《IP地址及规划网络地址》-项目12

【任务目标】在公司出口路由器上使用NAT技术，使公司内网PC（使用私有IP地址）能访问Internet。【材料清单】交换机（1台）；路由器（1台）；测试用PC（3台）；网络线（4根）。【任务说明】（1）按图12-1搭建A公司网络，按要求配置网络设备，使网络互通。（2）在路由器上使用NAT技术，要求公司内网所有PC能访问Internet。任务1使用ACL实现公司内部设备及信息安全下一页返回【工作过程1】#配置地址池和访问控制列表[Quidway]nataddress-group1（在出口路由器上定义地址池）[Quidway]aclnumber2001[Quidway-acl-basic-2001]rulepermitsource55[Quidway-acl-basic-2001]rulepermitsource55（允许访问外网的网段）[Quidway-acl-basic-2001]ruledenyipany[Quidway-acl-basic-2001]quit任务1使用ACL实现公司内部设备及信息安全上一页下一页返回#在路由器出口处应用网络地址转换[Quidway]interfaceSerial0/1[Quidway-Serial0/1]natoutbound2001address-group1任务1使用ACL实现公司内部设备及信息安全上一页返回下一页【任务目标】在公司出口路由器上使用NAT技术，实现Internet用户访问公司内部服务器。【材料清单】交换机（1台）；路由器（1台）；测试用PC（3台）；网络线（4根）。【任务说明】（1）按图12-1搭建A公司网络，按要求配置网络设备，使网络互通。（2）在路由器上使用NAT技术，要求Internet用户访问公司内部服务器。任务2使用NAT实现Internet用户访问公司内部服务器下一页返回上一页【工作过程2】#设置内部ftp服务器[Quidway-Serial0/1]natserverprotocoltcpglobalinsideftp#设置内部www服务器1[Quidway-Serial0/1]natserverprotocoltcpglobalinsidewww#设置内部smtp服务器[Quidway-Serial0/1]natserverprotocoltcpglobalinsidesmtp任务2使用NAT实现Internet用户访问公司内部服务器上一页下一页返回知识1网络地址转换方式【任务目标】理解网络地址转换方式。【知识准备】当内部网络访问外部网络时，地址转换将会选择一个合适的外部地址，替代内部网络数据报文的源地址。这样所有内部网络的主机访问外部网络时，只能拥有一个外部的IP地址，因此，这种情况只允许最多有一台内部主机访问外部网络，这称为“一对一地址转换”。当内部网络的主机并发的要求访问外部网络时，“一对一地址转换”仅能够实现其中一台主机的访问请求。NAT的一种变形实现了并发性。允许NAT服务器拥有多个公有IP地址，当第一个内部主机访问外网时，NAT选择一个公有地址IP1，在地址转换表中添加记录并发送数据报；任务2使用NAT实现Internet用户访问公司内部服务器上一页下一页返回当另一内部主机访问外网时，NAT选择另一个公有地址IP2，依次类推，从而满足了多台内部主机访问外网的请求。这称为“多对多地址转换”。在实际应用中，用户可能希望某些内部的主机具有访问Internet（外部网络）的权利，而某些主机不允许访问。即当NAT进程查看数据报报头内容时，如果发现源IP地址是为那些不允许访问网络的内部主机所拥有的，它将不进行NAT转换。这就是一个对地址转换进行控制的问题。路由器可以通过定义地址池来实现多对多地址转换，同时利用访问控制列表来对地址转换进行控制的。（1）地址池：用于地址转换的一些公有IP地址的集合。用户应根据自己拥有的合法IP地址数目、内部网络主机数目以及实际应用情况，配置恰当的地址池。地址转换的过程中，将会从地址池中挑选一个地址作为转换后的源地址。任务2使用NAT实现Internet用户访问公司内部服务器上一页下一页返回（2）利用访问控制列表限制地址转换：只有满足访问控制列表条件的数据报文才可以进行地址转换。这可以有效地控制地址转换的使用范围，使特定主机能够有权访问Internet。（一）网络地址端口转换——NAPT还有一种NAT变形——NAPT（NetworkAddressPortTranslation），NAPT允许多个内部地址映射到同一个公有地址上，非正式地也可称之为“多对一地址转换”或地址复用。