《锐捷RCNA路由与交换技术实战》 课件 项目15 基于动态NAT的公司出口链路配置

项目15基于动态NAT的公司出口链路配置项目描述相关知识项目规划设计项目实施项目验证项目拓展目录项目描述Jan16公司有计算机若干台，利用交换机建了局域网，并通过出口路由器连接到互联网。为了保障内部网络的安全和解决私有地址在互联网上通信的问题，需在出口路由中配置动态NAT，使内部计算机IP地址映射为公网IP地址以访问互联网。项目拓扑如图15-1所示，具体要求如下：（1）公司内网使用192.168.1.0/24网段，出口为16.16.16.0/24网段。（2）出口路由器上申请了16.16.16.1-5等互联网IP地址，可供NAT转换使用。（3）测试计算机和路由器的IP和接口信息如拓扑所示。项目描述项目描述图15-1网络拓扑图相关知识15.2.1动态NAT动态NAT，是将一个内部IP地址转换为一组外部IP地址池中的一个IP地址（公有地址）。动态NAT和静态NAT的在地址转换上很相似，只是可用的公有IP地址不是被某个专用网络的计算机所永久独自占有。动态NAT的工作过程如图15-2所示。与静态NAT类似，路由器上有一个公有IP地址池，地址池中有四个公有IP地址，它们是8.8.8.2/24-8.8.88.8.8.5/24。假设专用网络的计算机A需要和互联网的计算机C通信，其通信过程如下。第①步：计算机A发送源IP地址(SourceAddress，SA)为192.168.1.1的数据包给计算机C。15.2.1动态NAT第②步：数据包经过路由器的时候，路由器采用NAT技术，将数据包的源地址（192.168.1.1）转换为公有IP地址（8.8.8.2）。为什么会转换为8.8.8.2？由于路由器上的地址池有多个公有IP地址，当需要进行地址转换时，路由器会在地址池中选择一个未被占用的地址来进行转换。这里假设四个地址都未被占用，路由器挑选了第一个未被占用的地址而已。如果紧接着计算机A要发送数据包到Internet，则路由器会挑选第二个未被占用的IP地址，也就是8.8.8.3来进行转换。地址池中的公有IP地址的数量决定了可以同时访问Internet的内网计算机的数量，如果地址池中的IP地址都被使用了，那么内网的其他计算机就不能够和Internet的计算机通信了。当内网计算机和外网计算机的通信连接结束后，路由器将释放被占用的公有IP地址，这样，被释放的IP地址则又可以为其他内网计算机提供公网接入服务了。15.2.1动态NAT第③步：源地址为8.8.8.2的数据包在Internet上转发，最终被计算机C接收。第④步：计算机C收到源地址为8.8.8.2的数据包后转发，将响应内容封装在目的地址（DestinationAddress，DA）为8.8.8.2的数据包中，然后将该数据包发送出去。第⑤步：目的地址为8.8.8.2数据包最终经过路由转发，到达连接专用网络的路由器上，路由器对照自身的NAT映射表，找出对应关系，将目的地址为8.8.8.2的数据包转换为目的地址为192.168.1.1的数据包，然后发送到内部专用网络中。第⑥步：目的地址为192.168.1.1的数据包在专用网络中传送，最终到达计算机A。计算机A通过数据包的源地址（8.8.8.8）知道此数据包是Internet上的计算机C发送过来的。15.2.1动态NAT动态NAT的内外网映射关系为临时关系，因此，它主要用于内网计算机临时需要访问外部网络的场景。考虑到企业申请的共有IP的数量有限，而内网计算机数量通常远大于共有IP数量，因此，它不适合给内网计算机提供大规模上网服务场景，解决这类问题需要使用超载NAT模式，关于超载NAT模式可以看本章下文相关的描述。图15-2动态NAT的工作原理项目规划设计项目规划设计动态NAT转换需要有多个公网IP地址，这里以16.16.16.1~16.16.16.5作为转换后的公网IP地址。在路由器中将公网IP地址配置为NAT地址池，并建立ACL列表匹配内部地址。在出口路由器的G0/1上应用NAT转换即可。互联网连接方面，出口路由器可根据ISP服务商的网络环境配置相应的路由协议。配置步骤如下：（1）配置路由器接口。（2）配置动态NAT。（3）配置各计算机的IP地址。项目规划设计本项目的IP地址规划、端口规划见表15-1~表15-2。设备端口IP地址网关R1G0/0192.168.10.254/24-R1G0/116.16.16.16/24-PC1-192.168.10.1/24192.168.10.254PC2-192.168.10.2/24192.168.10.254PC3-192.168.10.3/24192.168.10.254PC4-16.16.16.15/24-表15-1IP地址规划项目规划设计本端设备本端端口对端设备对端端口R1G0/0SW1G0/1R1G0/1SW2G0/1SW1G0/1R1G0/0SW1G0/2PC1-SW1G0/3PC2-SW1G0/4PC3-SW2G0/1R1G0/1表15-2端口规划项目实施任务15-1配置路由器接口任务描述根据项目规划设计对路由器进行基础配置。任务实施在路由器接口配置对应IP，配置命令如下。Ruijie>enable//进入用户模式Ruijie>configureterminal//进入全局模式Router(config)#hostnameR1//将路由器名称更改为R1R1(config)#interfaceGigabitEthernet0/0//进入G0/0接口R1(config-if-GigabitEthernet0/0)#ipaddress192.168.10.254255.255.255.0//为接口配置IP地址R1(config-if-GigabitEthernet0/0)#exitR1(config)#interfaceGigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipaddress16.16.16.16255.255.255.0任务15-1配置路由器接口任务验证在R1上使用【showipinterfacebrief】命令查看接口IP信息，配置命令如下。可以看到已经在接口上配置了IP地址。R1(config-if-GigabitEthernet0/1)#showipinterfacebriefInterface

