网络设备安装与调试技术 课件 第10章-私有地址与公有地址间的转换( 华三版-03华三篇)

第10章

私有地址与公有地址间的转换编著：

秦燊劳翠金

随着网络的发展，学校、公司内部的IP地址需求量不断增加，为缓解IPv4地址的不足，也为了保护内部网络的安全，隐藏内部网络的地址，局域网内部可采用私有地址，访问外网或对外网提供服务时，再通过NAT（网络地址转换）技术，将私有地址转换为公有地址，实现外网访问和对外提供服务，同时从一定程度上避免网络外部的攻击。NAT的实现方式包括静态转换、动态转换和端口多路复用PAT等。10.1静态网络地址转换和端口映射静态NAT是将内部网络的私有IP地址一对一的转换为公有IP地址，私有和公有地址的对应关系固定，除了能实现内网访问外网，还能实现外网对内网服务器等的访问。10.1.3华三设备的静态NAT和NATServer一、静态NAT配置案例：公司从运营商获得的公网地址是28~35，公司连接外网的路由器接口地址是30/29，对端是29。公司希望内网中IP地址为0的服务器和0的电脑既能访问Internet又能被外网访问，外网访问它们的地址分别是31和32。在HCL中搭建如图10-5所示拓扑，通过静态NAT配置完成案例需求。图10-5华三静态NAT配置的拓扑

1.各路由器的基本配置，命令如下：[R1]interfaceGigabitEthernet0/0//R1的配置[R1-GigabitEthernet0/0]ipaddress24[R1-GigabitEthernet0/0]quit[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]ipaddress3029[R2]interfaceGigabitEthernet0/1//R2的配置[R2-GigabitEthernet0/1]ipaddress2929[R2-GigabitEthernet0/1]quit[R2]interfaceGigabitEthernet0/0[R2-GigabitEthernet0/0]ipaddress302.内网Server0的配置如下：IP地址：0，子网掩码：，网关：3.内网PC0的配置如下：IP地址：0，子网掩码：，网关：4.外网Server1的配置如下：IP地址：，子网掩码：52，网关：

5.配置内网外出的默认路由，命令如下：[R1]iproute-static029

6.在R1上在内部局部地址和内部全局地址之间配置静态NAT，命令如下：[R1]natstaticoutbound031//将公网地址31映射到私网地址0[R1]natstaticoutbound032//将公网地址32映射到私网地址0[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]natstaticenable//开启接口上的NAT静态地址转换功能

7.内网PC0ping外网Server1测试，命令如下：C:\DocumentsandSettings\Administrator>ipconfig//查看本机地址IPAddress............:0C:\DocumentsandSettings\Administrator>ping//ping外网Server1Replyfrom:bytes=32time=44msTTL=126//可以ping通

8.内网Server0ping外网Server1测试，命令如下：C:\DocumentsandSettings\Administrator>ipconfig//查看本机地址IPAddress............:0C:\DocumentsandSettings\Administrator>ping//ping外网Server1Replyfrom:bytes=32time=36msTTL=126//可以ping通

9.外网Server1ping内网PC0测试，命令如下：C:\DocumentsandSettings\Administrator>ping32Replyfrom32:bytes=32time=53msTTL=126//可以ping通

10.外网Server1ping内网Server0测试，命令如下：C:\DocumentsandSettings\Administrator>ping31Replyfrom31:bytes=32time=67msTTL=126//可以ping通二、NATServer配置

内网的Server0服务器成为了公司的Web服务器（80端口），公司出于安全考虑，决定取消它访问Internet的权限，仅允许外网通过8080端口访问它。

1.取消原来R1上的静态NAT地址转换，命令如下：[R1]undonatstaticoutbound031[R1]undonatstaticoutbound032[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]undonatstaticenable

2.在R1上配置NATServer，命令如下：[R1-GigabitEthernet0/1]natserverprotocoltcpglobal318080inside080//将当前接口作为outside接口，允许公网主机主动向私网主机发起连接，将公网地址32的TCP8080端口映射到私网地址0的TCP80端口

