局域网与Internet 的连接

1课程引导——IP地址危机IPv4地址空间不足RFC1918为私有、内部使用保留了A、B、C类地址范围各一个。10.0.0.0—10.255.255.255（10.0.0.0/8）172.16.0.0—172.31.255.255（172.16.0.0/12）192.168.0.0—192.168.255.255（192.168.0.0/16）网络地址转换（NAT）IPv6项目12局域网与Internet网互联UNIVERSITYUNIVERSITYInernet3项目任务学习任务：理解NAT技术的内涵工作任务1：学会静态NAT的配置工作任务2：学会动态NAT的配置工作任务3：学会NAPT的配置学习任务：NAT技术的理解5什么是NATNAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为。它使得一个网络中使用私有地址的主机以合法地址出现在Internet上。纯软件NAT防火墙NAT路由器NAT6NAT的种类NAT功能通常被集成到路由器、防火墙或单独的NAT设备中。1、NAT路由器被置于内部网和外网的边界上，在数据包发送到外部网络之前将数据包的内部私有IP地址转换为Internet上的合法地址。2、NAT也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络，从而对内部网络起到保护作用。7NAT带来的好处解决IPv4地址空间不足的问题；私有IP地址网络与公网互联；10.0.0.0/8，172.16.0.0/12，192.168.0.0/16网络改造中，避免更改地址带来的风险；TCP流量的负载均衡8NAT的类型NAT（NetworkAddressTranslation）：转换后，一个内部本地IP地址对应一个全局IP地址。NAT又分为：静态NAT和动态NAT。NAPT（NetworkAddressPortTranslation或NPAT）：转换后，多个内部本地地址对应一个全局IP地址。9NAT/NAPT的术语内部网络－Inside在内部网络，每台主机都分配一个内部IP地址，但与外部网络通信时，这些地址需要被转换为另外一个地址。外部网络－Outside指内部网络需要连接的网络，一般指互联网，也可以是另一个机构地网络。互联网OutsideInside企业内部网外部网10NAT/NAPT的术语内部本地地址－InsideLocalAddress指分配给内部网络主机的IP地址，该地址可能是非法的未向相关机构注册的IP地址，也可能是合法的私有网络地址。内部全局地址－InsideGlobalAddress合法的全局可路由地址，由网络信息中心(NIC)或服务提供商提供的可在互联网上传输的地址,在外部网络代表着一个或多个内部本地地址。外部本地地址－OutsideLocalAddress外部网络的主机在内部网络中表现的IP地址,该地址不一定是合法的地址,也可能是内部可路由地址。外部全局地址－OutsideGlobalAddress外部网络分配给外部主机的IP地址，该地址是合法的全局可路由地址。11内部网络外部网络Packet1源地址：192.168.1.100目标地址:192.168.2.50Packet1源地址：202.1.2.3目标地址:192.168.2.50Packet2源地址：202.1.3.3目标地址:192.168.1.100Packet2源地址：192.168.2.50目标地址:202.1.2.3192.168.1.100/24192.168.2.50/24NAT路由器NAT/NAPT的术语内部本地地址内部全局地址外部本地地址外部全局地址12NAT转换的过程可以是动态或静态NAT13任务2、静态NAT的配置14静态NAT静态NAT:建立内部本地地址和内部全局地址的一对一的永久映射.永久的一对一IP地址映射关系需要向外部网络提供信息服务的主机的IP地址必采用静态NAT.15配置静态NAT1、定义内部源地址静态转换关系Red-Giant(config)#ipnatinsidesourcestaticlocal-addressglobal-addresslocal-address:内部私有地址;global-address:内部全局地址2、定义内部接口Red-Giant(config)#interfaceinterface-type-number:Red-Giant(config-if)#ipnatinside3、定义外部接口Red-Giant(config)#interfaceinterface-typeinumberRed-Giant(config-if)#ipnatoutside16静态NAT配置实例案例背景:某公司想让外部用户访问一台内部编址的WEB服务器，管理员可以使用静态NAT，将一个全球合法地址（内部全局地址2.2.2.3）和一个内部本地地址（10.1.1.1）进行映射。InernetNAT路由器WEB服务器10.1.1.1NAT转换表本地地址全局地址10.1.1.12.2.2.3Fa0S017静态NAT配置实例具体步骤InernetNAT路由器WEB服务器10.1.1.1NAT转换表本地地址全局地址10.1.1.12.2.2.3Fa010.1.1.254S01、Router(config)#ipnatinsidesourcestatic10.1.1.12.2.2.32、Router(config)#intfa0Router(config-if)#ipnatinside3、Router(config)#ints0Router(config-if)#ipnatoutside18NAT的验证命令showipnatstatistics：显示转换的统计信息showipnattranslations[verbose]：显示激活的转换注意：显示NAT激活转换的命令最好在网络测试正常后进行，可以看出效果19你是某公司的网络管理员，内部网络有一个服务器（使用的是私有地址）可以为外部用户提供服务，但不想让外部网络用户知道自己的网络内部结构，可以通过在内部网络的边界路由器上使用NAT技术将内部网络与外部Internet隔开，使外部用户根本不知道通过NAT设置的内部服务器的IP地址建议：1、最好小组成员充分讨论，制定出工作计划，分工明确，从而预防实际操作过程中的混乱。