實(shí)驗(yàn)4.2 網(wǎng)絡(luò)地址轉(zhuǎn)換實(shí)驗(yàn)

XXX實(shí)驗(yàn)4.2

網(wǎng)絡(luò)地址轉(zhuǎn)換實(shí)驗(yàn)實(shí)驗(yàn)背景1實(shí)驗(yàn)?zāi)康呐c內(nèi)容2實(shí)驗(yàn)設(shè)備3實(shí)驗(yàn)步驟4實(shí)驗(yàn)背景網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）是一個(gè)Internet工程任務(wù)組（InternetEngineeringTaskForce，IETF）標(biāo)準(zhǔn)，用于允許專用網(wǎng)絡(luò)上的多臺PC(使用專用地址段，例如10.x.x.x、192.168.x.x、172.16.x.x-172.31.x.x)共享單個(gè)、全局路由的IPv4地址。IPv4地址日益不足是經(jīng)常部署NAT的一個(gè)主要原因。WindowsXP和WindowsMe中的“Internet連接共享”及許多Internet網(wǎng)關(guān)設(shè)備都使用NAT，尤其是在通過DSL或電纜調(diào)制解調(diào)器連接寬帶網(wǎng)的情況下。網(wǎng)絡(luò)地址轉(zhuǎn)換是通過將專用網(wǎng)絡(luò)地址（如企業(yè)內(nèi)部網(wǎng)）轉(zhuǎn)換為公用地址（如互聯(lián)網(wǎng)），從而對外隱藏了內(nèi)部管理的IP地址。這樣，通過在內(nèi)部使用非注冊的IP地址，并將它們轉(zhuǎn)換為一小部分外部注冊的IP地址，從而減少了IP地址注冊的費(fèi)用及節(jié)省了目前越來越缺乏的地址空間（即IPV4）。同時(shí)，這也隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而降低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險(xiǎn)。NAT分為三種類型：靜態(tài)NAT（StaticNAT）、NAT池（PooledNAT）和端口NAT（PAT）。其中靜態(tài)NAT是將內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法地址；NAT池是在外部網(wǎng)絡(luò)中定義一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)；端口NAT是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。通過DHCP服務(wù)器的協(xié)助來控管各個(gè)客戶端（執(zhí)行中的用戶端）上不可缺少的網(wǎng)絡(luò)配置參數(shù)，包括域名服務(wù)（DomainNameService，DNS）、Windows互聯(lián)網(wǎng)名字服務(wù)（WindowsInternetNameService，WINS）等。內(nèi)網(wǎng)用戶通過路由器的NAT功能訪問Internet。為了限制局域網(wǎng)內(nèi)主機(jī)對外發(fā)起的連接數(shù)，可利用路由器上配置NAT限制的最大連接數(shù)特性，對源地址發(fā)起的連接數(shù)進(jìn)行限制。實(shí)驗(yàn)?zāi)康呐c內(nèi)容【實(shí)驗(yàn)?zāi)康摹浚?）理解NAT使用的背景及方法。（2）掌握NAT的配置方法?！緦?shí)驗(yàn)內(nèi)容】（1）用出口接口地址做EasyNAT。（2）地址池方式做NAT。（3）對外提供FTP、WWW和SMTP服務(wù)實(shí)驗(yàn)設(shè)備H3C系列交換機(jī)一臺，H3C系列路由器兩臺，計(jì)算機(jī)5臺，專用配置電纜一根，網(wǎng)線6根，配置電纜一根，標(biāo)準(zhǔn)V35電纜一對。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4.2所示。圖4.2網(wǎng)絡(luò)地址轉(zhuǎn)換實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

