防火墙技术-12.1基于windowsnat实验上

防火墙技术基于windows的NAT防火墙实验121NAT技术介绍2源NAT技术实验3目的NAT技术实验4安装RRAS5利用RRAS实现NAT目录为什么使用NAT？使用单个IP地址支持基本的TCP负载分配没有足够的全局唯一的IP地址供网络中的主机用来连接到internet更换internet服务提供商后，需要对网络进行重新编址合并两个使用重叠地址空间的内部网络NAT实施NAT优点：节省公共地址可减少编址方案重叠的情况发生将私有网络转化成公网时，无需要重新进行编址NAT缺点：NAT会增加延迟无法进行端到端的IP跟踪NAT使某些在有效负载中使用IP地址的应用无法运行NAT术语内部/外部：IP主机相对于NAT设备的物理位置。本地/全局：用户相对于NAT设备的位置或视角。NAT术语参数描述内部本地IP地址分配给内部网络中的主机的IP地址，通常这种地址来自RFC1918指定的私有地址空间。内部全局IP地址内部全局IP地址，对外代表一个或多个内部本地IP地址，通常这种地址来自全局惟一的地址空间，通常是ISP提供的。外部全局IP地址外部网络中的主机的IP地址，通常来自全局可路由的地址空间。外部本地IP地址在内部网络中看到的外部主机的IP地址，通常来自RFC1918定义的私有地址空间。简单转换条目将一个IP地址映射到另一个IP地址（通常被称为网络地址转换）的转换条目。扩展转换条目将一个IP地址和端口对映射到另一个IP地址和端口（通常被称为端口地址转换）对的转换条目。地址转换技术分类源NAT技术静态地址转换动态地址转换端口地址转换（PAT）目的NAT技术7源NAT技术静态NAT：按照一一对应的方式将每个内部IP地址转换为一个外部IP地址，这种方式经常用于企业网的内部设备需要能够被外部网络访问到时。动态NAT：将一个内部IP地址转换为一组外部IP地址（地址池）中的一个IP地址。超载（Overloading）NAT：动态NAT的一种实现形式，利用不同端口号将多个内部IP地址转换为一个外部IP地址，也称为PAT、NAPT或端口复用NAT。静态NAT静态NAT：按照一一对应的方式将每个内部IP地址转换为一个外部IP地址，这种方式经常用于企业网的内部设备需要能够被外部网络访问到时。动态NAT动态NAT：将一个内部IP地址转换为一组外部IP地址（地址池）中的一个IP地址。多端口NAPTNAPT是动态NAT的一种实现形式，NAPT利用不同的端口号将多个内部IP地址转换为一个外部IP地址，NAPT也称为PAT或端口级复用NAT。目的NAT技术目的NAT也称端口映射。采用nat技术的防火墙用来发布DMZ区域中某一端口服务的技术。例如：当将NAT外网端口地址的80端口映射为内网一台Web服务器的80端口，那么当外网用户访问nat外端口地址的80端口时，请求会被转发到内网web服务器的80端口。202.1.2.3:80--------10.10.10.100:80源地址：172.16.0.66目标地址：202.106.0.68源端口：8080目标端口：80源地址：202.106.0.68目标地址:172.16.0.66源端口：80目标端口：8080源地址：202.106.0.68目标地址:202.46.0.83源端口：80目标端口：80源地址：202.46.0.83目标地址：202.106.0.68源端口：80目标端口：80NAT服务器NAT客户机WEB服务器202.106.0.68202.46.0.83172.16.0.66NAT工作过程NAT工作过程（续）对于向外发出的数据包，NAT服务器将源IP地址和源TCP/UDP端口号转换成一个公有的源IP地址和可能改变的端口号对于流入内部网络的数据包，NAT服务器将目的地址和TCP/UDP端口转换成私有的IP地址和最初的TCP/UDP端口号151NAT技术介绍2源NAT技术实验3目的NAT技术实验4安装RRAS5利用RRAS实现NAT目录实验案例1：PAT实现源NAT技术实验环境描述：在外网Internet有服务器，地址为100.100.100.200,上面部署了多种服务，要求内网用户可以通过nat技术转换访问Internet，技术采用源PAT技术。16LANInternet内网客户端192.168.20.11/24NAT服务器web服务器192.168.20.250/24100.100.100.100/24IP地址：100.100.100.200/24网关：100.100.100.100/24内网客户端192.168.20.12/24实验案例2：多端口NAT技术实验环境描述：在NAT服务器外网端口，有从ISP分配到的100.100.100.100-110等一段地址，内网通过多端口PAT技术访问Internet。17LANInternet内网客户端192.168.20.11/24NAT服务器web服务器192.168.20.250/24100.100.100.100/24100.100.100.101/24…100.100.100.110/24IP地址：100.100.100.200/24网关：100.100.100.100/24内网客户端192.168.20.12/24181NAT技术介绍2源NAT技术实验3目的NAT技术实验4安装RRAS5利用RRAS实现NAT目录目的NAT技术目的NAT也称端口映射。采用nat技术的防火墙用来发布DMZ区域中某一端口服务的技术。例如：当将NAT外网端口地址的80端口映射为内网一台Web服务器的80端口，那么当外网用户访问nat外端口地址的80端口时，请求会被转发到内网web服务器的80端口。202.1.2.3:80--------10.10.10.100:80实验案例3：目的NAT技术实验环境描述：在内网192.168.20.11上开启了3389端口，配置NAT服务器的DNAT技术，实现Internet用户在访问100.100.100.101时，访问20.11的远程桌面。20LANInternet内网客户端192.168.20.11/24NAT服务器web服务器192.168.20.250/24100.100.100.100/24100.100.100.101/24…100.100.100.110/24IP地址：100.100.100.200/24网关：100.100.100.100/24内网客户端192.168.20.12/24211NAT技术介绍2源NAT技术实验3目的NAT技术实验4安装RRAS5利用RRAS实现NAT目录远程访问服务概述远程访问服务(RemoteAccessService，RAS)允许客户机通过拨号连接或虚拟专用网连接到公司局域网,访问局域网资源RAS通常应用于出差人员访问公司内部局域网总公司与分公司之间实现网络互访22远程访问服务概述23远程访问服务提供了两种连接方式拨号网络虚拟专用网络(VPN)内部网络RAS服务器公共网络拨号用户VPN用户VPN拨号连接虚拟专用连接拔号网络组件拔号网络客户端远程访问服务器WAN结构远程访问协议LAN协议24RAS服务器调制解调器调制解调器内部网络公共交换电话网PSTN

