《数据网组建与维护》课件-5.2任务2 网络地址转换访问互联

静态NAT技术原理与配置主讲教师：刘晓君数据网组建与维护技术背景Internet企业办公网/16校园网/8家庭网络/16咖啡厅/16小型园区/16公有地址：由专门的机构管理、分配，可以在Internet上直接通信的IP地址，全球唯一。私有地址：组织和个人可以任意使用，无法在Internet上直接通信，只能在内网使用的IP地址，可重复使用。A、B、C类地址中各预留了一些地址专门作为私有IP地址：A类：~55B类：~55C类：~551NAT技术原理2静态NAT命令格式3静态NAT典型案例应用4典型案例仿真实现CONTENTS目录NAT技术概述NAT（NetworkAddressTranslation，网络地址转换）：对IP数据报文中的IP地址进行转换，是一种在现网中被广泛部署的技术，一般部署在专用网络出口设备，例如路由器或防火墙上。PC0/24服务器内部专用网络54InternetNAT设备外部公有网络NAT技术原理“从内到外”的流量：网络设备通过NAT将数据包的源地址进行转换（转换成特定的公有地址）“从外到内”的流量：网络设备通过NAT对数据包的目的地址进行转换（转换成特定私有地址）PC/24服务器0内部私有网络54

源IP：目的IP：0

源IP：目的IP：0

源IP：0

目的IP：源IP：0

目的IP：124354Internet外部公有网络NAT设备NAT分类基本网络地址转换NAT静态NAT动态NAT网络地址端口转换NAPT动态NAPTNATServerEasyIP静态NAT原理私有地址公有地址Web服务器Server2054Web服务器Server1/24内网主机PC1/2454Internet内部私有网络静态NAT映射表外部公有网络外网主机PC20NAT路由器R1G0/0/1G0/0/2静态NAT：静态NAT是指在路由器中，将内网IP地址固定的转换为外网IP地址，即私有地址和公有地址之间的关系是一对一映射。通常应用在允许外网用户访问内网服务器的场景静态NAT原理源IP：0目的IP：2源IP：目的IP：04源IP：目的IP：03源IP：0目的IP：1私有地址公有地址Web服务器Server2054Web服务器Server1/24内网主机PC1/2454Internet内部私有网络静态NAT映射表外部公有网络外网主机PC20NAT路由器R1G0/0/1G0/0/2静态NAT命令格式方式一：接口视图下配置静态NAT[Huawei]natstaticglobal{global-address}inside{host-address}方式二：系统视图下配置静态NAT配置命令相同，视图为系统视图，之后在具体的接口下开启静态NAT。[Huawei-GigabitEthernet0/0/0]natstaticenable在接口下使能natstatic功能。[Huawei-GigabitEthernet0/0/0]natstaticglobal{global-address}inside{host-address}

用于配置外部公有地址用于配置内部私有地址典型案例应用私有地址公有地址Web服务器Server2054Web服务器Server1/24内网主机PC1/2454Internet内部私有网络静态NAT映射表外部公有网络外网主机PC20NAT路由器R1G0/0/1G0/0/2案例背景与要求：某公司通过路由器R1接入到Internet，网络拓扑如图所示，项目背景和需求如下。1.公司向Internet申请了2个公网IP：和。2.公司的Web服务器需要以静态NAT的方式对外提供服务，内网IP地址映射关系如NAT映射表所示。案例配置过程[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]ipadd5424[R1-GigabitEthernet0/0/1]quit[R1]interfaceg0/0/2[R1-GigabitEthernet0/0/2]ipadd5424[R1-GigabitEthernet0/0/2]natstaticglobalinside[R1-GigabitEthernet0/0/2]natstaticglobalinside[R1-GigabitEthernet0/0/2]quit1.路由器R1的配置2.其他设备的IP配置（省略）案例配置过程<R1>displaynatstaticStaticNatInformation:Interface:GigabitEthernet0/0/2GlobalIP/Port:/----InsideIP/Port:/----GlobalIP/Port:/----InsideIP/Port:/----Total:2案例验证：在路由器R1上执行【displaynatstatic】命令，查看公有IP地址与私有IP地址的映射关系。案例配置过程PC>pingPing:32databytes,PressCtrl_CtobreakFrom:bytes=32seq=1ttl=127time=47msFrom:bytes=32seq=2ttl=127time=47msFrom:bytes=32seq=3ttl=127time=47msFrom:bytes=32seq=4ttl=127time=31msFrom:bytes=32seq=5ttl=127time=63ms

---pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=31/47/63ms案例验证：在公网主机PC2中，执行【ping】命令，测试与内网WEB服务器的连通性，结果显示可以成功连接Web服务器。内容小结静态NAT原理01静态NAT命令格式02静态NAT典型案例配置03典型案例仿真实现04动态NAT技术原理与配置主讲教师：刘晓君数据网组建与维护1动态NAT原理2动态NAT命令格式3动态NAT典型案例应用4典型案例仿真实现CONTENTS目录动态NAT原理动态NAT：将所有可用的公有地址组成地址池，将一个内部IP地址转换为一组外部IP地址池中的一个IP地址（公有地址）。当内部主机访问外部网络时临时分配一个地址池中未使用的地址，并将该地址标记为“InUse”。当该主机不再访问外部网络时回收分配的地址，重新标记为“NotUse”。Web服务器Server1054内网主机PC1/24内网主机PC2/2454Internet内部私有网络外部公有网络外网主机PC30NAT路由器R1G0/0/1G0/0/2NotUseNotUseNotUseNAT地址池--------------------动态NAT原理Web服务器Server1054内网主机PC1/24内网主机PC2/2454Internet内部私有网络外部公有网络外网主机PC30NAT路由器R1G0/0/1G0/0/2NAT地址池--------------------SelectInUseNotUseNotUse

源IP：目的IP：01私有地址公有地址临时NAT映射表--------------------

源IP：目的IP：02动态NAT原理Web服务器Server1054内网主机PC1/24内网主机PC2/2454Internet内部私有网络外部公有网络外网主机PC30NAT路由器R1G0/0/1G0/0/2NAT地址池--------------------SelectInUseNotUseNotUse

源IP：0

目的IP：4私有地址公有地址临时NAT映射表--------------------

源IP：0

目的IP：3动态NAT命令格式[Huawei]nataddress-groupgroup-index

start-addressend-address创建地址池配置公有地址范围，其中group-index为地址池编号，start-address、end-address分别为地址池起始地址、结束地址。[Huawei]acl

number[Huawei-acl-basic-number]rulepermitsourcesource-addresssource-wildcard配置地址转换的ACL规则配置基础ACL，匹配需要进行动态转换的源地址范围。[Huawei-GigabitEthernet0/0/0]natoutboundacl-numberaddress-groupgroup-index

