网络与通信技术 课件 任务18 配置NAT

任务18

配置NAT18.1任务描述某公司局域网包含若干台计算机和1台Web服务器，有实现内网主机访问互联网和Web服务器对外提供服务的需求。公司局域网现状为实现内网主机访问互联网、Web服务器对外提供服务以及保障内部网络的安全，需在公司出口路由器上合理配置NAT。配置NAT的目的18.2任务目标了解NAT的分类；理解NAT的基本原理；掌握NAT的工作过程。知识目标01能够根据应用情景选择合适的NAT类型；能够配置NAT。能力目标02具备快速适应新环境、新任务的能力，能应对各种变化。素质目标03运用NAT技术，实现不同场景的内外网互联。创新目标0418.3知识准备18.3.1NAT概述NAT是一种将内部网络的私有地址转换为公网IP地址的技术，主要用于解决IPv4地址短缺的问题。NAT的定义NAT的主要功能是在内部网络和外部网络之间进行IP地址的转换。当内部计算机与外部互联网络通信时，NAT设备将内部IP地址转换为合法公网IP地址。NAT的主要功能静态NAT是通过NAT设备上手动配置一个固定的映射关系，将一个内部私有IP地址永久地映射到一个公网IP地址。静态NAT动态NAT基于地址池实现私有IP地址和公网IP地址的转换。被授权访问互联网的私有IP地址可随机转换为地址池中某个公网IP地址。动态NAT18.3.1NAT概述：NAT原理地址转换原理NAT能够将内部网络的私有IP地址和公网IP地址互相转换，实现内部网络使用私有IP地址的计算机访问互联网。0102内外网互访实现当局域网内部节点要与外部网络进行通信时，在局域网网络出口处将私有地址替换成公网IP地址，从而实现内外网互访。18.3.1NAT概述：静态NAT工作过程

如下图所示，在网关RTA上配置了一个私有地址192.168.1.1/24到公网地址200.10.10.1/24的映射。当源地址为192.168.1.1/24的报文需要发往公网地址100.1.1.1/24时，网关RTA收到主机A发送的报文后，会先将报文中的源地址192.168.1.1/24转换为200.10.10.1/24，然后转发报文到目的设备。目的设备回复的报文目的地址是200.10.10.1/24，当网关RTA收到回复报文后，会根据映射关系，将目的地址由200.10.10.1/24转换成192.168.1.1/24，再转发给主机A。静态NAT主要用于私有网络内的服务器需要对外服务的场景中，它采用了固定的一对一的内外网IP地址映射关系。因此，外网的计算机可以通过访问外网IP地址来访问内网的服务器。18.3.1NAT概述：动态NAT工作过程

如下图所示，在内网主机A(192.168.1.1/24)发起外网访问请求时，目标IP地址为100.1.1.1/24。当数据包到达网关RTA时，触发转换检测。若检测符合转换要求，网关RTA会从地址池中随机选取一个公网IP地址(例如200.10.10.1/24)，并生成动态NAT映射表项，将主机A的IP地址映射到该公网IP地址。随后，网关RTA将报文的源IP地址转换为200.10.10.1/24并发送出去。18.3.1NAT概述：动态NAT工作过程

目的主机收到报文后，以200.10.10.1/24作为目的IP地址发送回复报文。网关RTA收到回复报文时，根据已生成的动态NAT映射表项，将报文的目的IP地址转换回主机A的IP地址192.168.1.1/24，再转发给主机A。

当内网主机与对端主机的连接断开时，网关RTA上保存的动态NAT映射表项会被删除，被占用的公网IP地址将释放回地址池。若地址池耗尽，需等待被占用的公网IP地址释放后，其他主机才能使用它访问公网。

动态NAT的内外网映射关系是临时有效的，适用于内网计算机临时访问外网的场景。由于企业申请的公网IP地址数量有限，而内网计算机数量通常更多，因此动态NAT不适用于大规模内网计算机同时访问外网的场景。18.3.2配置静态NAT

公司申请了2个公网IP：200.10.1.2/24和200.10.1.3/24，公司Web服务器以静态NAT的方式对外提供服务，网络拓扑如下图所示。18.3.2配置静态NAT：配置思路为各设备接口配置IP地址，这是网络通信的基础，确保设备间能正常连接与数据传输。01设备接口IP地址配置在路由器上配置静态NAT，将Web服务器的私有IP地址映射到公网IP地址，使外网能访问内网服务器。02静态NAT映射配置18.3.2配置静态NAT:配置过程01<Huawei>system-view[Huawei]systemR102[R1]interfacegigabitethernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress192.168.0.2542403[R1-GigabitEthernet0/0/1]natstaticglobal200.10.1.3inside192.168.0.2修改设备名称配置接口IP配置静态NAT18.3.2配置静态NAT:配置验证验证命令在路由器R1上执行“displaynatstatic”命令，查看公网IP地址与私有IP地址的映射关系。<R1>displaynatstaticStaticNatInformation:Interface:GigabitEthernet0/0/1GlobalIP/Port:200.10.1.3/----InsideIP/Port:192.168.0.2/----Protocol:----VPNinstance-name:----Aclnumber:----Netmask:255.255.255.255Description:----Total:118.3.3配置动态NAT

某公司通过路由器R1接入Internet，网络拓扑如下图所示。该公司向Internet申请了1批公网IP地址：200.10.1.1/24～200.10.1.20/24，公司计划配置动态NAT，实现内网计算机与外网互访。18.3.3配置动态NAT：配置思路路由器地址池配置在路由器上设置地址池，包含一批公网IP地址，用于动态NAT转换时为内网主机分配公网IP。动态NAT映射关系配置在路由器上建立动态NAT映射关系，将符合ACL规则的私有IP地址与地址池中的公网IP地址进行动态转换。设备接口IP地址配置为网络中的各设备接口分配合适的IP地址，确保设备间能正常通信，如路由器不同接口需配置不同网段的IP地址。ACL规则配置配置ACL规则，定义哪些私有IP地址可以进行公网映射，控制内网主机访问外网的权限。18.3.3配置动态NAT：配置过程(1)配置设备接口IP地址，以路由器R1为例。命令如下：<Huawei>system-view[Huawei]sysnameR1[R1]interfacegigabitethernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress192.168.1.25424[R1]interfacegigabitethernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress200.10.1.124(2)在路由器R1上配置地址池。命令如下：[R1]nataddress-group1200.10.1.2200.10.1.20(3)在路由器R1上配置ACL。命令如下：[R1]acl2000[R1-acl-basic-2000]rule5permitsource192.168.1.00.0.0.255[R1-acl-basic-2000]quit(4)在路由器R1上配置动态NAT映射。命令如下：[R1]interfacegigabitethernet0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000address-group1no-pat18.3.3配置动态NAT：配置验证在路由器R1上执行displaynataddress-group1命令，查看NAT地址池配置信息；或执行displaynatoutbound命令，查看动态NAT配置信息。命令如下：[R1]displaynataddress-group1NATAddress-GroupInformation:--------------------------------------------------IndexStart-addressEnd-address1200.10.1.2200.10.1.20--------------------------------------------------[R1]displaynatoutboundNATOutboundInformation:-------------------------------------------------------------------------------------------------------InterfaceAclAddress-group/IP/InterfaceType---------------------------------------------------------------------------------------------------------GigabitEthernet0/0/120001no-pat---------------------------------------------------------------------------------------------------------Total:118.4任务实施

某公司局域网有15台计算机和1台We