实验目的与要求
1、掌握企业连入互联网的常规方法
2、掌握NAT地址转换的原理及应用方法
3、设计和规划局域网
4、设计和规划企业网络接入互联网
实验原理与内容
1、Public与Private网络
公网public network使用public address ,相对应的私有网络使用私有地址 private address:
10.0.0.0 ~ 10.255.255.255
172.16.0.0 ~ 172.31.255.255
192.168.0.0 ~ 192.168.255.255
私有网络是不能直接参与互联网的,因为你家和你公司以及你学校可能都用192.168.1.0段~
2、NAT 网络地址转换
私有地址可以缓解 IPv4 数量不足,但是,由于 Internet 设备不对它们进行路由,因此,首先要对它们进行转换,NAT 是用于执行此转换的过程。
NAT(Network Address Translation,网络地址转换)不仅解决了lPv4地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
⑴宽带分享:这是 NAT 主机的最大功能。
⑵安全防护:NAT 之内的 PC 联机到 Internet 上面时,它所显示的 IP
是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 portscan(端口扫描) 的时候,就侦测不到源Client 端的 PC 。
3、NAT的几种方式
静态NAT:静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,单个私有IP地址只转换为单个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(主要是服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换(主要依赖ACL访问控制列表来确定),以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
动态转换主要依赖于公网的 nat pool 和 ACL
网络端口地址转换,即NAPT(Network Address Port Translation),可将多个内部地址映射为一个合法公网地址,但以不同的协议端口号与不同的内部地址相对应,也就是<内部地址+内部端口>与<外部地址+外部端口>之间的转换。NAPT普遍用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT也被称为“多对一”的NAT,或者叫PAT(Port Address Translations,端口地址转换)、地址超载(addressoverloading)。
端口多路复用(Port address Translation, PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
实验内容
1、ISP机构使用静态NAT来实现内网IP(10.10.10.10/30)到公网IP(202.96.128.86/29)一对一映射
2、内部非服务器区域使用动态映射实现 172.31.0.0/16 通过LIST映射到POOL(202.96.128.81~84) 上网
3、针对公司内部的WWW、DNS、FTP、FTP等服务做PAT端口映射,使互联网通过企业公网ip202.96.128.85访问企业网络服务
4、请注意观察每种NAT方式的映射情况 show ip nat translations
实验设备与软件环境
使用线缆连接设备完成企业网络,并模拟ISP及互联网,如下拓扑:
实验过程与结果
常规配置
FW
Router(config)#hostname FW
FW(config)#interface Serial0/0/0
FW(config-if)#ip address 202.96.128.85 255.255.255.240
FW(config-if)#no shutdown
FW(config-if)#exit
FW(config)#interface FastEthernet0/1
FW(config-if)#ip address 172.16.16.17 255.255.255.240
FW(config-if)#no shutdown
FW(config-if)#exit
FW(config)#interface FastEthernet0/0
FW(config-if)#ip address 172.31.0.4 255.255.0.0
FW(config-if)#no shutdown
FW(config-if)#exit
ISP
Router(config)#hostname ISP
ISP(config)#interface Serial0/0/0
ISP(config-if)#ip address 202.96.128.86 255.255.255.240
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#interface FastEthernet0/0
ISP(config-if)#ip address 10.10.10.9 255.255.255.248
ISP(config-if)#no shutdown
ISP(config-if)#exit
配置默认路由
FW(config)#ip route 0.0.0.0 0.0.0.0 202.96.128.86
ISP(config)#ip route 0.0.0.0 0.0.0.0 202.96.128.85
ISP静态映射
ISP(config)#interface fastEthernet 0/0
ISP(config-if)#ip nat inside
ISP(config-if)#exit
ISP(config)#interface serial0/0/0
ISP(config-if)#ip nat outside
ISP(config-if)#exit
ISP(config)#ip nat inside source static 10.10.10.10 202.96.128.86
观察并验证静态映射情况:
企业内部通过动态NAT访问互联网
FW(config)#access-list 1 permit 172.31.0.0 0.0.255.255
FW(config)#ip nat pool ForInter 202.96.128.81 202.96.128.84 netmask 255.255.255.248
FW(config)#ip nat inside source list 1 pool forinter
FW(config)#interface fastEthernet 0/0
FW(config-if)#ip nat inside
FW(config-if)#exit
FW(config)#interface serial0/0/0
FW(config-if)#ip nat outside
FW(config-if)#exit
观察抢占式的nat映射
企业服务器的PAT端口转发
WWW:
FW(config)#ip nat inside source static tcp 172.16.16.18 80 202.96.128.85 80
FW(config)#ip nat inside source static tcp 172.16.16.18 443 202.96.128.85 443
FW(config)#ip nat inside source static tcp 172.16.16.18 8080 202.96.128.85 80
FW(config)#ip nat inside source static udp 172.16.16.18 53 202.96.128.85 53
FTP:
FW(config)#ip nat inside source static tcp 172.16.16.21 21 202.96.128.85 21
FW(config)#ip nat inside source static tcp 172.16.16.21 20 202.96.128.85 20
FW(config)#ip nat inside source static tcp 172.16.16.22 25 202.96.128.85 25
FW(config)#ip nat inside source static tcp 172.16.16.22 110 202.96.128.85 110
设置接口为nat内部
FW(config)#interface fastEthernet 0/1
FW(config-if)#ip nat inside
FW(config-if)#exit