[no-pat]接口视图下配置带地址池的NATOutbound接口下关联ACL与地址池进行动态地址转换，no-pat参数指定不进行端口转换。典型案例应用Web服务器Server1054内网主机PC1/24内网主机PC2/2454Internet内部私有网络外部公有网络外网主机PC30NAT路由器R1G0/0/1G0/0/2NAT地址池-------------------NotUseNotUseNotUse案例背景与要求：某公司通过路由器R1接入到Internet，网络拓扑如图所示，项目背景和需求如下。1.公司向Internet申请了1批公网IP：~。2.公司的内网计算机（/24）可通过路由器R1随机映射到公网，实现内外网互访。案例配置过程[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]ipadd5424[R1-GigabitEthernet0/0/1]quit[R1]interfaceg0/0/2[R1-GigabitEthernet0/0/2]ipadd5424[R1]nataddress-group1[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceg0/0/2[R1-GigabitEthernet0/0/2]natoutbound2000address-group1no-pat1.路由器R1的配置案例配置过程[R1]displaynataddress-group1NATAddress-GroupInformation:--------------------------------------IndexStart-addressEnd-address1[R1]displaynatoutboundNATOutboundInformation:----------------------------------------------------------------InterfaceAclAddress-group/IP/InterfaceType----------------------------------------------------------------GigabitEthernet0/0/220001no-pat----------------------------------------------------------------Total:1案例验证：在路由器R1上执行【displaynataddress-groupgroup-index】命令，查看NAT地址池配置信息或执行【displaynatoutbound】命令，查看动态NAT配置信息。案例配置过程PC>ping0Ping0:32databytes,PressCtrl_CtobreakFrom0:bytes=32seq=1ttl=127time=15msFrom0:bytes=32seq=2ttl=127time=16msFrom0:bytes=32seq=3ttl=127time<1msRequesttimeout!Requesttimeout!---0pingstatistics---5packet(s)transmitted3packet(s)received40.00%packetlossround-tripmin/avg/max=0/10/16ms案例验证：私网主机PC1和PC2中，执行【ping0】命令，测试内网主机与外网的连通性，结果显示3条数据包能够成功传送，有2条数据包丢失。内容小结动态NAT原理01动态NAT命令格式02动态NAT典型案例配置03典型案例仿真实现04动态NAPT技术原理与配置主讲教师：刘晓君数据网组建与维护1动态NAPT原理2动态NAPT命令格式3动态NAPT典型案例应用4典型案例仿真实现CONTENTS目录动态NAPT原理动态NAT：No-PAT（No-PortAddressTranslation，非端口地址转换），公有地址与私有地址还是1:1的映射关系，无法提高公有地址利用率。NAPT（NetworkAddressandPortTranslation，网络地址端口转换）：从地址池中选择地址进行地址转换时会对端口号进行转换，从而实现公有地址与私有地址的1:n映射，可以有效提高公有地址利用率。Web服务器Server1054内网主机PC1/24内网主机PC2/2454Internet内部私有网络外部公有网络外网主机PC30NAT路由器R1G0/0/1G0/0/2NAT地址池--------------------私有地址公有地址：1032：1025：1708：1026临时NAT映射表--------------------动态NAPT原理Web服务器Server1054内网主机PC1/24内网主机PC2/2454Internet内部私有网络外部公有网络外网主机PC30NAT路由器R1G0/0/1G0/0/2NAT地址池--------------------Select

源IP：：1078目的IP：0：801

源IP：：1026目的IP：0：802私有地址公有地址：1032：1025：1708：1026临时NAT映射表--------------------动态NAPT原理

源IP：0:80

目的IP：:17084

源IP：0:80

目的IP：:10263Web服务器Server1054内网主机PC1/24内网主机PC2/2454Internet内部私有网络外部公有网络外网主机PC30NAT路由器R1G0/0/1G0/0/2NAT地址池--------------------Select私有地址公有地址：1032：1025：1708：1026临时NAT映射表--------------------动态NAPT命令格式[Huawei]nataddress-groupgroup-index

start-addressend-address创建地址池配置公有地址范围，其中group-index为地址池编号，start-address、end-address分别为地址池起始地址、结束地址。[Huawei]acl

