《锐捷RCNA路由与交换技术实战》 课件 项目16 基于静态NAPT的公司门户网站发布

项目16基于静态NAPT的公司门户网站发布

项目描述相关知识项目规划设计项目实施项目验证项目拓展目录项目描述项目描述Jan16公司搭建了网站服务器，用于对外发布官方网站，公司只租用了一个互联网IP地址用于互联网的访问。为了保障内部网络的安全和互联网IP地址不足的情况，需在出口路由中配置动态NAPT，用于将内部服务器映射到互联网IP地址上。项目拓扑如图16-1所示，具体要求如下：（1）公司内网使用/24网段，出口为/24网段。（2）因公司仅申请了一个互联网IP，需要配置动态NAPT，仅将网站服务器的80端口做映射。（3）测试计算机和路由器的IP和接口信息如拓扑所示。项目描述图16-1网络拓扑图相关知识16.2.1静态NATP静态NAPT是指在路由器中以“IP+端口”形式，将内网IP及端口固定的转换为外网IP及端口，应用在允许外网用户访问内网计算机特定服务的场景。静态NAPT的工作工程如图16-3所示。假设外网的计算机B需要访问服务器A的Web站点，其通信过程如下：第①步：计算机B发送数据包给服务器A。数据包的源IP地址为，源端口号为2000；数据包的目的地址为，目的端口号为80（Web服务器默认端口号是80）。第②步：数据包经过路由器的时候，路由器查询NAPT地址映射表，找到对应的映射条目后，数据包的目的地址及目的端口号将从:80转化为:80，源地址及目的端口号不变。这里转换后的目的IP地址为内网服务器A的IP地址，目的端口为服务器A的web服务端口号。16.2.1静态NATP第③步：转换后的数据包在专用网络上转发，最终被服务器A接收。第④步：服务器A收到数据包后，将响应内容封装在目的地址为，目的端口号为2000的数据包中，然后将数据包发送出去。第⑤步：响应数据包经过路由转发，将到达路由器上，路由器对照静态NAPT映射表，找出对应关系，将源地址及端口号为:80的数据包转换为源地址及端口号为:80的数据包，然后发送到Internet中。第⑥步：目的地址及端口号为:2000的数据包在Internet中传送，最终到达计算机B。计算机B通过数据包的源地址及端口号(:80)知道这是它访问Web服务的响应数据包。但是，计算机B并不知道Web服务其实是由专用网络内的服务器A所提供的，它只知道这个Web服务是由Internet上的IP地址为的机器提供的。16.2.1静态NATP静态NAPT的内外网“IP+端口”映射关系是永久性的，因此，它主要应用在为内网服务器的指定服务（如Web、FTP等）向外网提供服务的场景。典型的应用为，公司将内部网络的门户网站映射到公网IP的80端口上，满足互联网用户访问公司门户网站需求。图16-3静态NAPT的工作原理项目规划设计项目规划设计在只有一个互联网IP地址的情况下进行内部服务对外映射，需采用静态NAPT的方式。静态NAPT是通过IP地址和端口对应映射的方式，将内部服务器的某一服务发布到互联网上的。出口路由器的G0/1的IP地址为6/24，通过配置静态NAPT，将内部服务器的80端口对应映射到G0/1接口IP地址上的80端口，即可实现对外发布服务。互联网连接方面，出口路由器可根据ISP服务商的网络环境配置相应的路由协议。配置步骤如下：（1）配置路由器接口。（2）配置动态NAPT。（3）配置各计算机的IP地址。项目规划设计本项目的IP地址规划、端口规划见表16-1~表16-2。设备端口IP地址网关R1G0/054/24-R1G0/16/24-SRV1-/2454PC1-0/24-表16-1IP地址规划项目规划设计本端设备本端端口对端设备对端端口R1G0/0SWG0/0R1G0/1PC1G0/1SWG0/1R1G0/0SWG0/2SRV1-表16-2端口规划项目实施任务16-1配置路由器接口任务描述根据项目规划设计对路由器进行基础配置。任务实施在路由器接口配置对应IP，配置命令如下。Router>enable//进入用户模式Router#config//进入全局模式Router(config)#hostnameR1//将设备名称更改为R1R1(config)#interfaceGigabitEthernet0/0//进入G0/0接口R1(config-if-GigabitEthernet0/0)#ipaddress54//配置IP地址为54，子网掩码24位R1(config-if-GigabitEthernet0/0)#exitR1(config)#interfaceGigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipaddress6R1(config-if-GigabitEthernet0/1)#exit任务16-1配置路由器接口任务验证在R1上使用【showipinterfacebrief】命令查看接口IP信息，配置命令如下。可以看到已经在接口上配置了IP地址。R1(config)#showipinterfacebriefInterface

IP-Address(Pri)

IP-Address(Sec)

