網(wǎng)絡(luò)設(shè)備配置項(xiàng)目化教程課件(許軍 魯志萍)項(xiàng)目九

項(xiàng)目九通過路由器的設(shè)置控制企業(yè)員工的互聯(lián)網(wǎng)訪問了解訪問控制列表的工作原理及規(guī)則了解訪問控制列表的種類掌握標(biāo)準(zhǔn)訪問控制列表的配置掌握擴(kuò)展訪問控制列表的配置掌握基于時間的訪問控制列表的配置了解NAT的應(yīng)用掌握靜態(tài)NAT的配置掌握動態(tài)NAT的配置網(wǎng)絡(luò)應(yīng)用需求公司給各個部門（行政，銷售，開發(fā)，工程，財務(wù)，網(wǎng)絡(luò)）劃分了不同的子網(wǎng)，并用路由器進(jìn)行互聯(lián)，考慮到公司財務(wù)信息的安全，要求除了行政部門以外其他部門不能對財務(wù)部門進(jìn)行訪問。為了更好的利用互聯(lián)網(wǎng)進(jìn)行企業(yè)宣傳和營銷，公司架設(shè)了FTP服務(wù)器和WWW服務(wù)器，銷售、開發(fā)和工程三部門只有在正常上班時間（周一到周五8：00-16:00）可以訪問公司的FTP服務(wù)器，行政和網(wǎng)絡(luò)兩部門在任何時候都可以訪問FTP服務(wù)器和WWW服務(wù)器。為了在外網(wǎng)能訪問公司局域網(wǎng)內(nèi)的WWW服務(wù)器和FTP服務(wù)器，同時為了安全等因素需隱藏公司內(nèi)部網(wǎng)絡(luò)。9.1.1訪問控制列表概述訪問控制列表（AccessControlList，簡稱ACL）就是一系列實(shí)施訪問控制的指令組成的列表。訪問控制列表在防火墻、三層交換機(jī)和路由器上都有應(yīng)用。PC1/24PC2/24LANRA（ACL）允許源地址為的數(shù)據(jù)通過拒絕源地址為的數(shù)據(jù)通過訪問控制列表的作用訪問控制列表除了用來控制訪問以外還可以起到控制網(wǎng)絡(luò)流量、流向的作用，而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用。訪問控制列表具有區(qū)別數(shù)據(jù)包的功能，訪問控制列表可以用于防火墻，可以在保證合法用戶訪問的同時拒絕非法用戶的訪問。訪問控制列表還廣泛應(yīng)用于NAT和路由策略中。訪問控制列表的組成訪問控制列表是由一系列訪問控制指令組成的，而每一條訪問控制指令都由兩部分組成：條件和操作。條件是用來過濾數(shù)據(jù)包時所要匹配的內(nèi)容，當(dāng)某個數(shù)據(jù)包符合條件時，就執(zhí)行某個操作（允許或拒絕）。條件定義了要在數(shù)據(jù)包中查找什么內(nèi)容來判斷數(shù)據(jù)包是否匹配，每條訪問控制指令中只可以指定一個條件，但我們可以通過一組指令來行成多個條件的組合。操作在這里只有兩種類型：允許或拒絕。RB(config)#access-list10permit55訪問控制列表的匹配當(dāng)一個數(shù)據(jù)要使用訪問控制列表進(jìn)行過濾時，首先會從第一條訪問控制指令開始，采用自上而下的逐條進(jìn)行比對，當(dāng)找到匹配的指令時，就會采用該指令來對數(shù)據(jù)進(jìn)行處理，而不會再去比對該指令下面的任何指令。當(dāng)訪問控制列表中的所有指令都比對完而仍然找不到匹配的指令時，該數(shù)據(jù)就會被丟棄。這是因?yàn)樵诿恳粋€訪問控制列表的最后都有一條看不見的控制指令，該指令是拒絕一切所有數(shù)據(jù)的指令，稱為“隱式的拒絕”指令，該指令的目的就是丟棄和訪問控制列表中任何指令都不匹配的數(shù)據(jù)包。例如：要實(shí)現(xiàn)阻止源地址為的數(shù)據(jù)包通過，允許其他數(shù)據(jù)通過。則我們可以用下面兩條訪問控制指令來實(shí)現(xiàn)：第一條阻止源地址為的數(shù)據(jù)通過第二條允許所有的數(shù)據(jù)通過但如果我們把這兩天指令的先后順序改變的話，順序就變成：第一條允許所有的數(shù)據(jù)通過第二條阻止源地址為的數(shù)據(jù)通過訪問控制列表中的方向訪問控制列表配置好后，要應(yīng)用到路由器具體的接口上才能生效，而對于接口（或者設(shè)備）來講數(shù)據(jù)的傳輸是有方向的。F0/0S0/0IN方向OUT方向IN方向OUT方向路由器接口IN方向應(yīng)用ACL訪問控制列表（IN）路由匹配丟棄PC1PC2PC3/24PC4/24F0/1S0/0路由器RA源地址為的數(shù)據(jù)包假設(shè)我們要阻止PC2訪問網(wǎng)段/24中的主機(jī)，允許所有其他數(shù)據(jù)正常通過。我們可以采用在路由器接口F0/1的IN方向啟用訪問控制列表。先過濾，后路由IN方向的ACL過濾太多的數(shù)據(jù)包訪問控制列表（IN）路由匹配丟棄PC1PC2PC3/24PC4/24F0/1S0/0路由器RAS1/1PC5/24源地址為