3.外网服务器（或电脑）通过“31:8080”，可以访问内网Web服务器提供Web服务。10.2动态网络地址转换

动态NAT也称为BasicNAT，是指内部网络的私有地址转换为公有地址前，要先指定允许转换的内部私有地址范围和可用的公有地址范围，私有地址和公有地址间的对应关系动态建立、动态释放，释放后，只要还有可用的公有地址就可以与之重新建立关联。动态NAT适用于内部主机数大于可用的公有地址数，但内部主机不要求同时全部上网的情况。内部有同时上网需求的主机数超过可用的公有地址数时，超出的主机只能等待，直到有公有地址被释放，才允许当前未与公有地址建立关联但又想上网的主机与其建立关联并上网。

10.2.3华三设备的BasicNAT配置

案例：公司从运营商获得的公网地址是28~35。其中，公司连接外网的路由器接口地址是30/29，对端是29/29，可用于地址转换的公有地址范围是31~34。公司内网需要访问Internet的私有地址范围是~54。

在华三“NATServer”案例的基础上继续学习华三设备的BaseicNAT配置，完成案例需求。

1.取消原来R1上的NATServer配置，命令如下：[R1]intGigabitEthernet0/0/1[R1-GigabitEthernet0/1]undonatserverprotocoltcpglobal318080

2.R1上的BasicNAT配置，命令如下：[R1]aclbasic2000[R1-acl-ipv4-basic-2000]rulepermitsource55//通过ACL定义允许外出的私有地址范围[R1-acl-ipv4-basic-2000]quit[R1]nataddress-group1[R1-address-group-1]address3134//通过NAT地址池定义用于NAT地址转换的公有地址范围[R1-address-group-1]quit[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]natoutbound2000address-group1no-pat//定义NAT，将当前接口作为outside接口，将ACL2000中的私有地址将转换为地址池pool1中的公有地址

3.在R1上查看NAT地址池配置信息，命令如下：[R1]displaynataddress-group1AddressgroupID:1Portrange:1-65535Addressinformation:StartaddressEndaddress3134

4.在R1上查看动态NAT配置信息，命令如下：[R1]displaynatoutboundNAToutboundinformation:Totally1NAToutboundrules.Interface:GigabitEthernet0/1ACL:2000AddressgroupID:1Port-preserved:NNO-PAT:YReversible:NNATcounting:0Configstatus:Active10.3基于端口的网络地址转换

PAT（PortAddressTranslation）也称为NAPT（NetworkAddressPortTranslation），该技术使内网的不同主机可以共享同一个公有IP地址访问互连网，方法是给这些主机的外出数据包分配相同的公有地址和不同的端口号。以端口号而不是以IP地址来区分主机，这种网络地址转换方式不但最大程度的节约了IP地址资源，而且能有效的避免来自互联网的攻击，是目前最常用的NAT方式。10.3.3华三设备的NAPT配置一、使用外部全局地址实现NAPT转换案例：公司从运营商获得的公网地址是28~35，公司连接外网的路由器接口地址是30/29，对端是29/29，可用于地址转换的公有地址是31/29。公司内网需要访问Internet的私有地址范围是~54。在华三设备“BasicNAT配置”的基础上继续NAPT配置，实现案例需求。1.保留R1上用于定义“需要访问Internet的私有地址范围”的ACL，命令如下：[R1]aclbasic2000[R1-acl-ipv4-basic-2000]rulepermitsource55[R1-acl-ipv4-basic-2000]quit2.更改R1上的NAT地址池，命令如下：[R1]undonataddress-group1//删除原来的NAT地址池[R1]nataddress-group1//创建新的地址池[R1-address-group-1]address3131[R1-address-group-1]quit3.取消R1上原来的动态NAT配置，改为NAPT，命令如下：[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]undonatoutbound2000//删除原来的动态NAT[R1-GigabitEthernet0/1]natoutbound2000address-group1//改为NAPT4.在内网Server0和PC0上ping外网Server1，测试内网与外网的连通性，以PC0为例，命令如下：C:\DocumentsandSettings\Administrator>ping-n1Replyfrom:bytes=32time=5msTTL=126测试结果是PC0能ping通外网Server1。同样的，Server0也能ping通Server1。5.在R1上查看NATP会话信息，命令如下：[R1]displaynatsessionbrief可以看到，私有地址0和0同时映射到了同一个公有地址31。二、复用路由器外部接口地址的EasyIP配置示例1.保留R1上用于定义“需要访问Internet的私有地址范围”的ACL，命令如下：[R1]aclbasic2000[R1-acl-ipv4-basic-2000]rulepermitsource55[R1-acl-ipv4-basic-2000]quit2.删除R1上原来的NAPT配置，改为EasyIP，命令如下：[R