09實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的互訪(fǎng)

NAT技術(shù)緩解公網(wǎng)地址短缺NAT技術(shù)作用NAT技術(shù)緩解公網(wǎng)地址耗盡，允許機(jī)構(gòu)以單個(gè)公網(wǎng)IP出現(xiàn)在互聯(lián)網(wǎng)，將私有IP轉(zhuǎn)換為合法公網(wǎng)IP。

NAT技術(shù)原理NAT通過(guò)翻譯內(nèi)部私有網(wǎng)絡(luò)地址至合法公網(wǎng)IP地址，實(shí)現(xiàn)多個(gè)設(shè)備共享單一公網(wǎng)IP訪(fǎng)問(wèn)互聯(lián)網(wǎng)。學(xué)習(xí)NAT基本知識(shí)01NAT簡(jiǎn)介

NAT的工作原理與作用NAT是轉(zhuǎn)換IP地址的過(guò)程，用于私網(wǎng)訪(fǎng)問(wèn)公網(wǎng)，部署在網(wǎng)關(guān)，轉(zhuǎn)換源私網(wǎng)地址為公有地址，創(chuàng)建NAT映射表判斷報(bào)文私網(wǎng)目的地址。

NAT簡(jiǎn)介：私有IP與公網(wǎng)IP的區(qū)別私有IP地址定義與使用私有IP地址是內(nèi)部網(wǎng)絡(luò)使用且不會(huì)出現(xiàn)在外部網(wǎng)絡(luò)的IP地址，無(wú)需申請(qǐng)即可在公司或企業(yè)內(nèi)部自由使用。

公網(wǎng)IP地址定義與使用公網(wǎng)IP地址是外部網(wǎng)絡(luò)應(yīng)用且全球唯一的IP地址，需向?qū)ｉT(mén)管理機(jī)構(gòu)申請(qǐng)，互聯(lián)網(wǎng)數(shù)據(jù)包通常利用其傳輸。

私有IP地址塊RFC1918預(yù)留3個(gè)私有IP地址塊：A類(lèi)～55，B類(lèi)～55，C類(lèi)～55。

IPv4與IPv6現(xiàn)狀盡管IPv4地址將耗盡且IPv6已全面推廣，但大量公司內(nèi)部網(wǎng)絡(luò)仍為IPv4架構(gòu)，互聯(lián)網(wǎng)大部分也使用IPv4。NAT簡(jiǎn)介

NAT分區(qū)與安全增強(qiáng)NAT將網(wǎng)絡(luò)劃分為Inside私有區(qū)域和Outside公有區(qū)域，啟用后內(nèi)網(wǎng)可訪(fǎng)問(wèn)外網(wǎng)，且外網(wǎng)無(wú)法直接訪(fǎng)問(wèn)內(nèi)網(wǎng)資源，提高內(nèi)網(wǎng)安全性。

NAT的地址類(lèi)型

NAT地址分類(lèi)概述NAT技術(shù)中對(duì)地址轉(zhuǎn)換所用地址有詳細(xì)描述及定義，有助于理解私有與公有地址轉(zhuǎn)換方法及過(guò)程，總體分為4類(lèi)。

內(nèi)部本地IP地址定義內(nèi)部本地IP地址是內(nèi)部主機(jī)使用的私有IP地址，用于內(nèi)部網(wǎng)絡(luò)中的連通，通常為私有地址。

內(nèi)部全局IP地址定義內(nèi)部全局IP地址是內(nèi)部主機(jī)使用的公網(wǎng)IP地址，用于外部網(wǎng)絡(luò)路由，通常為公有地址。