實(shí)驗(yàn)步驟（1）按照圖4.2所示將網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)搭建好，并將各個(gè)計(jì)算機(jī)配置好。（2）配置各個(gè)路由器的接口地址、路由協(xié)議，將網(wǎng)絡(luò)連通為后面的實(shí)驗(yàn)做準(zhǔn)備。對RT1做如下配置：<H3C>system-view[H3C]interfaceGigabitethernet0/0[H3C-GigabitEthernet0/0]ipaddress[H3C-GigabitEthernet0/0]interfaceGigabitEthernet0/1[H3C-GigabitEthernet0/1]ipaddress[H3C-GigabitEthernet0/1]quit（3）靜態(tài)地址轉(zhuǎn)換配置內(nèi)網(wǎng)IP地址1到外網(wǎng)地址之間的一對一靜態(tài)地址轉(zhuǎn)換映射<H3C>system-view[H3C]natstaticoutbound1[H3C]interfaceGigabitethernet0/1[H3C-GigabitEthernet0/1]natstaticenable[H3C-GigabitEthernet0/1]quit實(shí)驗(yàn)步驟（4）內(nèi)網(wǎng)用戶通過NAT訪問外網(wǎng)（地址不重疊）。①按照圖4.2配置各接口的IP地址，具體配置過程略。②配置地址組0，包含兩個(gè)外網(wǎng)地址和。<H3C>system-view[H3C]nataddress-group0[H3C-nat-address-group-0]address[H3C-nat-address-group-0]quit③配置ACL2000，僅允許對內(nèi)部網(wǎng)絡(luò)中/24網(wǎng)段的用戶報(bào)文進(jìn)行地址轉(zhuǎn)換。[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource55[H3C-acl-basic-2000]quit④在接口GigabitEthernet0/1上配置出方向動態(tài)地址轉(zhuǎn)換，允許使用地址組0中的地址對匹配ACL2000的報(bào)文進(jìn)行源地址轉(zhuǎn)換，并在轉(zhuǎn)換過程中使用端口信息。[H3C]interfaceGigabitEthernet0/1[H3C-GigabitEthernet0/1]natoutbound2000address-group0[H3C-GigabitEthernet0/1]quit實(shí)驗(yàn)步驟（5）內(nèi)網(wǎng)用戶通過NAT訪問外網(wǎng)（地址重疊）①按照組網(wǎng)圖4.2配置各接口的IP地址，具體配置過程略。②開啟DNS的NATALG功能。<H3C>system-view[H3C]natalgdns③配置ACL2000，僅允許對/24網(wǎng)段的用戶報(bào)文進(jìn)行地址轉(zhuǎn)換。[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource55[H3C-acl-basic-2000]quit④創(chuàng)建地址組1并添加地址組成員。[H3C]nataddress-group1[H3C-nat-address-group-1]address[H3C-nat-address-group-1]quit實(shí)驗(yàn)步驟⑤創(chuàng)建地址組2并添加地址組成員。[H3C]nataddress-group2[H3C-nat-address-group-2]address[H3C-nat-address-group-2]quit⑥在接口GigabitEthernet0/1上配置入方向動態(tài)地址轉(zhuǎn)換，允許使用地址組1中的地址對DNS應(yīng)答報(bào)文載荷中的外網(wǎng)地址進(jìn)行轉(zhuǎn)換，并在轉(zhuǎn)換過程中不使用端口信息，以及允許反向地址轉(zhuǎn)換。[H3C]interfacegigabitethernet0/1[H3C-GigabitEthernet0/1]natinbound2000address-group1no-patreversible⑦在接口GigabitEthernet0/1上配置出方向動態(tài)地址轉(zhuǎn)換，允許使用地址組2中的地址對內(nèi)網(wǎng)訪問外網(wǎng)的報(bào)文進(jìn)行源地址轉(zhuǎn)換，并在轉(zhuǎn)換過程中使用端口信息。[H3C-GigabitEthernet0/1]natoutbound2000address-group2[H3C-GigabitEthernet0/1]quit⑧配置靜態(tài)路由，目的地址為外網(wǎng)服務(wù)器NAT地址的報(bào)文出接口為GigabitEthernet0/1。