目的地址為的數(shù)據(jù)包接口OUT方向應(yīng)用ACL訪問控制列表（OUT）路由匹配丟棄PC1PC2PC3PC4F0/1S0/0路由器RA源地址為

目的地址為的數(shù)據(jù)包PC5/24S1/1源地址為

的數(shù)據(jù)包先路由，后過濾IN或OUT的選擇在配置訪問控制列表的時候，我們經(jīng)常會遇到訪問控制列表配置的位置和方向，這個沒有標(biāo)準(zhǔn)答案，我們只能根據(jù)具體情況而定，但有兩條準(zhǔn)則可以幫助我們進(jìn)行基本的判斷。只過濾數(shù)據(jù)包源地址的ACL應(yīng)該放置在離目的地盡可能近的地方。過濾數(shù)據(jù)包的源地址和目的地址以及其他信息的ACL，則應(yīng)該放在離源地址盡可能近的地方。訪問控制列表類型常用的訪問控制列表的類型：有標(biāo)準(zhǔn)IP訪問控制列表擴(kuò)展IP訪問控制列表名稱訪問控制列表基于MAC的訪問控制列表專家訪問控制列表基于時間的訪問控制列表所有的訪問控制列表都有一個編號，不同的訪問控制列表按照這個編號來區(qū)分。編號訪問控制列表類型1-99IP標(biāo)準(zhǔn)訪問控制列表100-199IP擴(kuò)展訪問控制列表200-299協(xié)議類型代碼訪問控制列表300-399DECnet訪問控制列表400-499XNS標(biāo)準(zhǔn)訪問控制列表500-599XNS擴(kuò)展訪問控制列表600-699AppleTalk訪問控制列表700-799比特MAC地址訪問控制列表800-899IPX標(biāo)準(zhǔn)訪問控制列表900-999IPX擴(kuò)展訪問控制列表1000-1099IPSSAP訪問控制列表1100-1199擴(kuò)展48比特MAC地址訪問控制列表1200-1299IPX匯總地址訪問控制列表1300-1999IP標(biāo)準(zhǔn)訪問控制列表2000-2699IP擴(kuò)展訪問控制列表9.1.2標(biāo)準(zhǔn)IP訪問控制列表標(biāo)準(zhǔn)IP訪問控制列表只能過濾IP數(shù)據(jù)包頭中的源IP地址?？梢允褂迷L問列表編號1-99或1300-1999（擴(kuò)展的范圍）創(chuàng)建標(biāo)準(zhǔn)的訪問列表。9.1.3擴(kuò)展IP訪問控制列表擴(kuò)展的IP訪問控制列表允許用戶根據(jù)源和目的地址、協(xié)議、源和目的端口等內(nèi)容過濾報文。擴(kuò)展的IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表提供了更廣泛的控制范圍。9.1.4基于時間的訪問控制列表與時間段結(jié)合應(yīng)用的訪問控制列表就是基于時間的訪問控制列表。從本質(zhì)上講，基于時間的訪問控制列表與標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表沒什么差異，只是多了個時間段參數(shù)而已。有了這個時間段參數(shù)后，這個訪問控制列表就只有在此時間段內(nèi)才會生效。