IP地址分類(lèi)定義外部本地IP：內(nèi)部網(wǎng)絡(luò)中外部主機(jī)IP，用于內(nèi)部路由，雙向NAT時(shí)配置。外部全局IP：外部網(wǎng)絡(luò)中外部主機(jī)IP，用于外部路由，雙向NAT時(shí)配置。NAT的基本應(yīng)用類(lèi)型NAT基本應(yīng)用將IP地址從一個(gè)轉(zhuǎn)換為另一個(gè)，適用于源或目的地址。NAT技術(shù)分類(lèi)分為靜態(tài)NAT和動(dòng)態(tài)NAT，后者更細(xì)分為基于端口的NAT，動(dòng)態(tài)NAT在實(shí)際中應(yīng)用廣泛。靜態(tài)NAT靜態(tài)NAT是私有IP與公網(wǎng)IP一對(duì)一固定轉(zhuǎn)換，可實(shí)現(xiàn)外部訪(fǎng)問(wèn)內(nèi)部特定設(shè)備，配置需定義轉(zhuǎn)換地址并在接口配置NAT。動(dòng)態(tài)NAT動(dòng)態(tài)NAT是私有IP地址隨機(jī)轉(zhuǎn)換為指定合法公網(wǎng)IP地址的方式，適用于合法IP地址略少于內(nèi)部計(jì)算機(jī)數(shù)量的情況。網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT動(dòng)態(tài)NAT的局限性動(dòng)態(tài)NAT任意時(shí)刻一個(gè)公網(wǎng)IP僅轉(zhuǎn)換一個(gè)私有IP，內(nèi)網(wǎng)設(shè)備數(shù)量大于公網(wǎng)IP時(shí)無(wú)法保證所有設(shè)備同時(shí)上網(wǎng)。NAPT的工作原理RTA接收私網(wǎng)報(bào)文，選公網(wǎng)IP和端口建NAPT表項(xiàng)映射，轉(zhuǎn)換源地址端口后轉(zhuǎn)發(fā)，收到回復(fù)按映射轉(zhuǎn)換轉(zhuǎn)發(fā)給主機(jī)。NAPT的優(yōu)勢(shì)NAPT能最大限度節(jié)約IP地址資源，隱藏網(wǎng)絡(luò)內(nèi)部所有主機(jī)，有效避免外網(wǎng)攻擊，是目前網(wǎng)絡(luò)中應(yīng)用最多的方式。靜態(tài)NAT的應(yīng)用02

學(xué)習(xí)情境學(xué)習(xí)情境小張受王師傅指導(dǎo)，為部門(mén)電腦配獨(dú)立公網(wǎng)IP，推薦用靜態(tài)NAT實(shí)現(xiàn)互聯(lián)網(wǎng)訪(fǎng)問(wèn)。

技術(shù)應(yīng)用靜態(tài)NAT確保內(nèi)部IP與外部IP穩(wěn)定映射，實(shí)現(xiàn)單機(jī)公網(wǎng)訪(fǎng)問(wèn)需求。操作過(guò)程：搭建網(wǎng)絡(luò)拓?fù)?/p>

搭建網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)拓?fù)淙鐖D9-3所示，請(qǐng)讀者根據(jù)拓?fù)鋱D在模擬器上搭建網(wǎng)絡(luò)拓?fù)?。操作過(guò)程：搭建網(wǎng)絡(luò)拓?fù)渑渲镁W(wǎng)絡(luò)設(shè)備參數(shù)

網(wǎng)絡(luò)設(shè)備配置詳細(xì)列出各設(shè)備接口、IP地址及網(wǎng)關(guān)，包括R1、ISP路由器，兩臺(tái)PC和兩臺(tái)FTP服務(wù)器，構(gòu)建完整網(wǎng)絡(luò)拓?fù)洹?/p>

IP地址分配為所有網(wǎng)絡(luò)設(shè)備分配特定IP地址，如R1的G0/0/0接口使用54/24，確保網(wǎng)絡(luò)通信正常。配置網(wǎng)絡(luò)參數(shù)操作過(guò)程：配置計(jì)算機(jī)網(wǎng)絡(luò)參數(shù)PC0接口Eth1/0/0設(shè)IP,配置默認(rèn)路由指向54。演示配置過(guò)程通過(guò)命令行界面逐步配置PC0網(wǎng)絡(luò)參數(shù)，包括IP地址和網(wǎng)關(guān)。步驟2配置PC1的網(wǎng)絡(luò)參數(shù)進(jìn)入PC1的GigabitEthernet0/0/0接口，配置IP地址24，配置靜態(tài)網(wǎng)關(guān)54，完成后測(cè)試直連設(shè)備通信。操作過(guò)程：配置路由器的接口和路由步驟1配置路由器R1

配置路由器R1接口G0/0/0設(shè)為54/24，G0/0/1設(shè)為/8。

配置默認(rèn)路由R1設(shè)置默認(rèn)路由指向。

配置路由器ISP接口ISP的G0/0/0設(shè)為54/24，G0/0/1設(shè)為/8。

測(cè)試內(nèi)外網(wǎng)連通性PC0嘗試ping，顯示100%丟包，因ISP無(wú)回程路由。

操作過(guò)程：利用靜態(tài)NAT實(shí)現(xiàn)內(nèi)網(wǎng)指定設(shè)備訪(fǎng)問(wèn)外網(wǎng)靜態(tài)NAT配置申請(qǐng)公網(wǎng)IP0，配置于路由器R1，實(shí)現(xiàn)PC0通過(guò)此地址訪(fǎng)問(wèn)外網(wǎng)。

