實(shí)驗(yàn)配置
綠色R1 藍(lán)色R2 R3只需要配置相應(yīng)的IP地址就可以,不用做其它操作
R1與R2配置OSPF
interface GigabitEthernet 0/0
no switchport
ip address 10.0.10.254 24
interface GigabitEthernet 0/1
no switchport
ip address 10.0.20.1 24
router ospf 100
router-id 1.1.1.1 配置Router-id
network 10.0.10.0 0.0.0.255 area 0 在區(qū)域0宣告10.0.10.0/24網(wǎng)段
network 10.0.20.0 0.0.0.255 area 0
interface GigabitEthernet 0/0
no switchport
ip address 10.0.20.2 24
ip ospf priority 255 配置OSPF接口優(yōu)先級(jí),選舉DR
interface GigabitEthernet 0/1
no switchport
ip address 1.1.1.2 24
router ospf 100
router-id 2.2.2.2
network 10.0.20.0 0.0.0.255 area 0
default-information originate always 向OSPF區(qū)域下發(fā)缺省路由(無(wú)論自己是否配置了缺省靜態(tài))
在R2上配置NAT+ACL
配置ACL匹配流量
Ip access-list standard 111 配置標(biāo)準(zhǔn)ACL(只可以匹配源IP地址)
10 permit 192.168.10.0 0.0.0.255 匹配IP地址為192.168.10.0/24報(bào)文
20 deny any
配置NAT地址池——通過(guò)1.1.1.1這個(gè)地址做NAT
ip nat pool 出去 1.1.1.1 1.1.1.1 netmask 255.255.255.255
配置NAT內(nèi)、外網(wǎng)口
interface GigabitEthernet 0/1
ip nat outside
interface GigabitEthernet 0/0
ip nat inside
配置源nat轉(zhuǎn)換策略
ip nat inside source list 111 pool 出去 overload
內(nèi)網(wǎng)口接收到的報(bào)文匹配到acl時(shí)做源NAT轉(zhuǎn)換,轉(zhuǎn)換為Pool的地址
Overload代表端口也會(huì)轉(zhuǎn)換
ACL講解
銳捷常用的ACL
常用的ACL主要有標(biāo)準(zhǔn)ACL和擴(kuò)展ACL
標(biāo)準(zhǔn)ACL Standard
標(biāo)準(zhǔn)ACL的編號(hào)范圍:1-99和1300-1999
標(biāo)準(zhǔn)ACL只匹配源ip地址
擴(kuò)展ACL Extended
擴(kuò)展ACL的編號(hào)范圍:100-199和2000-2699。
擴(kuò)展ACL可以匹配數(shù)據(jù)流的五大元素(源ip地址、目的ip地址、源端口、目的端口、協(xié)議號(hào))
銳捷ACL匹配順序
ACL的匹配順序?yàn)閺纳贤拢ˋCE序號(hào)從小到大)匹配ACE條目,若匹配對(duì)應(yīng)的ACE條目后,就執(zhí)行該ACE條目的行為(允許/拒絕),不會(huì)再往下匹配其他ACE條目。
ACL最后隱含一條 deny any 的ACE條目,會(huì)拒絕所有流量。
若是禁止某網(wǎng)段訪問(wèn),其他網(wǎng)段均放通,則應(yīng)該在拒絕流量的ACE配置完成后,再加一條permit any的ACE條目,用來(lái)放行其他流量。
銳捷NAT相關(guān)配置
Ip access-list extended/standard 編號(hào) 進(jìn)入ACL視圖配置策略
ip access-group 編號(hào) in/out 接口下配置,在接口調(diào)用ACL
show access-lists 查看配置了ACL轉(zhuǎn)換表項(xiàng)
NAT講解
銳捷NAT的術(shù)語(yǔ)
Inside:內(nèi)部
Outside:外部
Inside local:內(nèi)部本地地址(內(nèi)部主機(jī)的實(shí)際地址,一般為私有地址)
Inside global:內(nèi)部全局地址(內(nèi)部主機(jī)經(jīng)NAT轉(zhuǎn)換后去往外部的地址,是ISP分配的合法IP地址)
Outside local:外部本地地址(外部主機(jī)由NAT設(shè)備轉(zhuǎn)換后的地址,一般為私有地址,內(nèi)部主機(jī)訪問(wèn)該外部主機(jī)時(shí),認(rèn)為它是一個(gè)內(nèi)部的主機(jī)而非外部主機(jī))
Outside global:外部全局地址(外部主機(jī)的真實(shí)地址,互聯(lián)網(wǎng)上的合法IP地址)
銳捷NAT地址池配置
第一種:ip nat pool 出去 1.1.1.1 1.1.1.1 netmask 255.255.255.255
第二種:ip nat pool 出去 netmask 255.255.255.255
address 1.1.1.1 1.1.1.1
銳捷源NAT策略配置(轉(zhuǎn)換源地址)
出接口源NAT轉(zhuǎn)換
