NAT应用组网配置分析.ppt
- 文档编号:18796330
- 上传时间:2023-11-19
- 格式:PPT
- 页数:27
- 大小:598KB
NAT应用组网配置分析.ppt
《NAT应用组网配置分析.ppt》由会员分享,可在线阅读,更多相关《NAT应用组网配置分析.ppt(27页珍藏版)》请在冰点文库上搜索。
NAT应用组网配置分析,NAT基础配置案例分析,NAT+ACL综合组网分析,NATServer组网排错分析,案例一之组网分析,组网需求:
用户使用最简单的组网方案:
服务器放在DMZ区域,普通用户在trust区域。
服务器提供FTP服务,普通用户能上公网。
需求分析:
普通用户要上公网,在外网口作NATOutbound,将私网地址转换成公网地址后上Internet;服务器要提供服务,在外网口作NATServer,外网用户访问公网地址,路由器映射为Server的私网地址后进入内网。
案例一之实现流程(NATOutbound),路由器,Trust,Untrust,DMZ,Eth0/0:
192.0.3.1/24,Eth1/1:
202.0.0.1/24,Eth1/0:
192.0.1.1/24,SrcIP:
192.0.3.1,SrcIP:
202.0.0.1,注意:
路由器进行目的地址转换,案例一之实现流程(NATServer),路由器,Trust,Untrust,DMZ,Eth0/0:
192.0.3.1/24,Eth1/1:
202.0.0.1/24,Eth1/0:
192.0.1.1/24,DesIP:
192.0.1.100ftp,DesIP:
202.0.0.100ftp,注意:
根据协议类型进行目的地址映射,注:
Server发送的回应报文在路由器上通过匹配原报文触发建立的NATSession表进行地址转换,案例一之配置分析,/定义NATOutbound转换的数据流aclnumber2000rule0permitsource192.0.0.00.0.255.255rule1deny/在出接口配置NATOutbound和NATServerinterfaceEthernet1/1ipaddress202.0.0.1255.255.255.0natoutbound2000(使用接口IP作为转换后的IP)natserverprotocoltcpglobal202.0.0.100ftpinside192.0.1.100ftp,案例一之配置分析(续),如果使用其它单个的公网IP作为转换后的IP:
在全局上添加配置:
natstaticinsideip192.168.1.100globalip202.38.1.100然后在接口下配置:
interfaceEthernet1/1natoutboundstatic如果使用地址池作为转换后的:
在全局上添加配置:
nataddress-group0202.0.0.3202.0.0.6然后在接口下配置:
interfaceEthernet1/1natoutbound2000address-group0,案例二之组网分析,组网需求:
作了案例一的配置后,内网用户只能通过私网地址192.0.0.100访问服务器,现在需要通过该服务器对外的公网地址或者该公网地址对应的域名访问。
需求分析:
目前不能使内网用户同时通过私网和公网地址访问在DMZ的服务器。
如果客户只想通过统一的公网地址访问服务器,则只需要在内网口加上和外网口一样的NATServer配置即可。
但是这样更改后,内网用户不能通过服务器的私网地址访问了。
案例二之实现流程,路由器,Trust,Untrust,DMZ,Eth0/0:
192.0.3.1/24,Eth1/1:
202.0.0.1/24,Eth1/0:
192.0.1.1/24,DesIP:
192.0.1.100ftp,DesIP:
202.0.0.100ftp,注意:
根据协议类型进行目的地址映射,案例二之配置分析,/在案例一的配置基础上在内网口上添加NATServer配置interfaceEthernet0/0(内网口)ipaddress192.0.3.1255.255.255.0natserverprotocoltcpglobal202.0.0.100ftpinside192.0.1.100ftp,案例三之组网分析,组网需求:
DMZ区域也想加入普通的用户,里面的用户也要通过服务器的公网地址访问服务器。
需求分析:
如果还有多余的端口,把该端口划入DMZ区域,在该端口上作与案例二相同的配置即可。
如果没有多余的接口,只有划分子接口了。
案例三之实现流程,路由器,Trust,Untrust,DMZ,Eth0/0:
192.0.3.1/24,Eth1/1:
202.0.0.1/24,Eth1/0:
192.0.1.1/24,DesIP:
202.0.0.100ftp,注意:
根据协议类型进行目的地址映射,DesIP:
192.0.1.100ftp,案例三之配置分析,/在案例二的配置基础上在路由器上添加配置interfaceEthernet1/0.1(内网口划分子接口)ipaddress192.0.1.1255.255.255.0vlan-typedot1qvid2#interfaceEthernet1/0.2(内网口划分子接口)ipaddress192.0.2.1255.255.255.0natserverprotocoltcpglobal202.0.0.100ftpinside192.0.1.100ftpvlan-typedot1qvid3,NAT基础配置案例分析,NAT+ACL综合组网分析,NATServer组网排错分析,NATServer排错案例之真实组网情况,组网情况:
客户通过如下组网(核心三层交换机终结VLAN)实现内网通过域名和公网IP访问www服务器。
出口路由器,三层交换机,内网PC,192.168.1.0/24,192.168.1.1,192.168.1.66,Server对外218.6.6.6,wwwserver,NATServer排错案例之遇到问题说明,问题分析:
参照操作手册把NATdnsmap配上,这时通过域名能访问了,但公网IP还是不行。
