路由交換設(shè)備項(xiàng)目化管理與配置 課件 項(xiàng)目15 靜態(tài)NAT與動(dòng)態(tài)NAT

項(xiàng)目15

靜態(tài)NAT與動(dòng)態(tài)NAT目錄CONTENTS知識(shí)鏈接網(wǎng)絡(luò)文檔、VRP文件系統(tǒng)、網(wǎng)絡(luò)管理命令項(xiàng)目設(shè)計(jì)網(wǎng)絡(luò)拓?fù)鋱D、IP地址、DNS設(shè)計(jì)項(xiàng)目描述為微小企業(yè)局域網(wǎng)部署鏈路聚合項(xiàng)目實(shí)施與驗(yàn)證鏈路聚合功能驗(yàn)證0103020401PART020304知識(shí)鏈接1.1網(wǎng)絡(luò)地址轉(zhuǎn)換NAT01021.1.1NAT技術(shù)原理NAT是對(duì)IP數(shù)據(jù)報(bào)文中的IP地址進(jìn)行轉(zhuǎn)換，是一種在現(xiàn)網(wǎng)中被廣泛部署的技術(shù)，一般部署在網(wǎng)絡(luò)出口設(shè)備，例如路由器或防火墻上。私有網(wǎng)絡(luò)訪問Internet，必須在網(wǎng)絡(luò)出口設(shè)備配置NAT，將訪問Internet的IP數(shù)據(jù)報(bào)文中的私有網(wǎng)絡(luò)源地址轉(zhuǎn)換成公有網(wǎng)絡(luò)源地址。Internet訪問私有網(wǎng)絡(luò)，必須在網(wǎng)絡(luò)出口設(shè)備配置NAT，將訪問私有網(wǎng)絡(luò)的IP數(shù)據(jù)報(bào)文中的公有網(wǎng)絡(luò)目的地址轉(zhuǎn)換成私有網(wǎng)絡(luò)目的地址，如圖15-1所示。這些特定的方式主要有3種，分別是靜態(tài)NAT，動(dòng)態(tài)NAT和NAPT。1.1網(wǎng)絡(luò)地址轉(zhuǎn)換NAT01021.1.2靜態(tài)NAT原理靜態(tài)NAT將內(nèi)部私有地址與公有地址進(jìn)行一對(duì)一映射。每個(gè)私有地址訪問Internet經(jīng)過出口設(shè)備NAT轉(zhuǎn)換時(shí)，會(huì)被轉(zhuǎn)換成對(duì)應(yīng)的一個(gè)公有地址。同時(shí)，外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)時(shí)，其報(bào)文中攜帶的公有地址(目的地址)也會(huì)被NAT設(shè)備轉(zhuǎn)換成對(duì)應(yīng)的私有地址.1.1網(wǎng)絡(luò)地址轉(zhuǎn)換NAT01021.1.3動(dòng)態(tài)NAT原理動(dòng)態(tài)NAT提出了地址池的概念，將所有可用的公有地址組成地址池。當(dāng)內(nèi)部主機(jī)訪問外部網(wǎng)絡(luò)時(shí)臨時(shí)分配一個(gè)地址池中未使用的地址，并將該地址標(biāo)記為“InUse”。當(dāng)該主機(jī)不再訪問外部網(wǎng)絡(luò)時(shí)回收分配的地址，重新標(biāo)記為"NotUse"1.2NAT配置常用命令01021.接口視圖下配置靜態(tài)NATnatstaticglobal{global-address}inside{host-address}其中，global參數(shù)用于配置外部公有地址，inside參數(shù)用于配置內(nèi)部私有地址。2.系統(tǒng)視圖下配置靜態(tài)NATnatstaticglobal{global-address}inside{host-address}配置命令相同，視圖為系統(tǒng)視圖，之后在具體的接口下使能natstatic功能。natstaticenable3.創(chuàng)建地址池nataddress-groupgroup-indexstart-addressend-address其中，group-index為地址池編號(hào)，start-address、end-address分別為地址池起始地址和終止地址。4.配置地址轉(zhuǎn)換的ACL規(guī)則aclnumberrulepermitsourcesource-addresssource-wildcard配置基礎(chǔ)ACL，匹配需要進(jìn)行動(dòng)態(tài)轉(zhuǎn)換的源地址范圍。5.接口視圖下配置帶地址池的NATOutboundnatoutboundacl-numberaddress-groupgroup-index[no-pat]接口下關(guān)聯(lián)ACL與地址池進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換，no-pat參數(shù)指定不進(jìn)行端口轉(zhuǎn)換。知識(shí)鏈接02PART010304項(xiàng)目描述2.1項(xiàng)目簡(jiǎn)介0102

