网络基础设备调试 3

项目六校园网络安全管理396目录CONTENTS3971任务1使用端口安全实现

终端安全接入2任务2使用ACL实现特定

终端网络通信限制3任务3使用NAT实现校园内网

服务向外安全发布4任务4使用NAPT实现校园内网

终端及服务安全访问外网任务1使用端口安全实现终端安全接入3981.了解端口安全的概念。2.掌握端口学习安全MAC地址的不同方式。3.能用命令配置安全动态MAC地址功能。4.能用命令配置StickyMAC地址功能。5.能用命令查看端口安全配置结果。399因校园网络内存在一些保密信息，为杜绝来自外网的攻击与破坏，防止不法分子通过内网环境进行MAC地址欺骗或非法接入等攻击非法获取信息，需要在校园网络环境中利用现有设备和技术尽可能加强网络和信息安全防护。400本次任务利用交换机端口安全（portsecurity）技术，使用安全动态MAC地址、Sticky（黏性）MAC地址等功能控制终端接入交换机，杜绝非法用户随意接入校园网络并冒充网内终端进行非法攻击，在技术层面实现二层网络安全防护，具体任务实例包括3台计算机和一台交换机，其中两台计算机（PC1、PC2）涉及保密信息。401一、端口安全的作用端口安全的作用是将网络设备端口通过学习获得的MAC地址转变为安全MAC地址，而所谓的安全MAC地址包括安全动态MAC地址、安全静态MAC地址和StickyMAC地址。配置端口安全后，设备可以阻止除安全MAC地址之外的终端通过本端口进行网络通信，达到二层网络安全防护的目的。402二、端口安全的实现方式若没有进行手动配置，交换机中的MAC地址表由交换机通过学习获取各个接入设备的MAC地址并写入交换机自己的MAC地址表中。交换机MAC地址表如图所示。403交换机MAC地址表1. 安全动态MAC地址开启端口安全功能但未开启StickyMAC地址功能时，端口学习到的MAC地址即为安全动态MAC地址。开启端口安全功能并开启动态MAC地址功能，可以限制端口学习并写入MAC地址表的MAC地址数量。交换机可以按照实际情况设置端口收到除安全动态MAC地址外的其他终端发送数据信息后的处理策略，具体包括以下几种。丢弃报文：交换机直接丢弃非法报文，不产生告警信息；告警上报：交换机丢弃非法报文，同时产生告警信息并上报；404关闭端口：交换机丢弃非法报文，关闭端口，同时产生告警信息并上报。默认情况下，端口关闭后不会自动恢复，只能在接口视图下使用restart命令重启端口进行恢复。安全动态MAC地址功能适合终端接入变动频繁的场景，既可保证安全，也可通过配置老化时间及时清除绑定的MAC地址表项。4052. 安全静态MAC地址开启端口安全功能但未开启StickyMAC地址功能时，若手动配置静态MAC地址，则该MAC地址为安全静态MAC地址。安全静态MAC地址功能适合接入终端数量较少，且变化不频繁的场景。可以为交换机端口配置安全静态MAC地址功能，同时手动绑定MAC地址表项，该MAC地址的终端只能限制在该端口接入，拒绝从交换机其他端口接入并通信，而其他设备接入交换机该端口时，因静态MAC地址和端口绑定而拒绝被接入，杜绝非法终端通过此端口接入。4063. StickyMAC地址开启端口安全功能的同时开启StickyMAC地址功能时，端口学习到的MAC地址即为StickyMAC地址。端口一旦学习到StickyMAC地址并写入交换机MAC地址表，就不会被老化，保存配置后重启设备，相应的StickyMAC地址表项也不会丢失。交换机在配置端口安全及StickyMAC地址后，该端口收到除安全动态MAC地址外的其他终端接入并发送数据信息后的处理策略和安全动态MAC地址处理方式相同，在此不再赘述。StickyMAC地址可以兼顾安全性和管理便利性，适用于终端接入数量相对固定、变动不频繁且需简化静态MAC配置操作的场景。407三、端口安全相关配置命令1. 端口安全功能开启交换机默认关闭端口安全功能，需要进入相应接口视图开启，命令如下：4082. 不同类型安全端口配置（1）安全动态MAC地址配置开启端口安全功能后，若该端口在当下没有对应的MAC地址表项，那么后续学习到的MAC地址即为安全动态MAC地址；若当下已经有对应的MAC地址表项，则会将该MAC地址直接设置为安全动态MAC地址。若端口配置了最大MAC地址学习数量，在端口学习到的安全动态MAC地址数量等于该值后，新的MAC地址将不再被学习并写入MAC地址表，而是直接认定为非法终端，拒绝接入并通信。