网络设备配置与管理项目式教程（第3版） 课件 4.3利用动态NAPT实现局域网主机访问互联网

利用动态NAPT实现局域网

主机访问互联网教学目标能够利用动态NAPT技术实现局域网私有地址访问互联网；能够确定NAPT在局域网中的安装位置；能够进行NAPT故障排除并检查NAPT正确性；能够描述网络地址转换NAT的作用和主要功能；能够描述网络地址转换NAT的主要术语和工作过程。工作任务

一个中小企业网络，企业为三个部门划分了子网，分别为生产部、管理部和财务部，对应子网分别是VLAN10、VLAN20和VLAN30。企业网络内部主机和节点采用私有IP地址，如图所示。该企业网络使用路由器RT1的串行口接入因特网，并且向因特网接入服务提供商ISP租用了一个注册IP地址200.1.1.1/24。希望通过恰当配置，实现使用私有IP地址的内网用户访问因特网。网络拓扑利用动态NAPT实现局域网私有地址访问互联网操作步骤（演示）步骤1．在三层交换机SW1上创建VLAN，将相应端口加入VLAN，并配置交换虚拟接口（SVI）地址。步骤2．配置路由器名称和端口IP地址。步骤3．在三层交换机SW1、路由器RT1上配置路由。步骤4．在三层交换机SW1、路由器RT1上配置默认路由步骤5．测试网络连通性。步骤6．在路由器RT1上配置基于端口的动态NAPT映射步骤7．验证地址转换NAPT配置的有效性步骤8．查看地址转换NAPT配置的正确性操作要领

地址转换一般配置在连接内网和外网的出口路由器上；为了能够访问因特网的所有有效IP地址，必须在内网三层交换机或者路由器上配置默认路由，确保内网路由表中没有出现的因特网IP地址能够转发到出口路由器；尽量不要用广域网接口地址作为映射的全局地址，本例中特定仅有一个公网注册IP地址，实际工作中不推荐。相关知识—NAT应用场合局域网与Internet互联时，需要使用NAT技术代理服务器proxy、ISA、ICS、

wingate、sysgate等NAT/NAPT(网络地址转换/网络地址端口转换)路由器、防火墙、核心交换机、服务器相关知识—NAT实现方式相关知识—NAT/NAPT带来的好处解决地址空间不足的问题；IPv4的空间已经严重不足私有IP地址网络与公网互联；10.0.0.0/8，172.16.0.0/12，192.168.0.0/16非注册IP地址网络与公网互联；建网时分配了全局IP地址－但没注册网络改造中，避免更改地址带来的风险相关知识—NAT/NAPT概念概念：NAT就是将网络地址从一个地址空间转换到另外一个地址空间的技术NAT的类型NAT（NetworkAddressTranslation）转换后，一个本地IP地址对应一个全局IP地址NAPT（NetworkAddressPortTranslation）转换后，多个本地地址对应一个全局IP地址相关知识—NAT/NAPT术语NAT中用到的接口类型：内部网络－Inside外部网络－OutsideNAT中常见的术语：内部本地地址－InsideLocalAddress内部全局地址－InsideGlobalAddress外部本地地址－OutsideLocalAddress外部全局地址－OutsideGlobalAddress互联网OutsideInside企业内部网外部网相关知识—NAT工作原理200.8.7.3/24200.8.7.4/2463.5.8.1192.168.1.5192.168.1.7内部本地地址内部全局地址192.168.1.7200.8.7.3192.168.1.5200.8.7.4源IP:192.168.1.7

目的IP:63.5.8.1

源IP:200.8.7.3

目的IP:63.5.8.1

源IP:63.5.8.1

目的IP:200.8.7.3

源IP:63.5.8.1

目的IP:192.168.1.7

源IP:200.8.7.3

目的IP:63.5.8.1

源IP:63.5.8.1

目的IP:192.168.1.7相关知识—NAPT工作原理200.8.7.3/2463.5.8.1192.168.1.5192.168.1.7源IP:192.168.1.7:1024

目的IP:63.5.8.1:80内部本地地址：端口内部全局地址:端口外部全局地址:端口192.168.1.7:1024200.8.7.3:102463.5.8.1：80192.168.1.5:1136200.8.7.3:113663.5.8.1：80

源IP:200.8.7.3:1024

目的IP:63.5.8.1:80

源IP:63.5.8.1:80

目的IP:200.8.7.3:1024

源IP:63.5.8.1:80

目的IP:192.168.1.7:1024Web服务

源IP:200.8.7.3:1024

目的IP:63.5.8.1:80

源IP:63.5.8.1:80

目的IP:192.168.1.7:1024相关知识—NAPT应用场合NAPT技术应用场合：缺乏全局IP地址,甚至没有专门申请的全局IP地址，只有一个连接ISP的全局IP地址内部网要求上网的主机数很多提高内网的安全性相关知识—NAT/NAPT配置NAT/NAPT的配置有两种静态NAT/NAPT动态NAT/NAPT静态NAT/NAPT需要向外网络提供信息服务的主机永久的一对一IP地址映射关系动态NAT/NAPT只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数临时的一对一IP地址映射关系相关知识—静态NAT配置步骤1、定义内网接口和外网接口Router(config)#interfacefastethernet1/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1/1Router(config-if)#ipnatinside2、建立静态的映射关系Router(config)#ipnatinsidesourcestatic192.168.1.7200.8.7.3相关知识—静态NAPT配置步骤

1、定义内网接口和外网接口Router(config)#interfacefastethernet0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1Router(config-if)#ipnatinside 2、建立静态的映射关系Router(config)#ipnatinsidesourcestatictcp

192.168.1.71024200.8.7.31024相关知识—动态NAT配置1、定义内网接口和外网接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定义内部本地地址范围Router(config)#access-list10permit192.168.1.00.0.0.2553、定义内部全局地址池Router(config)#ipnatpoolabc200.8.7.3200.8.7.10netmask255.255.255.04、建立映射关系Router(config)#ipnatinsidesourcelist10poolabc相关知识—动态NAPT配置1、定义内网接口和外网接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定义内部本地地址范围Router(config)#access-list10permit192.168.1.00.0.0.2553、定义内部全局地址池Router(config)#ipnatpoolabc200.8.7.3200.8.7.3netmask255.255.255.04、建立映射关系Router(config)#ipnatinsidesourceli