网络设备安装与调试技术 课件 第10章-私有地址与公有地址间的转换( 华三版-01基础篇 )

第10章

私有地址与公有地址间的转换编著：

秦燊劳翠金

随着网络的发展，学校、公司内部的IP地址需求量不断增加，为缓解IPv4地址的不足，也为了保护内部网络的安全，隐藏内部网络的地址，局域网内部可采用私有地址，访问外网或对外网提供服务时，再通过NAT（网络地址转换）技术，将私有地址转换为公有地址，实现外网访问和对外提供服务，同时从一定程度上避免网络外部的攻击。NAT的实现方式包括静态转换、动态转换和端口多路复用PAT等。10.1静态网络地址转换和端口映射静态NAT是将内部网络的私有IP地址一对一的转换为公有IP地址，私有和公有地址的对应关系固定，除了能实现内网访问外网，还能实现外网对内网服务器等的访问。10.1.1思科设备的静态NAT和端口映射一、静态NAT配置案例：公司从运营商获得的公网地址是28~35，公司连接外网的路由器接口地址是30/29，对端是29。公司希望内网中IP地址为0的服务器和0的电脑既能访问Internet又能被外网访问，外网访问它们的地址分别是31和32。搭建如图10-1所示拓扑，完成思科设备的静态NAT配置，实现案例需求。图10-1思科静态NAT配置的拓扑1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress3048R1(config-if)#noshutdownR2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#ipaddress2948R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacegigabitEthernet0/0R2(config-if)#ipaddress52R2(config-if)#noshutdown2.在R1上配置内网外出的默认路由，命令如下：R1(config)#iproute293.在R1上配置在内部局部地址和内部全局地址之间建立静态NAT，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipnatinside//将当前接口设为inside口R1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipnatoutside//将当前接口设为outside口R1(config)#ipnatinsidesourcestatic031命令中的“insidesourcestatic”表示从inside口进入的流量将源地址（source）进行静态（static）转换，NAT将私有地址0转换为公有地址31。R1(config)#ipnatinsidesourcestatic032//本命令定义了NAT将私有地址0转换为公有地址324.内网ping外网测试，命令如下：C:\>ipconfigIPv4Address....................:0//查看本机IP地址C:\>pingReplyfrom:bytes=32time=21msTTL=126//内网可以ping通外网5.外网ping内网测试，命令如下：C:\>ipconfigIPv4Address........................://查看本机IP地址C:\>ping31Replyfrom31:bytes=32time=15msTTL=126

//外网可以ping通内网二、NAT端口映射配置内网的Server0服务器成为了公司的Web服务器（80端口），公司出于安全考虑，决定取消它访问Internet和被外网访问的权限，仅允许外网通过8080端口访问它。1.如图10-2所示，为Server0搭建Web服务。如果点击“index.html”文件的“(edit)”按钮，可对网站首页进行编辑。图10-2为Server0搭建Web服务2.先取消R1上原来的静态NAT地址转换，命令如下：R1(config)#noipnatinsidesourcestatic0313.在R1上配置NAT端口映射，命令如下：R1(config)#ipnatinsidesourcestatictcp080318080//将内网的tcp80端口转换为外网的TCP8080端口4.外网的电脑通过31:8080可以访问内网Web服务器提供Web服务。10.2动态网络地址转换

动态NAT也称为BasicNAT，是指内部网络的私有地址转换为公有地址前，要先指定允许转换的内部私有地址范围和可用的公有地址范围，私有地址和公有地址间的对应关系动态建立、动态释放，释放后，只要还有可用的公有地址就可以与之重新建立关联。动态NAT适用于内部主机数大于可用的公有地址数，但内部主机不要求同时全部上网的情况。内部有同时上网需求的主机数超过可用的公有地址数时，超出的主机只能等待，直到有公有地址被释放，才允许当前未与公有地址建立关联但又想上网的主机与其建立关联并上网。

10.2.1思科设备的动态NAT配置

案例：公司从运营商获得的公网地址是28~91。其中，公司连接外网的路由器接口地址是30/26，对端是29/26，可用于地址转换的公有地址范围是31~90。公司内网需要访问Internet的私有地址范围是~54。

