項目14基于靜態NAT發布公司網站服務器項目描述相關知識項目規劃設計項目實施項目驗證項目拓展目錄項目描述Jan16公司搭建了網站服務器，用于對外發布公司官網。為了保障內部網絡的安全和解決私有地址在公網的信息，需在出口路由中配置NAT，使內部服務器映射到公網地址上。項目拓撲如圖14-1所示，具體要求如下：（1）公司內網使用192.168.1.0/24網段，出口為16.16.16.0/24網段。（2）出口路由器上申請了一個16.16.16.1的IP可供網站服務器做NAT映射。（3）測試計算機和路由器的IP和接口信息如拓撲所示。項目描述項目描述圖14-1網絡拓撲圖相關知識通過對廣域網技術的學習我們知道，在網絡的不同類型中，除了私有網絡外，還有公共網絡，他們之間需要互相關聯才能充分發揮各自的功能。網絡地址轉換（NAT）不僅可以實現私有網絡和公共網絡中的資源互訪，還能提供一定的安全訪問功能，本節將從NAT的工作原理入手，介紹NAT的不同類型及相應的配置方法。相關知識14.2.1NAT的基本概念NAT的英文全稱是“NetworkAddressTranslation”，即“網絡地址轉換”，它是一個IETF(InternetEngineeringTaskForce,互聯網工程任務組)標準，NAT是一種把內部私有網絡地址轉換成合法的外部公有網絡地址的技術。當今的Internet使用TCP/IP實現了全世界的計算機互聯互通，每一臺連入Internet的計算機要和別的計算機通信，都必需擁有一個唯一的、合法的IP地址，此IP地址由Internet管理機構NIC統一進行管理和分配。而NIC分配的IP地址稱為公有的、合法的IP地址，這些IP地址具有唯一性，連入Internet的計算機只要擁有NIC分配的IP地址就可以和其他計算機通信。14.2.1NAT的基本概念但是，由于當前TCP/IP協議版本是IPv4，它具有天生的缺陷，就是IP地址數量不夠多，難以滿足目前爆炸性增長的IP需求。所以，不是每一臺計算機都能申請并獲得NIC分配的IP地址。一般而言，需要連上Internet的個人或家庭用戶，通過Internet的服務提供商ISP間接獲得合法的公有IP地址（例如，用戶通過ADSL線路撥號，從電信獲得臨時租用的公有IP地址）。對于大型機構而言，它們可能直接向Internet管理機構申請并使用永久的公有IP地址，也可能是通過ISP間接獲得永久或臨時的公有IP地址。14.2.1NAT的基本概念由于無論是通過哪種方式獲得公有的IP地址，實際上當前的可用IP地址數量依然不足。IP地址作為有限的資源，NIC要為網絡中數以億計的計算機都分配公有的IP地址是不可能的。同時，為了使計算機能夠具有IP地址并在專用網絡（內部網絡）中通信，Internet管理機構NIC定義了供專用網絡內的計算機使用的專用IP地址。這些IP地址地址是在局部使用的（非全局的、不具有唯一性）、非公有的（私有的）IP地址，這些IP地址的地址范圍具體如下。A類地址：10.0.0.0～10.255.255.255B類地址：172.16.0.0～172.31.255.255C類地址：192.168.0.0～192.168.255.25514.2.1NAT的基本概念組織機構可根據自身園區網的大小以及計算機數量的多少來采用不同類型的專用地址范圍或者它們的組合。但是，這些IP地址不可能出現在Internet上，也就是說源地址或目的地址為這些專有IP地址的數據包不可能在Internet上被傳輸，這樣的數據包只能在內部專用網絡中被傳輸。如果專用網絡的計算機要訪問Internet，則組織機構在連接Internet的設備上至少需要一個公有的IP地址，然后采用NAT技術，將內部專用網絡的計算機專用私有IP地址轉換為公有的IP地址，從而讓使用專用IP地址的計算機能夠和Internet的計算機進行通信。如圖14-2所示，通過NAT設備，能夠將專用網絡內的專用IP地址和公有IP地址互相轉換，從而實現專用網絡內使用專用地址的計算機能夠和Internet的計算機通信。14.2.1NAT的基本概念圖14-2NAT地址轉換示意圖14.2.1NAT的基本概念也可以說，NAT就是將網絡地址從一個地址空間轉換到另外一個地址空間的一種技術，從技術原理的角度上來講，NAT分成四種類型：靜態NAT，動態NAT，超載NAT及端口映射NAT。14.2.2靜態NAT靜態NAT是指在路由器中，將內網IP地址固定的轉換為外網IP地址，通常應用在允許外網用戶訪問內網服務器的場景。靜態NAT的工作過程如圖14-3所示。專用網絡中采用192.168.1.0/24的C類專用地址，專用網絡采用帶有NAT功能的路由器和Internet互聯，路由器左網卡連接著內部專用網絡（左IP是192.168.1.254/24），右網卡連接著互聯網（右IP是8.8.8.1/24），而且路由器還有多個公有的IP地址可被轉換使用（8.8.8.2~8.8.8.5），互聯網上的計算機C的IP地址是8.8.8.8/24。