ip nat inside source list [acl編號(hào)] interface [接口] overload
地址池源NAT轉(zhuǎn)換
ip nat inside source list [acl編號(hào)] pool [地址池名稱] overload
靜態(tài)一對(duì)一源NAT轉(zhuǎn)換
可以基于IP地址進(jìn)行一對(duì)一轉(zhuǎn)換
也可以基于TCP、UDP協(xié)議進(jìn)行端口一對(duì)一轉(zhuǎn)換
基于IP地址的一對(duì)一映射
ip nat inside source static 172.16.1.100 192.168.2.168 permit-inside
把內(nèi)網(wǎng)172.16.1.100 映射成公網(wǎng)的192.168.2.168
基于TCP UDP協(xié)議的端口映射
ip nat inside source static tcp 172.16.1.100 23 192.168.2.168 23
將內(nèi)網(wǎng)地址172.16.1.100的23號(hào)端口服務(wù)映射為192.168.2.168的23號(hào)端口
若不加overload是執(zhí)行動(dòng)態(tài)的ip一對(duì)一映射,不會(huì)執(zhí)行端口轉(zhuǎn)換,不能解決公網(wǎng)地址不夠的問(wèn)題。
show ip nat teanslatons 查看NAT轉(zhuǎn)換表
銳捷外部源NAT轉(zhuǎn)換配置(轉(zhuǎn)換目的地址)
配置NAT外網(wǎng)源地址轉(zhuǎn)換,將外網(wǎng)服務(wù)器的公網(wǎng)地址轉(zhuǎn)換為內(nèi)網(wǎng)地址,使得內(nèi)網(wǎng)用戶在訪問(wèn)外網(wǎng)時(shí),感知不到自己訪問(wèn)了外網(wǎng)
可以基于IP地址進(jìn)行一對(duì)一轉(zhuǎn)換,也可以基于TCP、UDP協(xié)議進(jìn)行端口一對(duì)一轉(zhuǎn)換
基于IP地址的一對(duì)一映射
ip nat outside source static 1.0.23.3 192.168.10.100
當(dāng)內(nèi)網(wǎng)訪問(wèn)192.168.10.100時(shí),將目的IP轉(zhuǎn)為1.0.23.3
基于TCP UDP協(xié)議的端口映射
ip nat outside source static tcp 1.0.23.3 23 192.168.10.100 23
當(dāng)內(nèi)網(wǎng)訪問(wèn)192.168.10.100的23端口時(shí),將目的IP轉(zhuǎn)為1.0.23.3的23端口
NAT做TCP負(fù)載均衡
NAT做TCL負(fù)載均衡的原理
將多個(gè)內(nèi)網(wǎng)的服務(wù)器地址(提供TCP類型服務(wù))映射為一個(gè)公網(wǎng)IP地址對(duì)外提供服務(wù)
當(dāng)外部訪問(wèn)此公網(wǎng)IP地址的服務(wù)時(shí),會(huì)將此流量轉(zhuǎn)發(fā)到內(nèi)網(wǎng)的多個(gè)服務(wù)器上
配置注意事項(xiàng)
映射的公網(wǎng)IP地址只支持為外網(wǎng)出口的IP地址或者其它網(wǎng)段的IP地址,不能映射為于出接口相同網(wǎng)段的其它IP地址
如果映射為于出接口IP同網(wǎng)段的其它IP地址,會(huì)由于設(shè)備不對(duì)該IP地址的ARP請(qǐng)求進(jìn)行回應(yīng)而導(dǎo)致映射失效(設(shè)備會(huì)認(rèn)為這是一臺(tái)與本出口在同一網(wǎng)段的其它設(shè)備地址,而不是自身的地址,不會(huì)對(duì)該IP地址的ARP請(qǐng)求進(jìn)行回應(yīng))
配置命令
配置對(duì)于哪些外網(wǎng)流量進(jìn)行TCP負(fù)載分擔(dān)(TCP負(fù)載均衡中只可以使用擴(kuò)展ACL)
ip access-list extended 100
10 permit ip any host 1.0.0.100
所有的外網(wǎng)訪問(wèn)1.0.0.100此地址時(shí),將目標(biāo)地址轉(zhuǎn)為真正的內(nèi)網(wǎng)服務(wù)器地址進(jìn)行負(fù)載分擔(dān)
配置真正的內(nèi)網(wǎng)服務(wù)器地址(通過(guò)地址池的方式配置)
ip nat pool fuzai 192.168.1.1 192.168.1.2 netmask 255.255.255.0 type rptary
配置NAT轉(zhuǎn)換策略
ip ant inside destination list 100 pool fuzai
-
互聯(lián)網(wǎng)
+關(guān)注
關(guān)注
54文章
11013瀏覽量
102081 -
ACL
+關(guān)注
關(guān)注
0文章
61瀏覽量
11937 -
網(wǎng)口
+關(guān)注
關(guān)注
0文章
97瀏覽量
7107
原文標(biāo)題:銳捷NAT+ACL基礎(chǔ)實(shí)驗(yàn)
文章出處:【微信號(hào):網(wǎng)絡(luò)技術(shù)干貨圈,微信公眾號(hào):網(wǎng)絡(luò)技術(shù)干貨圈】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論