令实验报告
- 计算机网络各层协议
- 实验三 Windows网络配置和TCPIP协议配置及诊断
- _计算机网络课程设计配置RIP协议(doc 16页)
- 《计算机网络》局域网协议的设置
- 第3讲计算机网络通信协议
- 计算机网络实验报告(动态路由协议配置)
- [标准版]计算机网络安全管理协议(试行)
- 校园计算机网络接入协议范本
- 计算机网络实验报告记录(动态路由协议配置)
- 实验三 Windows网络配置和TCPIP协议配置及诊断
- 计算机网络协议配置与常用网络命令实验报告
- 计算机网络实验六rip路由协议配置