《銳捷RCNA路由與交換技術(shù)實(shí)戰(zhàn)》 課件 項(xiàng)目14 基于靜態(tài)NAT發(fā)布公司網(wǎng)站服務(wù)器

項(xiàng)目14基于靜態(tài)NAT發(fā)布公司網(wǎng)站服務(wù)器項(xiàng)目描述相關(guān)知識項(xiàng)目規(guī)劃設(shè)計(jì)項(xiàng)目實(shí)施項(xiàng)目驗(yàn)證項(xiàng)目拓展目錄項(xiàng)目描述Jan16公司搭建了網(wǎng)站服務(wù)器，用于對外發(fā)布公司官網(wǎng)。為了保障內(nèi)部網(wǎng)絡(luò)的安全和解決私有地址在公網(wǎng)的信息，需在出口路由中配置NAT，使內(nèi)部服務(wù)器映射到公網(wǎng)地址上。項(xiàng)目拓?fù)淙鐖D14-1所示，具體要求如下：（1）公司內(nèi)網(wǎng)使用192.168.1.0/24網(wǎng)段，出口為16.16.16.0/24網(wǎng)段。（2）出口路由器上申請了一個16.16.16.1的IP可供網(wǎng)站服務(wù)器做NAT映射。（3）測試計(jì)算機(jī)和路由器的IP和接口信息如拓?fù)渌尽ｍ?xiàng)目描述項(xiàng)目描述圖14-1網(wǎng)絡(luò)拓?fù)鋱D相關(guān)知識通過對廣域網(wǎng)技術(shù)的學(xué)習(xí)我們知道，在網(wǎng)絡(luò)的不同類型中，除了私有網(wǎng)絡(luò)外，還有公共網(wǎng)絡(luò)，他們之間需要互相關(guān)聯(lián)才能充分發(fā)揮各自的功能。網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）不僅可以實(shí)現(xiàn)私有網(wǎng)絡(luò)和公共網(wǎng)絡(luò)中的資源互訪，還能提供一定的安全訪問功能，本節(jié)將從NAT的工作原理入手，介紹NAT的不同類型及相應(yīng)的配置方法。相關(guān)知識14.2.1NAT的基本概念NAT的英文全稱是“NetworkAddressTranslation”，即“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個IETF(InternetEngineeringTaskForce,互聯(lián)網(wǎng)工程任務(wù)組)標(biāo)準(zhǔn)，NAT是一種把內(nèi)部私有網(wǎng)絡(luò)地址轉(zhuǎn)換成合法的外部公有網(wǎng)絡(luò)地址的技術(shù)。當(dāng)今的Internet使用TCP/IP實(shí)現(xiàn)了全世界的計(jì)算機(jī)互聯(lián)互通，每一臺連入Internet的計(jì)算機(jī)要和別的計(jì)算機(jī)通信，都必需擁有一個唯一的、合法的IP地址，此IP地址由Internet管理機(jī)構(gòu)NIC統(tǒng)一進(jìn)行管理和分配。而NIC分配的IP地址稱為公有的、合法的IP地址，這些IP地址具有唯一性，連入Internet的計(jì)算機(jī)只要擁有NIC分配的IP地址就可以和其他計(jì)算機(jī)通信。14.2.1NAT的基本概念但是，由于當(dāng)前TCP/IP協(xié)議版本是IPv4，它具有天生的缺陷，就是IP地址數(shù)量不夠多，難以滿足目前爆炸性增長的IP需求。所以，不是每一臺計(jì)算機(jī)都能申請并獲得NIC分配的IP地址。一般而言，需要連上Internet的個人或家庭用戶，通過Internet的服務(wù)提供商ISP間接獲得合法的公有IP地址（例如，用戶通過ADSL線路撥號，從電信獲得臨時租用的公有IP地址）。對于大型機(jī)構(gòu)而言，它們可能直接向Internet管理機(jī)構(gòu)申請并使用永久的公有IP地址，也可能是通過ISP間接獲得永久或臨時的公有IP地址。14.2.1NAT的基本概念由于無論是通過哪種方式獲得公有的IP地址，實(shí)際上當(dāng)前的可用IP地址數(shù)量依然不足。