安全动态MAC地址配置结果如图所示。409410安全动态MAC地址配置结果1）最大MAC地址学习数量配置。命令格式如下：4112）端口保护执行策略配置。端口保护执行策略主要有丢弃报文、告警上报和关闭端口，对应的策略参数分别是protect、restrict和shutdown，命令如下：4123）安全动态MAC地址老化时间配置。命令格式如下：413（2）安全静态MAC地址配置开启端口安全的前提下，安全静态MAC地址和系统模式下配置静态MAC地址绑定类似，但是安全静态MAC地址是在接口视图下进行配置的。命令格式如下：414（3）StickyMAC地址配置在开启端口安全的前提下，交换机端口学习到的MAC地址会被转换为安全MAC地址，学习的最大MAC数量达到上限后不再学习新的MAC地址，此端口仅允许这些MAC地址和交换机通信。端口激活StickyMAC地址后，安全动态MAC地址将会转换为StickyMAC地址。StickyMAC地址必须在开启端口安全前提下进行配置。配置StickyMAC地址的方式有两种：一种是通过安全动态MAC地址转换，另一种是手动配置StickyMAC地址。4151）通过安全动态MAC地址转换。开启端口安全并配置安全动态MAC地址后，执行以下命令开启StickyMAC地址功能：执行完成后，安全动态MAC地址将被直接转换为StickyMAC地址。上图中的安全动态地址转换为StickyMAC地址的结果如图所示。416安全动态MAC地址转换为StickyMAC地址的结果2）手动配置StickyMAC地址。开启端口安全后，可以直接将MAC地址通过命令设置为StickyMAC地址，这里需要注意的是，在执行以下命令前，必须先打开StickyMAC地址功能。手动设置StickyMAC地址的命令格式如下：4173. 检查配置（1）检查端口配置信息检查端口配置信息的方式有两种：一种是直接在端口模式下查看，另一种是在系统模式下查看。1）在端口模式下查看配置。在端口模式下查看本端口具体配置的命令示例如下：418结果如图所示。419在端口模式下查看配置的结果2）在系统模式下查看配置。在系统模式下查看某端口具体配置的命令格式如下：结果如图所示。420在系统模式下查看配置的结果（2）检查安全动态MAC地址表项命令格式如下：（3）检查StickyMAC地址表项命令格式如下：421任务2使用ACL实现特定终端网络通信限制4221.了解ACL的概念。2.掌握ACL工作原理。3.掌握ACL分类及适用场景。4.能用命令配置基本ACL。5.能用命令配置高级ACL。6.能用命令查看配置结果。423校园网络终端数量众多，各终端之间能够互联互通，若缺乏严格的访问控制机制，容易导致保密数据被突破权限后访问。某些部门的数据有保密需求，不能让其他部门终端访问财务部终端。为安全起见，需要基于数据必要访问原则采取安全访问隔离措施，即只允许某些网段终端访问规定网段内的终端，同时对有较强数据敏感性的终端设置更严格的访问控制，只允许被特定网段终端访问。424本次任务利用ACL安全技术，使用基本ACL严格控制公共区域网段内终端只能访问校园Web服务器，教务处教务系统FTP服务器只允许教学部门网段内终端访问，从而达到保障校园网络数据安全的目的。具体地，接入网络的各个终端连接至一台交换机，公共区域终端、教学部门终端及其他终端分属不同VLAN；各个服务器连接至另一台交换机，校园Web服务器、教务系统FTP服务器分属不同VLAN；两台交换机分别连接至两台路由器，组成完整的校园网络。425一、ACL的概念访问控制列表（accesscontrollist，ACL）是一种访问控制技术，它将一系列指定规则组成集合，ACL通过这些规则集合对报文进行分类，并对分类报文按照规则进行不同方式的处理。426在网络设备中，初期只有路由器能支持ACL，目前很多三层和二层交换机也支持ACL。在路由器中，ACL采用包过滤技术，读取第三和第四层包头信息，如源IP地址、目的IP地址、源端口号、目的端口号等，继而根据定义好的规则对数据报文进行分类和过滤以达到访问控制的目的，如图所示。427ACL示意图二、ACL的基本知识1. ACL的工作过程（1）首先判断设备上是否配置ACL，若配置了ACL，则进入下一步，若没有配置ACL，则将数据报文直接放行。