操作目標(biāo)使內(nèi)網(wǎng)設(shè)備PC0能以靜態(tài)NAT方式，使用0公網(wǎng)IP訪(fǎng)問(wèn)外部網(wǎng)絡(luò)資源。操作過(guò)程：利用靜態(tài)NAT實(shí)現(xiàn)內(nèi)網(wǎng)指定設(shè)備訪(fǎng)問(wèn)外網(wǎng)

步驟1配置靜態(tài)地址轉(zhuǎn)換靜態(tài)NAT配置在R1的G0/0/1接口配置靜態(tài)NAT，公有IP0映射內(nèi)網(wǎng)PC0的私有IP，實(shí)現(xiàn)一對(duì)一固定映射。配置驗(yàn)證displaynatstatic顯示G0/0/1接口的靜態(tài)NAT信息，確認(rèn)0與的轉(zhuǎn)換。測(cè)試結(jié)果PC0能訪(fǎng)問(wèn)外網(wǎng)，ping成功；Server1和Server2因未配置公網(wǎng)IP，無(wú)法訪(fǎng)問(wèn)外網(wǎng)，體現(xiàn)靜態(tài)NAT一對(duì)一映射特性。靜態(tài)NAT配置操作過(guò)程：利用靜態(tài)NAT實(shí)現(xiàn)外網(wǎng)訪(fǎng)問(wèn)內(nèi)網(wǎng)指定服務(wù)器

實(shí)現(xiàn)外網(wǎng)通過(guò)0訪(fǎng)問(wèn)內(nèi)網(wǎng)FTPServer1，需配置靜態(tài)NAT，隱藏內(nèi)網(wǎng)地址，滿(mǎn)足特定訪(fǎng)問(wèn)需求。測(cè)試驗(yàn)證

在外網(wǎng)PC1上ping內(nèi)網(wǎng)地址失敗，ping轉(zhuǎn)換后的公網(wǎng)IP成功，證實(shí)NAT配置有效，需進(jìn)一步配置NATServer及ALG功能。操作過(guò)程：利用靜態(tài)NAT實(shí)現(xiàn)外網(wǎng)訪(fǎng)問(wèn)內(nèi)網(wǎng)指定服務(wù)器配置NATServer配置靜態(tài)NAT在GigabitEthernet0/0/1接口下，配置基于TCP協(xié)議的靜態(tài)NAT，將外網(wǎng)0的FTP服務(wù)映射到內(nèi)網(wǎng)的FTP服務(wù)。啟用NATALG退出接口視圖后，全局啟用NATALG功能，確保FTP服務(wù)的正確傳輸和解析。操作過(guò)程：利用靜態(tài)NAT實(shí)現(xiàn)外網(wǎng)訪(fǎng)問(wèn)內(nèi)網(wǎng)指定服務(wù)器查看NATServer信息

01操作過(guò)程通過(guò)GigabitEthernet0/0/1接口，將外網(wǎng)0的FTP流量映射至內(nèi)網(wǎng)服務(wù)器，協(xié)議為T(mén)CP，配置已生效。

02配置信息顯示NAT服務(wù)器信息，包括接口、全球IP/端口、內(nèi)部IP/端口、協(xié)議、總配置數(shù)，確認(rèn)靜態(tài)NAT配置正確。操作過(guò)程：利用靜態(tài)NAT實(shí)現(xiàn)外網(wǎng)訪(fǎng)問(wèn)內(nèi)網(wǎng)指定服務(wù)器

步驟2測(cè)試啟動(dòng)FTP服務(wù)啟動(dòng)FTPServer1服務(wù)器的FTP服務(wù)，確保服務(wù)正常運(yùn)行，如圖9-6所示。利用ftp命令測(cè)試在外網(wǎng)計(jì)算機(jī)PC1上使用ftp命令嘗試連接內(nèi)網(wǎng)IP地址0的FTPServer1，成功登錄并隱藏內(nèi)網(wǎng)地址信息。動(dòng)態(tài)NAT的應(yīng)用03學(xué)習(xí)情境

王師傅讓小張為某部門(mén)的多臺(tái)計(jì)算機(jī)使用兩個(gè)公網(wǎng)IP地址訪(fǎng)問(wèn)外網(wǎng)，建議小張使用動(dòng)態(tài)NAT來(lái)實(shí)現(xiàn)此操作操作過(guò)程：搭建網(wǎng)絡(luò)拓?fù)浯罱ňW(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)拓?fù)淙鐖D9-7所示，請(qǐng)讀者根據(jù)拓?fù)鋱D在模擬器上搭建網(wǎng)絡(luò)拓?fù)?。操作過(guò)程：搭建網(wǎng)絡(luò)拓?fù)渑渲镁W(wǎng)絡(luò)參數(shù)

