網(wǎng)絡(luò)故障診斷與排除數(shù)字化資源魏建英項(xiàng)目11課件

1、精品課程 —— 項(xiàng)目六,NAT在網(wǎng)絡(luò)中的應(yīng)用,,,,,,任務(wù)10.1了解NAT的使用環(huán)境,任務(wù)10.2通過測試發(fā)現(xiàn)故障,任務(wù)10.5NAT的故障排除,任務(wù)10.3NAT故障定位,任務(wù)10.4了解NAT相關(guān)知識,目錄 CONTENTS PAGE,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,11.1 了解NAT的使用環(huán)境,某企業(yè)根據(jù)業(yè)務(wù)的拓展需要上網(wǎng)，向當(dāng)?shù)氐腎SP供應(yīng)商申請了公網(wǎng)的IP地址：202.99.192.1—202.99.1

2、92.6的六個(gè)地址，將其中的一個(gè)分配給web服務(wù)器，使其外網(wǎng)用戶通過該IP地址可以訪問到企業(yè)內(nèi)部的網(wǎng)頁，了解企業(yè)的文化發(fā)展方向等，同時(shí)為了企業(yè)內(nèi)部的網(wǎng)絡(luò)安全和要求提供一個(gè)一致的內(nèi)部網(wǎng)絡(luò)編地方案，將其中的另外一個(gè)地址分配給企業(yè)內(nèi)網(wǎng)的出接口，同時(shí)將局域網(wǎng)中的領(lǐng)導(dǎo)的電腦通過出口地址一對多的方式映射到公網(wǎng)中。將剩余的4個(gè)地址做成地址池將企業(yè)內(nèi)部的另外一個(gè)地址段映射到公網(wǎng)中。主要同以下任務(wù)來完成。查看現(xiàn)有交換機(jī)、路由器配置，了解現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)；

3、將申請到的IP地址應(yīng)用到出口路由器上；對出口路由器進(jìn)行配置；進(jìn)行NAT的互連測試，并分析測試過程中數(shù)據(jù)包的轉(zhuǎn)發(fā)過程,Chp1 了解NAT的使用環(huán)境,,11.2 通過測試發(fā)現(xiàn)故障,現(xiàn)有拓?fù)洌ㄈ缦聢D，R1的F0/0連接web服務(wù)器，F(xiàn)0/1連接內(nèi)網(wǎng)邊界路由R2；E1/1連接交換機(jī)S1；E1/2連接交換機(jī)S2；在邊界路由器R2中,接口F0/1內(nèi)網(wǎng)路由器R1，接口F0/0配置ISP提供的IP地址連接到Internet。在領(lǐng)導(dǎo)辦公網(wǎng)中S1

4、的接入交換機(jī)中F0/1連接PC1,F0/2連接PC2。在企業(yè)內(nèi)部公網(wǎng)中S2的接入交換機(jī)中F0/1連接PC3,F0/2連接PC4。其中202.99.192.1應(yīng)用到web服務(wù)器，通過這個(gè)地址將服務(wù)器映射到外網(wǎng)，供外網(wǎng)用戶訪問。領(lǐng)導(dǎo)辦公網(wǎng)通過邊界路由器R2的F0/0接口地址（202.99.192.6）來訪問Internet資源。企業(yè)辦公網(wǎng)由于用戶比較多，需求外網(wǎng)訪問量大，特提供nat地址池202.99.192.2-5供他們訪問Interne

5、t資源。進(jìn)行如表11-1的測試，發(fā)現(xiàn)存在如表所示的故障現(xiàn)象。,Chp2 通過測試發(fā)現(xiàn)故障,,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,,現(xiàn)有拓?fù)淙鐖D11-1：,,表11-1 主機(jī)互通測試表,完成如表11-1中的6項(xiàng)測試，共有6項(xiàng)測試失敗，因測試失敗可確定本次操作沒有成功完成項(xiàng)目目標(biāo)。是什么原因造成故障現(xiàn)象呢？是規(guī)劃設(shè)計(jì)的問題，是操作的問題，還是概念沒有理解清楚的問題？據(jù)此，我們要深入的進(jìn)行故障分析來確定問題所在。,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,