2、同一小组成员应明确所使用的设备，避免使用时产生冲突。3、该项目的完成可以参考教材中的实训十九，但不可盲目照抄。任务1——项目需求20注意：广域网口的使用服务提供商DTE(数据终端设备)NAT路由器DCE(数据通讯设备)R2600-1R2600-2Red-giant(config)#hostnameR2R2(config)#interfaceserial0R2(config-if)#ipaddress202.1.1.2255.255.255.0R2(config-if)#clockrate64000R2(config-if)#noshV.35线缆S0S0Fa021任务1参考设计192.1.1.2/24F0192.168.2.2/24192.168.2.1/2422项目参考配置192.1.1.2/24F0192.168.2.2/24192.168.2.1/24Red-giant(config)#hostnameR1R1(config)#interfaceserial0R1(config-if)#ipaddress192.1.1.1255.255.255.0R1(config-if)#nosh23项目参考配置192.1.1.2/24F0192.168.2.2/24192.168.2.1/24R1(config)#interfacefastEthernet0R1(config-if)#ipadd192.168.1.1255.255.255.0R1(config-if)#nosh24项目参考配置192.1.1.2/24F0192.168.2.2/24192.168.2.1/24R1(config)#iproute0.0.0.00.0.0.0serial025项目参考配置192.1.1.2/24F0192.168.2.2/24192.168.2.1/241、基本配置Red-giant(config)#hostnameR2R2(config)#interfaceserial0R2(config-if)#ipaddress192.1.1.2255.255.255.0R1(config-if)#clockrate64000R2(config-if)#noshutdownR2(config-if)#endR2(config)#interfacefastEthernet0R2(config-if)#ipadd192.168.2.1255.255.255.0R2(config-if)#nosh26项目参考配置192.1.1.2/24F0192.168.2.2/24192.168.2.1/24R2(config)#iproute0.0.0.00.0.0.0serial027项目参考配置192.1.1.2/24F0192.168.2.2/24192.168.2.1/24R1(config)#ipnatinsidesourcestatic192.168.1.2192.1.1.1（定义静态NAT地址映射）R1(config)#intfastEthernet0R1(config-if)#ipnatinside（定义内部接口）R1(config)#intserial0R1(config-if)#ipnatoutside（定义外部接口）28任务3、动态NAT的配置29动态NAT的特点动态NAT:建立内部本地地址和内部全局地址池的临时映射.临时的一对一IP地址映射关系（实际是两个地址池）适用于只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数301、定义一个可以根据需要进行分配的全球地址池。Router(config)#ipnatpoolnamestart-ipend-ipnetmasknetmask2、定义一个标准的Access-list规则以允许哪些内部地址可以进行动态地址转换。Router(config)#access-list（1—99）permitsourcesource-wildcard动态NAT配置步骤3、将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换Router(config)#ipnatinsidesourcelistaccess-list-Numberpoolname314、进入内部接口Router(config)#interfacetypenumber5、指定与内部网络相连的内部接口Router(config-if)#ipnatinside6、进入外部接口Router(config)#interfacetypenumber7、指定与外部网络相连的外部接口Router(config-if)#ipnatoutside动态NAT配置步骤32实例背景：某公司申请了30个公网IP地址为整个公司提供上网服务，地址范围是2.2.2.1/24到2.2.2.30/24，可是公司规模现已经扩大，目前有近有100台PC机，合法地址不够每台分配一个，而且销售部门平时有三分之一的人在外跑业务，在公司内部的也不会一直需要网络服务，根据此情况请你解决公司全局地址不够每台PC机映射到一个地址的情况。动态NAT应用实例33动态NAT应用实例拓扑结构ABCDEInternetF0S0公司内部：10.10.10.0/24网关：10.10.10.254/2410.10.10.254/242.2.2.1/24341、定义一个NAT地址池Router(config)#ipnatpoolmypool2.2.2.22.2.2.30Netmask255.255.255.02、为公司中使用