各種訪問控制列表都可以使用時間段這個參數(shù)。9.1.5配置訪問控制列表的步驟配置訪問控制列表的步驟可以分為以下幾步：（1）分析網(wǎng)絡(luò)控制需求（2）創(chuàng)建訪問控制列表及相關(guān)訪問控制語句（3）根據(jù)需求與網(wǎng)絡(luò)結(jié)構(gòu)將訪問控制列表應(yīng)用到交換機(jī)或路由器的相應(yīng)接口。任務(wù)一標(biāo)準(zhǔn)IP訪問控制列表的應(yīng)用某公司考慮到財務(wù)服務(wù)器的安全，給各個部門劃分了不同的VLAN，各個部門之間通過路由器進(jìn)行網(wǎng)絡(luò)通信，公司要求除了經(jīng)理部和財務(wù)部的主機(jī)能訪問財務(wù)服務(wù)器外，其余各部門均不能訪問財務(wù)服務(wù)器。財務(wù)服務(wù)器SW2RBRASW1經(jīng)理部PC財務(wù)部PC銷售部PC生產(chǎn)部PCS2/0S2/0F0/1F0/1F0/1F0/5F0/6F0/7F0/8F0/1F0/5設(shè)備接口地址分配表設(shè)備名稱接口IP地址說明路由器RAS2/0/24F0/1.1/24F0/1.2/24F0/1.3/24F0/1.4/24路由器RBS2/0/24F0/1/24交換機(jī)SW1F0/5VLAN10F0/6VLAN20F0/7VLAN30F0/8VLAN40財務(wù)服務(wù)器00/24網(wǎng)關(guān)：經(jīng)理部PC0/24網(wǎng)關(guān)：財務(wù)部PC0/24網(wǎng)關(guān)：銷售部PC0/24網(wǎng)關(guān)：生產(chǎn)部PC0/24網(wǎng)關(guān)：相關(guān)命令介紹（1）定義標(biāo)準(zhǔn)IP訪問控制列表規(guī)則視圖：全局配置視圖命令：access-listid{deny|permit}{sourcesource-wildcard|hostsource|any}參數(shù)：id：所創(chuàng)建的訪問控制列表編號，標(biāo)準(zhǔn)IP訪問控制列表編號的范圍為1-99和1300-1999。deny|permit：對匹配該規(guī)則的數(shù)據(jù)包需要采取的措施，deny表示拒絕數(shù)據(jù)包通過，permit表示允許數(shù)據(jù)包通過。source：需要檢查的源IP地址或網(wǎng)段。source-wildcard：需要檢查的源IP地址的子網(wǎng)掩碼的反碼（反掩碼）。host：表示后面的源IP地址（source）為具體的某臺主機(jī)地址。any：表示網(wǎng)絡(luò)中的所有主機(jī)。標(biāo)準(zhǔn)訪問控制列表舉例例如：拒絕源IP地址屬于/24網(wǎng)段的數(shù)據(jù)通過，允許其他所有網(wǎng)段的數(shù)據(jù)通過。access-list1deny55access-list1permitany（2）應(yīng)用訪問控制列表視圖：接口配置視圖命令：

