《銳捷RCNA路由與交換技術(shù)實戰(zhàn)》 課件 項目16 基于靜態(tài)NAPT的公司門戶網(wǎng)站發(fā)布

項目16基于靜態(tài)NAPT的公司門戶網(wǎng)站發(fā)布

項目描述相關(guān)知識項目規(guī)劃設計項目實施項目驗證項目拓展目錄項目描述項目描述Jan16公司搭建了網(wǎng)站服務器，用于對外發(fā)布官方網(wǎng)站，公司只租用了一個互聯(lián)網(wǎng)IP地址用于互聯(lián)網(wǎng)的訪問。為了保障內(nèi)部網(wǎng)絡的安全和互聯(lián)網(wǎng)IP地址不足的情況，需在出口路由中配置動態(tài)NAPT，用于將內(nèi)部服務器映射到互聯(lián)網(wǎng)IP地址上。項目拓撲如圖16-1所示，具體要求如下：（1）公司內(nèi)網(wǎng)使用/24網(wǎng)段，出口為/24網(wǎng)段。（2）因公司僅申請了一個互聯(lián)網(wǎng)IP，需要配置動態(tài)NAPT，僅將網(wǎng)站服務器的80端口做映射。（3）測試計算機和路由器的IP和接口信息如拓撲所示。項目描述圖16-1網(wǎng)絡拓撲圖相關(guān)知識16.2.1靜態(tài)NATP靜態(tài)NAPT是指在路由器中以“IP+端口”形式，將內(nèi)網(wǎng)IP及端口固定的轉(zhuǎn)換為外網(wǎng)IP及端口，應用在允許外網(wǎng)用戶訪問內(nèi)網(wǎng)計算機特定服務的場景。靜態(tài)NAPT的工作工程如圖16-3所示。假設外網(wǎng)的計算機B需要訪問服務器A的Web站點，其通信過程如下：第①步：計算機B發(fā)送數(shù)據(jù)包給服務器A。數(shù)據(jù)包的源IP地址為，源端口號為2000；數(shù)據(jù)包的目的地址為，目的端口號為80（Web服務器默認端口號是80）。第②步：數(shù)據(jù)包經(jīng)過路由器的時候，路由器查詢NAPT地址映射表，找到對應的映射條目后，數(shù)據(jù)包的目的地址及目的端口號將從:80轉(zhuǎn)化為:80，源地址及目的端口號不變。這里轉(zhuǎn)換后的目的IP地址為內(nèi)網(wǎng)服務器A的IP地址，目的端口為服務器A的web服務端口號。16.2.1靜態(tài)NATP第③步：轉(zhuǎn)換后的數(shù)據(jù)包在專用網(wǎng)絡上轉(zhuǎn)發(fā)，最終被服務器A接收。第④步：服務器A收到數(shù)據(jù)包后，將響應內(nèi)容封裝在目的地址為，目的端口號為2000的數(shù)據(jù)包中，然后將數(shù)據(jù)包發(fā)送出去。第⑤步：響應數(shù)據(jù)包經(jīng)過路由轉(zhuǎn)發(fā)，將到達路由器上，路由器對照靜態(tài)NAPT映射表，找出對應關(guān)系，將源地址及端口號為:80的數(shù)據(jù)包轉(zhuǎn)換為源地址及端口號為:80的數(shù)據(jù)包，然后發(fā)送到Internet中。第⑥步：目的地址及端口號為:2000的數(shù)據(jù)包在Internet中傳送，最終到達計算機B。計算機B通過數(shù)據(jù)包的源地址及端口號(:80)知道這是它訪問Web服務的響應數(shù)據(jù)包。