路由交换设备项目化管理与配置 课件 项目15 静态NAT与动态NAT

项目15

静态NAT与动态NAT目录CONTENTS知识链接网络文档、VRP文件系统、网络管理命令项目设计网络拓扑图、IP地址、DNS设计项目描述为微小企业局域网部署链路聚合项目实施与验证链路聚合功能验证0103020401PART020304知识链接1.1网络地址转换NAT01021.1.1NAT技术原理NAT是对IP数据报文中的IP地址进行转换，是一种在现网中被广泛部署的技术，一般部署在网络出口设备，例如路由器或防火墙上。私有网络访问Internet，必须在网络出口设备配置NAT，将访问Internet的IP数据报文中的私有网络源地址转换成公有网络源地址。Internet访问私有网络，必须在网络出口设备配置NAT，将访问私有网络的IP数据报文中的公有网络目的地址转换成私有网络目的地址，如图15-1所示。这些特定的方式主要有3种，分别是静态NAT，动态NAT和NAPT。1.1网络地址转换NAT01021.1.2静态NAT原理静态NAT将内部私有地址与公有地址进行一对一映射。每个私有地址访问Internet经过出口设备NAT转换时，会被转换成对应的一个公有地址。同时，外部网络访问内部网络时，其报文中携带的公有地址(目的地址)也会被NAT设备转换成对应的私有地址.1.1网络地址转换NAT01021.1.3动态NAT原理动态NAT提出了地址池的概念，将所有可用的公有地址组成地址池。当内部主机访问外部网络时临时分配一个地址池中未使用的地址，并将该地址标记为“InUse”。当该主机不再访问外部网络时回收分配的地址，重新标记为"NotUse"1.2NAT配置常用命令01021.接口视图下配置静态NATnatstaticglobal{global-address}inside{host-address}其中，global参数用于配置外部公有地址，inside参数用于配置内部私有地址。2.系统视图下配置静态NATnatstaticglobal{global-address}inside{host-address}配置命令相同，视图为系统视图，之后在具体的接口下使能natstatic功能。natstaticenable3.创建地址池nataddress-groupgroup-indexstart-addressend-address其中，group-index为地址池编号，start-address、end-address分别为地址池起始地址和终止地址。4.配置地址转换的ACL规则aclnumberrulepermitsourcesource-addresssource-wildcard配置基础ACL，匹配需要进行动态转换的源地址范围。5.接口视图下配置带地址池的NATOutboundnatoutboundacl-numberaddress-groupgroup-index[no-pat]接口下关联ACL与地址池进行动态地址转换，no-pat参数指定不进行端口转换。知识链接02PART010304项目描述2.1项目简介0102

A公司是一家中小型企业，企业出口路由器AR1通过串口连接到电信运营商ISP，ISP给AR1接口分配的地址是/24，给企业分配用于地址翻译的地址段是/24。A公司内部有WWW、BBS两台服务器，两台服务器有固定且合法IP地址时，才能对外提供服务。项目描述03PART010204项目设计单击输入你的正文3.1总体设计及设计参数0102网络地址转换配置由五部分组成：第一部分是搭建项目环境：（1）配置终端的IP地址和网络服务。公司局域网为/24，外部局域网为/24。（2）配置路由器接口IP地址。路由器之间用串口连接的网络使用/24和/30。（3）配置静态路由协议，实现网络互通。第二部分是配置静态网络地址转换：（1）配置静态网络地址转换和动态网络地址转换。从ISP分配给公司用于NAT的地址段中拿出两个地址/24和/24，分别用于WWW和BBS两台服务器对外服务的地址。第三部分是配置动态网络地址转换：（1）其他计算机终端配置为动态网络地址转换，设计地址池的编号为1，映射公有IP地址池范围为~0。第四部分是修改静态路由。第五部分是项目实施结果验证：（1）项目实施结果验证，公司内部网络终端能够通过公网地址与外部网络进行通信。项目设计3.1总体设计及设计参数0102项目设计

静态NAT与动态NAT配置思路流程图3.1总体设计及设计参数0102项目设计序号接口子网号接口IP地址AR1GE0/0/0/2454Serial1/0/0/24AR2Serial1/0/0/24Serial1/0/1/30AR3Serial1/0/0/30GE0/0/0/2454计算机名IP地址网关公有IP地址域名PC1/2454

HTTP/2454

DNS/2454

WWW/2454BBS/2454PC2/2454~0

PC3/245404PART010203项目实施与验证单击输入你的正文4.1配置计算机0102配置计算机IP地址及网络服务项目实施与验证4.2配置路由器接口01024.2.1配置AR1接口IP地址，配置命令项目实施与验证<AR1>sys[AR1]undoinfo-centerenable[AR1]intGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipadd5424[AR1-GigabitEthernet0/0/0]quit[AR1]intSerial1/0/0[AR1-Serial1/0/0]ipadd244.2配置路由器接口01024.2.2配置AR2接口IP地址，配置命令项目实施与验证<AR2>sys[AR2]undoinfo-centerenable[AR2]intSerial1/0/0[AR2-Serial1/0/0]ipadd24[AR2-Serial1/0/0]q[AR2]intSerial1/0/1[AR2-Serial1/0/1]ipadd304.2配置路由器接口01024.2.3配置AR3接口IP地址，配置命令项目实施与验证<AR3>sys[AR3]undoinfo-centerenable[AR3]intSerial1/0/0[AR3-Serial1/0/0]ipadd30[AR3-Serial1/0/0]q[AR3]intGigabitEthernet0/0/0[AR3-GigabitEthernet0/0/0]ipadd54244.3配置静态路由01024.3.1配置AR2接口IP地址，配置命令在AR1上配置默认路由。[AR1]iproute-static0在AR2上配置静态路由。因为此时未配置NAT转换，AR2到内网的目标网络为/24。[AR2]iproute-static24[AR2]iproute-static24在AR3上配置静态路由。因为此时未配置NAT转换，所以AR3的目标网络为/24。[AR3]iproute-static24项目实施与验证4.3配置静态路由01024.3.2验证网络连通性PC>pingPing:32databytes,PressCtrl_CtobreakRequesttimeout!From:bytes=32seq=2ttl=125time=94msFrom:bytes=32seq=3ttl=125time=62ms......项目实施与验证4.4配置静态NAT和动态NAT01024.4.1在AR1上配置静态NAT，配置命令[AR1]intSerial1/0/0[AR1-Serial1/0/0]natstaticglobalinside[AR1-Serial1/0/0]natstaticglobalinside项目实施与验证4.4配置静态NAT和动态NAT01024.4.2在AR1上配置动态NAT，地址池的范围为~0.[AR1]nataddress-group10[AR1]acl2000[AR1-acl-basic-2000]rulepermitsource55[AR1-acl-basic-2000]quit[AR1]intSerial1/0/0[AR1-Serial1/0/0]natoutbound2000address-group1no-pat项目实施与验证4.4配置静态NAT和动态NAT01024.4.2在AR2和AR3修改静态路由，AR2、AR3修改命令[AR2]undoiproute-static24

[AR2]iproute-static24[AR3]undoiproute-static24

[AR3]