IP地址作為有限的資源，NIC要為網(wǎng)絡(luò)中數(shù)以億計(jì)的計(jì)算機(jī)都分配公有的IP地址是不可能的。同時，為了使計(jì)算機(jī)能夠具有IP地址并在專用網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)）中通信，Internet管理機(jī)構(gòu)NIC定義了供專用網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)使用的專用IP地址。這些IP地址地址是在局部使用的（非全局的、不具有唯一性）、非公有的（私有的）IP地址，這些IP地址的地址范圍具體如下。A類地址：10.0.0.0～10.255.255.255B類地址：172.16.0.0～172.31.255.255C類地址：192.168.0.0～192.168.255.25514.2.1NAT的基本概念組織機(jī)構(gòu)可根據(jù)自身園區(qū)網(wǎng)的大小以及計(jì)算機(jī)數(shù)量的多少來采用不同類型的專用地址范圍或者它們的組合。但是，這些IP地址不可能出現(xiàn)在Internet上，也就是說源地址或目的地址為這些專有IP地址的數(shù)據(jù)包不可能在Internet上被傳輸，這樣的數(shù)據(jù)包只能在內(nèi)部專用網(wǎng)絡(luò)中被傳輸。如果專用網(wǎng)絡(luò)的計(jì)算機(jī)要訪問Internet，則組織機(jī)構(gòu)在連接Internet的設(shè)備上至少需要一個公有的IP地址，然后采用NAT技術(shù)，將內(nèi)部專用網(wǎng)絡(luò)的計(jì)算機(jī)專用私有IP地址轉(zhuǎn)換為公有的IP地址，從而讓使用專用IP地址的計(jì)算機(jī)能夠和Internet的計(jì)算機(jī)進(jìn)行通信。如圖14-2所示，通過NAT設(shè)備，能夠?qū)Ｓ镁W(wǎng)絡(luò)內(nèi)的專用IP地址和公有IP地址互相轉(zhuǎn)換，從而實(shí)現(xiàn)專用網(wǎng)絡(luò)內(nèi)使用專用地址的計(jì)算機(jī)能夠和Internet的計(jì)算機(jī)通信。14.2.1NAT的基本概念圖14-2NAT地址轉(zhuǎn)換示意圖14.2.1NAT的基本概念也可以說，NAT就是將網(wǎng)絡(luò)地址從一個地址空間轉(zhuǎn)換到另外一個地址空間的一種技術(shù)，從技術(shù)原理的角度上來講，NAT分成四種類型：靜態(tài)NAT，動態(tài)NAT，超載NAT及端口映射NAT。14.2.2靜態(tài)NAT靜態(tài)NAT是指在路由器中，將內(nèi)網(wǎng)IP地址固定的轉(zhuǎn)換為外網(wǎng)IP地址，通常應(yīng)用在允許外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器的場景。靜態(tài)NAT的工作過程如圖14-3所示。專用網(wǎng)絡(luò)中采用192.168.1.0/24的C類專用地址，專用網(wǎng)絡(luò)采用帶有NAT功能的路由器和Internet互聯(lián)，路由器左網(wǎng)卡連接著內(nèi)部專用網(wǎng)絡(luò)（左IP是192.168.1.254/24），右網(wǎng)卡連接著互聯(lián)網(wǎng)（右IP是8.8.8.1/24），而且路由器還有多個公有的IP地址可被轉(zhuǎn)換使用（8.8.8.2~8.8.8.5），互聯(lián)網(wǎng)上的計(jì)算機(jī)C的IP地址是8.8.8.8/24。假設(shè)外部網(wǎng)絡(luò)的計(jì)算機(jī)C需要和內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)A通信，其通信過程如下。14.2.2靜態(tài)NAT第①步：計(jì)算機(jī)C發(fā)送數(shù)據(jù)包給計(jì)算機(jī)A，數(shù)據(jù)包的源IP地址(SourceAddress，SA)為8.8.8.8，目標(biāo)IP地址（DestinationAddress，DA）為8.8.8.3（在外網(wǎng)，計(jì)算機(jī)A的IP為8.8.8.3）。