但是，計算機B并不知道Web服務其實是由專用網(wǎng)絡內(nèi)的服務器A所提供的，它只知道這個Web服務是由Internet上的IP地址為的機器提供的。16.2.1靜態(tài)NATP靜態(tài)NAPT的內(nèi)外網(wǎng)“IP+端口”映射關(guān)系是永久性的，因此，它主要應用在為內(nèi)網(wǎng)服務器的指定服務（如Web、FTP等）向外網(wǎng)提供服務的場景。典型的應用為，公司將內(nèi)部網(wǎng)絡的門戶網(wǎng)站映射到公網(wǎng)IP的80端口上，滿足互聯(lián)網(wǎng)用戶訪問公司門戶網(wǎng)站需求。圖16-3靜態(tài)NAPT的工作原理項目規(guī)劃設計項目規(guī)劃設計在只有一個互聯(lián)網(wǎng)IP地址的情況下進行內(nèi)部服務對外映射，需采用靜態(tài)NAPT的方式。靜態(tài)NAPT是通過IP地址和端口對應映射的方式，將內(nèi)部服務器的某一服務發(fā)布到互聯(lián)網(wǎng)上的。出口路由器的G0/1的IP地址為6/24，通過配置靜態(tài)NAPT，將內(nèi)部服務器的80端口對應映射到G0/1接口IP地址上的80端口，即可實現(xiàn)對外發(fā)布服務?；ヂ?lián)網(wǎng)連接方面，出口路由器可根據(jù)ISP服務商的網(wǎng)絡環(huán)境配置相應的路由協(xié)議。配置步驟如下：（1）配置路由器接口。（2）配置動態(tài)NAPT。（3）配置各計算機的IP地址。項目規(guī)劃設計本項目的IP地址規(guī)劃、端口規(guī)劃見表16-1~表16-2。設備端口IP地址網(wǎng)關(guān)R1G0/054/24-R1G0/16/24-SRV1-/2454PC1-0/24-表16-1IP地址規(guī)劃項目規(guī)劃設計本端設備本端端口對端設備對端端口R1G0/0SWG0/0R1G0/1PC1G0/1SWG0/1R1G0/0SWG0/2SRV1-表16-2端口規(guī)劃項目實施任務16-1配置路由器接口任務描述根據(jù)項目規(guī)劃設計對路由器進行基礎配置。任務實施在路由器接口配置對應IP，配置命令如下。Router>enable//進入用戶模式Router#config//進入全局模式Router(config)#hostnameR1//將設備名稱更改為R1R1(config)#interfaceGigabitEthernet0/0//進入G0/0接口R1(config-if-GigabitEthernet0/0)#ipaddress54//配置IP地址為54，子網(wǎng)掩碼24位R1(config-if-GigabitEthernet0/0)#exitR1(config)#interfaceGigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipaddress6R1(config-if-GigabitEthernet0/1)#exit任務16-1配置路由器接口任務驗證在R1上使用【showipinterfacebrief】命令查看接口IP信息，配置命令如下?？梢钥吹揭呀?jīng)在接口上配置了IP地址。R1(config)#showipinterfacebriefInterface