NAPT映射IP地址和端口号，来自不同内部地址的数据报可以映射到同一外部地址，但它们被转换为该地址的不同端口号，因而仍然能够共享同一地址。也就是<私有地址+端口>与<公有地址+端口>之间的转换。如图12-4的所示，描述了NAPT的基本原理。如图12-4所示，四个带有内部地址的数据报到达NAPT服务器，其中数据报1和数据报2来自同一个内部地址但有不同的源端口号，数据报3和数据报4来自不同的内部地址但具有相同的源端口号。任务2使用NAT实现Internet用户访问公司内部服务器上一页下一页返回通过NAPT映射，四个数据报都被转换到同一个外部地址，但每个数据报都赋予了不同的源端口号，因而仍保留了报文之间的区别。当回应报文到达时，NAPT进程仍能够根据回应报文的目的地址和端口号来区别该报文应转发到的内部主机。（二）内部服务器NAT隐藏了内部网络的结构，具有“屏蔽”内部主机的作用，但是在实际应用中，可能需要提供给外部一个访问内部主机的机会，如提供给外部一个WWW的服务器，或是一台FTP服务器。使用NAT可以灵活地添加内部服务器，例如，可以使用0作为Web服务器的外部地址；使用1作为FTP服务器的外部地址；甚至还可以使用2：8080这样的地址作为Web的外部地址；还可为外部用户提供多台同样的服务器（如提供多台Web服务器）。任务2使用NAT实现Internet用户访问公司内部服务器上一页下一页返回路由器的NAT功能提供了内部服务器功能供外部网络访问。外部网络的用户访问内部服务器时，NAT将请求报文内的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言，NAT要将回应报文的源地址（私网地址）转换成公网地址。（三）EasyIPEasyIP的概念很简单，当进行地址转换时，直接使用接口的公有IP地址作为转换后的源地址。同样它也利用访问控制列表控制哪些内部地址可以进行地址转换。任务2使用NAT实现Internet用户访问公司内部服务器上一页下一页返回知识2网络地址转换配置语法【任务目标】掌握网络地址转换配置命令。【知识准备】（一）配置地址池地址池是一些连续的IP地址集合，当内部数据包通过地址转换到达外部网络时，将会选择地址池中的某个地址作为转换后的源地址。请在系统视图下进行配置，见表12-1。（二）配置地址转换将访问控制列表和地址池关联（或接口地址）后，即可实现地址转换。这种关联指定了“具有某些特征的IP报文”才可以使用“这样的地址池中的地址（或接口地址）”。任务2使用NAT实现Internet用户访问公司内部服务器上一页下一页返回当内部网络有数据包要发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换关联找到与之对应的地址池（或接口地址）进行转换。访问控制列表的配置请参见相关章节。不同形式的形式地址转换，配置方法稍有不同。1.EasyIP如果地址转换命令不带address-group参数，即仅使用natoutboundacl-number命令，则实现了easy-ip的特性。地址转换时，直接使用接口的IP地址作为转换后的地址，利用访问控制列表控制哪些地址可以进行地址转换。请在接口视图下进行配置，见表12-2。2.使用指定loopback接口进行地址转换在接口视图下进行配置，见表12-3。任务2使用NAT实现Internet用户访问公司内部服务器上一页下一页返回3.配置静态地址转换表（1）配置一对一静态地址转换表请在系统视图下进行配置，见表12-4。（2）配置静态网段地址转换表使用静态网段地址转换时，只进行网段地址的转换，而保持主机地址不变。请在系统视图下进行配置，见表12-5。（3）使静态地址转换在接口上生效请在系统视图下进行配置，见表12-6。4.配置NAPT将访问控制列表和NAT地址池关联时，如果选择no-pat参数，则表示只转换数据包的IP地址而不使用端口信息，即不使用NAPT功能；如果不选择no-pat参数，则启用NAPT功能。默认情况下是启用NAPT功能。任务2使用NAT实现Internet用户访问公司内部服务器上一页下一页返回请在接口视图下进行配置，见表12-7。（三）配置内部服务器通过配置内部服务器，可将相应的外部地址、端口等映射到内部的服务器上，提供了外部网络可访问内部服务器的功能。内部服务器与外部网络的映射表是由natserver命令配置的。用户需要提供的信息包括：外部地址、外部端口、内部服务器地址、内部服务器端口以及服务协议类型。