NAT_和策略路由分析.ppt

NAT工作原理 当数据包到达NAT设备时，NAT设备检查它的NAT表，然后改变数据包中的相应地址项，再转发出去，外部主机接受到数据包后，用接受到的地址来响应，NAT设备接受到外部回来的数据包，再根据NAT表，改变数据包中相应项，转发出去。 Pc0-pc2 sip:192.168.10.2 dip:202.112.2.2 sip:202.112.1.3 dip:202.112.2.2 Pc2-pc0:sip:202.112.2.2 dip:202.112.1.3 sip:202.112.2.2 dip:192.168.10.2 Pc1-pc2 sip:192.168.10.3 dip:202.112.2.2 sip:202.112.1.4 dip:202.112.2.2 Pc2-pc1:sip:202.112.2.2 dip:202.112.1.4（192.168.10.3） sip:202.112.2.2 dip:192.168.10.3 静态NAPT：只用于服务器； 动态NAT,动态NAPT:用于客服端， 策略路由概述 常规路由 基于目标IP和路由表进行报文的转发 策略路由(Policy-Based Routing) 根据用户制定的策略进行报文转发，是一种比常规的基于目的的路由更灵活的路由机制。 策略路由与路由策略 策略路由 对象:需要转发的数据报文 路由器转发数据报文时， 根据配置的规则对报文进行过滤。匹配成功则按照一定的转发策略进行报文转发，也可以修改报文的IP优先字段 路由策略 对象:路由 通过路由策略控制路由的接收、发布、引入的方法，实现对路由的优化 策略路由概述 基于源IP、源目标IP对、协议、端口号、长度等参数对数据进行分类，对分类的数据执行转发策略。 从特定的出口转发数据或者设置数据的优先级。 策略路由的流程 策略路由的处理模式 逐包模式 每个包都进行查表后才进行转发 流模式 第一个包查路由转发表，如果存在路由，将该路由项以source、dest、tos、入接口等索引放置到cache中，以后同样的流就可以直接查cache 策略路由的处理流程——流模式 Route-map原理 类似于复杂的Access-list 自顶向下地处理，一旦有一条匹配，则立刻结束route-map查找 Route-map每个条目都被赋予编号，可以任意地插入或删除条目 route-map的执行 route-map test permit 10 match x y z match a set b set croute-map test permit 20 match q set rdeny all(系统隐含) If (x or y or z) and a then set (b and c) else if q then set r else set nothing 策略路由的适用环境 多出口情况下 校园网（internet网、教育网） 企业网（双出口上网） 旁路组网 需要修改报文TOS、dscp； 策略路由的配置步骤 定义重分布路由图 一个路由图可以由多个策略组成，策略按序号大小排列，只要符合了前面策略，就退出路由图的执行 定义路由图每个策略的匹配规则或条件 定义满足匹配规则后，路由器对符合规则的数据包进行IP优先值和下一跳的设置 在指定接口中应用路由图 策略路由的配置 路由器通过route-map语句对符合条件的数据包实施路由策略 permit:对符合条件的数据包实施策略 deny:对符合条件的数据包不实施策略Sequence: 0-65535, route-map语句的执行顺序（插入/删除route-map语句 ) 匹配规则 匹配ACL 匹配第三层数据包的长度 定义匹配规则，只有符合规则的数据包才进行策略路由，如果没有配置匹配规则，则所有数据包都符合规则。要定义策略的匹配规则，在路由图配置模式中执行以下命令： Route(config-route-map)#match ip address access-list-number 定义出口 对符合规则的数据包进行下一跳的设置。要定义匹配规则后的操作，在路由图配置模式中执行以下命令： Router(config-route-map)# set interface type number Router(config-route-map)#set ip next-hop ip-address 路由器先检查策