（2）若设备已配置ACL，则判断ACL是否配置具体的规则，若没有配置具体的规则，则直接将结果认定为“未命中规则”，根据默认设定进行相应处理，如直接放行。428（3）设备从报文中提取相应信息，并依据设定的匹配顺序将规则逐一与报文中提取的信息进行匹配，一旦匹配上某条规则，就结束匹配过程，不再匹配后面的规则，即“命中规则”。若所有的规则均无法匹配，则直接将结果认定为“未命中规则”，根据默认设定进行相应处理，如直接放行，如图所示。429430ACL工作过程2. ACL的分类（1）按照创建ACL时的命名方式分类1）数字型ACL。创建ACL时指定一个编号，称为数字型ACL。2）命名型ACL。创建ACL时指定一个名称而非直接指定编号，则为命名型ACL。431（2）按照ACL的功能进行分类1）基本ACL。基本IPv4ACL简称基本ACL，基本ACL适用于IPv4，可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则。2）高级ACL。高级IPv4ACL简称高级ACL，高级ACL适用于IPv4，既可使用IPv4报文的源IP地址来定义规则，也可使用目的IP地址、IP优先级、ToS（typeofservice，服务类型）、IP类型、ICMP类型、TCP源端口号/目的端口号、UDP源端口号/目的端口号等来定义规则。4323）二层ACL。二层ACL适用于IPv4和IPv6，二层ACL可根据以太网数据帧帧头信息中的源MAC地址、目的MAC地址、以太网协议类型等来定义规则。4）用户自定义ACL。用户自定义ACL适用于IPv4和IPv6，用户自定义ACL可根据偏移位置和偏移量从数据报文中提取出某一段内容进行匹配来定义规则。5）用户ACL。用户ACL适用于IPv4，用户ACL可使用IPv4报文的源IP地址、目的IP地址、IP类型、ICMP类型、TCP源端口号/目的端口号、UDP源端口号/目的端口号等来定义规则。4336）基本ACL6。基本IPv6ACL简称基本ACL6，基本ACL6适用于IPv6，可使用IPv6报文的源IP地址、分片标记和时间段信息来定义规则。7）高级ACL6。高级IPv6ACL简称高级ACL6，适用于IPv6，可以使用IPv6报文的源地址、目的地址、IP承载的协议类型、针对协议的特性等来定义规则。4343. ACL的相关规则（1）ACL的命名规则创建ACL时可以为ACL指定一个名称，每个ACL最多只能有一个名称。在创建ACL时，可以根据需要选择是否配置名称，但创建完成后不允许修改，也不允许为未命名的ACL添加名称。命名型ACL可以同时配置对应编号，若没有配置对应编号，系统在记录此命名型ACL时自动为其分配一个数字型ACL的编号。435（2）规则ID步长的设定规则当系统自动为ACL规则分配ID时，相邻规则ID之间的差值即为步长。如将步长设定为5，规则ID分配将按照5、10、15、……依次进行分配。当步长改变后，ACL中的规则ID将自动进行相应调整。（3）ACL规则匹配顺序的规则一个ACL可以由多条拒绝规则或允许规则组成，这些规则可能存在重复或矛盾的地方。目前有两种ACL规则匹配顺序：一种是配置（config）顺序，另一种是自动（auto）排序，配置顺序是默认匹配顺序。4364. ACL的常用配置原则配置ACL时一般遵循以下原则。（1）若配置的ACL规则之间存在网段上的包含关系，则应将严格条件的规则ID配置得比宽松条件的规则ID更小，避免数据报文因命中宽松条件的规则而停止继续匹配，从而使其无法命中严格条件的规则。（2）根据各业务模块ACL默认动作的不同，ACL的配置规则也不同。如默认动作为允许的业务模块中，若希望只拒绝部分IP地址的报文，则只需配置具体IP地址的拒绝规则，结尾无须添加允许规则，而默认动作为拒绝的业务模块则恰好相反。437三、ACL相关配置命令1. 基本ACL配置（1）创建基本ACL创建基本ACL需在系统视图下进行，可以选择使用编号创建数字型基本ACL，也可以选择使用名称创建命名型基本ACL。1）使用编号创建数字型基本ACL的命令格式如下：4382）使用名称创建命名型基本ACL的命令格式如下：上述步骤中，均未配置match－order参数，而是选择默认值config，若要选择自动排序模式，则需要指定match－order参数为auto。439（2）设置ACL规则步长创建好ACL后，ACL规则的缺省步长为5，可按实际需求选择是否修改步长。若需要调整该步长，则按照以下配置步骤进行，切记须在ACL界面下进行规则步长设置，步长的取值范围是1～20，命令格式如下：440（3）添加ACL描述信息创建好ACL后，为ACL添加描述信息可以方便自己或者运维工程师理解该ACL的功能或用途。如需配置，切记须在ACL界面下进行，命令格式如下：441（4）为ACL添加规则在基本ACL中，源IP地址及通配符掩码格式为source{source－addresssource－wildcard|any}。源/目的IP地址和通配符掩码一起确定一个地址范围，IP地址通配符掩码是一个32b的数字字符串，用于指示IP地址中哪些位将被检查。0

