網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第10章-私有地址與公有地址間的轉(zhuǎn)換( 華三版-02 )_第1頁
網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第10章-私有地址與公有地址間的轉(zhuǎn)換( 華三版-02 )_第2頁
網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第10章-私有地址與公有地址間的轉(zhuǎn)換( 華三版-02 )_第3頁
網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第10章-私有地址與公有地址間的轉(zhuǎn)換( 華三版-02 )_第4頁
網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第10章-私有地址與公有地址間的轉(zhuǎn)換( 華三版-02 )_第5頁
已閱讀5頁,還剩14頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第10章

私有地址與公有地址間的轉(zhuǎn)換編著:

秦?zé)鰟诖浣?/p>

隨著網(wǎng)絡(luò)的發(fā)展,學(xué)校、公司內(nèi)部的IP地址需求量不斷增加,為緩解IPv4地址的不足,也為了保護(hù)內(nèi)部網(wǎng)絡(luò)的安全,隱藏內(nèi)部網(wǎng)絡(luò)的地址,局域網(wǎng)內(nèi)部可采用私有地址,訪問外網(wǎng)或?qū)ν饩W(wǎng)提供服務(wù)時(shí),再通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù),將私有地址轉(zhuǎn)換為公有地址,實(shí)現(xiàn)外網(wǎng)訪問和對(duì)外提供服務(wù),同時(shí)從一定程度上避免網(wǎng)絡(luò)外部的攻擊。NAT的實(shí)現(xiàn)方式包括靜態(tài)轉(zhuǎn)換、動(dòng)態(tài)轉(zhuǎn)換和端口多路復(fù)用PAT等。10.1靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換和端口映射靜態(tài)NAT是將內(nèi)部網(wǎng)絡(luò)的私有IP地址一對(duì)一的轉(zhuǎn)換為公有IP地址,私有和公有地址的對(duì)應(yīng)關(guān)系固定,除了能實(shí)現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng),還能實(shí)現(xiàn)外網(wǎng)對(duì)內(nèi)網(wǎng)服務(wù)器等的訪問。10.1.2華為設(shè)備的靜態(tài)NAT和端口映射

一、靜態(tài)NAT配置

案例:公司從運(yùn)營(yíng)商獲得的公網(wǎng)地址是28~35,公司連接外網(wǎng)的路由器接口地址是30/29,對(duì)端是29。公司希望內(nèi)網(wǎng)中IP地址為0的服務(wù)器和0的電腦既能訪問Internet又能被外網(wǎng)訪問,外網(wǎng)訪問它們的地址分別是31和32。

在eNSP中搭建如圖10-3所示拓?fù)?,通過配置靜態(tài)NAT,實(shí)現(xiàn)案例需求。步驟如下:圖10-3華為靜態(tài)NAT配置的拓?fù)?/p>

1.各路由器的基本配置,命令如下:[R1]interfaceGigabitEthernet0/0/0//R1的配置[R1-GigabitEthernet0/0/0]ipaddress24[R1-GigabitEthernet0/0/0]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress3029[R2]interfaceGigabitEthernet0/0/1//R2的配置[R2-GigabitEthernet0/0/1]ipaddress2929[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]ipaddress30

2.內(nèi)網(wǎng)Server0的配置如下:IP地址:0,子網(wǎng)掩碼:,網(wǎng)關(guān):

3.內(nèi)網(wǎng)PC0的配置如下:IP地址:0,子網(wǎng)掩碼:,網(wǎng)關(guān):

4.外網(wǎng)Server1的配置如下:

IP地址:,子網(wǎng)掩碼:52,網(wǎng)關(guān):