第②步：數(shù)據(jù)包到達(dá)路由器時，路由器將查詢本地的NAT映射表，找到映射條目后將數(shù)據(jù)包的目的地址（8.8.8.3）轉(zhuǎn)換為內(nèi)網(wǎng)IP地址（192.168.1.1），源地址保持不變。NAT路由器上有一個公有的IP地址池，在本次通信前，網(wǎng)絡(luò)管理員已經(jīng)在NAT路由器上做靜態(tài)NAT地址映射關(guān)系，指定192.168.1.1與8.8.8.3映射。第③步：轉(zhuǎn)換后的數(shù)據(jù)包經(jīng)在內(nèi)網(wǎng)中傳輸，最終將被計(jì)算機(jī)A接收。第④步：計(jì)算機(jī)A收到數(shù)據(jù)包后，將響應(yīng)內(nèi)容封裝在目的地址為8.8.8.8的數(shù)據(jù)包中，然后將該數(shù)據(jù)包發(fā)送出去。14.2.2靜態(tài)NAT第⑤步：目的地址為8.8.8.8數(shù)據(jù)包到達(dá)路由器后，路由器將對照自身的NAT映射表，找出對應(yīng)關(guān)系，將源地址192.168.1.1轉(zhuǎn)換為8.8.8.3，然后將該數(shù)據(jù)包發(fā)送到外部網(wǎng)絡(luò)中。第⑥步：目的地址為8.8.8.8的數(shù)據(jù)包在外部網(wǎng)絡(luò)中傳送，最終到達(dá)計(jì)算機(jī)C。計(jì)算機(jī)C通過數(shù)據(jù)包的源地址（8.8.8.3）只知道此數(shù)據(jù)包路由器發(fā)送過來的，實(shí)際上，該數(shù)據(jù)包是計(jì)算機(jī)A發(fā)送的。靜態(tài)NAT主要用于專用網(wǎng)絡(luò)內(nèi)的服務(wù)器需要對外提供服務(wù)的場景，由于它采用固定的一對一的內(nèi)外網(wǎng)IP映射關(guān)系，因此，外網(wǎng)的計(jì)算機(jī)可以通過訪問這個外網(wǎng)IP就可以訪問到內(nèi)網(wǎng)的服務(wù)器。14.2.2靜態(tài)NAT圖14-3靜態(tài)NAT的工作過程項(xiàng)目規(guī)劃設(shè)計(jì)項(xiàng)目規(guī)劃設(shè)計(jì)通過NAT映射內(nèi)部服務(wù)器需要使用專用的公網(wǎng)IP地址，故需要申請2個以上的公網(wǎng)IP地址，一個用于服務(wù)器映射，一個用于內(nèi)網(wǎng)的通信，這里使用16.16.16.1和16.16.16.16作為公網(wǎng)IP地址。網(wǎng)站服務(wù)器處于內(nèi)部網(wǎng)絡(luò)，IP地址為192.168.1.1，需在出口路由器配置靜態(tài)NAT，將公網(wǎng)地址16.16.16.1實(shí)現(xiàn)一對一映射，這樣即可通過公網(wǎng)地址直接訪問內(nèi)網(wǎng)的服務(wù)器?；ヂ?lián)網(wǎng)連接方面，出口路由器可根據(jù)ISP服務(wù)商的網(wǎng)絡(luò)環(huán)境配置相應(yīng)的路由協(xié)議。配置步驟如下：（1）配置路由器接口。（2）配置靜態(tài)NAT。（3）配置各部門計(jì)算機(jī)的IP地址。項(xiàng)目規(guī)劃設(shè)計(jì)本項(xiàng)目的IP地址規(guī)劃、端口規(guī)劃見表14-1~表14-2。設(shè)備接口IP地址網(wǎng)關(guān)R1G0/0192.168.1.254/24-R1G0/116.16.16.16/24-網(wǎng)站服務(wù)器SV1-192.168.1.1/24192.168.1.254互聯(lián)網(wǎng)用戶PC1-16.16.16.10/24-表14-1IP地址規(guī)劃項(xiàng)目規(guī)劃設(shè)計(jì)本端設(shè)備本端端口對端設(shè)備對端端口R1G0/0SW1G0/2R1G0/1互聯(lián)網(wǎng)用戶PC1-SW1G0/1網(wǎng)站服務(wù)器SV1G0/0SW1G0/2R1-表14-2端口規(guī)劃項(xiàng)目實(shí)施任務(wù)14-1配置路由器接口任務(wù)描述根據(jù)項(xiàng)目規(guī)劃設(shè)計(jì)對路由器進(jìn)行基礎(chǔ)配置。