表示检查相应的位，1表示不检查相应的位。通配符掩码中的0和1可以不连续。通配符掩码为，表示源/目的地址为主机地址,可以简写为0；通配符掩码也可以为

55，表示任何IP地址，相当于any。442443ACL规则配置的命令格式如下：1）允许规则配置的命令示例如下：4442）拒绝规则配置的命令示例如下：445（5）添加规则描述信息和ACL描述信息类似，为规则添加描述信息可以方便自己或者运维工程师理解该规则的功能或用途，应按实际需求选择是否做该配置，命令格式如下：446（6）应用基本ACLACL必须在具体的业务模块中应用才能正常发挥作用。最基本、最常见的ACL应用方式是在简化流策略中应用ACL，将ACL应用于端口实现对转发报文的过滤。此外，ACL还可以应用在Telnet、FTP、路由等常见模块。在此介绍将ACL应用于端口的配置方式，命令格式如下：2. 高级ACL配置高级ACL可根据源IP地址、目的IP地址、IP类型、TCP源端口号/目的端口号、UDP源端口号/目的端口号、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤，相比基本ACL，提供了更准确、丰富、灵活的规则定义方法。高级ACL的配置方法比基本ACL的配置方法相对更复杂。447448（1）创建高级ACL同基本ACL类似，创建高级ACL可以选择使用编号创建数字型高级ACL，也可以选择使用名称创建命名型高级ACL。1）使用编号创建数字型高级ACL，命令格式如下：4492）使用名称创建命名型高级ACL的命令格式如下：match-order参数的设置和基本ACL相同，不再赘述。（2）设置规则步长及ACL描述信息设置高级ACL规则步长及添加ACL描述信息的方法和基本ACL相同，不再赘述。450（3）为ACL添加规则配置高级ACL规则的方法和命令根据IP承载的协议类型不同而有所差异，对于不同的协议类型有不同的参数组合。基于TCP的ACL使用最广泛，因此重点讲解基于TCP的ACL规则配置方法，命令格式如下：以上格式参数非常多，其中要注意的是大括号中的内容是必要参数，中括号中的内容则是可选参数。依照实际需求进行参数选择。1）拒绝规则配置命令示例如下：4512）允许规则配置，命令示例如下：（4）规则应用与规则描述高级ACL规则应用及规则描述的配置方法和基本ACL相同，不再赘述。4523. 检查ACL配置信息检查ACL配置信息的命令格式如下：453任务3使用NAT实现校园内网服务向外安全发布4541.了解NAT概念。2.掌握NAT分类。3.掌握NAT服务器的实现方式。4.能用命令配置静态NAT。5.能用命令配置NAT服务器。6.能用命令查看配置结果。455由于校园网环境的特殊性及信息业务的相对封闭性，校园网和互联网网络互通多体现在校内终端主动访问互联网，数据通信方向性较强，因此校园网络通信多以内网通信为主。然而在数字化时代，部分校园业务需要向互联网发布，以便公众了解学校相关信息。456校园门户网站服务器（校园网Web服务器）搭建于校园内网，互联网上的设备无法直接访问位于校园内网的网站服务，要想互联网用户能直接访问校园门户网站，需要将门户网的IP地址通过地址转换映射至互联网。本次任务利用NAT（networkaddresstranslation，网络地址转换）技术，将校园门户网站发布至互联网，从而达到校园网络特定业务发布到互联网的同时最大限度减少校园网络暴露面。457458一、NAT的概念NAT是按照既定规则将IP数据包中的IP地址转换为另一个IP地址的技术。内部网络，简称内网，一般使用私有IP地址。外部网络，简称外网，一般使用公有IP地址。NAT技术主要用于实现内网终端访问外网以及外网终端访问内网服务的功能。