5.配置內(nèi)網(wǎng)外出的默認(rèn)路由,命令如下:[R1]iproute-static029

6.在R1上配置在內(nèi)部局部地址和內(nèi)部全局地址之間建立靜態(tài)NAT,命令如下:[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natstaticglobal31inside0//將當(dāng)前接口作為outside接口,將公網(wǎng)地址31映射到私網(wǎng)地址0[R1-GigabitEthernet0/0/1]natstaticglobal32inside0//將當(dāng)前接口作為outside接口,將公網(wǎng)地址32映射到私網(wǎng)地址07.內(nèi)網(wǎng)PC0ping外網(wǎng)Server1測(cè)試,命令如下:C:\DocumentsandSettings\Administrator>ipconfig//查看本機(jī)地址IPAddress............:0C:\DocumentsandSettings\Administrator>ping//ping外網(wǎng)Server1Replyfrom:bytes=32time=44msTTL=126//可以ping通8.內(nèi)網(wǎng)Server0ping外網(wǎng)Server1測(cè)試,命令如下:C:\DocumentsandSettings\Administrator>ipconfig//查看本機(jī)地址IPAddress............:0C:\DocumentsandSettings\Administrator>ping//ping外網(wǎng)Server1Replyfrom:bytes=32time=36msTTL=126//可以ping通9.外網(wǎng)Server1ping內(nèi)網(wǎng)PC0,命令如下:C:\DocumentsandSettings\Administrator>ping32Replyfrom32:bytes=32time=53msTTL=126//可以ping通10.外網(wǎng)Server1ping內(nèi)網(wǎng)Server0,命令如下:C:\DocumentsandSettings\Administrator>ping31Replyfrom31:bytes=32time=67msTTL=126//可以ping通二、NAT端口映射配置內(nèi)網(wǎng)的Server0服務(wù)器成為了公司的Web服務(wù)器(80端口),公司出于安全考慮,決定取消它訪問Internet和被外網(wǎng)訪問的權(quán)限,僅允許外網(wǎng)通過8080端口訪問它。1.取消原來R1上的靜態(tài)NAT地址轉(zhuǎn)換,命令如下:[R1-GigabitEthernet0/0/1]undonatstaticglobal31inside0[R1-GigabitEthernet0/0/1]undonatstaticglobal32inside02.在R1上配置NAT端口映射,命令如下:[R1-GigabitEthernet0/0/1]natstaticprotocoltcpglobal318080inside080//將當(dāng)前接口作為outside接口,將公網(wǎng)地址32的TCP8080端口映射到私網(wǎng)地址0的TCP80端口3.如圖10-4所示,外網(wǎng)服務(wù)器(或電腦)通過31:8080,可以訪問內(nèi)網(wǎng)Web服務(wù)器提供的Web服務(wù)。圖10-4外網(wǎng)訪問內(nèi)網(wǎng)的Web服務(wù)10.2動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換

動(dòng)態(tài)NAT也稱為BasicNAT,是指內(nèi)部網(wǎng)絡(luò)的私有地址轉(zhuǎn)換為公有地址前,要先指定允許轉(zhuǎn)換的內(nèi)部私有地址范圍和可用的公有地址范圍,私有地址和公有地址間的對(duì)應(yīng)關(guān)系動(dòng)態(tài)建立、動(dòng)態(tài)釋放,釋放后,只要還有可用的公有地址就可以與之重新建立關(guān)聯(lián)。動(dòng)態(tài)NAT適用于內(nèi)部主機(jī)數(shù)大于可用的公有地址數(shù),但內(nèi)部主機(jī)不要求同時(shí)全部上網(wǎng)的情況。內(nèi)部有同時(shí)上網(wǎng)需求的主機(jī)數(shù)超過可用的公有地址數(shù)時(shí),超出的主機(jī)只能等待,直到有公有地址被釋放,才允許當(dāng)前未與公有地址建立關(guān)聯(lián)但又想上網(wǎng)的主機(jī)與其建立關(guān)聯(lián)并上網(wǎng)。

10.2.2華為設(shè)備的動(dòng)態(tài)NAT配置

案例:公司從運(yùn)營(yíng)商獲得的公網(wǎng)地址是28~35。其中,公司連接外網(wǎng)的路由器接口地址是30/29,對(duì)端是29/29,可用于地址轉(zhuǎn)換的公有地址范圍是31~34。公司內(nèi)網(wǎng)需要訪問Internet的私有地址范圍是~54。如圖10-7所示,在華為“端口映射配置”案例的基礎(chǔ)上繼續(xù)學(xué)習(xí)華為設(shè)備的動(dòng)態(tài)NAT配置,完成案例需求。