ipaccess-group

id{in|out}參數(shù)：id：在接口上所要應(yīng)用的訪問控制列表編號。in|out：表示在接口上對哪個方向的數(shù)據(jù)進(jìn)行過濾。in表示對進(jìn)入接口的數(shù)據(jù)進(jìn)行過濾，out表示對接口輸出的數(shù)據(jù)進(jìn)行過濾。說明：要使編寫的訪問控制列表規(guī)則生效，必須要將訪問控制列表應(yīng)用到具體的接口上。（3）顯示訪問控制列表視圖：特權(quán)配置視圖命令：showaccess-lists[id|name]參數(shù)：id：訪問控制列表的編號name：訪問控制列表的名字說明：顯示指定的訪問控制列表，如果沒有指定訪問控制列表的編號或者名字時，則顯示全部的訪問控制列表。（4）顯示接口應(yīng)用的訪問控制列表視圖：特權(quán)配置視圖命令：showipaccess-group[interface<interface>]參數(shù)：interface：指定要顯示的接口。說明：該命令可以用來顯示指定接口上應(yīng)用的訪問控制列表，如果不指定所要顯示的接口，則會顯示所有接口上應(yīng)用的訪問控制列表。任務(wù)二擴(kuò)展IP訪問控制列表的應(yīng)用某校園網(wǎng)為教師和學(xué)生分別劃分了不同的VLAN，并針對教師和學(xué)生提供了不同的（WWW和FTP）網(wǎng)絡(luò)服務(wù)，學(xué)校規(guī)定學(xué)生只能訪問WWW服務(wù)器；而教師可以訪問WWW服務(wù)器和FTP服務(wù)器，但禁止PingWWW服務(wù)器和FTP服務(wù)器。網(wǎng)絡(luò)拓?fù)鋱DFTP服務(wù)器SW2RASW1學(xué)生PC教師PCF0/1F0/0F0/1F0/5F0/7F0/1F0/6F0/5WWW務(wù)器設(shè)備接口地址分配表設(shè)備名稱接口IP地址說明路由器RAF0/0/24F0/1.1/24F0/1.2/24交換機(jī)SW1F0/5VLAN10F0/7VLAN20學(xué)生PC0/24網(wǎng)關(guān)：教師PC0/24網(wǎng)關(guān)：WWW服務(wù)器00/24網(wǎng)關(guān)：FTP服務(wù)器01/24網(wǎng)關(guān)：（1）定義擴(kuò)展IP訪問控制列表規(guī)則視圖：全局配置視圖命令：access-listid{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]{destinationdestination-wildcard|hostdestination|any}[operatorport][precedenceprecedence