内网终端访问外网时，可通过NAT技术将内网IP地址转换为外网IP地址，甚至可以实现多个内网终端共用一个外网IP地址访问外网，很大程度上节省了外网IP地址的使用。NAT作为一种过渡方案，通过地址重用方式来满足IP地址的需要，缓解IP地址空间枯竭的压力。而除此之外，NAT还带来以下好处：（1）NAT技术在一定程度上能让内网有效躲避来自外网的攻击，提高内网的安全性；（2）通过NAT技术可以实现内网终端访问外网，也可以实现外网终端访问内网服务。459460二、NAT的基本原理1. 基本NAT的原理基本NAT原理是进行内网IP地址和外网IP地址一对一的转换，基本NAT只转换IP地址，而不处理传输层TCP/UDP的端口号，且一个外网IP地址不能同时被多个内网终端同时使用。基本NAT原理示意图如图所示。461基本NAT原理示意图具体过程如下：（1）内网终端向路由器发起访问外网终端的数据报文，其数据包头中源地址是

，目的地址是。（2）路由器从外网IP地址池中选取一个空闲的外网IP地址，然后建立与内网终端发起的数据报文中源IP地址间的NAT转换表，并依据该表查找出方向上NAT转换表项中的结果，将数据报文中的源IP地址转换后向外网发送。转换后的数据包头中的源IP地址是，目的IP地址是。然后将数据报文向外网发送。462（3）外网终端回应该请求报文，并发至路由器，路由器收到该回应报文后，根据数据报文中的目的IP地址查找上述NAT转换表，并依据该表查找入方向上NAT表项中的结果，将数据报文中的目的IP地址转换后向内网发送。转换后的数据包头中的目的IP地址是，源IP地址是。4632. NAPT的原理和基本NAT转换方式不同的是，NAPT可以利用同一个外网IP地址的不同端口实现并发式的地址转换，将多个内网IP地址映射到同一个外网IP地址，实现IPv4外网IP地址复用。464NAPT原理示意图如图所示。465NAPT原理示意图466具体过程如下：（1）内网终端A和B向路由器同时发起访问外网终端的数据报文，内网终端A的数据包头中源IP地址及端口是:1000，目的地址是，其中的端口是具体的业务端口；内网终端B的数据包头中源IP地址及端口是:2000，目的IP地址是，其中的端口是具体的业务端口。467（2）路由器从外网IP地址池中选取一个空闲的“IP地址+端口号”，然后建立与内网终端发起的数据报文源IP地址间的NAT转换表，并依据该表查找出方向上NAT转换表项中的结果，然后将数据报文中的源IP地址转换后向外网发送。内网终端A的数据包头中源IP地址及端口转换为:10000，目的IP地址及端口不变；内网终端B的数据包头中源IP地址及端口转换为:20000，目的IP地址及端口不变。然后将数据报文向外网发送。468（3）外网终端分别回应请求报文，并发至路由器，路由器收到回应报文后，根据数据报文中的目的IP地址查找上述NAT转换表，并依据该表查找入方向上NAT转换表项中的结果，然后将数据报文中的目的IP地址转换后向内网发送。回应内网终端A的数据包头中目的IP地址及端口转换为:1000，源IP地址及端口不变；内网终端B的数据包头中目的IP地址及端口转换为:2000，源IP地址及端口不变。469三、内网服务向外网发布的实现方式NAT的实现方式主要有EasyIP、地址池NAT、NAT服务器（NATServer）和静态NAT/NAPT等。对于内网服务向外网发布的需求，主要使用静态NAT、NAT服务器和静态NAPT三种方式。出于网络安全方面考虑，实际项目中对此需求多以NAT服务器或静态NAPT方式实现。4701. 静态NAT静态NAT是基本NAT的一种实现方式，在进行NAT转换时，内网终端的IP地址同外网IP地址一对一静态绑定，静态NAT中的外网IP地址在同一时刻只会给唯一的内网终端转换使用。静态NAT支持双向互通，这个特点在一定程度上能带来很大的便利性，但正是因为这个特点，也让静态NAT在实际网络环境中很少使用，因为在没有其他的安全保障措施的情况下，双向互通非常容易将本不应该发布至外网的服务在不经意间被动发布至外网，导致信息泄露。471静态NAT在内网服务向外网发布这个场景下的应用如图所示。静态NAT在内网服务向外网发布的应用472具体过程如下：（1）外网终端访问内网终端开放的服务时，向路由器发出请求数据报文，报文中的目的IP地址是，端口是具体的业务端口。（2）路由器收到数据报文后，依据NAT转换表查找该外网IP地址对应的内网IP地址，并将数据报文中的目的IP地址转换后向内网发送。