網(wǎng)絡(luò)設(shè)備配置詳細(xì)列出各設(shè)備接口、IP地址及網(wǎng)關(guān)，R1雙接口獨(dú)立網(wǎng)絡(luò)，ISP連接不同網(wǎng)段，PC系列統(tǒng)一網(wǎng)關(guān)。PC配置PC1至PC4配置各異，特別PC1使用公網(wǎng)IP，其余在私網(wǎng)，共享同一網(wǎng)關(guān)54。操作過(guò)程網(wǎng)絡(luò)參數(shù)配置指南請(qǐng)讀者根據(jù)表9-3自行配置相關(guān)網(wǎng)絡(luò)參數(shù)，這里不再演示。

操作過(guò)程：利用動(dòng)態(tài)NAT實(shí)現(xiàn)內(nèi)網(wǎng)訪(fǎng)問(wèn)外網(wǎng)利用公網(wǎng)IP地址0/24至0/24實(shí)現(xiàn)動(dòng)態(tài)地址轉(zhuǎn)換操作過(guò)程：利用動(dòng)態(tài)NAT實(shí)現(xiàn)內(nèi)網(wǎng)訪(fǎng)問(wèn)外網(wǎng)步驟1配置路由

配置默認(rèn)路由在R1上設(shè)置默認(rèn)路由至ISP:iproute-static,配置后內(nèi)外網(wǎng)應(yīng)不通。

配置動(dòng)態(tài)NAT創(chuàng)建NAT地址池0-20,配置ACL允許網(wǎng)段使用,在GigabitEthernet0/0/1啟用no-pat動(dòng)態(tài)轉(zhuǎn)換。操作過(guò)程：利用動(dòng)態(tài)NAT實(shí)現(xiàn)內(nèi)網(wǎng)訪(fǎng)問(wèn)外網(wǎng)步驟3測(cè)試

PC2訪(fǎng)問(wèn)外網(wǎng)測(cè)試成功發(fā)送5個(gè)數(shù)據(jù)包至,往返時(shí)間31-62ms,無(wú)丟包,證實(shí)PC2可訪(fǎng)問(wèn)外網(wǎng)。

PC3訪(fǎng)問(wèn)外網(wǎng)測(cè)試向發(fā)送5次ping請(qǐng)求,往返時(shí)間31-62ms,無(wú)數(shù)據(jù)包丟失,確認(rèn)PC3外網(wǎng)連通性。

PC4訪(fǎng)問(wèn)外網(wǎng)測(cè)試PC4向發(fā)送5個(gè)數(shù)據(jù)包,往返時(shí)間47-62ms,無(wú)丟包現(xiàn)象,表明PC4能訪(fǎng)問(wèn)外網(wǎng)。

動(dòng)態(tài)NAT限制動(dòng)態(tài)NAT下,每公網(wǎng)IP僅限一臺(tái)內(nèi)網(wǎng)設(shè)備使用,IP不足時(shí)需用NPAT實(shí)現(xiàn)多設(shè)備共享訪(fǎng)問(wèn)。網(wǎng)絡(luò)地址端口轉(zhuǎn)換NPAT應(yīng)用04

學(xué)習(xí)情境網(wǎng)絡(luò)訪(fǎng)問(wèn)問(wèn)題使用NPAT解決因公網(wǎng)地址不足導(dǎo)致的內(nèi)部多臺(tái)電腦無(wú)法同時(shí)上網(wǎng)問(wèn)題。

技術(shù)應(yīng)用通過(guò)網(wǎng)絡(luò)地址端口轉(zhuǎn)換，有效擴(kuò)展有限的公網(wǎng)IP，保障所有內(nèi)部計(jì)算機(jī)可同時(shí)訪(fǎng)問(wèn)互聯(lián)網(wǎng)。操作過(guò)程操作過(guò)程沿用任務(wù)3基礎(chǔ)配置，重新配置地址轉(zhuǎn)換命令，實(shí)現(xiàn)網(wǎng)絡(luò)地址端口轉(zhuǎn)換。

操作過(guò)程：配置地址轉(zhuǎn)換配置地址池配置地址池，僅含公網(wǎng)IP地址0，命令為[R1]nataddress-group100。

配置基本ACL配置基本ACL，規(guī)則5允許源地址為/24網(wǎng)段的流量通過(guò)。

配置NPAT進(jìn)入接口GigabitEthernet0/0/1，執(zhí)行natoutbound2000address-group1命令配置NPAT，該命令比動(dòng)態(tài)地址轉(zhuǎn)換少no-pat。操作過(guò)程：配置地址轉(zhuǎn)換查看配置結(jié)果

配置結(jié)果查看通過(guò)命令displaynat