6、Chp2 通過測試發(fā)現(xiàn)故障,Chp3 NAT故障定位,11.3 NAT故障定位,本次故障我們主要是用模擬環(huán)境來實(shí)現(xiàn)，因此物理問題以及設(shè)備問題可以忽略。若是實(shí)際環(huán)境則應(yīng)該逐步排查。本次主要從NAT的相關(guān)概念以及NAT 的配置和操作方面進(jìn)行故障排查。,從NAT的實(shí)現(xiàn)及技術(shù)原理分析可能存在以下故障點(diǎn)：是否設(shè)置了訪問控制列表，阻塞了進(jìn)行過網(wǎng)絡(luò)地址轉(zhuǎn)換或者沒有進(jìn)行過網(wǎng)絡(luò)地址轉(zhuǎn)換流量。配置時(shí)要牢記與訪問控制列表相關(guān)的網(wǎng)絡(luò)地址轉(zhuǎn)換操作。如果針對

7、沒有進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換的流量配置了ACL，而到達(dá)的流量實(shí)際上是進(jìn)行了網(wǎng)絡(luò)地址轉(zhuǎn)換的流量，這就導(dǎo)致流量被丟棄。定義要進(jìn)行NAT的訪問控制列表中，漏掉需要進(jìn)行地址轉(zhuǎn)換的網(wǎng)絡(luò)。用來定義需要進(jìn)行nat操作的網(wǎng)絡(luò)地址的訪問控制列表，應(yīng)該包括所需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換的網(wǎng)絡(luò)。如果列表中缺少一個(gè)或很多個(gè)地址，都將導(dǎo)致無法對來自這些地址的流量進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換。在NAT語句中漏掉overload關(guān)鍵字。為了建立pat，在NAT配置命令的最后，必須使用ove

8、rload關(guān)鍵字。漏掉這個(gè)關(guān)鍵字，將會(huì)導(dǎo)致無法進(jìn)行pat，最終將會(huì)導(dǎo)致只有數(shù)目有限的主機(jī)可以訪問公用網(wǎng)絡(luò)或者因特網(wǎng)，而不是期望中的所有主機(jī)。,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,Chp3 NAT故障定位,,3. 不對稱路由導(dǎo)致NAT失敗，當(dāng)分組進(jìn)入一個(gè)使用ip nat inside 命令進(jìn)行配置的接口時(shí)，并且從使用ip nat outside 命令進(jìn)行配置的接口離開時(shí)，就會(huì)發(fā)生網(wǎng)絡(luò)地址轉(zhuǎn)換在很多借口的路由器上，必須確保需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)

9、換的流量進(jìn)入路由器的所有接口都是用ip nat inside進(jìn)行配置；而這個(gè)流量離開的所有接口都使用ip nat outside命令進(jìn)行配置。否則，流量在經(jīng)過沒有使用正確的nat命令配置的接口時(shí)，無法進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換。4. NAT池和靜態(tài)NAT表項(xiàng)中的重疊地址。確保NAT池中的ip地址不能也用于靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換，這是很重要的。這將導(dǎo)致階段性的NAT失敗。 為了能夠深入的分析故障點(diǎn)，應(yīng)首先了解ANT的相關(guān)的知識點(diǎn)。,項(xiàng)目十一、N

10、AT在網(wǎng)絡(luò)中的應(yīng)用,Chp4 了解NAT相關(guān)知識,11.4 了解NAT相關(guān)知識,11.4.1 什么是NAT,NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是將IP 數(shù)據(jù)報(bào)頭中的IP 地址轉(zhuǎn)換為另一個(gè)IP 地址的過程。在實(shí)際應(yīng)用中，NAT 主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問公共網(wǎng)絡(luò)的功能。這種通過使用少量的公有IP 地址代表較多的私有IP 地址的方式，將有助于減緩可用IP 地址空間的枯竭。,11.4.2

11、NAT的兩種類型,動(dòng)態(tài)NAT：使用公有地址池，并以先到先得的原則分配這些地址。當(dāng)使用私有IP地址的主機(jī)請求訪問Internet時(shí)，動(dòng)態(tài)NAT地址池中選擇一個(gè)未被其他主機(jī)使用的IP地址，這就是前面介紹的映射。 靜態(tài)NAT：使用本地址與全局地址的一對一映射，這些映射保持不變。對必須使用固定地址以便能夠從Internet訪問的Wed服務(wù)器或主機(jī)來說，靜態(tài)NAT很有用。這些內(nèi)部主機(jī)可能是企業(yè)服務(wù)器或網(wǎng)絡(luò)設(shè)備。