数据报文中的目的IP地址转换为，端口不变。473（3）内网终端回应请求报文，路由器收到回应报文后，依据NAT转换表查找该内网IP地址对应的外网IP地址，并将数据报文中的源IP地址转换后向外网发送。数据报文中的源IP地址从转换为，端口不变。4742. NAT 服务器和静态NAT相比，NAT服务器能通过NAT有针对性地向外网发布服务，而非开放所有的端口。当外网终端访问内网终端时，NAT设备通过事先配置好的“外网IP地址+端口号”与“内网IP地址+端口号”间的映射关系，将内网终端的“外网IP地址+端口号”根据映射关系替换成对应的“内网IP地址+端口号”。没有配置NAT的端口号（内网终端开放的其他服务）则不会向外网发布，避免了因内网服务开放导致信息泄露的安全风险。475NAT服务器在内网服务向外网发布这个场景下的应用如图所示。NAT服务器在内网服务向外网发布的应用476具体过程如下：（1）外网终端访问内网终端开放的服务时，向路由器发出请求数据报文，报文中的目的IP地址及端口是:8080。（2）路由器收到数据报文后，根据该请求数据报文中的“目的IP地址+端口号”查找NAT转换表找到对应的“内网IP地址+端口号”，继而用查找结果替换数据报文中的“目的IP地址+端口号”后向内网发送。即数据报文中的目的IP地址及端口从

:8080转换为:80。477（3）内网终端回应该请求报文，路由器收到回应报文后，依据NAT转换表查找该内网IP地址对应的外网IP地址，并将数据报文中的源IP地址和端口转换后向外网发送。数据报文中的源IP地址及端口从:80转换为:8080。4783. 静态NAPT静态NAPT和NAT服务器在内网服务发布至外网使用场景下的原理非常相似，不再赘述。479四、静态NAT/NAPT及NAT服务器的配置方法1. 静态NAT静态NAT有两种配置方式，分别是在系统视图下配置和在接口视图下配置。（1）在系统视图下配置静态NAT在系统视图下配置静态NAT需要先在系统视图中配置好NAT规则，然后在对应的端口下启用才能生效。在内网服务向外网发布这个场景下配置静态NAT，命令格式如下：480481（2）在接口视图下配置静态NAT在接口视图下配置静态NAT必须进入接口视图。在内网服务向外网发布这个场景下配置静态NAT，命令格式如下：4822. 静态NAPT静态NAPT和静态NAT类似，有两种不同的配置方式，分别是在系统视图下配置和在接口视图下配置。（1）在系统视图下配置静态NAPT在系统视图下配置静态NAPT需要先在系统视图中配置好NAT规则，然后在对应的端口下启用才能生效。在内网服务向外网发布这个场景下配置静态NAPT，命令格式如下：483484（2）在接口视图下配置静态NAPT在接口视图下配置静态NAPT必须进入接口视图。在内网服务向外网发布这个场景下配置静态NAPT，命令格式如下：4853. NAT服务器NAT服务器需要在接口视图下进行配置，命令格式如下：486在配置NAT服务器映射时，global－address和host－address两个参数必须保证和设备现有地址没有重复，包括设备其他接口地址、用户地址池里的地址等，避免在实际使用中发生冲突。如果使用设备接口地址作为内网终端IP地址，可以使用current－interface参数，也可以指定实际存在的loopback接口地址作为内网服务器地址。4874. 检查NAT配置结果（1）检查NAT服务器配置结果命令格式如下：（2）检查静态NAT/NAPT配置结果命令格式如下：任务4

使用NAPT实现校园内网终端及服务安全访问外网4881.了解动态NAT的概念。2.了解动态NAT的原理。3.掌握动态NAPT及EasyIP实现方式。4.能用命令配置动态NAT。5.能用命令配置动态NAPT。6.能用命令配置EasyIP。7.能用命令查看配置结果。489由于校园网环境的特殊性及信息业务的相对封闭性，校园网和互联网互通多体现在校内终端主动访问互联网。信息化时代，较多场景下内网终端需要访问外网获取必要信息，而访问外网就需要有外网IP地址，如何解决内网终端访问外网服务同时能最大限度保障通信安全显得至关重要。本次任务将利用动态NAPT技术，使校园网内终端能访问外网服务，在保障校园网络信息安全的前提下享受数字化红利。490一、动态NAT的概念及原理静态NAT中，内网IP地址和外网IP地址的一一对应关系，一个外网IP地