《锐捷RCNA路由与交换技术实战》 课件 项目14 基于静态NAT发布公司网站服务器

项目14基于静态NAT发布公司网站服务器项目描述相关知识项目规划设计项目实施项目验证项目拓展目录项目描述Jan16公司搭建了网站服务器，用于对外发布公司官网。为了保障内部网络的安全和解决私有地址在公网的信息，需在出口路由中配置NAT，使内部服务器映射到公网地址上。项目拓扑如图14-1所示，具体要求如下：（1）公司内网使用192.168.1.0/24网段，出口为16.16.16.0/24网段。（2）出口路由器上申请了一个16.16.16.1的IP可供网站服务器做NAT映射。（3）测试计算机和路由器的IP和接口信息如拓扑所示。项目描述项目描述图14-1网络拓扑图相关知识通过对广域网技术的学习我们知道，在网络的不同类型中，除了私有网络外，还有公共网络，他们之间需要互相关联才能充分发挥各自的功能。网络地址转换（NAT）不仅可以实现私有网络和公共网络中的资源互访，还能提供一定的安全访问功能，本节将从NAT的工作原理入手，介绍NAT的不同类型及相应的配置方法。相关知识14.2.1NAT的基本概念NAT的英文全称是“NetworkAddressTranslation”，即“网络地址转换”，它是一个IETF(InternetEngineeringTaskForce,互联网工程任务组)标准，NAT是一种把内部私有网络地址转换成合法的外部公有网络地址的技术。当今的Internet使用TCP/IP实现了全世界的计算机互联互通，每一台连入Internet的计算机要和别的计算机通信，都必需拥有一个唯一的、合法的IP地址，此IP地址由Internet管理机构NIC统一进行管理和分配。而NIC分配的IP地址称为公有的、合法的IP地址，这些IP地址具有唯一性，连入Internet的计算机只要拥有NIC分配的IP地址就可以和其他计算机通信。14.2.1NAT的基本概念但是，由于当前TCP/IP协议版本是IPv4，它具有天生的缺陷，就是IP地址数量不够多，难以满足目前爆炸性增长的IP需求。所以，不是每一台计算机都能申请并获得NIC分配的IP地址。一般而言，需要连上Internet的个人或家庭用户，通过Internet的服务提供商ISP间接获得合法的公有IP地址（例如，用户通过ADSL线路拨号，从电信获得临时租用的公有IP地址）。对于大型机构而言，它们可能直接向Internet管理机构申请并使用永久的公有IP地址，也可能是通过ISP间接获得永久或临时的公有IP地址。14.2.1NAT的基本概念由于无论是通过哪种方式获得公有的IP地址，实际上当前的可用IP地址数量依然不足。IP地址作为有限的资源，NIC要为网络中数以亿计的计算机都分配公有的IP地址是不可能的。同时，为了使计算机能够具有IP地址并在专用网络（内部网络）中通信，Internet管理机构NIC定义了供专用网络内的计算机使用的专用IP地址。这些IP地址地址是在局部使用的（非全局的、不具有唯一性）、非公有的（私有的）IP地址，这些IP地址的地址范围具体如下。A类地址：10.0.0.0～10.255.255.255B类地址：172.16.0.0～172.31.255.255C类地址：192.168.0.0～192.168.255.25514.2.1NAT的基本概念组织机构可根据自身园区网的大小以及计算机数量的多少来采用不同类型的专用地址范围或者它们的组合。但是，这些IP地址不可能出现在Internet上，也就是说源地址或目的地址为这些专有IP地址的数据包不可能在Internet上被传输，这样的数据包只能在内部专用网络中被传输。如果专用网络的计算机要访问Internet，则组织机构在连接Internet的设备上至少需要一个公有的IP地址，然后采用NAT技术，将内部专用网络的计算机专用私有IP地址转换为公有的IP地址，从而让使用专用IP地址的计算机能够和Internet的计算机进行通信。如图14-2所示，通过NAT设备，能够将专用网络内的专用IP地址和公有IP地址互相转换，从而实现专用网络内使用专用地址的计算机能够和Internet的计算机通信。14.2.1NAT的基本概念图14-2NAT地址转换示意图14.2.1NAT的基本概念也可以说，NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一种技术，从技术原理的角度上来讲，NAT分成四种类型：静态NAT，动态NAT，超载NAT及端口映射NAT。14.2.2静态NAT静态NAT是指在路由器中，将内网IP地址固定的转换为外网IP地址，通常应用在允许外网用户访问内网服务器的场景。静态NAT的工作过程如图14-3所示。专用网络中采用192.168.1.0/24的C类专用地址，专用网络采用带有NAT功能的路由器和Internet互联，路由器左网卡连接着内部专用网络（左IP是192.168.1.254/24），右网卡连接着互联网（右IP是8.8.8.1/24），而且路由器还有多个公有的IP地址可被转换使用（8.8.8.2~8.8.8.5），互联网上的计算机C的IP地址是8.8.8.8/24。