09 实现内部网络与互联网的互访

09实现内部网络与互联网的互访

NAT技术缓解公网地址短缺NAT技术作用NAT技术缓解公网地址耗尽，允许机构以单个公网IP出现在互联网，将私有IP转换为合法公网IP。

NAT技术原理NAT通过翻译内部私有网络地址至合法公网IP地址，实现多个设备共享单一公网IP访问互联网。学习NAT基本知识01NAT简介

NAT的工作原理与作用NAT是转换IP地址的过程，用于私网访问公网，部署在网关，转换源私网地址为公有地址，创建NAT映射表判断报文私网目的地址。

NAT简介：私有IP与公网IP的区别私有IP地址定义与使用私有IP地址是内部网络使用且不会出现在外部网络的IP地址，无需申请即可在公司或企业内部自由使用。

公网IP地址定义与使用公网IP地址是外部网络应用且全球唯一的IP地址，需向专门管理机构申请，互联网数据包通常利用其传输。

私有IP地址块RFC1918预留3个私有IP地址块：A类～55，B类～55，C类～55。

IPv4与IPv6现状尽管IPv4地址将耗尽且IPv6已全面推广，但大量公司内部网络仍为IPv4架构，互联网大部分也使用IPv4。NAT简介

NAT分区与安全增强NAT将网络划分为Inside私有区域和Outside公有区域，启用后内网可访问外网，且外网无法直接访问内网资源，提高内网安全性。

NAT的地址类型

NAT地址分类概述NAT技术中对地址转换所用地址有详细描述及定义，有助于理解私有与公有地址转换方法及过程，总体分为4类。

内部本地IP地址定义内部本地IP地址是内部主机使用的私有IP地址，用于内部网络中的连通，通常为私有地址。

内部全局IP地址定义内部全局IP地址是内部主机使用的公网IP地址，用于外部网络路由，通常为公有地址。

IP地址分类定义外部本地IP：内部网络中外部主机IP，用于内部路由，双向NAT时配置。外部全局IP：外部网络中外部主机IP，用于外部路由，双向NAT时配置。NAT的基本应用类型NAT基本应用将IP地址从一个转换为另一个，适用于源或目的地址。NAT技术分类分为静态NAT和动态NAT，后者更细分为基于端口的NAT，动态NAT在实际中应用广泛。静态NAT静态NAT是私有IP与公网IP一对一固定转换，可实现外部访问内部特定设备，配置需定义转换地址并在接口配置NAT。动态NAT动态NAT是私有IP地址随机转换为指定合法公网IP地址的方式，适用于合法IP地址略少于内部计算机数量的情况。网络地址端口转换NAPT动态NAT的局限性动态NAT任意时刻一个公网IP仅转换一个私有IP，内网设备数量大于公网IP时无法保证所有设备同时上网。NAPT的工作原理RTA接收私网报文，选公网IP和端口建NAPT表项映射，转换源地址端口后转发，收到回复按映射转换转发给主机。NAPT的优势NAPT能最大限度节约IP地址资源，隐藏网络内部所有主机，有效避免外网攻击，是目前网络中应用最多的方式。静态NAT的应用02

学习情境学习情境小张受王师傅指导，为部门电脑配独立公网IP，推荐用静态NAT实现互联网访问。

技术应用静态NAT确保内部IP与外部IP稳定映射，实现单机公网访问需求。操作过程：搭建网络拓扑

搭建网络拓扑网络拓扑如图9-3所示，请读者根据拓扑图在模拟器上搭建网络拓扑。操作过程：搭建网络拓扑配置网络设备参数

网络设备配置详细列出各设备接口、IP地址及网关，包括R1、ISP路由器，两台PC和两台FTP服务器，构建完整网络拓扑。

IP地址分配为所有网络设备分配特定IP地址，如R1的G0/0/0接口使用54/24，确保网络通信正常。配置网络参数操作过程：配置计算机网络参数PC0接口Eth1/0/0设IP,配置默认路由指向54。演示配置过程通过命令行界面逐步配置PC0网络参数，包括IP地址和网关。步骤2配置PC1的网络参数进入PC1的GigabitEthernet0/0/0接口，配置IP地址24，配置静态网关54，完成后测试直连设备通信。操作过程：配置路由器的接口和路由步骤1配置路由器R1