假設外部網絡的計算機C需要和內部網絡的計算機A通信，其通信過程如下。14.2.2靜態NAT第①步：計算機C發送數據包給計算機A，數據包的源IP地址(SourceAddress，SA)為8.8.8.8，目標IP地址（DestinationAddress，DA）為8.8.8.3（在外網，計算機A的IP為8.8.8.3）。第②步：數據包到達路由器時，路由器將查詢本地的NAT映射表，找到映射條目后將數據包的目的地址（8.8.8.3）轉換為內網IP地址（192.168.1.1），源地址保持不變。NAT路由器上有一個公有的IP地址池，在本次通信前，網絡管理員已經在NAT路由器上做靜態NAT地址映射關系，指定192.168.1.1與8.8.8.3映射。第③步：轉換后的數據包經在內網中傳輸，最終將被計算機A接收。第④步：計算機A收到數據包后，將響應內容封裝在目的地址為8.8.8.8的數據包中，然后將該數據包發送出去。14.2.2靜態NAT第⑤步：目的地址為8.8.8.8數據包到達路由器后，路由器將對照自身的NAT映射表，找出對應關系，將源地址192.168.1.1轉換為8.8.8.3，然后將該數據包發送到外部網絡中。第⑥步：目的地址為8.8.8.8的數據包在外部網絡中傳送，最終到達計算機C。計算機C通過數據包的源地址（8.8.8.3）只知道此數據包路由器發送過來的，實際上，該數據包是計算機A發送的。靜態NAT主要用于專用網絡內的服務器需要對外提供服務的場景，由于它采用固定的一對一的內外網IP映射關系，因此，外網的計算機可以通過訪問這個外網IP就可以訪問到內網的服務器。14.2.2靜態NAT圖14-3靜態NAT的工作過程項目規劃設計項目規劃設計通過NAT映射內部服務器需要使用專用的公網IP地址，故需要申請2個以上的公網IP地址，一個用于服務器映射，一個用于內網的通信，這里使用16.16.16.1和16.16.16.16作為公網IP地址。網站服務器處于內部網絡，IP地址為192.168.1.1，需在出口路由器配置靜態NAT，將公網地址16.16.16.1實現一對一映射，這樣即可通過公網地址直接訪問內網的服務器。互聯網連接方面，出口路由器可根據ISP服務商的網絡環境配置相應的路由協議。配置步驟如下：（1）配置路由器接口。（2）配置靜態NAT。（3）配置各部門計算機的IP地址。項目規劃設計本項目的IP地址規劃、端口規劃見表14-1~表14-2。設備接口IP地址網關R1G0/0192.168.1.254/24-R1G0/116.16.16.16/24-網站服務器SV1-192.168.1.1/24192.168.1.254互聯網用戶PC1-16.16.16.10/24-表14-1IP地址規劃項目規劃設計本端設備本端端口對端設備對端端口R1G0/0SW1G0/2R1G0/1互聯網用戶PC1-SW1G0/1網站服務器SV1G0/0SW1G0/2R1-表14-2端口規劃項目實施任務14-1配置路由器接口任務描述根據項目規劃設計對路由器進行基礎配置。任務實施 在路由器接口配置對應IP，配置命令如下。Router>enableRouter#configEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostnameR1R1(config)#interfacegigabitEthernet0/0R1(config-if-GigabitEthernet0/0)#ipaddress192.168.1.254255.255.255.0R1(config-if-GigabitEthernet0/0)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipaddress16.16.16.16255.255.255.0R1(config-if-GigabitEthernet0/1)#exit任務14-1配置路由器接口任務驗證（1）在R1上使用【showipinterfacebrief】命令查看接口IP信息，配置命令如下。可以看到已經在接口上配置了IP地址。R1(config)#showipinterfacebriefInterfaceIP-Address(Pri)IP-Address(Sec)StatusProtocolGigabitEthernet0/0192.168.1.254/24noaddressupupGigabitEthernet0/116.16.16.16/24noaddressupupGigabitEthernet0/2noaddressnoaddressupdown任務14-2配置靜態NAT任務描述根據項目規劃設計對路由器進行靜態NAT配置。任務實施在R1的全局模式下使用【ipnatinsidesourcestaticlocal-ip{interfaceinterface|global-ip}】命令將內部地址“local-ip”到外部接口地址“interfaceinterface、global-ip”一對一轉換。