资源简介

(共17张PPT)
网络安全技术实现
05
网络地址转换
任务5.2
5.2.1 利用动态NAT实现局域网访问Internet
情境描述
鹏博公司向ISP申请了一个公网IP地址，为了使公司员工都能访问外网，需配置NAT，让内网主机使用公网IP地址访问Internet。
本节内容使用Cisco 2911路由器2台，PC 1台，服务器1台，路由器之间通过DCT串口线互联模拟内外网，拓扑图如图5-4所示。
图5-4 项目5拓扑图3
网络地址转换
任务5.2
实 现 步 骤
（1）按照拓扑图连接网络，并按照表5-3配置各端口IP地址。
表5-3 参数设置表3
5.2.1 利用动态NAT实现局域网访问Internet
网络地址转换
任务5.2
（2）在内网路由器上配置动态NAT。
5.2.1 利用动态NAT实现局域网访问Internet
网络地址转换
任务5.2
（3）验证。先通过内网PC访问服务器，然后查看内网路由器NAT映射关系。
Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
Icmp 123.1.1.2:25 192.168.1.10:25 60.16.1.2:25 60.16.1.2:25
5.2.1 利用动态NAT实现局域网访问Internet
网络地址转换
任务5.2
5.2.1 利用动态NAT实现局域网访问Internet
利用动态NAT实现局域网访问Internet实施的步骤？
网络地址转换
任务5.2
知识储备
5.2.1 利用动态NAT实现局域网访问Internet
01
NAT
NAT将网络分为内部网络和外部网络两部分。内部网络在访问外部网络时，通过NAT功能将局域网内部的本地地址转换为全局地址后转发数据包。NAT的实现有静态NAT和动态NAT两种方式。
（1）静态NAT：将内部网络的私有IP地址转换为公有IP地址时，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为一个公有IP地址。
（2）动态NAT：将内部网络的私有IP地址转换为公有IP地址时，IP地址是不确定的，所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。
网络地址转换
任务5.2
5.2.1 利用动态NAT实现局域网访问Internet
02
静态NAT配置
Router (config)# ip nat inside source static local-address global-address
！定义转换关系
Local-address：需要转换的内网地址。
Global-address：公有IP地址。
网络地址转换
任务5.2
5.2.1 利用动态NAT实现局域网访问Internet
03
动态NAT配置
Router (config)# ip nat pool address-pool start-address end-address {netmask mask | prefix-length }
！定义全局IP地址池
Address-pool：公网地址池名称。
Start-address/ end-address：公网开始地址/结束地址。
netmask：子网掩码。
网络地址转换
任务5.2
5.2.1 利用动态NAT实现局域网访问Internet
学习小结
本小节讲解了动态NAT配置方法。NAT的作用是把内网的私有IP地址转化成外网的公有IP地址，在配置过程中，注意Inside和Outside端口的设置，转换关系不能定义错误。
网络地址转换
任务5.2
5.2.2 利用NAPT实现外网主机访问内网服务器
情境描述
鹏博公司开发了门户网站部署在公司内网服务器上，为了让外网客户能够访问该门户网站以了解公司动态，网络管理员需要用NAPT技术将该网站映射到外网。
本节内容使用Cisco 2911路由器2台，PC 1台，服务器1台，路由器之间通过DCT串口线互联模拟内外网，拓扑图如图5-5所示。
图5-5 项目5拓扑图4
网络地址转换
任务5.2
5.2.2 利用NAPT实现外网主机访问内网服务器
实 现 步 骤
（1）按照拓扑图连接网络，并按照表5-4配置各端口IP地址。
表5-4 参数设置表4
网络地址转换
任务5.2
5.2.2 利用NAPT实现外网主机访问内网服务器
（2）在内网路由器上配置NAPT，将IP地址为192.168.1.10的内网服务器的80端口映射到公网IP地址为123.1.1.2的8080端口。
网络地址转换
任务5.2
5.2.2 利用NAPT实现外网主机访问内网服务器
（3）查看内网路由器NAPT映射关系。
Router#show ip nat translations
ProInside globalInside localOutside localOutside global
tcp 123.1.1.2:8080 192.168.1.10:80 --- ---
tcp 123.1.1.2:8080 192.168.1.10:80 60.16.1.2:1025 60.16.1.2:1025
网络地址转换
任务5.2
5.2.2 利用NAPT实现外网主机访问内网服务器
（4）测试。打开外网PC，在浏览器地址栏中输入http://123.1.1.2:8080并按Enter键，查看网站是否能正常访问，如图5-6所示。
图5-6 访问网站
网络地址转换
任务5.2
5.2.2 利用NAPT实现外网主机访问内网服务器
知识储备
1.NAPT
NAPT（network address port translation，网络端口地址转换）可将多个内部IP地址映射为一个合法的公网IP地址，但以不同的协议端口号与不同的内部IP地址相对应，也就是<内网IP地址+内网端口>与<公网IP地址+公网端口>之间的转换，从而保证内网服务器的安全。
2.NAPT配置
Router(config)# ip nat inside source static {UDP | TCP} local?address local-port global-address global-port
Local-address：需要转换的内网IP地址。
Local-port：内网端口。
Global-address：公网IP地址。
Global-port：公网端口。
网络地址转换
任务5.2
5.2.2 利用NAPT实现外网主机访问内网服务器
学习小结
本小节讲解了动态NAPT的配置方法。NAPT的作用是把内网的私有IP地址和端口映射为外网的公有IP地址和端口。内网针对某个服务的端口是固定的，映射后的外网端口号可以由管理员定义，因此映射后的端口不易猜测，从而起到了保护内网服务安全的作用。

展开更多......

收起↑