項目15基于動態(tài)NAT的公司出口鏈路配置項目描述相關(guān)知識項目規(guī)劃設計項目實施項目驗證項目拓展目錄項目描述Jan16公司有計算機若干臺，利用交換機建了局域網(wǎng)，并通過出口路由器連接到互聯(lián)網(wǎng)。為了保障內(nèi)部網(wǎng)絡的安全和解決私有地址在互聯(lián)網(wǎng)上通信的問題，需在出口路由中配置動態(tài)NAT，使內(nèi)部計算機IP地址映射為公網(wǎng)IP地址以訪問互聯(lián)網(wǎng)。項目拓撲如圖15-1所示，具體要求如下：（1）公司內(nèi)網(wǎng)使用192.168.1.0/24網(wǎng)段，出口為16.16.16.0/24網(wǎng)段。（2）出口路由器上申請了16.16.16.1-5等互聯(lián)網(wǎng)IP地址，可供NAT轉(zhuǎn)換使用。（3）測試計算機和路由器的IP和接口信息如拓撲所示。項目描述項目描述圖15-1網(wǎng)絡拓撲圖相關(guān)知識15.2.1動態(tài)NAT動態(tài)NAT，是將一個內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址池中的一個IP地址（公有地址）。動態(tài)NAT和靜態(tài)NAT的在地址轉(zhuǎn)換上很相似，只是可用的公有IP地址不是被某個專用網(wǎng)絡的計算機所永久獨自占有。動態(tài)NAT的工作過程如圖15-2所示。與靜態(tài)NAT類似，路由器上有一個公有IP地址池，地址池中有四個公有IP地址，它們是8.8.8.2/24-8.8.88.8.8.5/24。假設專用網(wǎng)絡的計算機A需要和互聯(lián)網(wǎng)的計算機C通信，其通信過程如下。第①步：計算機A發(fā)送源IP地址(SourceAddress，SA)為192.168.1.1的數(shù)據(jù)包給計算機C。15.2.1動態(tài)NAT第②步：數(shù)據(jù)包經(jīng)過路由器的時候，路由器采用NAT技術(shù)，將數(shù)據(jù)包的源地址（192.168.1.1）轉(zhuǎn)換為公有IP地址（8.8.8.2）。為什么會轉(zhuǎn)換為8.8.8.2？由于路由器上的地址池有多個公有IP地址，當需要進行地址轉(zhuǎn)換時，路由器會在地址池中選擇一個未被占用的地址來進行轉(zhuǎn)換。這里假設四個地址都未被占用，路由器挑選了第一個未被占用的地址而已。如果緊接著計算機A要發(fā)送數(shù)據(jù)包到Internet，則路由器會挑選第二個未被占用的IP地址，也就是8.8.8.3來進行轉(zhuǎn)換。地址池中的公有IP地址的數(shù)量決定了可以同時訪問Internet的內(nèi)網(wǎng)計算機的數(shù)量，如果地址池中的IP地址都被使用了，那么內(nèi)網(wǎng)的其他計算機就不能夠和Internet的計算機通信了。當內(nèi)網(wǎng)計算機和外網(wǎng)計算機的通信連接結(jié)束后，路由器將釋放被占用的公有IP地址，這樣，被釋放的IP地址則又可以為其他內(nèi)網(wǎng)計算機提供公網(wǎng)接入服務了。15.2.1動態(tài)NAT第③步：源地址為8.8.8.2的數(shù)據(jù)包在Internet上轉(zhuǎn)發(fā)，最終被計算機C接收。第④步：計算機C收到源地址為8.8.8.2的數(shù)據(jù)包后轉(zhuǎn)發(fā)，將響應內(nèi)容封裝在目的地址（DestinationAddress，DA）為8.8.8.2的數(shù)據(jù)包中，然后將該數(shù)據(jù)包發(fā)送出去。第⑤步：目的地址為8.8.8.2數(shù)據(jù)包最終經(jīng)過路由轉(zhuǎn)發(fā)，到達連接專用網(wǎng)絡的路由器上，路由器對照自身的NAT映射表，找出對應關(guān)系，將目的地址為8.8.8.2的數(shù)據(jù)包轉(zhuǎn)換為目的地址為192.168.1.1的數(shù)據(jù)包，然后發(fā)送到內(nèi)部專用網(wǎng)絡中。