12、 無論靜態(tài)NAT還是動(dòng)態(tài)NAT，都必須有共有足夠的地址，能夠給同時(shí)發(fā)生的每個(gè)用戶會(huì)話分配一個(gè)地址,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,11.5 NAT的故障排除,Chp5 NAT的故障排除,依據(jù)理論化的故障排除思路，結(jié)合NAT的技術(shù)原理和實(shí)際操作步驟，本次故障排除分解為以下幾個(gè)子任務(wù)：①查看所有路由器配置，并按照要求羅列表格。②查看邊界路由R2的nat配置。③根據(jù)相關(guān)知識點(diǎn)確認(rèn)故障點(diǎn)所在。④修改錯(cuò)誤配置，并保存配置。⑤在新

13、配置環(huán)境下進(jìn)行測試⑥整理新的配置文檔,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,子任務(wù)1 查看所有路由器的配置,1、任務(wù)目標(biāo)①查看所有路由器配置，確定已有的配置信息；②查看邊界路由器R2的配置，確定現(xiàn)有配置信息；2、任務(wù)所需設(shè)備①筆記本一臺，并裝有超級終端軟件或TELNET軟件，并確定訪問所需的用戶名和口令；②配置線纜；③記錄所用的筆和紙；3、實(shí)施步驟①使用超級終端軟件連接路由器R1、R2，使用show run命令確定路由器

14、接口的ip地址配置和靜態(tài)路由的配置。,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,Chp5 NAT的故障排除,R1,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,Chp5 NAT的故障排除,R2,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,Chp5 NAT的故障排除,子任務(wù)2 查看交換機(jī)配置,②針對配置，我們將IP地址表列入表11-2中,表11-2 IP地址表,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,Chp5 NAT的故障排除,③使用show ip nat 命令查看R1、R2路由表

15、。,R1#show ip route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 4 subnetsC 172.16.0.0 is directly connected, FastEthernet0/0C 172.16.1.0 is directly connected, Ethernet1/1C 172

16、.16.2.0 is directly connected, Ethernet1/2C 172.16.10.0 is directly connected, FastEthernet0/1S 202.99.192.0/24 is directly connected, FastEthernet0/1R1#,R2#show ip route Gateway of last resort is not set

17、 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masksS 172.16.0.0/16 is directly connected, FastEthernet0/1C 172.16.10.0/24 is directly connected, FastEthernet0/1C 202.99.192.0/24 is directly co

18、nnected, FastEthernet0/0R2#,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,Chp5 NAT的故障排除,④使用show ip nat translations命令顯示nat轉(zhuǎn)換條目，使用show ip nat statistics命令顯示活動(dòng)的轉(zhuǎn)化條目總數(shù)、nat配置參數(shù)、地址池中有幾個(gè)地址以及已分配的地址數(shù)。,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,Chp5 NAT的故障排除,4、實(shí)施結(jié)果 目前路由器R1

19、和R2上路由，ip地址配置和靜態(tài)路由都沒有問題，nat配置在邊界路由R2上也正確。,子任務(wù)2 查看nat配置并根據(jù)相關(guān)知識點(diǎn)確認(rèn)故障點(diǎn)所在,分析訪問控制列表的設(shè)置,access list 1是應(yīng)用接口地址上的IP地址，也就是一對多，172.16.1.0這一網(wǎng)段為領(lǐng)導(dǎo)使用的網(wǎng)段，所以結(jié)論：access list 1配置正確，并未增加或漏掉需要進(jìn)行地址轉(zhuǎn)換的網(wǎng)絡(luò)。 access list 2是應(yīng)用的是地址池，也就是多對多，

20、172.16.2.0這一網(wǎng)段為企業(yè)內(nèi)網(wǎng)網(wǎng)段，所以結(jié)論：access list 2配置正確，并未漏掉需要進(jìn)行地址轉(zhuǎn)換的網(wǎng)絡(luò)。,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,Chp5 NAT的故障排除,②查看在nat語句中漏掉overload關(guān)鍵字,發(fā)現(xiàn)在ip nat inside source list 2 pool nat-pool 這一條命令指定list 2使用nat-pool這一地址池，命令中缺少overload 漏掉關(guān)鍵字。 其余nat配

