網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第10章-私有地址與公有地址間的轉(zhuǎn)換( 華三版-01基礎(chǔ)篇 )

第10章

私有地址與公有地址間的轉(zhuǎn)換編著：

秦?zé)鰟诖浣?/p>

隨著網(wǎng)絡(luò)的發(fā)展，學(xué)校、公司內(nèi)部的IP地址需求量不斷增加，為緩解IPv4地址的不足，也為了保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，隱藏內(nèi)部網(wǎng)絡(luò)的地址，局域網(wǎng)內(nèi)部可采用私有地址，訪問外網(wǎng)或?qū)ν饩W(wǎng)提供服務(wù)時，再通過NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)，將私有地址轉(zhuǎn)換為公有地址，實(shí)現(xiàn)外網(wǎng)訪問和對外提供服務(wù)，同時從一定程度上避免網(wǎng)絡(luò)外部的攻擊。NAT的實(shí)現(xiàn)方式包括靜態(tài)轉(zhuǎn)換、動態(tài)轉(zhuǎn)換和端口多路復(fù)用PAT等。10.1靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換和端口映射靜態(tài)NAT是將內(nèi)部網(wǎng)絡(luò)的私有IP地址一對一的轉(zhuǎn)換為公有IP地址，私有和公有地址的對應(yīng)關(guān)系固定，除了能實(shí)現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng)，還能實(shí)現(xiàn)外網(wǎng)對內(nèi)網(wǎng)服務(wù)器等的訪問。10.1.1思科設(shè)備的靜態(tài)NAT和端口映射一、靜態(tài)NAT配置案例：公司從運(yùn)營商獲得的公網(wǎng)地址是28~35，公司連接外網(wǎng)的路由器接口地址是30/29，對端是29。公司希望內(nèi)網(wǎng)中IP地址為0的服務(wù)器和0的電腦既能訪問Internet又能被外網(wǎng)訪問，外網(wǎng)訪問它們的地址分別是31和32。搭建如圖10-1所示拓?fù)?，完成思科設(shè)備的靜態(tài)NAT配置，實(shí)現(xiàn)案例需求。圖10-1思科靜態(tài)NAT配置的拓?fù)?.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress3048R1(config-if)#noshutdownR2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#ipaddress2948R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacegigabitEthernet0/0R2(config-if)#ipaddress52R2(config-if)#noshutdown2.在R1上配置內(nèi)網(wǎng)外出的默認(rèn)路由，命令如下：R1(config)#iproute293.在R1上配置在內(nèi)部局部地址和內(nèi)部全局地址之間建立靜態(tài)NAT，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipnatinside//將當(dāng)前接口設(shè)為inside口R1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipnatoutside//將當(dāng)前接口設(shè)為outside口R1(config)#ipnatinsidesourcestatic031命令中的“insidesourcestatic”表示從inside口進(jìn)入的流量將源地址（source）進(jìn)行靜態(tài)（static）轉(zhuǎn)換，NAT將私有地址0轉(zhuǎn)換為公有地址31。R1(config)#ipnatinsidesourcestatic032//本命令定義了NAT將私有地址0轉(zhuǎn)換為公有地址324.內(nèi)網(wǎng)ping外網(wǎng)測試，命令如下：C:\>ipconfigIPv4Address....................:0//查看本機(jī)IP地址C:\>pingReplyfrom:bytes=32time=21msTTL=126//內(nèi)網(wǎng)可以ping通外網(wǎng)5.外網(wǎng)ping內(nèi)網(wǎng)測試，命令如下：C:\>ipconfigIPv4Address........................://查看本機(jī)IP地址C:\>ping31Replyfrom31:bytes=32time=15msTTL=126