第⑥步：目的地址為192.168.1.1的數(shù)據(jù)包在專用網(wǎng)絡中傳送，最終到達計算機A。計算機A通過數(shù)據(jù)包的源地址（8.8.8.8）知道此數(shù)據(jù)包是Internet上的計算機C發(fā)送過來的。15.2.1動態(tài)NAT動態(tài)NAT的內(nèi)外網(wǎng)映射關(guān)系為臨時關(guān)系，因此，它主要用于內(nèi)網(wǎng)計算機臨時需要訪問外部網(wǎng)絡的場景。考慮到企業(yè)申請的共有IP的數(shù)量有限，而內(nèi)網(wǎng)計算機數(shù)量通常遠大于共有IP數(shù)量，因此，它不適合給內(nèi)網(wǎng)計算機提供大規(guī)模上網(wǎng)服務場景，解決這類問題需要使用超載NAT模式，關(guān)于超載NAT模式可以看本章下文相關(guān)的描述。圖15-2動態(tài)NAT的工作原理項目規(guī)劃設計項目規(guī)劃設計動態(tài)NAT轉(zhuǎn)換需要有多個公網(wǎng)IP地址，這里以16.16.16.1~16.16.16.5作為轉(zhuǎn)換后的公網(wǎng)IP地址。在路由器中將公網(wǎng)IP地址配置為NAT地址池，并建立ACL列表匹配內(nèi)部地址。在出口路由器的G0/1上應用NAT轉(zhuǎn)換即可。互聯(lián)網(wǎng)連接方面，出口路由器可根據(jù)ISP服務商的網(wǎng)絡環(huán)境配置相應的路由協(xié)議。配置步驟如下：（1）配置路由器接口。（2）配置動態(tài)NAT。（3）配置各計算機的IP地址。項目規(guī)劃設計本項目的IP地址規(guī)劃、端口規(guī)劃見表15-1~表15-2。設備端口IP地址網(wǎng)關(guān)R1G0/0192.168.10.254/24-R1G0/116.16.16.16/24-PC1-192.168.10.1/24192.168.10.254PC2-192.168.10.2/24192.168.10.254PC3-192.168.10.3/24192.168.10.254PC4-16.16.16.15/24-表15-1IP地址規(guī)劃項目規(guī)劃設計本端設備本端端口對端設備對端端口R1G0/0SW1G0/1R1G0/1SW2G0/1SW1G0/1R1G0/0SW1G0/2PC1-SW1G0/3PC2-SW1G0/4PC3-SW2G0/1R1G0/1表15-2端口規(guī)劃項目實施任務15-1配置路由器接口任務描述根據(jù)項目規(guī)劃設計對路由器進行基礎(chǔ)配置。任務實施在路由器接口配置對應IP，配置命令如下。Ruijie>enable//進入用戶模式Ruijie>configureterminal//進入全局模式Router(config)#hostnameR1//將路由器名稱更改為R1R1(config)#interfaceGigabitEthernet0/0//進入G0/0接口R1(config-if-GigabitEthernet0/0)#ipaddress192.168.10.254255.255.255.0//為接口配置IP地址R1(config-if-GigabitEthernet0/0)#exitR1(config)#interfaceGigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipaddress16.16.16.16255.255.255.0任務15-1配置路由器接口任務驗證在R1上使用【showipinterfacebrief】命令查看接口IP信息，配置命令如下。可以看到已經(jīng)在接口上配置了IP地址。R1(config-if-GigabitEthernet0/1)#showipinterfacebriefInterface