][tos

tos

][fragments][time-rangetime-range-name]參數(shù)：id：所創(chuàng)建的訪問控制列表編號，擴(kuò)展IP訪問控制列表編號的范圍為100-199和2000-2699。deny|permit：對匹配該規(guī)則的數(shù)據(jù)包需要采取的措施，deny表示拒絕數(shù)據(jù)包通過，permit表示允許數(shù)據(jù)包通過。protocol：所要過濾的協(xié)議，可以是EIGRP、GRE、IPINIP、IGMP、NOS、OSPF、ICMP、UDP、TCP、IP中的一個，也可以是代表IP協(xié)議的0-255編號。source：需要過濾的數(shù)據(jù)包源IP地址或網(wǎng)段。source-wildcard：需要過濾的數(shù)據(jù)包源IP地址的子網(wǎng)掩碼的反碼（反掩碼）。host：表示后面的源IP地址（source）為具體的某臺主機(jī)地址。any：表示網(wǎng)絡(luò)中的所有主機(jī)，即表示任何源地址。operator：源端口操作符（lt表示小于，eq表示等于，gt表示大于，neq表示不等于，range表示范圍），只有protocol為TCP或UDP時，才會需要此選項(xiàng)。port：源端口號，range需要兩個端口號碼，其他的操作符只要一個端口號。也可以使用服務(wù)的名稱，如www，ftp等。destination：需要過濾的數(shù)據(jù)包目的IP地址或網(wǎng)段。destination-wildcard：需要過濾的數(shù)據(jù)包目的IP地址的反掩碼。operator：目的端口操作符（lt表示小于，eq表示等于，gt表示大于，neq表示不等于，range表示范圍），只有protocol為TCP或UDP時，才會需要此選項(xiàng)。port：目的端口號，range需要兩個端口號碼，其他的操作符只要一個端口號。也可以使用服務(wù)的名稱，如www，ftp等。precedence：需要過濾數(shù)據(jù)報文的優(yōu)先級別precedence：需要過濾數(shù)據(jù)報文的優(yōu)先級別值（0-7）tos：需要過濾數(shù)據(jù)報文的服務(wù)類型tos：需要過濾數(shù)據(jù)報文的服務(wù)類型值（0-15）fragments：表示非初始分段報文。當(dāng)使用這個參數(shù)后，此訪問控制列表規(guī)則將只會對非初始分段的報文進(jìn)行檢查，而不檢查初始分段報文。time-rangetime-range-name：訪問控制列表規(guī)則生效的時間段。任務(wù)三基于時間的訪問控制列表的應(yīng)用某校園網(wǎng)為教師和學(xué)生分別劃分了不同的VLAN，并針對教師和學(xué)生提供了不同的（WWW和FTP）網(wǎng)絡(luò)服務(wù)，學(xué)校規(guī)定學(xué)生不能訪問FTP服務(wù)器，在每天的9:00到20:00的時間段內(nèi)可以訪問WWW服務(wù)器，教師只在每周一到周五的8:00到16:00可以訪問WWW服務(wù)器和FTP服務(wù)器。網(wǎng)絡(luò)拓?fù)鋱DFTP服務(wù)器SW2RASW1學(xué)生PC教師PCF0/1F0/0F0/1F0/5F0/7F0/1F0/6F0/5WWW務(wù)器設(shè)備接口地址分配表設(shè)備名稱接口IP地址說明路由器RAF0/0/24F0/1.1/24F0/1.2/24交換機(jī)SW1F0/5VLAN10F0/7VLAN20學(xué)生PC0/24網(wǎng)關(guān)：教師PC0/24網(wǎng)關(guān)：WWW服務(wù)器00/24網(wǎng)關(guān)：FTP服務(wù)器01/24網(wǎng)關(guān)：相關(guān)命令說明（1）定義時間段視圖：系統(tǒng)配置視圖命令：

time-rangename參數(shù)：name：定義的時間段名稱。說明：執(zhí)行該命令后，系統(tǒng)進(jìn)入到時間段配置視圖。在時間段配置視圖下可以配置具體的時間段。（2）配置絕對時間視圖：時間段配置視圖命令：

absolute{start

timedate[endtimedate]|endtimedate}參數(shù)：starttimedate：表示時間段的起始時間。time表示時間，格式為“hh:mm”,date表示日期，格式為“日月年”。end

timedate：表示時間段的結(jié)束時間。格式與起始時間相同。說明：在配置絕對時間段時，可以只配置起始時間，或者只配置結(jié)束時間。絕對時間段舉例例如：配置時間段2011年9月1日8點(diǎn)到2012年2月7日16點(diǎn)Ruijie(config)#time-range

worktimeRuijie(config-time-range)#absolutestart8:001September2011end16:007February2012（3）配置周期時間視圖：時間段配置視圖命令：periodic

day-of-weekhh:mm

to[day-of-week]

hh:mm參數(shù)：day-of-week：表示一個星期內(nèi)的一天或幾天，Daily表示一個星期內(nèi)的每一天，F(xiàn)riday表示星期五，Monday表示星期一，Saturday表示星期六，Sunday表示星期日，Thursday表示星期四，Tuesday表示星期二，Wednesday表示星期三，Weekdays表示星期一到星期五的工作日，Weekend表示星期六和星期日的周末。Hh:mm：表示時間。配置周期時間段舉例例如：定義每周工作日的上午8點(diǎn)到下午16點(diǎn)的時間段。Ruijie(config)#time-range

worktimeRuijie(config-time-range)#periodic

weekdays

8:00

to

16:00應(yīng)用時間段

時間段的應(yīng)用就是在相應(yīng)的訪問控制列表中加上時間段參數(shù)time-range，例如：Ruijie(config)#access-list