圖10-7華為設(shè)備動(dòng)態(tài)NAT配置的拓?fù)?/p>

1.取消原來R1上的NAT端口映射,命令如下:[R1]intGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]undonatstaticprotocoltcpglobal318080inside080

2.R1上的動(dòng)態(tài)NAT配置,命令如下:[R1]acl2000[R1-acl-basic-2000]rulepermitsource55[R1-acl-basic-2000]quit[R1]nataddress-group13134[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000address-group1no-pat

3.在R1上查看NAT地址池配置信息,命令如下:[R1]displaynataddress-group1IndexStart-addressEnd-address13134

4.在R1上查看動(dòng)態(tài)NAT配置信息,命令如下:[R1]displaynatoutboundInterfaceAclAddress-group/IP/Interface

TypeGigabitEthernet0/0/120001 no-pat10.3基于端口的網(wǎng)絡(luò)地址轉(zhuǎn)換

PAT(PortAddressTranslation)也稱為NAPT(NetworkAddressPortTranslation),該技術(shù)使內(nèi)網(wǎng)的不同主機(jī)可以共享同一個(gè)公有IP地址訪問互連網(wǎng),方法是給這些主機(jī)的外出數(shù)據(jù)包分配相同的公有地址和不同的端口號(hào)。以端口號(hào)而不是以IP地址來區(qū)分主機(jī),這種網(wǎng)絡(luò)地址轉(zhuǎn)換方式不但最大程度的節(jié)約了IP地址資源,而且能有效的避免來自互聯(lián)網(wǎng)的攻擊,是目前最常用的NAT方式。10.3.2華為設(shè)備的NAPT配置一、使用外部全局地址實(shí)現(xiàn)NAPT轉(zhuǎn)換案例:公司從運(yùn)營(yíng)商獲得的公網(wǎng)地址是28~35,公司連接外網(wǎng)的路由器接口地址是30/29,對(duì)端是29/29,可用于地址轉(zhuǎn)換的公有地址是31/29。公司內(nèi)網(wǎng)需要訪問Internet的私有地址范圍是~54。如圖10-9所示,在華為設(shè)備“動(dòng)態(tài)NAT配置”的基礎(chǔ)上繼續(xù)NAPT配置,實(shí)現(xiàn)案例需求。圖10-9華為設(shè)備NAPT配置的拓?fù)?.保留如下用于定義“需要訪問Internet的私有地址范圍”的ACL命令:[R1]acl2000[R1-acl-basic-2000]rulepermitsource552.在R1上更改NAT地址池,命令如下:[R1]undonataddress-group1[R1]nataddress-group131313.在R1上取消原來的動(dòng)態(tài)NAT配置,改為NAPT,命令如下:[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]undonatoutbound2000address-group1no-pat[R1-GigabitEthernet0/0/1]natoutbound2000address-group14.在內(nèi)網(wǎng)Server0和PC0上ping外網(wǎng)Server1,測(cè)試內(nèi)網(wǎng)與外網(wǎng)的連通性,以Server0為例,命令如下:C:\DocumentsandSettings\Administrator>pingReplyfrom:bytes=32time=27msTTL=126可以看到,Server0能ping通外網(wǎng)Server1。同樣的PC0同樣也能ping通。5.在R1上查看NATP會(huì)話信息,命令如下:[R1]displaynatsessionall可以看到,私有地址0和0同時(shí)映射到了同一個(gè)公有地址31,只是映射到了不同的端口號(hào)。二、復(fù)用路由器外部接口地址的EasyIP配置示例在華為設(shè)備“使用外部全局地址實(shí)現(xiàn)NAPT轉(zhuǎn)換”案例的基礎(chǔ)上繼續(xù)配置:1.保留如下用于定義“需要訪問Internet的私有地址范圍”的ACL命令:[R1]acl2000[R1-acl-basic-2000]rulepermitsource552.取消R1上原來的NAPT配置,改為EasyIP,命令如下:[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthe

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論