任務(wù)19

配置NAPT19.1任務(wù)描述某公司因業(yè)務(wù)拓展，公司網(wǎng)絡(luò)接入大量計(jì)算機(jī)，導(dǎo)致公網(wǎng)IP地址不足，內(nèi)網(wǎng)計(jì)算機(jī)無(wú)法訪問(wèn)互聯(lián)網(wǎng)。01業(yè)務(wù)拓展帶來(lái)的問(wèn)題公司計(jì)劃在出口路由器上合理配置NAPT，解決公網(wǎng)IP地址不足的問(wèn)題，使內(nèi)網(wǎng)計(jì)算機(jī)能正常訪問(wèn)互聯(lián)網(wǎng)。02解決方案19.2任務(wù)目標(biāo)了解NAPT的特點(diǎn)；理解NAPT的基本原理；掌握NAPT的工作過(guò)程。知識(shí)目標(biāo)能夠根據(jù)應(yīng)用情景選擇合適的NAPT類(lèi)型；能夠配置NAPT。能力目標(biāo)具備快速適應(yīng)新環(huán)境、新任務(wù)的能力，能應(yīng)對(duì)各種變化。素質(zhì)目標(biāo)利用NAPT技術(shù)實(shí)現(xiàn)不同場(chǎng)景的內(nèi)外網(wǎng)互聯(lián)。創(chuàng)新目標(biāo)19.3知識(shí)準(zhǔn)備19.3.1NAPT概述NAPT也被稱(chēng)為“一對(duì)多”的NAT。區(qū)別于傳統(tǒng)NAT（一個(gè)私有IP映射一個(gè)公網(wǎng)IP），NAPT允許多臺(tái)內(nèi)部主機(jī)共享一個(gè)公網(wǎng)IP地址訪問(wèn)外部網(wǎng)絡(luò)?！耙粚?duì)多”的NATNAPT即端口地址轉(zhuǎn)換（PAT），不僅能讓內(nèi)部計(jì)算機(jī)訪問(wèn)外網(wǎng)，還可讓外部設(shè)備訪問(wèn)內(nèi)部特定服務(wù)，有效解決公網(wǎng)IP地址不足問(wèn)題。端口地址轉(zhuǎn)換19.3.1NAPT概述：NAPT原理端口號(hào)區(qū)分連接NAPT使用一個(gè)(或多個(gè))合法的公網(wǎng)IP地址，通過(guò)在數(shù)據(jù)包的傳輸層頭部使用不同的端口號(hào)來(lái)區(qū)分不同的內(nèi)部連接，從而支持更多內(nèi)部用戶(hù)訪問(wèn)外部網(wǎng)絡(luò)。0102動(dòng)態(tài)映射建立基于會(huì)話(huà)五元組（源IP地址、源端口號(hào)、目標(biāo)IP地址、目標(biāo)端口號(hào)、傳輸協(xié)議），NAPT設(shè)備建立動(dòng)態(tài)映射，將內(nèi)部主機(jī)的私有IP地址和端口號(hào)轉(zhuǎn)換為公網(wǎng)IP地址和新端口號(hào)。03數(shù)據(jù)轉(zhuǎn)發(fā)實(shí)現(xiàn)返回的數(shù)據(jù)包根據(jù)NAT設(shè)備記錄的映射關(guān)系，將公網(wǎng)IP地址和端口號(hào)轉(zhuǎn)換回原始的私有IP地址和端口號(hào)，實(shí)現(xiàn)正確的數(shù)據(jù)轉(zhuǎn)發(fā)。19.3.1NAPT概述：靜態(tài)NAPT工作過(guò)程以下圖所示的計(jì)算機(jī)B訪問(wèn)Web服務(wù)器A為例說(shuō)明靜態(tài)NAPT的工作過(guò)程。靜態(tài)NAPT的內(nèi)外網(wǎng)“IP地址+端口”映射關(guān)系是永久性的。通過(guò)靜態(tài)NAPT可以確保外部用戶(hù)始終通過(guò)固定的公網(wǎng)IP地址和端口訪問(wèn)內(nèi)部服務(wù)器。19.3.1NAPT概述：靜態(tài)NAPT工作過(guò)程響應(yīng)返回?cái)?shù)據(jù)包發(fā)出03服務(wù)器響應(yīng)數(shù)據(jù)包目標(biāo)IP為，目標(biāo)端口號(hào)2000，經(jīng)NAT路由器對(duì)照映射表，源IP及端口轉(zhuǎn)換為:80后發(fā)至計(jì)算機(jī)B。地址轉(zhuǎn)換01以計(jì)算機(jī)B訪問(wèn)Web服務(wù)器A為例，計(jì)算機(jī)B發(fā)出的數(shù)據(jù)包源IP為/24，源端口號(hào)為2000，目標(biāo)IP為/24，目標(biāo)端口號(hào)為80。02數(shù)據(jù)包到NAT路由器時(shí)，NAT路由器查詢(xún)靜態(tài)NAPT映射表，目標(biāo)IP及端口從:80轉(zhuǎn)換為Web服務(wù)器A的:80，后被服務(wù)器接收。適用場(chǎng)景04靜態(tài)NAPT內(nèi)外網(wǎng)“IP地址+端口”映射關(guān)系永久，適用于內(nèi)部服務(wù)器對(duì)外提供服務(wù)場(chǎng)景，如公司官網(wǎng)映射到公網(wǎng)IP的80端口。19.3.1NAPT概述：動(dòng)態(tài)NAPT工作過(guò)程以下圖所示的計(jì)算機(jī)A訪問(wèn)Web服務(wù)器B為例說(shuō)明動(dòng)態(tài)NAPT的工作過(guò)程。動(dòng)態(tài)NAPT的內(nèi)外網(wǎng)“IP+端口號(hào)”映射關(guān)系是臨時(shí)性的，適用于內(nèi)網(wǎng)計(jì)算機(jī)高并發(fā)主動(dòng)訪問(wèn)互聯(lián)網(wǎng)且公網(wǎng)IP地址資源有限的環(huán)境。動(dòng)態(tài)NAPT工作過(guò)程計(jì)算機(jī)A發(fā)出的數(shù)據(jù)包源IP為/24，源端口號(hào)2000，目標(biāo)IP為/24，目標(biāo)端口號(hào)80。初始數(shù)據(jù)包數(shù)據(jù)包到NAT路由器后，源IP及端口從:2000轉(zhuǎn)化為:3000（3000為隨機(jī)分配），目標(biāo)不變，后被服務(wù)器B接收。源地址轉(zhuǎn)換家庭寬帶路由器和網(wǎng)吧出口網(wǎng)關(guān)普遍使用動(dòng)態(tài)NAPT功能，滿(mǎn)足大量?jī)?nèi)網(wǎng)主機(jī)通過(guò)有限的1個(gè)或幾個(gè)公網(wǎng)IP訪問(wèn)Internet的需求。適用場(chǎng)景服務(wù)器B響應(yīng)數(shù)據(jù)包目標(biāo)IP為/24，目標(biāo)端口號(hào)3000，經(jīng)NAT路由器對(duì)照映射表，目標(biāo)IP及端口轉(zhuǎn)換為:2000后發(fā)至計(jì)算機(jī)A。響應(yīng)處理19.3.2配置靜態(tài)NAPT