//外網(wǎng)可以ping通內(nèi)網(wǎng)二、NAT端口映射配置內(nèi)網(wǎng)的Server0服務(wù)器成為了公司的Web服務(wù)器（80端口），公司出于安全考慮，決定取消它訪問Internet和被外網(wǎng)訪問的權(quán)限，僅允許外網(wǎng)通過8080端口訪問它。1.如圖10-2所示，為Server0搭建Web服務(wù)。如果點(diǎn)擊“index.html”文件的“(edit)”按鈕，可對網(wǎng)站首頁進(jìn)行編輯。圖10-2為Server0搭建Web服務(wù)2.先取消R1上原來的靜態(tài)NAT地址轉(zhuǎn)換，命令如下：R1(config)#noipnatinsidesourcestatic0313.在R1上配置NAT端口映射，命令如下：R1(config)#ipnatinsidesourcestatictcp080318080//將內(nèi)網(wǎng)的tcp80端口轉(zhuǎn)換為外網(wǎng)的TCP8080端口4.外網(wǎng)的電腦通過31:8080可以訪問內(nèi)網(wǎng)Web服務(wù)器提供Web服務(wù)。10.2動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換

動態(tài)NAT也稱為BasicNAT，是指內(nèi)部網(wǎng)絡(luò)的私有地址轉(zhuǎn)換為公有地址前，要先指定允許轉(zhuǎn)換的內(nèi)部私有地址范圍和可用的公有地址范圍，私有地址和公有地址間的對應(yīng)關(guān)系動態(tài)建立、動態(tài)釋放，釋放后，只要還有可用的公有地址就可以與之重新建立關(guān)聯(lián)。動態(tài)NAT適用于內(nèi)部主機(jī)數(shù)大于可用的公有地址數(shù)，但內(nèi)部主機(jī)不要求同時全部上網(wǎng)的情況。內(nèi)部有同時上網(wǎng)需求的主機(jī)數(shù)超過可用的公有地址數(shù)時，超出的主機(jī)只能等待，直到有公有地址被釋放，才允許當(dāng)前未與公有地址建立關(guān)聯(lián)但又想上網(wǎng)的主機(jī)與其建立關(guān)聯(lián)并上網(wǎng)。

10.2.1思科設(shè)備的動態(tài)NAT配置

案例：公司從運(yùn)營商獲得的公網(wǎng)地址是28~91。其中，公司連接外網(wǎng)的路由器接口地址是30/26，對端是29/26，可用于地址轉(zhuǎn)換的公有地址范圍是31~90。公司內(nèi)網(wǎng)需要訪問Internet的私有地址范圍是~54。

在PacketTracer中搭建如圖10-6所示拓?fù)洌ㄟ^配置思科設(shè)備的動態(tài)NAT實(shí)現(xiàn)案例需求。圖10-6思科設(shè)備動態(tài)NAT配置的拓?fù)?/p>

1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress3092R1(config-if)#noshutdownR1(config-if)#exitR1(config)#iproute29R2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#ipaddress2992R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacegigabitEthernet0/0R2(config-if)#ipaddress52R2(config-if)#noshutdown2.在R1上的動態(tài)NAT配置，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipnatinside//將當(dāng)前接口設(shè)為inside口R1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipnatoutside//將當(dāng)前接口設(shè)為outside口R1(config-if)#exitR1(config)#access-list1permit55//通過ACL定義允許外出的私有地址范圍R1(config)#ipnatpoolpool13190netmask92//通過NAT地址池定義用于NAT地址轉(zhuǎn)換的公有地址范圍R1(config)#ipnatinsidesourcelist1poolpool1//定義NAT將ACL1中的私有地址將轉(zhuǎn)換為地址池pool1中的公有地址

3.內(nèi)網(wǎng)的電腦ping外網(wǎng)的服務(wù)器測試，命令如下：C:\>ipconfig//查看內(nèi)網(wǎng)電腦的IP地址IPv4Address....................:0C:\>ping//內(nèi)網(wǎng)的電腦ping外網(wǎng)的服務(wù)器Replyfrom:bytes=32time=1msTTL=126//可以ping通R1#showipnattranslations//ping完后在R1上查看網(wǎng)絡(luò)地址的轉(zhuǎn)換關(guān)系

