网络设备安装与调试技术 课件 第10章-私有地址与公有地址间的转换( 华三版-02 )_第1页
网络设备安装与调试技术 课件 第10章-私有地址与公有地址间的转换( 华三版-02 )_第2页
网络设备安装与调试技术 课件 第10章-私有地址与公有地址间的转换( 华三版-02 )_第3页
网络设备安装与调试技术 课件 第10章-私有地址与公有地址间的转换( 华三版-02 )_第4页
网络设备安装与调试技术 课件 第10章-私有地址与公有地址间的转换( 华三版-02 )_第5页
已阅读5页,还剩14页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第10章

私有地址与公有地址间的转换编著:

秦燊劳翠金

随着网络的发展,学校、公司内部的IP地址需求量不断增加,为缓解IPv4地址的不足,也为了保护内部网络的安全,隐藏内部网络的地址,局域网内部可采用私有地址,访问外网或对外网提供服务时,再通过NAT(网络地址转换)技术,将私有地址转换为公有地址,实现外网访问和对外提供服务,同时从一定程度上避免网络外部的攻击。NAT的实现方式包括静态转换、动态转换和端口多路复用PAT等。10.1静态网络地址转换和端口映射静态NAT是将内部网络的私有IP地址一对一的转换为公有IP地址,私有和公有地址的对应关系固定,除了能实现内网访问外网,还能实现外网对内网服务器等的访问。10.1.2华为设备的静态NAT和端口映射

一、静态NAT配置

案例:公司从运营商获得的公网地址是28~35,公司连接外网的路由器接口地址是30/29,对端是29。公司希望内网中IP地址为0的服务器和0的电脑既能访问Internet又能被外网访问,外网访问它们的地址分别是31和32。

在eNSP中搭建如图10-3所示拓扑,通过配置静态NAT,实现案例需求。步骤如下:图10-3华为静态NAT配置的拓扑

1.各路由器的基本配置,命令如下:[R1]interfaceGigabitEthernet0/0/0//R1的配置[R1-GigabitEthernet0/0/0]ipaddress24[R1-GigabitEthernet0/0/0]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress3029[R2]interfaceGigabitEthernet0/0/1//R2的配置[R2-GigabitEthernet0/0/1]ipaddress2929[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]ipaddress30

2.内网Server0的配置如下:IP地址:0,子网掩码:,网关:

3.内网PC0的配置如下:IP地址:0,子网掩码:,网关:

4.外网Server1的配置如下:

IP地址:,子网掩码:52,网关:

5.配置内网外出的默认路由,命令如下:[R1]iproute-static029

6.在R1上配置在内部局部地址和内部全局地址之间建立静态NAT,命令如下:[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natstaticglobal31inside0//将当前接口作为outside接口,将公网地址31映射到私网地址0[R1-GigabitEthernet0/0/1]natstaticglobal32inside0//将当前接口作为outside接口,将公网地址32映射到私网地址07.内网PC0ping外网Server1测试,命令如下:C:\DocumentsandSettings\Administrator>ipconfig//查看本机地址IPAddress............:0C:\DocumentsandSettings\Administrator>ping//ping外网Server1Replyfrom:bytes=32time=44msTTL=126//可以ping通8.内网Server0ping外网Server1测试,命令如下:C:\DocumentsandSettings\Administrator>ipconfig//查看本机地址IPAddress............:0C:\DocumentsandSettings\Administrator>ping//ping外网Server1Replyfrom:bytes=32time=36msTTL=126//可以ping通9.外网Server1ping内网PC0,命令如下:C:\DocumentsandSettings\Administrator>ping32Replyfrom32:bytes=32time=53msTTL=126//可以ping通10.外网Server1ping内网Server0,命令如下:C:\DocumentsandSettings\Administrator>ping31Replyfrom31:bytes=32time=67msTTL=126//可以ping通二、NAT端口映射配置内网的Server0服务器成为了公司的Web服务器(80端口),公司出于安全考虑,决定取消它访问Internet和被外网访问的权限,仅允许外网通过8080端口访问它。1.取消原来R1上的静态NAT地址转换,命令如下:[R1-GigabitEthernet0/0/1]undonatstaticglobal31inside0[R1-GigabitEthernet0/0/1]undonatstaticglobal32inside02.在R1上配置NAT端口映射,命令如下:[R1-GigabitEthernet0/0/1]natstaticprotocoltcpglobal318080inside080//将当前接口作为outside接口,将公网地址32的TCP8080端口映射到私网地址0的TCP80端口3.如图10-4所示,外网服务器(或电脑)通过31:8080,可以访问内网Web服务器提供的Web服务。图10-4外网访问内网的Web服务10.2动态网络地址转换