某公司靜態(tài)NAPT網(wǎng)絡(luò)拓?fù)淙缦聢D所示。為保障內(nèi)部網(wǎng)絡(luò)的安全性以及解決網(wǎng)站服務(wù)器對(duì)外發(fā)布信息的問(wèn)題，申請(qǐng)了2個(gè)公網(wǎng)IP地址：0/24和1/24。計(jì)劃在出口路由器R1上配置靜態(tài)NAPT對(duì)外發(fā)布公司官網(wǎng)。19.3.2配置靜態(tài)NAPT：配置思路2.配置靜態(tài)NAPT1.配置路由器接口，包括：接口選用、IP地址規(guī)劃和配置等。19.3.2配置靜態(tài)NAPT：配置過(guò)程(1)配置設(shè)備接口IP地址，以路由器R1為例。命令如下：<Huawei>system-view[Huawei]sysnameR1[R1]interfacegigabitethernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress5424[R1]interfacegigabitethernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress024(2)配置靜態(tài)NAPT。命令如下：[R1]interfacegigabitethernet0/0/1[R1-GigabitEthernet0/0/1]natserverprotocoltcpglobal180inside8019.3.2配置靜態(tài)NAPT：配置驗(yàn)證(1)驗(yàn)證靜態(tài)NAPT配置信息。命令如下：[R1]displaynatserverNatServerInformation:Interface:GigabitEthernet0/0/1GlobalIP/Port:1/80(www)InsideIP/Port:/80(www)Protocol:6(tcp)VPNinstance-name:----Aclnumber:----Description:----Total:119.3.2配置靜態(tài)NAPT：配置驗(yàn)證(2)客戶(hù)端(Client)訪問(wèn)網(wǎng)站服務(wù)器。①網(wǎng)絡(luò)服務(wù)器(HttpServer)配置。②Client1訪問(wèn)網(wǎng)站服務(wù)器的Web服務(wù)?？梢杂^察到，Client1可以成功訪問(wèn)網(wǎng)站W(wǎng)eb服務(wù)器。19.3.3配置動(dòng)態(tài)NAPT

