实验4.2 网络地址转换实验

XXX实验4.2

网络地址转换实验实验背景1实验目的与内容2实验设备3实验步骤4实验背景网络地址转换（NetworkAddressTranslation，NAT）是一个Internet工程任务组（InternetEngineeringTaskForce，IETF）标准，用于允许专用网络上的多台PC(使用专用地址段，例如10.x.x.x、192.168.x.x、172.16.x.x-172.31.x.x)共享单个、全局路由的IPv4地址。IPv4地址日益不足是经常部署NAT的一个主要原因。WindowsXP和WindowsMe中的“Internet连接共享”及许多Internet网关设备都使用NAT，尤其是在通过DSL或电缆调制解调器连接宽带网的情况下。网络地址转换是通过将专用网络地址（如企业内部网）转换为公用地址（如互联网），从而对外隐藏了内部管理的IP地址。这样，通过在内部使用非注册的IP地址，并将它们转换为一小部分外部注册的IP地址，从而减少了IP地址注册的费用及节省了目前越来越缺乏的地址空间（即IPV4）。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。NAT分为三种类型：静态NAT（StaticNAT）、NAT池（PooledNAT）和端口NAT（PAT）。其中静态NAT是将内部网络中的每个主机都永久映射成外部网络中的某个合法地址；NAT池是在外部网络中定义一系列的合法地址，采用动态分配的方法映射到内部网络；端口NAT是把内部地址映射到外部网络的一个IP地址的不同端口上。通过DHCP服务器的协助来控管各个客户端（执行中的用户端）上不可缺少的网络配置参数，包括域名服务（DomainNameService，DNS）、Windows互联网名字服务（WindowsInternetNameService，WINS）等。内网用户通过路由器的NAT功能访问Internet。为了限制局域网内主机对外发起的连接数，可利用路由器上配置NAT限制的最大连接数特性，对源地址发起的连接数进行限制。实验目的与内容【实验目的】（1）理解NAT使用的背景及方法。（2）掌握NAT的配置方法。【实验内容】（1）用出口接口地址做EasyNAT。（2）地址池方式做NAT。（3）对外提供FTP、WWW和SMTP服务实验设备H3C系列交换机一台，H3C系列路由器两台，计算机5台，专用配置电缆一根，网线6根，配置电缆一根，标准V35电缆一对。网络拓扑结构如图4.2所示。图4.2网络地址转换实验网络拓扑结构图