假设外部网络的计算机C需要和内部网络的计算机A通信，其通信过程如下。14.2.2静态NAT第①步：计算机C发送数据包给计算机A，数据包的源IP地址(SourceAddress，SA)为8.8.8.8，目标IP地址（DestinationAddress，DA）为8.8.8.3（在外网，计算机A的IP为8.8.8.3）。第②步：数据包到达路由器时，路由器将查询本地的NAT映射表，找到映射条目后将数据包的目的地址（8.8.8.3）转换为内网IP地址（192.168.1.1），源地址保持不变。NAT路由器上有一个公有的IP地址池，在本次通信前，网络管理员已经在NAT路由器上做静态NAT地址映射关系，指定192.168.1.1与8.8.8.3映射。第③步：转换后的数据包经在内网中传输，最终将被计算机A接收。第④步：计算机A收到数据包后，将响应内容封装在目的地址为8.8.8.8的数据包中，然后将该数据包发送出去。14.2.2静态NAT第⑤步：目的地址为8.8.8.8数据包到达路由器后，路由器将对照自身的NAT映射表，找出对应关系，将源地址192.168.1.1转换为8.8.8.3，然后将该数据包发送到外部网络中。第⑥步：目的地址为8.8.8.8的数据包在外部网络中传送，最终到达计算机C。计算机C通过数据包的源地址（8.8.8.3）只知道此数据包路由器发送过来的，实际上，该数据包是计算机A发送的。静态NAT主要用于专用网络内的服务器需要对外提供服务的场景，由于它采用固定的一对一的内外网IP映射关系，因此，外网的计算机可以通过访问这个外网IP就可以访问到内网的服务器。14.2.2静态NAT图14-3静态NAT的工作过程项目规划设计项目规划设计通过NAT映射内部服务器需要使用专用的公网IP地址，故需要申请2个以上的公网IP地址，一个用于服务器映射，一个用于内网的通信，这里使用16.16.16.1和16.16.16.16作为公网IP地址。网站服务器处于内部网络，IP地址为192.168.1.1，需在出口路由器配置静态NAT，将公网地址16.16.16.1实现一对一映射，这样即可通过公网地址直接访问内网的服务器。互联网连接方面，出口路由器可根据ISP服务商的网络环境配置相应的路由协议。配置步骤如下：（1）配置路由器接口。（2）配置静态NAT。（3）配置各部门计算机的IP地址。项目规划设计本项目的IP地址规划、端口规划见表14-1~表14-2。设备接口IP地址网关R1G0/0192.168.1.254/24-R1G0/116.16.16.16/24-网站服务器SV1-192.168.1.1/24192.168.1.254互联网用户PC1-16.16.16.10/24-表14-1IP地址规划项目规划设计本端设备本端端口对端设备对端端口R1G0/0SW1G0/2R1G0/1互联网用户PC1-SW1G0/1网站服务器SV1G0/0SW1G0/2R1-表14-2端口规划项目实施任务14-1配置路由器接口任务描述根据项目规划设计对路由器进行基础配置。任务实施 在路由器接口配置对应IP，配置命令如下。Router>enableRouter#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostnameR1R1(config)#interfacegigabitEthernet0/0R1(config-if-GigabitEthernet0/0)#ipaddress192.168.1.254255.255.255.0R1(config-if-GigabitEthernet0/0)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipaddress16.16.16.16255.255.255.0R1(config-if-GigabitEthernet0/1)#exit任务14-1配置路由器接口任务验证（1）在R1上使用【showipinterfacebrief】命令查看接口IP信息，配置命令如下。可以看到已经在接口上配置了IP地址。R1(config)#showipinterfacebriefInterfaceIP-Address(Pri)IP-Address(Sec)StatusProtocolGigabitEthernet0/0192.168.1.254/24noaddressupupGigabitEthernet0/116.16.16.16/24noaddressupupGigabitEthernet0/2noaddressnoaddressupdown任务14-2配置静态NAT任务描述根据项目规划设计对路由器进行静态NAT配置。