1

permit

55

time-range

worktime9.1.6NAT概述NAT英文全稱是“NetworkAddressTranslation”，中文的意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”。是一種能將私有網(wǎng)絡(luò)地址（保留IP地址）轉(zhuǎn)換為公網(wǎng)（廣域網(wǎng)）IP地址的轉(zhuǎn)換技術(shù)。由于NAT可以用來解決IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機(jī)，所以它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT的用途NAT提供了能夠在網(wǎng)絡(luò)邊緣將私有地址轉(zhuǎn)換為公有地址的一種機(jī)制。NAT有很多用途，但最主要的用途是讓網(wǎng)絡(luò)能夠使用私有IP地址以節(jié)省公有IP地址。NAT將不可路由的私有內(nèi)部地址轉(zhuǎn)換為可路由的公有地址。NAT還在一定程度上改善了網(wǎng)絡(luò)的私密性和安全性，因?yàn)樗鼘ν獠烤W(wǎng)絡(luò)隱藏了內(nèi)部IP地址。SA:DA:SA:DA:InsideOutsideNAT術(shù)語內(nèi)部/外部是指IP主機(jī)相對于NAT設(shè)備的物理位置。而本地/全局是用戶相對于NAT設(shè)備的位置或視角。術(shù)語描述內(nèi)部本地IP地址分配給內(nèi)部網(wǎng)絡(luò)中的主機(jī)的IP地址，通常這種地址使用的是保留的私有地址。內(nèi)部全局IP地址內(nèi)部主機(jī)發(fā)送的數(shù)據(jù)流離開NAT路由器時分配給它們的有效公有地址。通常是ISP提供的。外部全局IP地址外部網(wǎng)絡(luò)中的合法主機(jī)IP地址，通常來自全局可路由的地址空間。外部本地IP地址給外部網(wǎng)絡(luò)中的主機(jī)分配的本地IP地址。大多數(shù)情況下，該地址與外部設(shè)備的外部全局地址相同。NAT轉(zhuǎn)換內(nèi)部和外部網(wǎng)絡(luò)地址InsidePCOutesidePCNAT路由器InsideOutsideLocalGlobalSAInsideLocalSAInsideGlobalSAOutsideLocalSAOutsideGlobalInsideLocalIPAddressInsideGlobalIPAddressOutsideLocalIPAddressOutsideGlobalIPAddress從數(shù)據(jù)包發(fā)送的角度看內(nèi)部和外部網(wǎng)絡(luò)地址當(dāng)內(nèi)網(wǎng)（內(nèi)部本地）向外網(wǎng)（外部全局）發(fā)送數(shù)據(jù)時，數(shù)據(jù)包的源地址是內(nèi)部本地IP，數(shù)據(jù)包的目的地址是外部本地IP，在經(jīng)過路由器的后，源地址被替換為內(nèi)部全局，而目的地址被替換為外部全局。當(dāng)從外網(wǎng)（外部全局）向內(nèi)網(wǎng)（內(nèi)部本地）發(fā)送數(shù)據(jù)時，數(shù)據(jù)包的源地址是外部全局IP，目的地址是內(nèi)部全局IP，在經(jīng)過路由器后，源地址被替換為外部本地IP，而目的地址被替換為內(nèi)部本地IP。