第11章-NAT与VPN技术

计算机网络工程信电工程学院鲍蓉第11章NAT与VPN技术11.1NAT技术11.2VPN技术11.1NAT技术NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为。什么是NAT（NetworkAddressTranslation）NAT技术作用将内网地址转换为外网地址，解决地址不足问题隔离内外网络，实现网络安全NAT技术术语内部网络－Inside外部网络－Outside内部本地地址－InsideLocalAddress内部全局地址－InsideGlobalAddress外部本地地址－OutsideLocalAddress外部全局地址－OutsideGlobalAddress互联网OutsideInside企业内部网外部网NAT类型NAT一个内部地址（本地地址）对应一个外部地址（全局地址）NAPT（NetworkAddressPortTranslation）将多个内部地址映射为一个外部地址的不同端口上，使得多个内部地址共用一个外部地址缺乏全局IP地址,甚至没有专门申请的全局IP地址，只有一个连接ISP的全局IP地址内部网要求上网的主机数很多提高内网的安全性应用NAPT技术的场合NAT工作原理200.8.7.3/24200.8.7.4/24192.168.1.5192.168.1.763.5.8.1内部本地地址内部全局地址192.168.1.7200.8.7.3192.168.1.5200.8.7.4源IP:192.168.1.7目的IP:63.5.8.1源IP:200.8.7.3目的IP:63.5.8.1源IP:63.5.8.1目的IP:200.8.7.3源IP:63.5.8.1目的IP:192.168.1.7NAPT工作原理200.8.7.3/24192.168.1.5192.168.1.763.5.8.1内部本地地址：端口内部全局地址:端口外部全局地址:端口192.168.1.7:1024200.8.7.3:102463.5.8.1：80192.168.1.5:1136200.8.7.3:113663.5.8.1：80源IP:192.168.1.7:1024目的IP:63.5.8.1:80源IP:200.8.7.3:1024目的IP:63.5.8.1:80源IP:63.5.8.1:80目的IP:200.8.7.3:1024源IP:63.5.8.1:80目的IP:192.168.1.7:1024NAT/NAPT的配置NAT/NAPT的配置有两种静态NAT/NAPT动态NAT/NAPT静态NAT/NAPT需要向外网络提供信息服务的主机永久的一对一IP地址映射关系动态NAT/NAPT只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数(NAT)临时的一对一IP地址映射关系静态NAT1、定义路由器内网接口和外网接口Router(config)#interfacefastethernet0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1Router(config-if)#ipnatinside2、建立静态的映射关系Router(config)#ipnatinsidesourcestatic192.168.1.7200.8.7.3静态NAPT1、定义路由器内网接口和外网接口Router(config)#interfacefastethernet0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1Router(config-if)#ipnatinside2、建立静态的映射关系Router(config)#ipnatinsidesourcestatictcp192.168.1.71024200.8.7.31024Router(config)#ipnatinsidesourcestaticudp192.168.1.71024200.8.7.31024动态NAT配置1、定义内网接口和外网接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定义内部本地地址范围Router(config)#access-list10permit192.168.1.00.0.0.2553、定义内部全局地址池Router(config)#ipnatpoolabc200.8.7.3200.8.7.10netmask255.255.255.04、建立映射关系Router(config)#ipnatinsidesourcelist10poolabc动态NAPT配置1、定义内网接口和外网接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定义内部本地地址范围Router(config)#access-list10permit192.168.1.00.0.0.2553、定义内部全局地址池Router(config)#ipnatpoolabc200.8.7.3200.8.7.3netmask255.255.255.04、建立映射关系Router(config)#ipnatinsidesourcelist10poolabcoverload综合实验案例项目背景某大型企业共有150台主机，企业网络共分为二个区域，普通办公区、信息资料区。每个区分配一个独立的网段，分别为VLAN10和VLAN20两个VLAN，网络内部使用S2126为接入用户的交换机，S3550为企业网络的核心设备，用于汇聚企业网中的所有接入层设备。企业通过R1762路由器接入互联网，S3550通过F0/24和R1762路由器连接，保证所有主机正常高速上网。