任务实施在R1的全局模式下使用【ipnatinsidesourcestaticlocal-ip{interfaceinterface|global-ip}】命令将内部地址“local-ip”到外部接口地址“interfaceinterface、global-ip”一对一转换。任务14-2配置静态NAT配置命令如下。R1(config)#ipnatinsidesourcestatic192.168.1.116.16.16.1//配置NAT静态转换，外网IP16.16.16.1转换为内网IP192.168.1.1R1(config)#interfacegigabitEthernet0/0R1(config-if-GigabitEthernet0/0)#ipnatinsideR1(config-if-GigabitEthernet0/0)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipnatoutsideR1(config-if-GigabitEthernet0/1)#exit任务14-2配置静态NAT任务验证（1）在R1上使用【showrunning-config|includenat】验证NAT静态配置信息，配置命令如下。可以看到，G0/1接口上已经配置了NAT地址转换。R1(config)#showrunning-config|includenatipnatinsideipnatoutsideipnatinsidesourcestatic192.168.1.116.16.16.1任务14-3配置计算机的IP地址任务描述根据项目规划设计对各台计算机进行IP地址配置。任务实施（1）网站服务器配置IP地址的结果如图14-4所示，外部网络用户配置IP地址的结果如图14-5所示。任务14-3配置计算机的IP地址图14-4服务器IP地址配置图14-5互联网用户IP地址配置任务14-3配置计算机的IP地址任务验证（1）在网站服务器上使用【ipconfig】命令查看IP地址，配置命令如下。可以看到接口已配置了IP地址。（2）在其他PC上同样使用【ipconfig】命令验证IP地址是否正确配置。C:\Users\Administrator>ipconfig//显示本机IP地址配置的信息本地连接:连接特定的DNS后缀.......:IPv4地址............:192.168.1.1(首选)子网掩码............:255.255.255.0默认网关.............:192.168.1.254项目验证项目验证（1）外部网络用户使用【ping】命令测试网站服务器映射的互联网IP能否访问，配置命令如下。结果显示外部网络可以和网络服务器的NAT映射地址通信，TTL为127。C:\Users\Administrator>ping16.16.16.1正在Ping16.16.16.1具有32字节的数据:来自16.16.16.1的回复:字节=32时间=2msTTL=63来自16.16.16.1的回复:字节=32时间=2msTTL=63来自16.16.16.1的回复:字节=32时间=1msTTL=63来自16.16.16.1的回复:字节=32时间=1msTTL=6316.16.16.1的Ping统计信息:数据包:已发送=4，已接收=4，丢失=0(0%丢失)，往返行程的估计时间(以毫秒为单位):最短=1ms，最长=2ms，平均=1ms项目验证（2）在R1上使用【showipnattranslations】命令查看NAT转换信息，配置命令如下。结果显示R1收到互联网访问目的地址为16.16.16.1的请求数据包时，它将目的地址转换为192.168.1.1，使其能访问到网站服务器。R1(config)#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp16.16.16.1:1192.168.1.1:116.16.16.1016.16.16.10项目拓展一、理论题1.下列属于私有地址的是（ ）?A.10.0.0.4B.172.32.0.4C.192.168.4.1D.172.31.4.52.以下选项对NAT技术产生的目的描述准确的是（ ）?A.为了隐藏局域网内部服务器真是IP地址B.为了缓解IP地址空间枯竭的速度C.扩大IP地址空间D.一项专有技术，为了增加网络的可利用率而开发一、理论题3．将内部地址192.168.1.2转换为外部地址193.1.1.2的正确配置为（）。A．ipnatinsidesourcestatic193.1.1.2192.168.1.2B．natinsidesourcestatic193.1.1.2192.168.1.2C．ipnatinsidesourcestatic192.168.1.2193.1.1.2D．natinsidesourcestatic192.168.1.2193.1.1.24．查看静态NAT映射的命令是（）。A．showipnattranslations B．showipnatC．shownatstaticinside D．sh