动态NAT也称为BasicNAT,是指内部网络的私有地址转换为公有地址前,要先指定允许转换的内部私有地址范围和可用的公有地址范围,私有地址和公有地址间的对应关系动态建立、动态释放,释放后,只要还有可用的公有地址就可以与之重新建立关联。动态NAT适用于内部主机数大于可用的公有地址数,但内部主机不要求同时全部上网的情况。内部有同时上网需求的主机数超过可用的公有地址数时,超出的主机只能等待,直到有公有地址被释放,才允许当前未与公有地址建立关联但又想上网的主机与其建立关联并上网。

10.2.2华为设备的动态NAT配置

案例:公司从运营商获得的公网地址是28~35。其中,公司连接外网的路由器接口地址是30/29,对端是29/29,可用于地址转换的公有地址范围是31~34。公司内网需要访问Internet的私有地址范围是~54。如图10-7所示,在华为“端口映射配置”案例的基础上继续学习华为设备的动态NAT配置,完成案例需求。

图10-7华为设备动态NAT配置的拓扑

1.取消原来R1上的NAT端口映射,命令如下:[R1]intGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]undonatstaticprotocoltcpglobal318080inside080

2.R1上的动态NAT配置,命令如下:[R1]acl2000[R1-acl-basic-2000]rulepermitsource55[R1-acl-basic-2000]quit[R1]nataddress-group13134[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000address-group1no-pat

3.在R1上查看NAT地址池配置信息,命令如下:[R1]displaynataddress-group1IndexStart-addressEnd-address13134

4.在R1上查看动态NAT配置信息,命令如下:[R1]displaynatoutboundInterfaceAclAddress-group/IP/Interface

TypeGigabitEthernet0/0/120001 no-pat10.3基于端口的网络地址转换

PAT(PortAddressTranslation)也称为NAPT(NetworkAddressPortTranslation),该技术使内网的不同主机可以共享同一个公有IP地址访问互连网,方法是给这些主机的外出数据包分配相同的公有地址和不同的端口号。以端口号而不是以IP地址来区分主机,这种网络地址转换方式不但最大程度的节约了IP地址资源,而且能有效的避免来自互联网的攻击,是目前最常用的NAT方式。10.3.2华为设备的NAPT配置一、使用外部全局地址实现NAPT转换案例:公司从运营商获得的公网地址是28~35,公司连接外网的路由器接口地址是30/29,对端是29/29,可用于地址转换的公有地址是31/29。公司内网需要访问Internet的私有地址范围是~54。如图10-9所示,在华为设备“动态NAT配置”的基础上继续NAPT配置,实现案例需求。图10-9华为设备NAPT配置的拓扑1.保留如下用于定义“需要访问Internet的私有地址范围”的ACL命令:[R1]acl2000[R1-acl-basic-2000]rulepermitsource552.在R1上更改NAT地址池,命令如下:[R1]undonataddress-group1[R1]nataddress-group131313.在R1上取消原来的动态NAT配置,改为NAPT,命令如下:[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]undonatoutbound2000address-group1no-pat[R1-GigabitEthernet0/0/1]natoutbound2000address-group14.在内网Server0和PC0上ping外网Server1,测试内网与外网的连通性,以Server0为例,命令如下:C:\DocumentsandSettings\Administrator>pingReplyfrom:bytes=32time=27msTTL=126可以看到,Server0能ping通外网Server1。同样的PC0同样也能ping通。5.在R1上查看NATP会话信息,命令如下:[R1]displaynatsessionall可以看到,私有地址0和0同时映射到了同一个公有地址31,只是映射到了不同的端口号。二、复用路由器外部接口地址的EasyIP配置示例在华为设备“使用外部全局地址实现NAPT转换”案例的基础上继续配置:1.保留如下用于定义“需要访问Internet的私有地址范围”的ACL命令:[R1]acl2000[R1-acl-basic-2000]rulepermitsource552.取消R1上原来的NAPT配置,改为EasyIP,命令如下:[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthe

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论