[H3C]iproute-static32GigabitEthernet0/1實(shí)驗(yàn)步驟如果要做連接數(shù)限制，還要對服務(wù)器做如下設(shè)置：[H3C]connection-limitpolicy0①配置連接數(shù)限制規(guī)則0，允許匹配ACL3000的全部主機(jī)最多只能與外網(wǎng)建立20000條連接，超過20000時(shí)，需要等連接數(shù)恢復(fù)到19000以下才允許建立新的連接。[H3C-connection-limit-policy-0]limit0acl3000amount2000019000②配置連接限制規(guī)則1，允許匹配ACL3001的服務(wù)器最多接受10000條連接請求，超過10000時(shí)，需要等連接數(shù)降到9800以下才允許建立新的連接。[H3C-connection-limit-policy-0]limit13001per-destination100009800[H3C-connection-limit-policy-0]quit[H3C]connection-limitpolicy1//創(chuàng)建連接數(shù)限制策略1③配置連接數(shù)限制規(guī)則0，允許匹配ACL3000的每臺主機(jī)最多只能與外網(wǎng)建立100條連接，超過100時(shí)需要等連接數(shù)恢復(fù)到90以下才允許建立新的連接。[H3C-connection-limit-policy-1]limit0acl3000per-sourceamount10090[H3C-connection-limit-policy-1]quit[H3C]connection-limitapplyglobalpolicy0//在全局應(yīng)用連接數(shù)限制策略0[H3C]interfacegigabitethernet0/1//在接口GigabitEthernet0/1上應(yīng)用連接數(shù)限制策略1[H3C-GigabitEthernet0/1]connection-limitapplypolicy1[H3C-GigabitEthernet0/1]quit實(shí)驗(yàn)步驟（6）外網(wǎng)用戶通過外網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器某公司內(nèi)部對外提供Web、FTP和SMTP服務(wù)，而且提供兩臺Web服務(wù)器。公司內(nèi)部網(wǎng)址為/24。其中，內(nèi)部FTP服務(wù)器地址為3/24，內(nèi)部Web服務(wù)器1的IP地址為1/14，內(nèi)部Web服務(wù)器2的IP地址為2/24，內(nèi)部SMTP服務(wù)器的IP地址為4/24。公司擁有～三個(gè)公網(wǎng)IP地址。需要實(shí)現(xiàn)如下功能：外部的主機(jī)可以訪問內(nèi)部的服務(wù)器；選用作為公司對外提供服務(wù)的IP地址,Web服務(wù)器2對外采用8080端口。①按照圖4.2配置各接口的IP地址，具體配置過程略。②進(jìn)入接口GigabitEthernet0/1。<H3C>system-view[H3C]interfaceGigabitEthernet0/1③配置內(nèi)部FTP服務(wù)器，允許外網(wǎng)主機(jī)使用地址，端口號21訪問內(nèi)網(wǎng)FTP服務(wù)器。[H3C-GigabitEthernet0/1]natserverprotocoltcpglobal21inside3ftp④配置內(nèi)部Web服務(wù)器1，允許外網(wǎng)主機(jī)使用地址，端口號80訪問內(nèi)網(wǎng)Web服務(wù)器1。[H3C-GigabitEthernet0/1]natserverprotocoltcpglobal80inside1www⑤配置內(nèi)部Web服務(wù)器2，允許外網(wǎng)主機(jī)使用地址，端口號8080訪問內(nèi)網(wǎng)Web服務(wù)器2。[H3C-GigabitEthernet0/1]natserverprotocoltcpglobal8080inside2www實(shí)驗(yàn)步驟⑥配置內(nèi)部SMTP服務(wù)器，允許外網(wǎng)主機(jī)使用地址21及SMTP協(xié)議定義的端口訪問內(nèi)網(wǎng)SMTP服務(wù)器。[H3C-GigabitEthernet0/1]natserverprotocoltcpglobalsmtpinside4smtp[H3C-GigabitEthernet0/1]quit如果要實(shí)現(xiàn)負(fù)載分擔(dān)內(nèi)部兩臺Web服務(wù)器，需要做如下設(shè)置：配置內(nèi)部服務(wù)器組0及其成員1和2。