任務(wù)實(shí)施 在路由器接口配置對應(yīng)IP，配置命令如下。Router>enableRouter#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostnameR1R1(config)#interfacegigabitEthernet0/0R1(config-if-GigabitEthernet0/0)#ipaddress192.168.1.254255.255.255.0R1(config-if-GigabitEthernet0/0)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipaddress16.16.16.16255.255.255.0R1(config-if-GigabitEthernet0/1)#exit任務(wù)14-1配置路由器接口任務(wù)驗(yàn)證（1）在R1上使用【showipinterfacebrief】命令查看接口IP信息，配置命令如下。可以看到已經(jīng)在接口上配置了IP地址。R1(config)#showipinterfacebriefInterfaceIP-Address(Pri)IP-Address(Sec)StatusProtocolGigabitEthernet0/0192.168.1.254/24noaddressupupGigabitEthernet0/116.16.16.16/24noaddressupupGigabitEthernet0/2noaddressnoaddressupdown任務(wù)14-2配置靜態(tài)NAT任務(wù)描述根據(jù)項(xiàng)目規(guī)劃設(shè)計(jì)對路由器進(jìn)行靜態(tài)NAT配置。任務(wù)實(shí)施在R1的全局模式下使用【ipnatinsidesourcestaticlocal-ip{interfaceinterface|global-ip}】命令將內(nèi)部地址“l(fā)ocal-ip”到外部接口地址“interfaceinterface、global-ip”一對一轉(zhuǎn)換。任務(wù)14-2配置靜態(tài)NAT配置命令如下。R1(config)#ipnatinsidesourcestatic192.168.1.116.16.16.1//配置NAT靜態(tài)轉(zhuǎn)換，外網(wǎng)IP16.16.16.1轉(zhuǎn)換為內(nèi)網(wǎng)IP192.168.1.1R1(config)#interfacegigabitEthernet0/0R1(config-if-GigabitEthernet0/0)#ipnatinsideR1(config-if-GigabitEthernet0/0)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipnatoutsideR1(config-if-GigabitEthernet0/1)#exit任務(wù)14-2配置靜態(tài)NAT任務(wù)驗(yàn)證（1）在R1上使用【showrunning-config|includenat】驗(yàn)證NAT靜態(tài)配置信息，配置命令如下?？梢钥吹?，G0/1接口上已經(jīng)配置了NAT地址轉(zhuǎn)換。R1(config)#showrunning-config|includenatipnatinsideipnatoutsideipnatinsidesourcestatic192.168.1.116.16.16.1任務(wù)14-3配置計(jì)算機(jī)的IP地址任務(wù)描述根據(jù)項(xiàng)目規(guī)劃設(shè)計(jì)對各臺計(jì)算機(jī)進(jìn)行IP地址配置。任務(wù)實(shí)施（1）網(wǎng)站服務(wù)器配置IP地址的結(jié)果如圖14-4所示，外部網(wǎng)絡(luò)用戶配置IP地址的結(jié)果如圖14-5所示。