路由器支持使用接口地址作为NATServer的公网地址。当路由器的公网接口通过拨号或DHCP方式获取公网地址时，其NATServer的公网地址可以动态更新，方便用户配置，见表12-8。（四）地址转换显示和调试在完成上述配置后，在所有视图下执行display命令，可以显示地址转换配置后的运行情况，通过查看显示信息验证配置的效果。任务2使用NAT实现Internet用户访问公司内部服务器上一页下一页返回执行reset命令可以清除该运行情况。在用户视图下，执行debugging命令可以对地址转换进行调试，见表12-9。任务2使用NAT实现Internet用户访问公司内部服务器上一页返回图12-1返回图12-4返回表12-1返回表12-1配置地址池操作命令定义一个地址池nataddress-groupgroup-numberstart-addrend-addr删除一个地址池undonataddress-groupgroup-number表12-2返回表12-2配置EasyIP操作命令配置访问控制列表和接口地址关联natoutboundacl-number删除访问控制列表和接口地址的关联undonatoutboundacl-number表12-3返回表12-3使用指定loopback接口进行地址转换操作命令配置访问控制列表和指定的loopback接口地址关联natoutboundacl-numberinterfaceinterface-typeinterface-number删除访问控制列表和指定loopback接口地址的关联undonatoutboundacl-numberinterfaceinterface-typeinterface-number表12-4返回表12-4配置一对一静态地址转换表操作命令配置从内部地址到外部地址的一对一静态地址转换表natstaticip-addr1ip-addr2删除已经配置得NAT一对一静态地址转换表undonatstaticip-addr1ip-addr2表12-5返回表12-5配置网段地址静态转换表操作命令配置从内部地址到外部地址的静态网段地址转换表natstaticnet-to-netinside-start-addressinside-end-addressglobalglobal-addressmask删除已经配置的NAT网段地址转换表undonatstaticnet-to-netinside-start-addressinside-end-addressglobalglobal-addressmask表12-6返回表12-6使静态地址转换在接口上生效操作命令使已经配置的NAT静态地址转换在接口上生效natoutboundstatic表12-7返回表12-7配置NAPT操作命令配置访问控制列表和地址池关联natoutboundacl-number[address-groupgroup-number]删除访问控制列表和地址池的关联undonatoutboundacl-number[address-groupgroup-number]表12-8返回表12-8配置内部服务器操作命令配置一个内部服务器natserver[acl-number][vpn-instancevpn-instance-name]protocolpro-typeglobal{global-addr[global-port]|current-interface|interfaceinterface-typeinterface-number}insidehost-addr[host-port]natserver[acl-number][vpn-instancevpn-instance-name]protocolpro-typeglobal{global-addrglobal-port1global-port2|current-interface|interfaceinterface-typeinterface-number}insidehost-addr1host-addr2host-port删除一个内部服务器undonatserver[acl-number][vpn-instancevpn-instance-name]protocolpro-typeglobal{global-addr[global-port]|current-interface|interfaceinterface-typeinterface-number}insidehost-addr[host-port]undonatserver[ac