IP-Address(Pri)

IP-Address(Sec)StatusProtocolGigabitEthernet0/0

192.168.10.254/24

noaddress

up

upGigabitEthernet0/1

16.16.16.16/24

noaddress

up

upGigabitEthernet0/2

noaddress

noaddress

up

down任務15-2配置動態(tài)NAT任務描述根據(jù)項目規(guī)劃設計對路由器進行動態(tài)NAT配置。任務實施（1）在R1上使用【ipnatpoolpool-namestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}】命令配置NAT地址池，設置起始和結(jié)束地址分別為16.16.16.1和16.16.16.5?！緄pnatpoolpool-namestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}】命令用來配置NAT地址池（申請到的公網(wǎng)IP不能全部納入地址池，必須至少保留1個用于路由器與公網(wǎng)通信）。任務15-2配置動態(tài)NAT配置命令如下。R1(config)#ipnatpoolruijie16.16.16.116.16.16.5netmask255.255.255.0//配置NAT地址池，編號為1，地址段16.16.16.1~16.16.16.5任務15-2配置動態(tài)NAT（2）創(chuàng)建標準ACL20，配置命令如下。（3）在G0/1接口下使用命令將ACL20與地址池相關(guān)聯(lián)，使得ACL中規(guī)定的地址可以使用地址池進行地址轉(zhuǎn)換。【ipnatinsidesourcelistaccess-list-number{interfaceinterface|poolpool-name}】命令用來將一個訪問控制列表ACL和一個地址池關(guān)聯(lián)起來，其表示ACL中規(guī)定的地址可以使用地址池進行NAT轉(zhuǎn)換。R1(config)#ipaccess-liststandard20//創(chuàng)建一個編號20的標準ACLR1(config-std-nacl)#permit192.168.10.00.0.0.255//允許源地址網(wǎng)段為192.168.10.0/24的報文通過R1(config-std-nacl)#denyany//拒絕所有訪問任務15-2配置動態(tài)NAT配置命令如下。R1(config)#interfaceGigabitEthernet0/0R1(config-if-GigabitEthernet0/0)#ipnatinsideR1(config-if-GigabitEthernet0/0)#exitR1(config)#interfaceGigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipnatoutsideR1(config-if-GigabitEthernet0/1)#exitR1(config)#ipnatinsidesourcelist20poolruijie//配置ACL20匹配的主機使用NAT地址池1的地址進行1對1地址轉(zhuǎn)換任務15-2配置動態(tài)NAT任務驗證1 在R1上使用【showrunning-config|includenat】命令查看nat配置信息，配置命令如下?？梢钥吹揭呀?jīng)根據(jù)規(guī)劃配置了動態(tài)網(wǎng)絡地址轉(zhuǎn)換。R1(config)#showrunning-config|includenatipnatinsideipnatoutsideipnatpoolruijie16.16.16.116.16.16.5netmask255.255.255.0ipnatinsidesourcelist20poolruijie任務15-3配置各計算機的IP地址任務描述根據(jù)項目規(guī)劃設計對各臺計算機進行IP地址配置。任務實施PC1的IP地址配置結(jié)果如圖15-3所示，同理完成其他的PC的IP地址配置。圖15-3PC1IP配置任務15-3配置各計算機的IP地址任務驗證（1）PC1上使用【ipconfig】命令查看IP地址，配置命令如下。可以看到接口已配置了IP地址。（2）在其他PC上同樣使用【ipconfig】命令驗證IP地址是否配置正確。C:\Users\Administrator>ipconfig本地連接:連接特定的DNS后綴.......:IPv4地址............:192.168.10.1(首選)子網(wǎng)掩碼............:255.255.255.0默認網(wǎng)關(guān).............:192.168.10.254項目驗證項目驗證（1）使用PC1Ping測試能否訪問互聯(lián)網(wǎng)上的PC4，配置命令如下。結(jié)果顯示PC1可以與外部網(wǎng)絡通信。C:\Users\Administrator>ping16.16.16.15正在Ping16.16.16.15具有32字節(jié)的數(shù)據(jù):來自16.16.16.15的回復:字節(jié)=32時間=76msTTL=63來自16.16.16.15的回復:字節(jié)=32時間=2msTTL=63來自16.16.16.15的回復:字節(jié)=32時間=2msTTL=63來自16.16.16.15的回復:字節(jié)=32時間=2msTTL=6316.16.16.15的Ping統(tǒng)計信息:數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計時間(以毫秒為單位):最短=2ms，最長=76ms，平均=20ms項目驗證（2）在R1上使用showipnattranslations命令查看NAT轉(zhuǎn)換信息，配置命令如下。結(jié)果顯示R1收到源為192.168.10.1的互聯(lián)網(wǎng)訪問請求數(shù)據(jù)包時，將它的源地址轉(zhuǎn)換為互聯(lián)網(wǎng)地址16.16.16.1，使其能正常訪問互聯(lián)網(wǎng)。R1(config)#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp16.16.16.2:1192.168.10.1:116.16.16.1516.16.16.15項目拓展一、理論題1.動態(tài)NAT和靜態(tài)NAT的區(qū)別是什么？（ ）A.動態(tài)NAT只能將一個內(nèi)部IP地址轉(zhuǎn)換為一個外部IP地址，而靜態(tài)NAT可以將多個內(nèi)部IP地址映射到一個外部IP地址上。B.動態(tài)NAT和靜態(tài)NAT在地址轉(zhuǎn)換上非常相似，唯一的區(qū)別是動態(tài)NAT可用的公有IP地址不是被某個專用網(wǎng)絡的計算機所永久獨自占有。C.動態(tài)NAT只能用于內(nèi)網(wǎng)計算機臨時對外提供服務的場景，而靜態(tài)NAT適用于內(nèi)網(wǎng)計算機大規(guī)模上網(wǎng)服務場景。D.動態(tài)NAT和靜態(tài)NAT沒有任何區(qū)別，只是名稱不同。一、理論題2.動態(tài)NAT的工作過程中，當需要進行地址轉(zhuǎn)換時，路由器會如何選擇公有IP地址？（）A.路由器會選擇地址池中第一個IP地址B.路由器會選擇地址池中最后一個IP地址C.路由器會隨機選擇地址池中的一個IP地址D.路由器會選擇地址池中未被占用的第一個IP地址3.（多選）動態(tài)NAT地址映射配置步驟包括？（ ）A.創(chuàng)建NAT地址池 B.端口應用動態(tài)NAT C.創(chuàng)建ACL D.配置路由二、項目實訓題1.實訓背景Jan16公司有網(wǎng)站服務器1臺和計算機若干臺，利用交換機建了局域網(wǎng)，并通過出口路由器