任務(wù)14-3配置計(jì)算機(jī)的IP地址圖14-4服務(wù)器IP地址配置圖14-5互聯(lián)網(wǎng)用戶IP地址配置任務(wù)14-3配置計(jì)算機(jī)的IP地址任務(wù)驗(yàn)證（1）在網(wǎng)站服務(wù)器上使用【ipconfig】命令查看IP地址，配置命令如下。可以看到接口已配置了IP地址。（2）在其他PC上同樣使用【ipconfig】命令驗(yàn)證IP地址是否正確配置。C:\Users\Administrator>ipconfig//顯示本機(jī)IP地址配置的信息本地連接:連接特定的DNS后綴.......:IPv4地址............:192.168.1.1(首選)子網(wǎng)掩碼............:255.255.255.0默認(rèn)網(wǎng)關(guān).............:192.168.1.254項(xiàng)目驗(yàn)證項(xiàng)目驗(yàn)證（1）外部網(wǎng)絡(luò)用戶使用【ping】命令測試網(wǎng)站服務(wù)器映射的互聯(lián)網(wǎng)IP能否訪問，配置命令如下。結(jié)果顯示外部網(wǎng)絡(luò)可以和網(wǎng)絡(luò)服務(wù)器的NAT映射地址通信，TTL為127。C:\Users\Administrator>ping16.16.16.1正在Ping16.16.16.1具有32字節(jié)的數(shù)據(jù):來自16.16.16.1的回復(fù):字節(jié)=32時間=2msTTL=63來自16.16.16.1的回復(fù):字節(jié)=32時間=2msTTL=63來自16.16.16.1的回復(fù):字節(jié)=32時間=1msTTL=63來自16.16.16.1的回復(fù):字節(jié)=32時間=1msTTL=6316.16.16.1的Ping統(tǒng)計(jì)信息:數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計(jì)時間(以毫秒為單位):最短=1ms，最長=2ms，平均=1ms項(xiàng)目驗(yàn)證（2）在R1上使用【showipnattranslations】命令查看NAT轉(zhuǎn)換信息，配置命令如下。結(jié)果顯示R1收到互聯(lián)網(wǎng)訪問目的地址為16.16.16.1的請求數(shù)據(jù)包時，它將目的地址轉(zhuǎn)換為192.168.1.1，使其能訪問到網(wǎng)站服務(wù)器。R1(config)#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp16.16.16.1:1192.168.1.1:116.16.16.1016.16.16.10項(xiàng)目拓展一、理論題1.下列屬于私有地址的是（ ）?A.10.0.0.4B.172.32.0.4C.192.168.4.1D.172.31.4.52.以下選項(xiàng)對NAT技術(shù)產(chǎn)生的目的描述準(zhǔn)確的是（ ）?A.為了隱藏局域網(wǎng)內(nèi)部服務(wù)器真是IP地址B.為了緩解IP地址空間枯竭的速度C.擴(kuò)大IP地址空間D.一項(xiàng)專有技術(shù)，為了增加網(wǎng)絡(luò)的可利用率而開發(fā)一、理論題3．將內(nèi)部地址192.168.1.2轉(zhuǎn)換為外部地址193.1.1.2的正確配置為（）。A．ipnatinsidesourcestatic193.1.1.2192.168.1.2B．natinsidesourcestatic193.1.1.2192.168.1.2C．ipnatinsidesourcestatic192.168.1.2193.1.1.2D．natinsidesourcestatic192.168.1.2193.1.1.24．查看靜態(tài)NAT映射的命令是（）。A．showipnattranslations B．showipnatC．shownatstaticinside D．sh