IP-Address(Pri)

IP-Address(Sec)StatusProtocolGigabitEthernet0/0

192.168.10.254/24

noaddress

up

upGigabitEthernet0/1

16.16.16.16/24

noaddress

up

upGigabitEthernet0/2

noaddress

noaddress

up

down任务15-2配置动态NAT任务描述根据项目规划设计对路由器进行动态NAT配置。任务实施（1）在R1上使用【ipnatpoolpool-namestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}】命令配置NAT地址池，设置起始和结束地址分别为16.16.16.1和16.16.16.5。【ipnatpoolpool-namestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}】命令用来配置NAT地址池（申请到的公网IP不能全部纳入地址池，必须至少保留1个用于路由器与公网通信）。任务15-2配置动态NAT配置命令如下。R1(config)#ipnatpoolruijie16.16.16.116.16.16.5netmask255.255.255.0//配置NAT地址池，编号为1，地址段16.16.16.1~16.16.16.5任务15-2配置动态NAT（2）创建标准ACL20，配置命令如下。（3）在G0/1接口下使用命令将ACL20与地址池相关联，使得ACL中规定的地址可以使用地址池进行地址转换。【ipnatinsidesourcelistaccess-list-number{interfaceinterface|poolpool-name}】命令用来将一个访问控制列表ACL和一个地址池关联起来，其表示ACL中规定的地址可以使用地址池进行NAT转换。R1(config)#ipaccess-liststandard20//创建一个编号20的标准ACLR1(config-std-nacl)#permit192.168.10.00.0.0.255//允许源地址网段为192.168.10.0/24的报文通过R1(config-std-nacl)#denyany//拒绝所有访问任务15-2配置动态NAT配置命令如下。R1(config)#interfaceGigabitEthernet0/0R1(config-if-GigabitEthernet0/0)#ipnatinsideR1(config-if-GigabitEthernet0/0)#exitR1(config)#interfaceGigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipnatoutsideR1(config-if-GigabitEthernet0/1)#exitR1(config)#ipnatinsidesourcelist20poolruijie//配置ACL20匹配的主机使用NAT地址池1的地址进行1对1地址转换任务15-2配置动态NAT任务验证1 在R1上使用【showrunning-config|includenat】命令查看nat配置信息，配置命令如下。可以看到已经根据规划配置了动态网络地址转换。R1(config)#showrunning-config|includenatipnatinsideipnatoutsideipnatpoolruijie16.16.16.116.16.16.5netmask255.255.255.0ipnatinsidesourcelist20poolruijie任务15-3配置各计算机的IP地址任务描述根据项目规划设计对各台计算机进行IP地址配置。任务实施PC1的IP地址配置结果如图15-3所示，同理完成其他的PC的IP地址配置。图15-3PC1IP配置任务15-3配置各计算机的IP地址任务验证（1）PC1上使用【ipconfig】命令查看IP地址，配置命令如下。可以看到接口已配置了IP地址。（2）在其他PC上同样使用【ipconfig】命令验证IP地址是否配置正确。C:\Users\Administrator>ipconfig本地连接:连接特定的DNS后缀.......:IPv4地址............:192.168.10.1(首选)子网掩码............:255.255.255.0默认网关.............:192.168.10.254项目验证项目验证（1）使用PC1Ping测试能否访问互联网上的PC4，配置命令如下。结果显示PC1可以与外部网络通信。C:\Users\Administrator>ping16.16.16.15正在Ping16.16.16.15具有32字节的数据:来自16.16.16.15的回复:字节=32时间=76msTTL=63来自16.16.16.15的回复:字节=32时间=2msTTL=63来自16.16.16.15的回复:字节=32时间=2msTTL=63来自16.16.16.15的回复:字节=32时间=2msTTL=6316.16.16.15的Ping统计信息:数据包:已发送=4，已接收=4，丢失=0(0%丢失)，往返行程的估计时间(以毫秒为单位):最短=2ms，最长=76ms，平均=20ms项目验证（2）在R1上使用showipnattranslations命令查看NAT转换信息，配置命令如下。结果显示R1收到源为192.168.10.1的互联网访问请求数据包时，将它的源地址转换为互联网地址16.16.16.1，使其能正常访问互联网。R1(config)#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp16.16.16.2:1192.168.10.1:116.16.16.1516.16.16.15项目拓展一、理论题1.动态NAT和静态NAT的区别是什么？（ ）A.动态NAT只能将一个内部IP地址转换为一个外部IP地址，而静态NAT可以将多个内部IP地址映射到一个外部IP地址上。B.动态NAT和静态NAT在地址转换上非常相似，唯一的区别是动态NAT可用的公有IP地址不是被某个专用网络的计算机所永久独自占有。C.动态NAT只能用于内网计算机临时对外提供服务的场景，而静态NAT适用于内网计算机大规模上网服务场景。D.动态NAT和静态NAT没有任何区别，只是名称不同。一、理论题2.动态NAT的工作过程中，当需要进行地址转换时，路由器会如何选择公有IP地址？（）A.路由器会选择地址池中第一个IP地址B.路由器会选择地址池中最后一个IP地址C.路由器会随机选择地址池中的一个IP地址D.路由器会选择地址池中未被占用的第一个IP地址3.（多选）动态NAT地址映射配置步骤包括？（ ）A.创建NAT地址池 B.端口应用动态NAT C.创建ACL D.配置路由二、项目实训题1.实训背景Jan16公司有网站服务器1台和计算机若干台，利用交换机建了局域网，并通过出口路由器