任務14-2配置靜態NAT配置命令如下。R1(config)#ipnatinsidesourcestatic192.168.1.116.16.16.1//配置NAT靜態轉換，外網IP16.16.16.1轉換為內網IP192.168.1.1R1(config)#interfacegigabitEthernet0/0R1(config-if-GigabitEthernet0/0)#ipnatinsideR1(config-if-GigabitEthernet0/0)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipnatoutsideR1(config-if-GigabitEthernet0/1)#exit任務14-2配置靜態NAT任務驗證（1）在R1上使用【showrunning-config|includenat】驗證NAT靜態配置信息，配置命令如下。可以看到，G0/1接口上已經配置了NAT地址轉換。R1(config)#showrunning-config|includenatipnatinsideipnatoutsideipnatinsidesourcestatic192.168.1.116.16.16.1任務14-3配置計算機的IP地址任務描述根據項目規劃設計對各臺計算機進行IP地址配置。任務實施（1）網站服務器配置IP地址的結果如圖14-4所示，外部網絡用戶配置IP地址的結果如圖14-5所示。任務14-3配置計算機的IP地址圖14-4服務器IP地址配置圖14-5互聯網用戶IP地址配置任務14-3配置計算機的IP地址任務驗證（1）在網站服務器上使用【ipconfig】命令查看IP地址，配置命令如下。可以看到接口已配置了IP地址。（2）在其他PC上同樣使用【ipconfig】命令驗證IP地址是否正確配置。C:\Users\Administrator>ipconfig//顯示本機IP地址配置的信息本地連接:連接特定的DNS后綴.......:IPv4地址............:192.168.1.1(首選)子網掩碼............:255.255.255.0默認網關.............:192.168.1.254項目驗證項目驗證（1）外部網絡用戶使用【ping】命令測試網站服務器映射的互聯網IP能否訪問，配置命令如下。結果顯示外部網絡可以和網絡服務器的NAT映射地址通信，TTL為127。C:\Users\Administrator>ping16.16.16.1正在Ping16.16.16.1具有32字節的數據:來自16.16.16.1的回復:字節=32時間=2msTTL=63來自16.16.16.1的回復:字節=32時間=2msTTL=63來自16.16.16.1的回復:字節=32時間=1msTTL=63來自16.16.16.1的回復:字節=32時間=1msTTL=6316.16.16.1的Ping統計信息:數據包:已發送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計時間(以毫秒為單位):最短=1ms，最長=2ms，平均=1ms項目驗證（2）在R1上使用【showipnattranslations】命令查看NAT轉換信息，配置命令如下。結果顯示R1收到互聯網訪問目的地址為16.16.16.1的請求數據包時，它將目的地址轉換為192.168.1.1，使其能訪問到網站服務器。R1(config)#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp16.16.16.1:1192.168.1.1:116.16.16.1016.16.16.10項目拓展一、理論題1.下列屬于私有地址的是（ ）?A.10.0.0.4B.172.32.0.4C.192.168.4.1D.172.31.4.52.以下選項對NAT技術產生的目的描述準確的是（ ）?A.為了隱藏局域網內部服務器真是IP地址B.為了緩解IP地址空間枯竭的速度C.擴大IP地址空間D.一項專有技術，為了增加網絡的可利用率而開發一、理論題3．將內部地址192.168.1.2轉換為外部地址193.1.1.2的正確配置為（）。A．ipnatinsidesourcestatic193.1.1.2192.168.1.2B．natinsidesourcestatic193.1.1.2192.168.1.2C．ipnatinsidesourcestatic192.168.1.2193.1.1.2D．natinsidesourcestatic192.168.1.2193.1.1.24．查看靜態NAT映射的命令是（）。A．showipnattranslations B．showipnatC．shownatstaticinside D．sh