number[Huawei-acl-basic-number]rulepermitsourcesource-addresssource-wildcard配置地址转换的ACL规则配置基础ACL，匹配需要进行动态转换的源地址范围。[Huawei-GigabitEthernet0/0/0]natoutboundacl-numberaddress-groupgroup-index接口视图下配置带地址池的NATOutbound接口下关联ACL与地址池进行动态地址转换。典型案例应用Web服务器Server1054内网主机PC1/24内网主机PC2/2454Internet内部私有网络外部公有网络外网主机PC30NAT路由器R1G0/0/1G0/0/2NAT地址池-------------------案例背景与要求：某公司通过路由器R1接入到Internet，网络拓扑如图所示。公司通过动态NAT实现了内网主机和公网之间的通信，但随着人员的增加，有限的公网IP地址已不能满足所有员工上网的需求，公司希望采用NAPT来解决更多员工的外网接入需求。案例配置过程[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]ipadd5424[R1-GigabitEthernet0/0/1]quit[R1]interfaceg0/0/2[R1-GigabitEthernet0/0/2]ipadd5424[R1]nataddress-group1[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceg0/0/2[R1-GigabitEthernet0/0/2]natoutbound2000address-group11.路由器R1的配置案例配置过程PC>ping0Ping0:32databytes,PressCtrl_CtobreakFrom0:bytes=32seq=1ttl=127time=15msFrom0:bytes=32seq=2ttl=127time=15msFrom0:bytes=32seq=3ttl=127time=32msFrom0:bytes=32seq=4ttl=127time=31msFrom0:bytes=32seq=5ttl=127time=16ms---0pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=15/21/32ms案例验证：私网主机PC1和PC2中，执行【ping0】命令，测试内网主机与外网的连通性，结果显示可以成功连接外网。内容小结动态NAPT原理01动态NAPT命令格式02动态NAPT典型案例配置03典型案例仿真实现04静态NAPT技术原理与配置主讲教师：刘晓君数据网组建与维护1静态NAPT原理2静态NAPT命令格式3静态NAPT典型案例应用4典型案例仿真实现CONTENTS目录静态NAPT技术原理静态NAPT：在路由器中以“IP+端口”形式，将内网IP及端口固定的转换为外网IP及端口。[公有地址:端口]与[私有地址:端口]的一对一映射关系。应用场景：应用在允许外网用户访问内网计算机特定服务的场景。Web服务器Server2054Web服务器Server1/24内网主机PC1/2454Internet内部私有网络静态NAPT映射表外部公有网络外网主机PC20NAT路由器R1G0/0/1G0/0/2协议私有地址公有地址TCP:80:80静态NAPT技术原理

源IP：0:2000

目的IP：:802

源IP：0:2000

目的IP：:801协议私有地址公有地址TCP:80:80Web服务器Server2054Web服务器Server1/24内网主机PC1/2454Internet内部私有网络静态NAPT映射表外部公有网络外网主机PC20NAT路由器R1G0/0/1G0/0/2静态NAPT技术原理

源IP：：80目的IP：0：20003

源IP：：80目的IP：0：804协议私有地址公有地址TCP:80:80Web服务器Server2054Web服务器Server1/24内网主机PC1/2454Internet内部私有网络静态NAPT映射表外部公有网络外网主机PC20NAT路由器R1G0/0/1G0/0/2网络地址转换小结NAT类型特点应用场景静态NAT一对一永久映射关系。外部网络对内部网络中某些特定设备(如服务器)访问的场景。动态NAT临时映射关系，同一时间内只能转换有限个私有地址。提供的公有P地址略少于网络内部的计算机数量的场景。动态NAPT“IP地址+端口号”的临时映射关系。大量内网主机访问外网的场景。EasyIP内网私有地址被映射为出接口IP地址。小规模局域网访问外网，不具备固定公网IP地址的场景。静态NAPT“IP地址+端口号”一对一永久映射关系。允许外网用户访问内网计算机特定服务的场景。网络地址转换小结思考：公有IP地址利用率从低到高依次是（）？A.动态NAT、静态NAT、NAPTB.NAPT、动态NAT、静态NATC.静态NAT、NAPT、动态NATD.静态NAT、动态NAT、NAPT

D

静态NAPT命令格式[Huawei-GigabitEthernet0/0/2]natserverprotocol{protocol-number|TCP|UDP|ICMP}global{global-address|current-interface|interface}global-portinside{host-address}inside-port丨1.接口视图下配置静态NAPTprotocol-number|TCP|UDP|ICMP：指定