StatusProtocolGigabitEthernet0/0

54/24

noaddress

upupGigabitEthernet0/1

6/24

noaddress

upupGigabitEthernet0/2

noaddress

noaddress

updown任务16-2配置静态NAPT任务描述根据项目规划设计对路由器进行静态NAPT配置。任务实施在R1的G0/1接口上，使用ipnatinside命令定义内部服务器的映射表，指定服务器通信协议为TCP，配置服务器使用的互联网IP为，服务器内网为，指定端口号为80，【ipnatinsidesourcestatic{tcp|udp}local-IP-addressLocal-UDP/TCP-portglobal-IP-addressGlobal-UDP/TCP-port】命令定义内部服务器的映射表，{tcp|udp}指定协议类型，global-IP-address指定公网IP地址，Global-UDP/TCP-port指定公网的端口，local-IP-address指定内网的IP地址，Local-UDP/TCP-port指定内网的端口。任务16-2配置静态NAPT配置命令如下。R1(config)#interfaceGigabitEthernet0/0R1(config-if-GigabitEthernet0/0)#ipnatinside//nat转换的入接口R1(config-if-GigabitEthernet0/0)#exitR1(config)#interfaceGigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipnatoutside//nat转换的出接口R1(config-if-GigabitEthernet0/1)#exitR1(config)#ipnatinsidesourcestatictcp8080//将TCP协议的公网地址映射为内网的任务16-2配置静态NAPT任务验证 在R1上使用showrunning-config|includenat查看静态NAPT配置信息，配置命令如下。结果显示配置已生效。R1(config)#showrunning-config|includenatipnatinsideipnatoutsideipnatinsidesourcestatictcp8080任务16-3配置各计算机的IP地址任务描述根据项目规划设计对各台计算机进行IP地址配置。任务实施网站服务器的IP地址配置结果如图16-4所示，外部网络用户PC的IP地址配置结果如图16-5所示。任务16-3配置各计算机的IP地址图16-4网站服务器IP配置图16-5网站外部用户IP配置任务16-3配置各计算机的IP地址任务验证（1）在网站服务器上使用【ipconfig】命令查看IP地址，配置命令如下。可以看到接口已配置了IP地址。（2）在其他PC上同样使用【ipconfig】命令验证IP地址是否正确配置。C:\Users\Administrator>>ipconfig//显示本机IP地址配置的信息本地连接:连接特定的DNS后缀.......:IPv4地址............:(首选)子网掩码............:默认网关.............:54项目验证项目验证（1）在网络服务器配置HttpServer，结果如图16-6所示。图16-6网络服务器HttpServer的配置界面项目验证（2）用外部网络用户访问网站服务器web，如图16-7所示。结果显示PC用户可以成功访问网站服务器。图16-7PC1访问web项目验证(3）在R1上使用showipnattranslations命令查看NAT转换信息，配置命令如下。结果显示R1收到源为：80的互联网访问请求数据包时，将它的源地址转换为互联网地址:80，使其能正常访问互联网。R1(config)#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp:80:800:632260:63226tcp:80:800:632250:63225项目拓展一、理论题1.关于NAPT下列说法错误的是（）。A.需要有向外网提供信息服务的主机B.永久的一对一“IP地址+端口”映射关系C.临时的一对一“IP地址+端口”映射关系D.固定转换端口2.将内部地址映射到外部网络的一个IP地址的不同接口上的技术是()A.静态NAT B.动态NAT C.NAPT D.一对一映射一、理论题3.关于NAT说法错误的是()A.NAT允许一个机构专用Intramt中的主机透明地连接到公共域中的主机，元需内部主机拥有注册的(已经越来越缺乏的)全局互联网地址B.静态NAT是设置起来最简单和最容易实现的一种地址转换方式，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址C.动态NAT主要应用于拨号和频繁的远程连接、当远程用户连接上之后，动态NAT就会分配给用户一个IP地址，当用户断开时，这个IP地址就会被释放而留待以后使用D.动态NAT又叫做网络地址端口转换NAPT二、项目实训题1.实训背景Jan16公司有计算机若干台，利用交换机建了局域网，并通过出口路由器连接互联网。因业务开展的需要，为了保障内部网络的安全和互联网IP地址不足的情况，在出口路由部署NAPT，实现内部网络访问互联网，拓扑如图16-8所示。图16-8实训拓扑图二、项目实训题2.实训规划根据项目背景信息及实训拓扑图信息，并参考项目规划设计完成实训题规划表。设备端口IP地址网关

表16-3IP地址规划二、项目实训题本端设备本端端口对端设备对端端口

表16-4端口规划二、项目实训题3.实训要求（1）根据实训规划表的IP地址规划表配置路由器端口IP地址和各终端的IP地址。（2）在出口路由器R1配置NAPT。 ①R1路由器使用nataddres-group命令配置NAT地址池，设置起始和结束地址分别为00。