实验步骤（1）按照图4.2所示将网络拓扑结构搭建好，并将各个计算机配置好。（2）配置各个路由器的接口地址、路由协议，将网络连通为后面的实验做准备。对RT1做如下配置：<H3C>system-view[H3C]interfaceGigabitethernet0/0[H3C-GigabitEthernet0/0]ipaddress[H3C-GigabitEthernet0/0]interfaceGigabitEthernet0/1[H3C-GigabitEthernet0/1]ipaddress[H3C-GigabitEthernet0/1]quit（3）静态地址转换配置内网IP地址1到外网地址之间的一对一静态地址转换映射<H3C>system-view[H3C]natstaticoutbound1[H3C]interfaceGigabitethernet0/1[H3C-GigabitEthernet0/1]natstaticenable[H3C-GigabitEthernet0/1]quit实验步骤（4）内网用户通过NAT访问外网（地址不重叠）。①按照图4.2配置各接口的IP地址，具体配置过程略。②配置地址组0，包含两个外网地址和。<H3C>system-view[H3C]nataddress-group0[H3C-nat-address-group-0]address[H3C-nat-address-group-0]quit③配置ACL2000，仅允许对内部网络中/24网段的用户报文进行地址转换。[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource55[H3C-acl-basic-2000]quit④在接口GigabitEthernet0/1上配置出方向动态地址转换，允许使用地址组0中的地址对匹配ACL2000的报文进行源地址转换，并在转换过程中使用端口信息。[H3C]interfaceGigabitEthernet0/1[H3C-GigabitEthernet0/1]natoutbound2000address-group0[H3C-GigabitEthernet0/1]quit实验步骤（5）内网用户通过NAT访问外网（地址重叠）①按照组网图4.2配置各接口的IP地址，具体配置过程略。②开启DNS的NATALG功能。<H3C>system-view[H3C]natalgdns③配置ACL2000，仅允许对/24网段的用户报文进行地址转换。[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource55[H3C-acl-basic-2000]quit④创建地址组1并添加地址组成员。[H3C]nataddress-group1[H3C-nat-address-group-1]address[H3C-nat-address-group-1]quit实验步骤⑤创建地址组2并添加地址组成员。[H3C]nataddress-group2[H3C-nat-address-group-2]address[H3C-nat-address-group-2]quit⑥在接口GigabitEthernet0/1上配置入方向动态地址转换，允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换，并在转换过程中不使用端口信息，以及允许反向地址转换。[H3C]interfacegigabitethernet0/1[H3C-GigabitEthernet0/1]natinbound2000address-group1no-patreversible⑦在接口GigabitEthernet0/1上配置出方向动态地址转换，允许使用地址组2中的地址对内网访问外网的报文进行源地址转换，并在转换过程中使用端口信息。[H3C-GigabitEthernet0/1]natoutbound2000address-group2[H3C-GigabitEthernet0/1]quit⑧配置静态路由，目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet0/1。[H3C]iproute-static32GigabitEthernet0/1实验步骤如果要做连接数限制，还要对服务器做如下设置：[H3C]connection-limitpolicy0①配置连接数限制规则0，允许匹配ACL3000的全部主机最多只能与外网建立20000条连接，超过20000时，需要等连接数恢复到19000以下才允许建立新的连接。[H3C-connection-limit-policy-0]limit0acl3000amount2000019000②配置连接限制规则1，允许匹配ACL3001的服务器最多接受10000条连接请求，超过10000时，需要等连接数降到9800以下才允许建立新的连接。[H3C-connection-limit-policy-0]limit13001per-destination100009800[H3C-connection-limit-policy-0]quit[H3C]connection-limitpolicy1//创建连接数限制策略1③配置连接数限制规则0，允许匹配ACL3000的每台主机最多只能与外网建立100条连接，超过100时需要等连接数恢复到90以下才允许建立新的连接。[H3C-connection-limit-policy-1]limit0acl3000per-sourceamount10090[H3C-connection-limit-policy-1]quit[H3C]connection-limitapplyglobalpolicy0//在全局应用连接数限制策略0[H3C]interfacegigabitethernet0/1//在接口GigabitEthernet0/1上应用连接数限制策略1[H3C-GigabitEthernet0/1]connection-limitapplypolicy1[H3C-GigabitEthernet0/1]quit实验步骤（6）外网用户通过外网地址访问内网服务器某公司内部对外提供Web、FTP和SMTP服务，而且提供两台Web服务器。公司内部网址为/24。其中，内部FTP服务器地址为3/24，内部Web服务器1的IP地址为1/14，内部Web服务器2的IP地址为2/24，内部SMTP服务器的IP地址为4/24。公司拥有～三个公网IP地址。需要实现如下功能：外部的主机可以访问内部的服务器；选用作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。①按照图4.2配置各接口的IP地址，具体配置过程略。②进入接口GigabitEthernet0/1。<H3C>system-view[H3C]interfaceGigabitEthernet0/1③配置内部FTP服务器，允许外网主机使用地址，端口号21访问内网FTP服务器。[H3C-GigabitEthernet0/1]natserverprotocoltcpglobal21inside3ftp④配置内部Web服务器1，允许外网主机使用地址，端口号80访问内网Web服务器1。[H3C-GigabitEthernet0/1]natserverprotocoltcpglobal80inside1www⑤配置内部Web服务器2，允许外网主机使用地址，端口号8080访问内网Web服务器2。[H3C-GigabitEthernet0/1]natserverprotocoltcpglobal8080inside2www实验步骤⑥配置内部SMTP服务器，允许外网主机使用地址21及SMTP协议定义的端口访问内网SMTP服务器。[H3C-GigabitEthernet0/1]natserverprotocoltcpglobalsmtpinside4smtp[H3C-GigabitEthernet0/1]quit如果要实现负载分担内部两台Web服务器，需要做如下设置：配置内部服务器组0及其成员1和2。<H3C>system-view[H3C]natserver-group0[H3C-nat-server-group-0]insideip1port80[H3C-nat-server-group-0]insideip1port8080[H3C-nat-server-group-0]quit在接口GigabitEthernet0/1上配置负载分担内部服务器，引用内部服务器组0，该组内的主机共同对外提供FTP服务。[H3C]interfaceGigabitEthernet0/1[H3C-GigabitEthernet0/1]natserverprotocoltcpglobalwwwinsideserver-group0[H3C-GigabitEthernet0/1]quit实验步骤（7）外网用户通过域名访问内网服务器（地址不重叠）某公司内部对外提供Web服务，Web服务器地址为2/24。该公司在内网有一台DNS服务器，IP地址为3/24，用于解析Web服务器的域名。该公司拥有三个外网IP地址：、和。需要实现外网主机可以通过域名访问内网的Web服务器。①按照图4.2配置各接口的IP地址，具体配置过程略。<H3C>system-view[H3C]natalgdns//开启DNS协议的ALG功能②配置ACL2000，允许对内部网络中2的报文进行地址转换。[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource20[H3C-acl-basic-2000]quit③创建地址组1并添加地址组成员。[H3C]nataddress-group1[H3C-nat-address-group-1]address[H3C-nat-address-group-1]quit④在接口GigabitEthernet0/1上配置NAT内部服务器，允许外网主机使用地址访问内网DNS服务器。[H3C]interfaceGigabitEthernet0/1[H3C-GigabitEthernet0/1]natserverprotocoludpglobalinside3domain实验步骤⑤在接口GigabitEthernet0/1上配置出方向动态地址转换，允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换，并在转换过程中不使用端口信息，以及允许反向地址转换。[H3C-GigabitEthernet0/1]natoutbound2000address-group1no-patreversible[H3C-GigabitEthernet0/1]quit8、外网用户通过域名访问内网服务器（地址重叠）。某公司内部对外提供Web服务，Web服务器地址为2/24。该公司在内网有一台DNS服务器，IP地址为3/24，用于解析Web服务器的域名。该公司拥有三个外网IP地址：、和。需要实现外网主机可以通过域名访问与其地址重叠的内网Web服务器。①按照图4.2配置各接口的IP地址，具体配置过程略。②开启DNS协议的ALG功能。<H3C>system-view[H3C]natalgdns③配置ACL2000，允许对内部网络中/24网段的报文进行地址转换。[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource55[H3C-acl-basic-2000]quit实验步骤④创建地址组1并添加地址组成员。[H3C]nataddress-group1[H3C-nat-address-group-1]address[H3C-nat-address-group-1]quit⑤创建地址