项目20 把办公网接入互联网

《网络组建与维护技术》项目20把办公网接入互联网核心技术

配置办公网路由器NAT技术，把办公网接入互联网学习目标

了解网络私有地址知识

了解地址转换的NAT技术

区别不同类型NAT地址转换技术

了解NAPT端口地址转换技术

配置地址转换的NAT技术

配置地址转换的NAPT技术

【项目背景】绿丰公司是家消费品销售公司，公司为适应电子商务时代发展需要，组建互联互通办公网络，搭建客户销售数据服务器，实现资源共享。此外在企业网络的出口处，安装一台路由器设备作为企业网的出口设备：一方面实现企业内部办公网之间的互联互通；另一方面把办公网接入Internet网络。企业内部网络在构建过程中，使用私有IP地址规划，构建了企业的内联网（Intranet）。为了把办公网接入Internet网络，企业向中国电信申请到有限的几个公有IP地址，在路由器设备上通过配置NAT地址转换技术，实现企业的私有网络访问外部的Internet网。【项目分析】由于IP地址的使用需求旺盛，造成了全球公有IP地址的枯竭。因此目前所有的企业网在构建的过程中，都只能使用私有IP地址。但互联网上的路由器不转发带有私有IP地址的数据包，因此企业内部计算机如果需要访问互联网，就需要在企业网络的出口路由器或者防火墙设备上，配置NAT地址转换技术，把企业网中的私有地址转换为公有IP地址，才能实现企业网访问互联网。【项目目标】本项目主要从网络管理员日常安全管理角度出发，讲解私有地址以及私有地址和公有地址转换的NAT设计基础知识。通过本单元的学习，了解私有地址的基础知识，熟悉私有地址转换为公有地址的过程，会配置NAT以及NAPT地址转换技术，实现企业网访问互联网。NAT/NAPT带来的好处解决IPv4地址空间不足的问题；私有IP地址网络与公网互联；/8，/12，/16非注册IP地址网络与公网互联；建网时分配了全局IP地址－但没注册网络改造中，避免更改地址带来的风险；什么是NAT/NAPT

NAT将网络地址,从一个地址空间,转换到另外一个地址空间的一个行为。

NAT的类型

NAT（NetworkAddressTranslation）转换后，一个本地IP地址对应一个全局IP地址

NAPT（NetworkAddressPortTranslation）转换后，多个本地地址对应一个全局IP地址NAT/NAPT的术语内部网络－Inside外部网络－Outside内部本地地址－InsideLocalAddress内部全局地址－InsideGlobalAddress外部本地地址－OutsideLocalAddress外部全局地址－OutsideGlobalAddress互联网OutsideInside企业内部网外部网NAT

NAT（网络地址转换），局域网主机访问互联网时，网络出口设备根据特定的规则，将局域网IP地址转换为公网IP,从而实现局域网多台主机利用NAT共享一条线路访问互联网。IP：AInternetIP：BIP：C（公网）IP：D（公网）server局域网A的数据到路由器后，路由器将A的IP转换为公网IP(C)，发送给服务器服务器返回数据到路由器后，路由器将公网IP(C)转换为A的IP,转发给主机ANAT工作原理/24/24源IP:

目的IP:内部本地地址内部全局地址

源IP:

目的IP:

源IP:

目的IP:

源IP:

目的IP:NAPT工作原理/24源IP::1024

目的IP::80内部本地地址：端口内部全局地址:端口外部全局地址:端口:1024:1024：80:1136:1136：80

源IP::1023

目的IP::80

源IP::80

目的IP::1024

源IP::80

目的IP::1024Web服务什么时候使用NAPT缺乏全局IP地址只有一个连接ISP的全局IP地址内部网要求上网的主机数很多提高内网的安全性NAT/NAPT的配置

NAT/NAPT的配置有两种静态NAT/NAPT

动态NAT/NAPT

静态NAT/NAPT

需要向外网络提供信息服务的主机永久的一对一IP地址映射关系

动态NAT/NAPT

只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数临时的一对一IP地址映射关系静态NAT1、定义内网接口和外网接口Router(config)#interfacefastethernet0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1Router(config-if)#ipnatinside2、建立静态的映射关系Router(config)#ipnatinsidesourcestatic

动态NAT配置1、定义内网接口和外网接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定义内部本地地址范围Router(config)#access-list10permit553、定义内部全局地址池Router(config)#ipnatpoolabc0netmask4、建立映射关系Router(config)#ipnatinsidesourcelist10poolabc静态NAPT1、定义内网接口和外网接口Router(config)#interfacefastethernet0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1Router(config-if)#ipnatinside2、建立静态的映射关系Router(config)#ipnatinsidesourcestatictcp10241024Router(config)#ipnatinsidesourcestaticudp10241024动态NAPT配置1、定义内网接口和外网接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定义内部本地地址范围Router(config)#access-list10permit553、定义内部全局地址池Router(config)#ipnatpoolabcnetmask4、建立映射关系Router(config)#ipnatinsidesourcelist10poolabcoverloadNAT/NAPT的配置静态和动态两种

静态1、定义inside和outside接口2、建立一对一映射关系3、NAT和NAPT之间区别在于NAPT需要指定协议的端口

动态1、定义inside和outside接口2、定义内网本地地址池（利用标准访问列表定义）3、定义内网全局地址池（利用ipnatpool）4、建立内网本地地址池和内网全局地址池的映射关系5、NAT和NAPT之间的区别在于NAPT在配置命令结尾加overloadNAT/NAPT的监视和维护命令

显示命令showipnatstatistics显示翻译统计showipnattranslations[verbose]显示活动翻译

清除状态命令clearipnattranslation*从NAT转换表中清除所有动态地址转换项clearipnattranslationinsidelocal-addressglobal-address

清除一个包含指定内部翻译的转换项更多的命令用clearipnat?NAT/NAPT带来的限制

限制影响网络性能不能处理IP报头加密的报文；无法实现端到端的路径跟踪（traceroute)某些应用可能支持不了：内嵌IP地址

内嵌IP地址的应用有FTPDNSNetMeetingH.323,VoIP其它自编应用项目实施20.8项目实施：把办公网接入互联网【任务描述】绿丰公司在企业网络的出口处，安装一台路由器设备作为企业网的出