再参照案例二的方法在内网口也做了NAT转换,将外网口下的natserver在出口路由器内网口上照着配一遍,还是不行。
通过公网IP访问不了,IE状态栏显示已找到地址,然后就停在“正在连接.”状态。
NATServer排错案例之问题原因解析,出口路由器,三层交换机,内网PC,192.168.1.200/24,192.168.1.1,192.168.1.66,wwwserver,1、TCPSYN(S:
192.168.1.200;D:
218.6.6.6),3、TCPSYN(S:
192.168.1.61;D:
192.168.1.66),4、TCPSYNACK(S:
192.168.1.66;D:
192.168.1.200),2、NATServerProtocolTCPGloble218.6.6.6wwwinside192.168.1.66www,Server对外218.6.6.6,NATServer排错案例之解决方案,解决方案:
方案1:
交换机不起三层,所有内网网关都在出口路由器上。
也就是说192.168.1.x这个网段的三层终结必须在路由器上而不是三层交换机上。
方案2:
如果内网交换机(或者其他三层设备)支持NAT,在此设备出口上做对www服务器的natserver转换。
6、TCPSYN(S:
218.6.6.6;D:
192.168.1.200),4、TCPSYNACK(S:
192.168.1.66;D:
192.168.1.200),NATServer排错案例之正确流程,出口路由器,三层交换机,内网PC,192.168.1.200/24,192.168.1.1,192.168.1.66,wwwserver,1、TCPSYN(S:
192.168.1.200;D:
218.6.6.6),3、TCPSYN(S:
192.168.1.61;D:
192.168.1.66),2&5、NATServerProtocolTCPGloble218.6.6.6wwwinside192.168.1.66www,Server对外218.6.6.6,NAT基础配置案例分析,NAT+ACL综合组网分析,NATServer组网排错分析,NAT+ACL案例之网络拓扑,1、对公司局域网的策略所有业务系统服务器对公司局域网外网124.193.27.0开放所有协议及端口。
2、对INTERNET的策略219.141.223.102-111对外(对所有公网地址)开放80端口219.141.223.104对外(对所有公网地址)开放8801端口219.141.223.108-110对外(对所有公网地址)开放8080和7001端口3、对个别客户IP的策略219.141.223.102对218.206.93.9/29和220.196.19.34-36)开放12008端口219.141.223.103对211.99.195.178开放20001端口4、防火墙内部策略防火墙信任所有内网服务器允许外出(192.168.1.0),NAT+ACL案例之组网需求,1、对公司局域网的策略所有业务系统服务器对公司局域网外网124.193.27.0开放所有协议及端口。
aclnumber2001rule0permitsource192.168.1.00.0.0.255rule1denyinterfaceEthernet1/0ipaddress219.141.223.101255.255.255.0natoutbound2001interfaceEthernet1/1ipaddress192.168.1.2255.255.255.0,NAT+ACL案例之配置分析一,2、对INTERNET的策略219.141.223.102-111对外(对所有公网地址)开放80端口.219.141.223.104对外(对所有公网地址)开放8801端口219.141.223.108-110对外(对所有公网地址)开放8080和7001端口,NAT+ACL案例之配置分析二,会出现怎样的问题?
很自然的想到出端口配置NATServer,直接在配置中指定80、8801等端口。
natserver3000protocoltcpglobal219.141.223.102wwwinside192.168.1.12www,对配置需求中的2、3中各拿出一条需求为例:
219.141.223.102对外(对所有公网地址)开放80端口219.141.223.102对218.206.93.9/29和220.196.19.34-36)开放12008端口路由器上不能够对同一条公网-私网的NATServer做两次映射配置,系统会提示冲突。
这样就需要统一规划配置。
NAT+ACL案例之配置分析三,路由器在出端口上会先进行NATServer映射后,再进行ACL包过滤(FirewallPacket-filter)。
这样我们可以对所有地址先进行NATServer映射,其余什么地址能访问什么端口的事就交给包过滤了!
interfaceEthernet1/0natserverprotocoltcpglobal219.141.223.102anyinside192.168.1.12anyfirewallpacket-filter3010inboundaclnumber3010rule0permitipsource124.193.27.00.0.0.255rule6permittcpdestination192.168.1.120destination-porteqwwwrule21permittcpsource218.206.93.90destination192.168.1.120destination-porteq12008,NAT+ACL案例之配置分析三(续),4、防火墙内部策略防火墙信任所有内网服务器允许外出(192.168.1.0),NAT+ACL案例之配置分析四,aspf-policy1detecth323detectrtspdetecthttpdetectsmtpdetectftpdetecttcpdetectudpinterfaceEthernet1/0(出端口)firewallaspf1outbound,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- NAT 应用 组网 配置 分析