<H3C>system-view[H3C]natserver-group0[H3C-nat-server-group-0]insideip1port80[H3C-nat-server-group-0]insideip1port8080[H3C-nat-server-group-0]quit在接口GigabitEthernet0/1上配置負(fù)載分擔(dān)內(nèi)部服務(wù)器，引用內(nèi)部服務(wù)器組0，該組內(nèi)的主機(jī)共同對外提供FTP服務(wù)。[H3C]interfaceGigabitEthernet0/1[H3C-GigabitEthernet0/1]natserverprotocoltcpglobalwwwinsideserver-group0[H3C-GigabitEthernet0/1]quit實(shí)驗(yàn)步驟（7）外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器（地址不重疊）某公司內(nèi)部對外提供Web服務(wù)，Web服務(wù)器地址為2/24。該公司在內(nèi)網(wǎng)有一臺DNS服務(wù)器，IP地址為3/24，用于解析Web服務(wù)器的域名。該公司擁有三個(gè)外網(wǎng)IP地址：、和。需要實(shí)現(xiàn)外網(wǎng)主機(jī)可以通過域名訪問內(nèi)網(wǎng)的Web服務(wù)器。①按照圖4.2配置各接口的IP地址，具體配置過程略。<H3C>system-view[H3C]natalgdns//開啟DNS協(xié)議的ALG功能②配置ACL2000，允許對內(nèi)部網(wǎng)絡(luò)中2的報(bào)文進(jìn)行地址轉(zhuǎn)換。[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource20[H3C-acl-basic-2000]quit③創(chuàng)建地址組1并添加地址組成員。[H3C]nataddress-group1[H3C-nat-address-group-1]address[H3C-nat-address-group-1]quit④在接口GigabitEthernet0/1上配置NAT內(nèi)部服務(wù)器，允許外網(wǎng)主機(jī)使用地址訪問內(nèi)網(wǎng)DNS服務(wù)器。[H3C]interfaceGigabitEthernet0/1[H3C-GigabitEthernet0/1]natserverprotocoludpglobalinside3domain實(shí)驗(yàn)步驟⑤在接口GigabitEthernet0/1上配置出方向動態(tài)地址轉(zhuǎn)換，允許使用地址組1中的地址對DNS應(yīng)答報(bào)文載荷中的內(nèi)網(wǎng)地址進(jìn)行轉(zhuǎn)換，并在轉(zhuǎn)換過程中不使用端口信息，以及允許反向地址轉(zhuǎn)換。[H3C-GigabitEthernet0/1]natoutbound2000address-group1no-patreversible[H3C-GigabitEthernet0/1]quit8、外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器（地址重疊）。某公司內(nèi)部對外提供Web服務(wù)，Web服務(wù)器地址為2/24。該公司在內(nèi)網(wǎng)有一臺DNS服務(wù)器，IP地址為3/24，用于解析Web服務(wù)器的域名。該公司擁有三個(gè)外網(wǎng)IP地址：、和。需要實(shí)現(xiàn)外網(wǎng)主機(jī)可以通過域名訪問與其地址重疊的內(nèi)網(wǎng)Web服務(wù)器。①按照圖4.2配置各接口的IP地址，具體配置過程略。②開啟DNS協(xié)議的ALG功能。<H3C>system-view[H3C]natalgdns③配置ACL2000，允許對內(nèi)部網(wǎng)絡(luò)中/24網(wǎng)段的報(bào)文進(jìn)行地址轉(zhuǎn)換。[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource55[H3C-acl-basic-2000]quit實(shí)驗(yàn)步驟④創(chuàng)建地址組1并添加地址組成員。[H3C]nataddress-group1[H3C-nat-address-group-1]address[H3C-nat-address-group-1]quit⑤創(chuàng)建地址