网络设备配置与管理项目式教程（第3版） 课件 4.4利用NAT实现内网服务器向互联网发布信息

利用NAT实现内网服务器向

互联网发布信息教学目标能够利用NAT技术实现内网服务器向互联网发布信息；能够根据应用要求确定NAT在局域网中的部署位置；能够进行NAT故障排除并检查NAT正确性；能够描述应用网络地址转换技术NAT的优缺点；能够描述网络地址转换NAT技术的主要应用；工作任务

一个中小企业网络，企业为三个部门划分了子网，分别为生产部、管理部和财务部，对应子网分别是VLAN10、VLAN20和VLAN30。企业网络内部主机和节点采用私有IP地址。该企业网络使用路由器RT1的串行口接入互联网，并且向互联网接入服务提供商ISP租用了两个注册IP地址，一个IP地址为/24，用于路由器RT1的串行口接入互联网，另一个IP地址为/24，作为企业HTTP服务器的公有注册IP地址，向互联网发布信息。考虑到HTTP服务器的安全性，现将该服务器部署在局域网内部SERVER1，希望通过恰当配置，既保证内网用户可以用私有地址访问SERVER1上的HTTP服务，又能实现在SERVER1上的内网服务器HTTP向互联网发布信息。网络拓扑利用NAT使内网服务器向互联网提供信息服务操作步骤（演示）步骤1．在三层交换机SW1上创建VLAN，将相应端口加入VLAN，并配置交换虚拟接口（SVI）地址。步骤2．配置路由器名称和端口IP地址。步骤3．在三层交换机SW1、路由器RT1上配置路由。步骤4．在三层交换机SW1、路由器RT1上配置默认路由。步骤5．测试网络连通性。步骤6．在路由器RT1上配置静态NAT映射。步骤7．验证静态地址转换NAT配置的有效性。步骤8．查看地址转换NAT配置的正确性。操作要领

地址转换一般配置在连接内网和外网的出口路由器上，注意区分Outside和Inside端口配置位置；对于访问量较大的网站，通常用内网服务器群来提供服务，这时采用反向负载分布NAT技术实现效果较为理想。尽量不要用广域网接口地址作为映射的全局地址，例如本NAT方案中，与互联网连接的串口IP地址为/24，而将内网服务器私有地址映射的公有注册IP地址为/24。相关知识—NAT/NAPT配置NAT/NAPT的配置有两种静态NAT/NAPT动态NAT/NAPT静态NAT/NAPT需要向外网络提供信息服务的主机永久的一对一IP地址映射关系动态NAT/NAPT只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数临时的一对一IP地址映射关系相关知识—静态NAT配置步骤1、定义内网接口和外网接口Router(config)#interfacefastethernet1/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1/1Router(config-if)#ipnatinside2、建立静态的映射关系Router(config)#ipnatinsidesourcestatic相关知识—静态NAPT配置步骤

1、定义内网接口和外网接口Router(config)#interfacefastethernet0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1Router(config-if)#ipnatinside 2、建立静态的映射关系Router(config)#ipnatinsidesourcestatictcp10241024相关知识—动态NAT配置1、定义内网接口和外网接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定义内部本地地址范围Router(config)#access-list10permit553、定义内部全局地址池Router(config)#ipnatpoolabc0netmask4、建立映射关系Router(config)#ipnatinsidesourcelist10poolabc相关知识—动态NAPT配置1、定义内网接口和外网接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定义内部本地地址范围Router(config)#access-list10permit553、定义内部全局地址池Router(config)#ipnatpoolabcnetmask4、建立映射关系Router(config)#ipnatinsidesourcelist10poolabcoverload相关知识—NAT/NAPT监视和维护命令显示命令showipnatstatistics显示翻译统计showipnattranslations[verbose]显示活动翻译清除状态命令clearipnattranslation*从NAT转换表中清除所有动态地址转换项相关知识—NAT/NAPT优点应用NAT技术的主要优点：为节省公有注册IP地址提供了解决方案。在外部用户面前隐藏了内部网络的地址，提高了内部网络的安全性。解决了地址重复使用问题。

相关知识—NAT/NAPT缺点应用NAT技术的主要缺点：

NAT操作比较消耗设备资源，增加了网络延时；不能处理IP报头加密的报文；无法实现端到端的路径跟踪（traceroute)；某些应用可能支持不了，如内嵌IP地址。内嵌IP地址的应用有：FTPDNSNetMeetingH.323,VoIP其它自编应用NAT与应用的兼容性问题，详见RFC3027

相关知识—NAT/NAPT典型应用静态一对一NAT

在路由器上静态地把内部网络中的一个私有地址和一个公有注册地址进行绑定。动态NAT在路由器上设定一个公有地址池，该地址池中有