可以看到，內(nèi)部私有地址0出到外網(wǎng)時轉(zhuǎn)換為對應(yīng)的公有地址31；外部的公有地址進(jìn)到內(nèi)網(wǎng)時仍然保留為。10.3基于端口的網(wǎng)絡(luò)地址轉(zhuǎn)換

PAT（PortAddressTranslation）也稱為NAPT（NetworkAddressPortTranslation），該技術(shù)使內(nèi)網(wǎng)的不同主機(jī)可以共享同一個公有IP地址訪問互連網(wǎng)，方法是給這些主機(jī)的外出數(shù)據(jù)包分配相同的公有地址和不同的端口號。以端口號而不是以IP地址來區(qū)分主機(jī)，這種網(wǎng)絡(luò)地址轉(zhuǎn)換方式不但最大程度的節(jié)約了IP地址資源，而且能有效的避免來自互聯(lián)網(wǎng)的攻擊，是目前最常用的NAT方式。10.3.1思科設(shè)備的PAT配置一、使用外部全局地址實(shí)現(xiàn)PAT轉(zhuǎn)換案例：公司從運(yùn)營商獲得的公網(wǎng)地址是28~35，公司連接外網(wǎng)的路由器接口地址是30/29，對端是29/29，可用于地址轉(zhuǎn)換的公有地址是31/29。公司內(nèi)網(wǎng)需要訪問Internet的私有地址范圍是~54。在PacketTracer中搭建如圖10-8所示拓?fù)?，完成思科設(shè)備的PAT配置，實(shí)現(xiàn)案例需要。圖10-8思科設(shè)備的PAT配置的拓?fù)?/p>

1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress3092R1(config-if)#noshutdownR1(config-if)#exitR1(config)#iproute29R2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#ipaddress2992R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacegigabitEthernet0/0R2(config-if)#ipaddress52R2(config-if)#noshutdown

2.R1上的PAT配置，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipnatinside//將當(dāng)前接口設(shè)為inside口R1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipnatoutside//將當(dāng)前接口設(shè)為outside口R1(config-if)#exitR1(config)#access-list1permit55//通過ACL定義允許外出的私有地址范圍R1(config)#ipnatpoolpool13131netmask48//通過NAT地址池定義用于NAT地址轉(zhuǎn)換的公有地址范圍R1(config)#ipnatinsidesourcelist1poolpool1overload//定義NAT將ACL1中的私有地址將轉(zhuǎn)換為地址池pool1中的公有地址，overload表示可以通過分配不同的端口號復(fù)用相同的公有地址

3.在PC0和PC1上分別ping外網(wǎng)服務(wù)器后，在R1上進(jìn)行查看NAT轉(zhuǎn)換情況，命令如下：R1#showipnattranslations可以看到，0和0出到外網(wǎng)時都轉(zhuǎn)換成相同的公有地址31，PC0和PC1的外出數(shù)據(jù)包使用相同的公有地址和不同的端口號。二、復(fù)用路由器外部接口地址實(shí)現(xiàn)PAT轉(zhuǎn)換如果公司只有一個可用的公有地址，這個地址已經(jīng)被用在路由器的外部接口上，此時，這個地址也可作為內(nèi)網(wǎng)私有地址經(jīng)過NAT轉(zhuǎn)換后的公有地址。案例：公司從運(yùn)營商獲得的公有地址是28~31，公司連接外網(wǎng)的路由器接口地址是30/30，對端是29/30。公司內(nèi)網(wǎng)需要訪問Internet的私有地址范圍是~54，用于NAT地址轉(zhuǎn)換的地址是公司路由器連接外網(wǎng)的接口地址30/30。1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress3092R1(config-if)#noshutdownR1(config-if)#exitR1(config)#iproute29R2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#ipaddress2992R2(config-if)#noshutdownR2(config-if)#exitR2(config)#