配置路由器R1接口G0/0/0设为54/24，G0/0/1设为/8。

配置默认路由R1设置默认路由指向。

配置路由器ISP接口ISP的G0/0/0设为54/24，G0/0/1设为/8。

测试内外网连通性PC0尝试ping，显示100%丢包，因ISP无回程路由。

操作过程：利用静态NAT实现内网指定设备访问外网静态NAT配置申请公网IP0，配置于路由器R1，实现PC0通过此地址访问外网。

操作目标使内网设备PC0能以静态NAT方式，使用0公网IP访问外部网络资源。操作过程：利用静态NAT实现内网指定设备访问外网

步骤1配置静态地址转换静态NAT配置在R1的G0/0/1接口配置静态NAT，公有IP0映射内网PC0的私有IP，实现一对一固定映射。配置验证displaynatstatic显示G0/0/1接口的静态NAT信息，确认0与的转换。测试结果PC0能访问外网，ping成功；Server1和Server2因未配置公网IP，无法访问外网，体现静态NAT一对一映射特性。静态NAT配置操作过程：利用静态NAT实现外网访问内网指定服务器

实现外网通过0访问内网FTPServer1，需配置静态NAT，隐藏内网地址，满足特定访问需求。测试验证

在外网PC1上ping内网地址失败，ping转换后的公网IP成功，证实NAT配置有效，需进一步配置NATServer及ALG功能。操作过程：利用静态NAT实现外网访问内网指定服务器配置NATServer配置静态NAT在GigabitEthernet0/0/1接口下，配置基于TCP协议的静态NAT，将外网0的FTP服务映射到内网的FTP服务。启用NATALG退出接口视图后，全局启用NATALG功能，确保FTP服务的正确传输和解析。操作过程：利用静态NAT实现外网访问内网指定服务器查看NATServer信息

01操作过程通过GigabitEthernet0/0/1接口，将外网0的FTP流量映射至内网服务器，协议为TCP，配置已生效。

02配置信息显示NAT服务器信息，包括接口、全球IP/端口、内部IP/端口、协议、总配置数，确认静态NAT配置正确。操作过程：利用静态NAT实现外网访问内网指定服务器

步骤2测试启动FTP服务启动FTPServer1服务器的FTP服务，确保服务正常运行，如图9-6所示。利用ftp命令测试在外网计算机PC1上使用ftp命令尝试连接内网IP地址0的FTPServer1，成功登录并隐藏内网地址信息。动态NAT的应用03学习情境

王师傅让小张为某部门的多台计算机使用两个公网IP地址访问外网，建议小张使用动态NAT来实现此操作操作过程：搭建网络拓扑搭建网络拓扑网络拓扑如图9-7所示，请读者根据拓扑图在模拟器上搭建网络拓扑。操作过程：搭建网络拓扑配置网络参数

网络设备配置详细列出各设备接口、IP地址及网关，R1双接口独立网络，ISP连接不同网段，PC系列统一网关。PC配置PC1至PC4配置各异，特别PC1使用公网IP，其余在私网，共享同一网关54。操作过程网络参数配置指南请读者根据表9-3自行配置相关网络参数，这里不再演示。

操作过程：利用动态NAT实现内网访问外网利用公网IP地址0/24至0/24实现动态地址转换操作过程：利用动态NAT实现内网访问外网步骤1配置路由

配置默认路由在R1上设置默认路由至ISP:iproute-static,配置后内外网应不通。

配置动态NAT创建NAT地址池0-20,配置ACL允许网段使用,在GigabitEthernet0/0/1启用no-pat动态转换。操作过程：利用动态NAT实现内网访问外网步骤3测试

PC2访问外网测试成功发送5个数据包至,往返时间31-62ms,无丢包,证实PC2可访问外网。

PC3访问外网测试向发送5次ping请求,往返时间31-62ms,无数据包丢失,确认PC3外网连通性。

PC4访问外网测试PC4向发送5个数据包,往返时间47-62ms,无丢包现象,表明PC4能访问外网。

动态NAT限制动态NAT下,每公网IP仅限一台内网设备使用,IP不足时需用NPAT实现多设备共享访问。网络地址端口转换NPAT应用04

学习情境网络访问问题使用NPAT解决因公网地址不足导致的内部多台电脑无法同时上网问题。

技术应用通过网络地址端口转换，有效扩展有限的公网IP，保障所有内部计算机可同时访问互联网。操作过程操作过程沿用任务3基础配置，重新配置地址转换命令，实现网络地址端口转换。

操作过程：配置地址转换配置地址池配置地址池，仅含公网IP地址0，命令为[R1]nataddress-group100。

配置基本ACL配置基本ACL，规则5允许源地址为/24网段的流量通过。

配置NPAT进入接口GigabitEthernet0/0/1，执行natoutbound2000address-group1命令配置NPAT，该命令比动态地址转换少no-pat。操作过程：配置地址转换查看配置结果

配置结果查看通过命令displaynat