NAT路由器InsideLocalOutsideLocalSADAInsideGlobalOutsideGlobalSADAOutsideGlobalInsideGlobalSADAOutsideLocalInsideLocalSADA9.1.7NAT的工作過程PC10NAT路由器11WebServerISPSA：0SA：11SA：11NATTable內(nèi)部本地地址內(nèi)部全局地址外部全局地址011NAT的實(shí)現(xiàn)方式靜態(tài)NAT內(nèi)部網(wǎng)絡(luò)中的每個主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。動態(tài)NAT在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。端口復(fù)用NAT。把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。9.1.8靜態(tài)NAT靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址轉(zhuǎn)換是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如外部網(wǎng)絡(luò)需要訪問企業(yè)內(nèi)部網(wǎng)絡(luò)架設(shè)的Web服務(wù)器)的訪問。靜態(tài)NAT轉(zhuǎn)換條目需要預(yù)先手工進(jìn)行創(chuàng)建。PC1PC2InsideLocalIPAddressInsideGlobalIPAddressSA:SA:DA:DA:123459.1.9動態(tài)NAT動態(tài)NAT是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址對是不確定的，是隨機(jī)的，所有被授權(quán)訪問Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。PC1PC2InsideLocalIPAddressInsideGlobalIPAddressSA:123SA:4DA:6NATPool……0DA:5NATTableNATPool9.1.10端口復(fù)用NAT端口復(fù)用NAT，又稱端口地址轉(zhuǎn)換（PAT或NAPT）或者NAT重載。端口復(fù)用NAT將多個私有IP地址映射到一個或幾個公有IP地址，利用不同的端口號跟蹤每個私有地址。NATTableS2:PC1:PC2:S1:SA::10013SA::10021SA::12812SA::12824:1001InsideLocalIPAddressPortInsideGlobalIPAddressPort:1002:1281:1282:80OutsideGlobalIPAddressPort:80任務(wù)四靜態(tài)NAT的應(yīng)用公司申請了一個固定的外網(wǎng)IP地址5，公司內(nèi)網(wǎng)的WWW服務(wù)器地址為00，公司希望通過在路由器上配置靜態(tài)NAT實(shí)現(xiàn)外網(wǎng)用戶對內(nèi)網(wǎng)WWW服務(wù)器的訪問。RAISPS2/0S2/0F0/0F0/1F0/2WWW服務(wù)器SWInternet用戶設(shè)備接口地址分配表設(shè)備名稱接口IP地址說明路由器RAS2/05/24F0/0/24路由器ISPS2/06/24模擬ISP接入F0/0/24模擬Internet用戶接入Internet用戶/24網(wǎng)關(guān)：WWW服務(wù)器00/24網(wǎng)關(guān)：內(nèi)部源地址靜態(tài)NAT配置步驟如下：步驟1：配置路由器的路由和IP地址。步驟2：在全局配置視圖下配置靜態(tài)轉(zhuǎn)換條目。步驟3：指定NAT內(nèi)部接口/外部接口。相關(guān)命令介紹（1）配置內(nèi)部源地址靜態(tài)轉(zhuǎn)換條目視圖：全局配置視圖命令：ip