A公司是一家中小型企業(yè)，企業(yè)出口路由器AR1通過串口連接到電信運(yùn)營(yíng)商ISP，ISP給AR1接口分配的地址是/24，給企業(yè)分配用于地址翻譯的地址段是/24。A公司內(nèi)部有WWW、BBS兩臺(tái)服務(wù)器，兩臺(tái)服務(wù)器有固定且合法IP地址時(shí)，才能對(duì)外提供服務(wù)。項(xiàng)目描述03PART010204項(xiàng)目設(shè)計(jì)單擊輸入你的正文3.1總體設(shè)計(jì)及設(shè)計(jì)參數(shù)0102網(wǎng)絡(luò)地址轉(zhuǎn)換配置由五部分組成：第一部分是搭建項(xiàng)目環(huán)境：（1）配置終端的IP地址和網(wǎng)絡(luò)服務(wù)。公司局域網(wǎng)為/24，外部局域網(wǎng)為/24。（2）配置路由器接口IP地址。路由器之間用串口連接的網(wǎng)絡(luò)使用/24和/30。（3）配置靜態(tài)路由協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)互通。第二部分是配置靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換：（1）配置靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換和動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換。從ISP分配給公司用于NAT的地址段中拿出兩個(gè)地址/24和/24，分別用于WWW和BBS兩臺(tái)服務(wù)器對(duì)外服務(wù)的地址。第三部分是配置動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換：（1）其他計(jì)算機(jī)終端配置為動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換，設(shè)計(jì)地址池的編號(hào)為1，映射公有IP地址池范圍為~0。第四部分是修改靜態(tài)路由。第五部分是項(xiàng)目實(shí)施結(jié)果驗(yàn)證：（1）項(xiàng)目實(shí)施結(jié)果驗(yàn)證，公司內(nèi)部網(wǎng)絡(luò)終端能夠通過公網(wǎng)地址與外部網(wǎng)絡(luò)進(jìn)行通信。項(xiàng)目設(shè)計(jì)3.1總體設(shè)計(jì)及設(shè)計(jì)參數(shù)0102項(xiàng)目設(shè)計(jì)

靜態(tài)NAT與動(dòng)態(tài)NAT配置思路流程圖3.1總體設(shè)計(jì)及設(shè)計(jì)參數(shù)0102項(xiàng)目設(shè)計(jì)序號(hào)接口子網(wǎng)號(hào)接口IP地址AR1GE0/0/0/2454Serial1/0/0/24AR2Serial1/0/0/24Serial1/0/1/30AR3Serial1/0/0/30GE0/0/0/2454計(jì)算機(jī)名IP地址網(wǎng)關(guān)公有IP地址域名PC1/2454

HTTP/2454

DNS/2454

WWW/2454BBS/2454PC2/2454~0

PC3/245404PART010203項(xiàng)目實(shí)施與驗(yàn)證單擊輸入你的正文4.1配置計(jì)算機(jī)0102配置計(jì)算機(jī)IP地址及網(wǎng)絡(luò)服務(wù)項(xiàng)目實(shí)施與驗(yàn)證4.2配置路由器接口01024.2.1配置AR1接口IP地址，配置命令項(xiàng)目實(shí)施與驗(yàn)證<AR1>sys[AR1]undoinfo-centerenable[AR1]intGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipadd5424[AR1-GigabitEthernet0/0/0]quit[AR1]intSerial1/0/0[AR1-Serial1/0/0]ipadd244.2配置路由器接口01024.2.2配置AR2接口IP地址，配置命令項(xiàng)目實(shí)施與驗(yàn)證<AR2>sys[AR2]undoinfo-centerenable[AR2]intSerial1/0/0[AR2-Serial1/0/0]ipadd24[AR2-Serial1/0/0]q[AR2]intSerial1/0/1[AR2-Serial1/0/1]ipadd304.2配置路由器接口01024.2.3配置AR3接口IP地址，配置命令項(xiàng)目實(shí)施與驗(yàn)證<AR3>sys[AR3]undoinfo-centerenable[AR3]intSerial1/0/0[AR3-Serial1/0/0]ipadd30[AR3-Serial1/0/0]q[AR3]intGigabitEthernet0/0/0[AR3-GigabitEthernet0/0/0]ipadd54244.3配置靜態(tài)路由01024.3.1配置AR2接口IP地址，配置命令在AR1上配置默認(rèn)路由。[AR1]iproute-static0在AR2上配置靜態(tài)路由。因?yàn)榇藭r(shí)未配置NAT轉(zhuǎn)換，AR2到內(nèi)網(wǎng)的目標(biāo)網(wǎng)絡(luò)為/24。[AR2]iproute-static24[AR2]iproute-static24在AR3上配置靜態(tài)路由。因?yàn)榇藭r(shí)未配置NAT轉(zhuǎn)換，所以AR3的目標(biāo)網(wǎng)絡(luò)為/24。[AR3]iproute-static24項(xiàng)目實(shí)施與驗(yàn)證4.3配置靜態(tài)路由01024.3.2驗(yàn)證網(wǎng)絡(luò)連通性PC>pingPing:32databytes,PressCtrl_CtobreakRequesttimeout!From:bytes=32seq=2ttl=125time=94msFrom:bytes=32seq=3ttl=125time=62ms......項(xiàng)目實(shí)施與驗(yàn)證4.4配置靜態(tài)NAT和動(dòng)態(tài)NAT01024.4.1在AR1上配置靜態(tài)NAT，配置命令[AR1]intSerial1/0/0[AR1-Serial1/0/0]natstaticglobalinside[AR1-Serial1/0/0]natstaticglobalinside項(xiàng)目實(shí)施與驗(yàn)證4.4配置靜態(tài)NAT和動(dòng)態(tài)NAT01024.4.2在AR1上配置動(dòng)態(tài)NAT，地址池的范圍為~0.[AR1]nataddress-group10[AR1]acl2000[AR1-acl-basic-2000]rulepermitsource55[AR1-acl-basic-2000]quit[AR1]intSerial1/0/0[AR1-Serial1/0/0]natoutbound2000address-group1no-pat項(xiàng)目實(shí)施與驗(yàn)證4.4配置靜態(tài)NAT和動(dòng)態(tài)NAT01024.4.2在AR2和AR3修改靜態(tài)路由，AR2、AR3修改命令[AR2]undoiproute-static24

[AR2]iproute-static24[AR3]undoiproute-static24

[AR3]