为了提高上网速度，保证所有设备高速接入，向电信局申请了一条100M的光纤专线接入互联网，地址为200.16.3.1/24，通过NAPT技术接入Internet。要求：对设备进行配置，保证企业网所有设备能够正常访问Internet中的一台服务器，地址为：200.16.3.8/24实验拓扑1、交换机划分VLAN2、二层交换机和三层交换机级联3、trunk实现相同VLAN访问4、三层交换机配置路由，实现VLAN间互访5、三层交换机和路由器相连6、配置静态路由和缺省路由7、配置NAPT访问Internet实验项目分解11.2VPN技术VPN概念VPN（VirtualPrivateNetwork）：虚拟专用网络是指在Internet或其他公共网络中建立专用的数据通信网络的技术。在虚拟网络中，任意两个节点之间的连接并没有传统专用网所需要的端到端物理链路，而是利用公网的传输媒介资源，但能够提供与传统专用网同等的端到端安全性。远程访问Internet内部网合作伙伴分支机构虚拟私有网ISPModemsVPNGatewayVPNGateway总部网络远程局域网络总部分支机构单个用户InternetVPN可以省去专线租用费用或者长距离电话费用，大大降低成本VPN可以充分利用internet公网资源，快速地建立起公司的广域连接VPN的安全技术数据安全性的3个方面身份认证（Authentication）保证用户的合法性，数据是从正确的发送方发送的数据保密性（Confidentiality）保证数据传输过程中外人无法获取数据。数据完整性（Integrity）保证数据传输过程中没有被非法改动过。VPN的安全技术隧道协议（Tunneling）由支持VPN的路由器建立的一条持续的逻辑连接，或者说逻辑专线，在公用网中建立一条数据通道，让数据包通过这条遂道传输。加解密技术把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密技术包括两个元素：算法和密钥。算法是将普通的信息与一串数字（密钥）结合，产生不可理解的密文的步骤；密钥是用来对数据进行编码和解密的一种算法。加密技术可以保证网络的信息安全。密钥管理技术是指如何在安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。身份认证技术验证用户身份并严格控制只有授权用户才能访问VPN。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。隧道协议2层隧道协议（链路层）PPTP－点对点隧道协议L2TP－二层隧道协议3层隧道协议（网络层）IPsecVPN应用模式（1）AccessVPN：远程接入投入：VPN服务单元（组织内部），VPN客户端软件（远程终端）效果：拥有权限的用户能够随时、随地，以方便的方式访问、提交组织内部信息资源。优点：高度灵活；低成本；安全有保障VPNmanagerServerVPNmanagerConsoleInternet（2）IntranetVPN（企业内联网）投入：VPN网关（各个分支机构），高带宽效果：构建世界范围内的IntranetVPN；避免过于复杂的组织网络总体设计工作；形成了灵活的拓扑结构，便于业务拓展优点：内联网属于自己，能够自主定义网络的权限、策略、服务质量、安全、可靠性等等。VPN网关VPN网关VPN网关Internet（3）ExtranetVPN－－企业外联网投入：VPN服务器，相应的数字证书服务效果：构建世界范围内的ExtranetVPN，能够向客户、合作伙伴提供特定的信息、应用，同时保证自身安全。优点：便于对外联网部署和管理，对不同的客户、合作伙伴定义不同的权限，开放不同的信息和应用。Internet常见的VPN网关产品可以包括单纯的VPN网关、VPN路由器、VPN防火墙、VPN服务器等产品。VPN网关两种VPN架构产品IPSecVPN通信双方首先要采用一定的方式建立连接，确定所要采用的安全策略和使用模式，包括加密运算法则和身份验证方法类型等。一旦IPSec通道建立，所有其上层协议数据都被进行加密。SSLVPNSSL（SecureSocketsLayer，安全套接层协议层）它是Netscape公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议(如Http，Telenet，Nmtp，Ftp)和TCP/IP协议之间提供数据安全性分层的机制，提供数据加密，服务器认证，消息完整性以及可选的客户机认证。AccessVPN实验案例应用需求：解决出差员工和公司之间通过Internet进行信息安全传输的问题实验拓扑：eth1eth0F0/0F0/1VPN服务器远程PCEth1(LAN)：192.168.2.1Eth0(WAN)：10.1.1.1IP:10.1.2.1网关：10.1.2.2F0/0：10.1.1.2/24F0/1：10.1.2.2/24IP:192.168.2.2网关：92.168.2.1192.168.2.0/2410.1.1.0/2410.1.2.0/24实验设备：VPN设备：RG-WALLV50（带管理软件）VPN远程接入系统：RG-SRA路由器：R1762服务器：开设FTP服务或Web服务PC机实验步骤：（1）在服务器主机安装VPN管理软件（2）在PC机上安装VPN客户端软件RG-SRA（3）配置PC机、服务器、路由器的IP地址（4）通过超级终端配置VPN接口eth1的IP地址（5）通过服务器上的VPN管理软件登录VPN设备，配置接口eth0的IP地址。进入VPN管理软件后，先新建一个“网关组”，再新建一个“网关”，输入网关名“VPN”，网关地址：192.168.2.1（5）在VPN上配置IPSecVPN隧道“远程用户管理”“允许访问子网”：192.168.2.0/24“认证参数”：本地用户数