21、置正確，并未發(fā)現(xiàn)關(guān)鍵字漏掉。,③ 查看ip nat inside和ip nat outside接口應(yīng)用是否正確,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,Chp5 NAT的故障排除,發(fā)現(xiàn)在interface FastEthernet0/0這一接口連接的是Internet服務(wù)器，這一端口應(yīng)該設(shè)置為outside端口，在interface FastEthernet0/1這一端口應(yīng)該設(shè)置為inside。,④ 查看nat地址池是否和靜態(tài)nat地址有重

22、疊,在這一條命令中可以看到202.99.192.1這一個(gè)ip地址已經(jīng)應(yīng)用到了web服務(wù)器中屬于靜態(tài)nat但這一IP又出現(xiàn)在了nat-pool地址池中。發(fā)現(xiàn)重疊存在錯(cuò)誤。,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,Chp5 NAT的故障排除,,再分析交換機(jī)S3的配置信息發(fā)現(xiàn)S3中連接終端視頻會(huì)議2的F0/12端口存在配置錯(cuò)誤。下面通過show run命令查看該端口的詳細(xì)配置情況：,子任務(wù)3 修改配置,1、對R2中遺漏的overload進(jìn)行添加,

23、R2(config)# ip nat inside source list 2 pool nat-pool overload,配置完成后使用show run進(jìn)行查看確認(rèn)。,2、對ip nat inside和ip nat outside接口進(jìn)行配置配置完成后使用show run信息進(jìn)行查看確認(rèn)。,R2(config)#int f0/0R2(config)#ip nat outsideR2(config)#int f0/1

24、R2(config)#ip nat inside,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,Chp5 NAT的故障排除,3、更改nat地址池與靜態(tài)nat地址有重疊刪掉原來的配置增加新的配置,配置完成后使用show run信息進(jìn)行查看確認(rèn)。并保存修改過的配置。,R2(config)#no ip nat pool nat-pool 202.99.192.1 202.99.192.5 netmask 255.255.255.0R2(config)#

25、 ip nat pool nat-pool 202.99.192.2 202.99.192.5 netmask 255.255.255.0,子任務(wù)3 修改配置,在完成配置后，重新對終端的互連進(jìn)行測試，測試項(xiàng)和測試結(jié)果如表11-3所示。,表11-3 主機(jī)互通測試表,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,Chp5 NAT的故障排除,使用Debug ip nat命令查看web服務(wù)器到Internet服務(wù)器和Internet服務(wù)器到web服務(wù)器的互

26、聯(lián)情況，如下所示：,使用Debug ip nat命令查看pc1到Internet服務(wù)器和pc2到Internet服務(wù)器的互聯(lián)情況，如下所示：,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,Chp5 NAT的故障排除,,使用Debug ip nat命令查看pc3到Internet服務(wù)器和pc4到Internet服務(wù)器的互聯(lián)情況，如下所示：,完成如表11-3中的6項(xiàng)測試，共有6項(xiàng)測試成功，由此確認(rèn)故障現(xiàn)象和以上分析完全吻合，經(jīng)過故障點(diǎn)分析確認(rèn)故障點(diǎn)，通過

27、分步驟的配置修改，成功完成任務(wù)，結(jié)束故障排除工作。,項(xiàng)目十一、NAT在網(wǎng)絡(luò)中的應(yīng)用,Chp5 NAT的故障排除,總結(jié),在完成故障處理后，對所有路由器的配置信息重新保存，并更新書面的記錄材料，確保紙面文檔和實(shí)際配置的一致性，確保下一次的配置正常使用,總結(jié),通過本次項(xiàng)目實(shí)訓(xùn)，主要針對nat配置的故障排除，以理論化故障排除思路為指導(dǎo)，以任務(wù)式驅(qū)動(dòng)為方法，形象再現(xiàn)了nat的原理學(xué)習(xí)和操作實(shí)現(xiàn)過程，為未來實(shí)際環(huán)境的nat故障排除提供了良好的方法和