在PacketTracer中搭建如图10-6所示拓扑，通过配置思科设备的动态NAT实现案例需求。图10-6思科设备动态NAT配置的拓扑

1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress3092R1(config-if)#noshutdownR1(config-if)#exitR1(config)#iproute29R2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#ipaddress2992R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacegigabitEthernet0/0R2(config-if)#ipaddress52R2(config-if)#noshutdown2.在R1上的动态NAT配置，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipnatinside//将当前接口设为inside口R1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipnatoutside//将当前接口设为outside口R1(config-if)#exitR1(config)#access-list1permit55//通过ACL定义允许外出的私有地址范围R1(config)#ipnatpoolpool13190netmask92//通过NAT地址池定义用于NAT地址转换的公有地址范围R1(config)#ipnatinsidesourcelist1poolpool1//定义NAT将ACL1中的私有地址将转换为地址池pool1中的公有地址

3.内网的电脑ping外网的服务器测试，命令如下：C:\>ipconfig//查看内网电脑的IP地址IPv4Address....................:0C:\>ping//内网的电脑ping外网的服务器Replyfrom:bytes=32time=1msTTL=126//可以ping通R1#showipnattranslations//ping完后在R1上查看网络地址的转换关系

可以看到，内部私有地址0出到外网时转换为对应的公有地址31；外部的公有地址进到内网时仍然保留为。10.3基于端口的网络地址转换

PAT（PortAddressTranslation）也称为NAPT（NetworkAddressPortTranslation），该技术使内网的不同主机可以共享同一个公有IP地址访问互连网，方法是给这些主机的外出数据包分配相同的公有地址和不同的端口号。以端口号而不是以IP地址来区分主机，这种网络地址转换方式不但最大程度的节约了IP地址资源，而且能有效的避免来自互联网的攻击，是目前最常用的NAT方式。10.3.1思科设备的PAT配置一、使用外部全局地址实现PAT转换案例：公司从运营商获得的公网地址是28~35，公司连接外网的路由器接口地址是30/29，对端是29/29，可用于地址转换的公有地址是31/29。公司内网需要访问Internet的私有地址范围是~54。在PacketTracer中搭建如图10-8所示拓扑，完成思科设备的PAT配置，实现案例需要。图10-8思科设备的PAT配置的拓扑

1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress3092R1(config-if)#noshutdownR1(config-if)#exitR1(config)#iproute29R2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#ipaddress2992R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacegigabitEthernet0/0R2(config-if)#ipaddress52R2(config-if)#noshutdown

2.R1上的PAT配置，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipnatinside//将当前接口设为inside口R1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipnatoutside//将当前接口设为outside口R1(config-if)#exitR1(config)#access-list1permit55//通过ACL定义允许外出的私有地址范围R1(config)#ipnatpoolpool13131netmask48//通过NAT地址池定义用于NAT地址转换的公有地址范围R1(config)#ipnatinsidesourcelist1poolpool1overload//定义NAT将ACL1中的私有地址将转换为地址池pool1中的公有地址，overload表示可以通过分配不同的端口号复用相同的公有地址

3.在PC0和PC1上分别ping外网服务器后，在R1上进行查看NAT转换情况，命令如下：R1#showipnattranslations可以看到，0和0出到外网时都转换成相同的公有地址31，PC0和PC1的外出数据包使用相同的公有地址和不同的端口号。二、复用路由器外部接口地址实现PAT转换如果公司只有一个可用的公有地址，这个地址已经被用在路由器的外部接口上，此时，这个地址也可作为内网私有地址经过NAT转换后的公有地址。案例：公司从运营商获得的公有地址是28~31，公司连接外网的路由器接口地址是30/30，对端是29/30。公司内网需要访问Internet的私有地址范围是~54，用于NAT地址转换的地址是公司路由器连接外网的接口地址30/30。1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress3092R1(config-if)#noshutdownR1(config-if)#exitR1(config)#iproute29R2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#ipaddress2992R2(config-if)#noshutdownR2(config-if)#exitR2(config)#