综合业务数字网ISDN

非对称数字用户线ADSL

点到点协议PPP串行线路网际协议SLIPMicrosoftRAS协议

TCP/IP,IPX,NetBEUI

VPN概述25家庭办公InternetVPN通道上海分公司北京总公司VPN服务器在公网上为两个局域网开辟一条安全的数据传输隧道节约成本，提高安全性虚拟专用网（VirtualPrivateNetwork，VPN）穿越公用网络（如Internet）、安全的、点对点的连接VPN组件VPN客户端VPN服务器隧道VPN连接隧道协议PPTPL2TPSSTP传输互联网络26LANInternet隧道VPN客户端VPN服务器案例：配置远程访问服务某公司规模较大，有员工需要经常出差，并且在出差期间需要访问位于公司内部的文件服务器。应如何解决这个问题？27LANInternetVPN客户机VPN服务器文件服务器200.100.100.1/24172.16.0.1/24200.100.100.2/24IP地址:172.16.0.2/24网关:172.16.0.1/24案例：配置远程访问服务推荐步骤安装路由与远程访问角色服务激活路由与远程访问服务配置远程访问服务器属性配置端口配置用户拔入权限配置客户端连接28案例：配置远程访问服务安装路由与远程访问角色激活路由与远程访问服务29案例：配置远程访问服务30配置远程访问服务器属性常规安全IPv4IPv6PPP安全日志案例：配置远程访问服务配置设备和端口设备是提供建立点到点连接端口的硬件或软件调制解调器虚拟专用网络协议设备可以支持一个或多个端口管理员可以更改设备的配置31案例：配置远程访问服务配置用户拔入权限拔入权限限制用户是否可以连接服务器32案例：配置远程访问服务配置客户端连接客户端新建VPN连接连接VPN服务器访问公司文件服务器33341NAT技术介绍2源NAT技术实验3