IP-Address(Pri)

IP-Address(Sec)

StatusProtocolGigabitEthernet0/0

54/24

noaddress

upupGigabitEthernet0/1

6/24

noaddress

upupGigabitEthernet0/2

noaddress

noaddress

updown任務16-2配置靜態(tài)NAPT任務描述根據(jù)項目規(guī)劃設計對路由器進行靜態(tài)NAPT配置。任務實施在R1的G0/1接口上，使用ipnatinside命令定義內(nèi)部服務器的映射表，指定服務器通信協(xié)議為TCP，配置服務器使用的互聯(lián)網(wǎng)IP為，服務器內(nèi)網(wǎng)為，指定端口號為80，【ipnatinsidesourcestatic{tcp|udp}local-IP-addressLocal-UDP/TCP-portglobal-IP-addressGlobal-UDP/TCP-port】命令定義內(nèi)部服務器的映射表，{tcp|udp}指定協(xié)議類型，global-IP-address指定公網(wǎng)IP地址，Global-UDP/TCP-port指定公網(wǎng)的端口，local-IP-address指定內(nèi)網(wǎng)的IP地址，Local-UDP/TCP-port指定內(nèi)網(wǎng)的端口。任務16-2配置靜態(tài)NAPT配置命令如下。R1(config)#interfaceGigabitEthernet0/0R1(config-if-GigabitEthernet0/0)#ipnatinside//nat轉(zhuǎn)換的入接口R1(config-if-GigabitEthernet0/0)#exitR1(config)#interfaceGigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipnatoutside//nat轉(zhuǎn)換的出接口R1(config-if-GigabitEthernet0/1)#exitR1(config)#ipnatinsidesourcestatictcp8080//將TCP協(xié)議的公網(wǎng)地址映射為內(nèi)網(wǎng)的任務16-2配置靜態(tài)NAPT任務驗證 在R1上使用showrunning-config|includenat查看靜態(tài)NAPT配置信息，配置命令如下。結(jié)果顯示配置已生效。R1(config)#showrunning-config|includenatipnatinsideipnatoutsideipnatinsidesourcestatictcp8080任務16-3配置各計算機的IP地址任務描述根據(jù)項目規(guī)劃設計對各臺計算機進行IP地址配置。任務實施網(wǎng)站服務器的IP地址配置結(jié)果如圖16-4所示，外部網(wǎng)絡用戶PC的IP地址配置結(jié)果如圖16-5所示。任務16-3配置各計算機的IP地址圖16-4網(wǎng)站服務器IP配置圖16-5網(wǎng)站外部用戶IP配置任務16-3配置各計算機的IP地址任務驗證（1）在網(wǎng)站服務器上使用【ipconfig】命令查看IP地址，配置命令如下?？梢钥吹浇涌谝雅渲昧薎P地址。（2）在其他PC上同樣使用【ipconfig】命令驗證IP地址是否正確配置。C:\Users\Administrator>>ipconfig//顯示本機IP地址配置的信息本地連接:連接特定的DNS后綴.......:IPv4地址............:(首選)子網(wǎng)掩碼............:默認網(wǎng)關(guān).............:54項目驗證項目驗證（1）在網(wǎng)絡服務器配置HttpServer，結(jié)果如圖16-6所示。圖16-6網(wǎng)絡服務器HttpServer的配置界面項目驗證（2）用外部網(wǎng)絡用戶訪問網(wǎng)站服務器web，如圖16-7所示。結(jié)果顯示PC用戶可以成功訪問網(wǎng)站服務器。圖16-7PC1訪問web項目驗證(3）在R1上使用showipnattranslations命令查看NAT轉(zhuǎn)換信息，配置命令如下。結(jié)果顯示R1收到源為：80的互聯(lián)網(wǎng)訪問請求數(shù)據(jù)包時，將它的源地址轉(zhuǎn)換為互聯(lián)網(wǎng)地址:80，使其能正常訪問互聯(lián)網(wǎng)。R1(config)#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp:80:800:632260:63226tcp:80:800:632250:63225項目拓展一、理論題1.關(guān)于NAPT下列說法錯誤的是（）。A.需要有向外網(wǎng)提供信息服務的主機B.永久的一對一“IP地址+端口”映射關(guān)系C.臨時的一對一“IP地址+端口”映射關(guān)系D.固定轉(zhuǎn)換端口2.將內(nèi)部地址映射到外部網(wǎng)絡的一個IP地址的不同接口上的技術(shù)是()A.靜態(tài)NAT B.動態(tài)NAT C.NAPT D.一對一映射一、理論題3.關(guān)于NAT說法錯誤的是()A.NAT允許一個機構(gòu)專用Intramt中的主機透明地連接到公共域中的主機，元需內(nèi)部主機擁有注冊的(已經(jīng)越來越缺乏的)全局互聯(lián)網(wǎng)地址B.靜態(tài)NAT是設置起來最簡單和最容易實現(xiàn)的一種地址轉(zhuǎn)換方式，內(nèi)部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址C.動態(tài)NAT主要應用于撥號和頻繁的遠程連接、當遠程用戶連接上之后，動態(tài)NAT就會分配給用戶一個IP地址，當用戶斷開時，這個IP地址就會被釋放而留待以后使用D.動態(tài)NAT又叫做網(wǎng)絡地址端口轉(zhuǎn)換NAPT二、項目實訓題1.實訓背景Jan16公司有計算機若干臺，利用交換機建了局域網(wǎng)，并通過出口路由器連接互聯(lián)網(wǎng)。因業(yè)務開展的需要，為了保障內(nèi)部網(wǎng)絡的安全和互聯(lián)網(wǎng)IP地址不足的情況，在出口路由部署NAPT，實現(xiàn)內(nèi)部網(wǎng)絡訪問互聯(lián)網(wǎng)，拓撲如圖16-8所示。圖16-8實訓拓撲圖二、項目實訓題2.實訓規(guī)劃根據(jù)項目背景信息及實訓拓撲圖信息，并參考項目規(guī)劃設計完成實訓題規(guī)劃表。設備端口IP地址網(wǎng)關(guān)

表16-3IP地址規(guī)劃二、項目實訓題本端設備本端端口對端設備對端端口

表16-4端口規(guī)劃二、項目實訓題3.實訓要求（1）根據(jù)實訓規(guī)劃表的IP地址規(guī)劃表配置路由器端口IP地址和各終端的IP地址。（2）在出口路由器R1配置NAPT。 ①R1路由器使用nataddres-group命令配置NAT地址池，設置起始和結(jié)束地址分別為00。