某公司通過(guò)動(dòng)態(tài)NAT實(shí)現(xiàn)了內(nèi)網(wǎng)主機(jī)和外網(wǎng)之間的通信，但隨著內(nèi)網(wǎng)計(jì)算機(jī)的增加，有限的公網(wǎng)IP地址已不能滿(mǎn)足所有員工上網(wǎng)的需求，公司計(jì)劃采用NAPT來(lái)解決此問(wèn)題。網(wǎng)絡(luò)拓?fù)淙缦聢D所示。19.3.3配置動(dòng)態(tài)NAPT：配置思路(1)為各設(shè)備接口配置IP地址；(2)在路由器R1上配置公網(wǎng)IP地址池；(3)在路由器R1上配置ACL規(guī)則，定義允許進(jìn)行NAPT轉(zhuǎn)換的內(nèi)網(wǎng)私有IP地址范圍；(4)在路由器R1的外網(wǎng)接口上應(yīng)用動(dòng)態(tài)NAPT策略，關(guān)聯(lián)地址池和ACL。19.3.3配置動(dòng)態(tài)NAPT：配置過(guò)程在路由器R1上配置IP地址、動(dòng)態(tài)NAPT、ACL等。命令如下：<Huawei>system-view[Huawei]sysnameR1[R1]interfacegigabitethernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress5424[R1-GigabitEthernet0/0/0]quit[R1]interfacegigabitethernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress24[R1-GigabitEthernet0/0/1]quit[R1]nataddress-group10[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfacegigabitethernet0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000address-group119.3.3配置動(dòng)態(tài)NAPT：配置驗(yàn)證(1)在PC1和PC2上，執(zhí)行ping01命令，測(cè)試內(nèi)網(wǎng)主機(jī)與外網(wǎng)的連通性，以PC1為例。命令如下：PC>ping01Ping01:32databytes,PressCtrl_CtobreakFrom01:bytes=32seq=1ttl=127time=15msFrom01:bytes=32seq=2ttl=127time=15msFrom01:bytes=32seq=3ttl=127time=32msFrom01:bytes=32seq=4ttl=127time=31msFrom01:bytes=32seq=5ttl=127time=16ms---01pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=15/21/32ms19.3.3配置動(dòng)態(tài)NAPT：配置驗(yàn)證(2)在R1上使用displaynatsessionall命令，查看NAT轉(zhuǎn)換信息。命令如下：[R1]displaynatsessionallNATSessionTableInformation:Protocol:ICMP(1)SrcAddrVpn:DestAddrVpn:01TypeCodeIcmpId:086582NAT-InfoNewSrcAddr:NewDestAddr:----NewIcmpId:10240Protocol:ICMP(1)SrcAddrVpn:DestAddrVpn:01TypeCodeIcmpId:086584NAT-InfoNewSrcAddr:NewDestAddr:----NewIcmpId:10241...

從以上回顯信息可知，PC1和PC2的私有IP地址同時(shí)映射到了同一個(gè)公網(wǎng)IP地址，只是映射到了不同的端口號(hào)。19.4任務(wù)實(shí)施

某公司內(nèi)網(wǎng)有100臺(tái)計(jì)算機(jī)和1臺(tái)服務(wù)