natinsidesourcestatic{tcp|udp}

local-iplocal-portglobal-ipglobal-port參數(shù)：local-ip：內(nèi)部網(wǎng)絡(luò)中主機(jī)的本地IP地址。local-port：本地TCP/UDP端口號，取值范圍為1-65535。global-ip：外部網(wǎng)絡(luò)看到的內(nèi)部主機(jī)的全局唯一的IP地址。global-port：全局TCP/UDP端口號，取值范圍為1-65535。說明：靜態(tài)NAT，是建立內(nèi)部本地地址和內(nèi)部全局地址的一對一永久映射。靜態(tài)NAT舉例例如：將內(nèi)網(wǎng)的服務(wù)器地址00轉(zhuǎn)換為外網(wǎng)地址。Ruijie(config)#ipnatinsidesourcestatic00例如：將內(nèi)網(wǎng)的WEB服務(wù)器00映射到的80端口。Ruijie(config)#ipnatinsidesourcestatictcp008080（2）指定NAT的內(nèi)部接口/外部接口視圖：接口配置視圖命令：

ipnat{inside|outside}參數(shù)：inside：指定接口為NAT內(nèi)部接口。outside：指定接口為NAT外部接口。說明：該命令用來指定NAT的內(nèi)部和外部接口，目的是讓路由器知道哪個是內(nèi)部網(wǎng)絡(luò)，哪個是外部網(wǎng)絡(luò)，以便進(jìn)行相應(yīng)的地址轉(zhuǎn)換。路由器RA的配置如下//配置路由器RA各個接口的IP地址Ruijie(config)#hostname

RARA(config)#interface

f0/0RA(config-if-FastEthernet

0/0)#ip

address

RA(config-if-FastEthernet

0/0)#exitRA(config)#interface

s2/0RA(config-if-Serial

2/0)#ip

address

5

RA(config-if-Serial

2/0)#exitRA(config)#//配置路由器RA的路由RA(config)#ip

route

6//配置路由器RA的NAT轉(zhuǎn)換RA(config)#ip

natinsidesourcestatic005

RA(config)#interfacef0/0RA(config-if-FastEthernet0/0)#ipnatinside

RA(config-if-FastEthernet0/0)#exitRA(config)#interfaces2/0RA(config-if-Serial2/0)#ipnatoutside

RA(config-if-Serial2/0)#路由器ISP的配置如下Ruijie(config)#hostnameISPISP(config)#interfacef0/0ISP(config-if-FastEthernet0/0)#ipaddressISP(config-if-FastEthernet0/0)#exitISP(config)#interfaces2/0ISP(config-if-Serial2/0)#ipaddress6ISP(config-if-Serial2/0)#exitISP(config)#任務(wù)五動態(tài)NAT的應(yīng)用公司從ISP處申請到一組外網(wǎng)IP地址5--0，公司希望通過在路由器上配置動態(tài)NAT實(shí)現(xiàn)所有公司內(nèi)網(wǎng)用戶對互聯(lián)網(wǎng)的訪問。RAISPS2/0S2/0F0/0F0/1F0/2WWW服務(wù)器SW公司內(nèi)網(wǎng)用戶設(shè)備接口地址分配表設(shè)備名稱接口IP地址說明路由器RAS2/05/24F0/0/24路由器ISPS2/000/24模擬ISP接入F0/0/24WWW服務(wù)器/24網(wǎng)關(guān)：公司內(nèi)網(wǎng)用戶00/24網(wǎng)關(guān)：動態(tài)NAT轉(zhuǎn)換的配置步驟如下步驟1：配置路由器的路由和IP地址。步驟2：在全局配置視圖下使用訪問控制列表定義允許NAT轉(zhuǎn)換的IP列表。步驟3：在全局配置視圖下定義地址池（外網(wǎng)）步驟4：在全局配置視圖下定義動態(tài)轉(zhuǎn)換條目步驟5：指定NAT內(nèi)部接口/外部接口。相關(guān)命令介紹（1）定義地址池視圖：全局配置視圖命令：

ip

natpool

pool-name

start-ipend-ip{netmask

netmask|prefix-length

n}參數(shù)：pool-name：定義的地址池的名稱。start-ip：定義的地址池的起始地址。end-ip：定義的地址池的結(jié)束地址。netmask：定義的地址池中地址使用的子網(wǎng)掩碼。n：子網(wǎng)掩碼中“1”的位數(shù)。定義地址池舉例例如：定義名字為net1的地址池，起始地址為，結(jié)束地址為0，網(wǎng)絡(luò)掩碼為。Ruijie(config)#ip

nat

pool

net1

0

netmask

或者Ruijie(config)#ip

nat

pool

net1

0

prefix-length

24（2）配置動態(tài)轉(zhuǎn)換條目視圖：全局配置視圖命令：ip