资源简介

(共32张PPT)
*
项目5 网络安全技术配置
任务3 网络地址转换的配置
*
项目5 网络安全技术配置
网络地址转换（Network Address Translation，NAT）的功能是将企业内部自行定义的私有IP地址转换为Internet上可识别的合法IP地址。由于现行IP地址标准——IPv4的限制，Internet面临着IP地址空间短缺的问题，因此从ISP申请并给企业的每位员工分配一个合法IP地址是不现实的。NAT技术能较好地解决现阶段IPv4地址短缺的问题。本任务分为以下两个活动展开介绍。
活动1 利用动态NAPT实现局域网访问Internet。
活动2 利用静态NAT实现外部网络主机访问内部网络服务器。
*
任务3 网络地址转换的配置
活动1 利用动态NAPT实现局域网访问Internet
*
活动1 利用动态NAPT实现局域网访问Internet
任务描述
在通常情况下，园区网内有很多台主机，从ISP申请并给园区网中的每台主机分配一个合法IP地址是不现实的，因此为了使所有内部主机都可以连接到Internet，需要使用网络地址转换技术。此外，网络地址转换技术还可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用。
由于业务的需要，海成公司办公网络需要接入 Internet，网络管理员向网络运营商申请了一条专线，该专线分配了一个公网IP地址。要求公司所有部门的主机都能访问外部网络。
*
活动1 利用动态NAPT实现局域网访问Internet
任务分析
公司通过路由器与外部网络互连，并且只申请到一个公网地址，即与公网直连的路由器接口的IP地址。传统的NAT一般是指一对一的地址映射，不能同时满足所有内部网络主机与外部网络通信的需要，而NAPT（Network Address Port Translation，网络地址端口转换）可以在将网络地址转换后，使多个本地IP地址对应一个或多个全局IP地址。采用动态NAPT可以实现局域网中多台主机共用一个或少数几个公网IP地址来访问互联网。
下面以2台型号为2911的路由器来模拟网络，使读者可以学习和掌握利用动态NAPT 实现局域网访问 Internet 的配置方法，配置利用动态 NAPT 实现局域网访问Internet的拓扑如图5.3.1所示。
图5.3.1 配置利用动态NAPT实现局域网访问Internet的拓扑图
*
活动1 利用动态NAPT实现局域网访问Internet
具体要求如下：
（1）添加1台计算机和1台服务器，并将标签名分别更改为PC1和Server1。其中，PC1代表公司内部的计算机，Server1代表公网上的一台Web服务器。
（2）添加2台型号为2911的路由器，将标签名分别更改为LAN和ISP，并将路由器的名称分别设置为LAN和ISP。
（3）为LAN和ISP添加HWIC-2T模块，并均添加在S0/0/0接口位置，路由器之间使用DCE串口线互连，模拟与公网互联。
（4）根据如图5.3.1所示的拓扑图，使用双绞线连接好计算机和服务器，并设置计算机和服务器的IP地址、子网掩码和默认网关。
（5）在LAN上使用默认路由实现数据包向外转发。
（6）在LAN上配置动态NAPT，实现内部网络的计算机能通过公网IP地址访问Internet上的服务器，动态NAPT地址池使用IP地址段20.1.8.3～20.1.8.5。
*
活动1 利用动态NAPT实现局域网访问Internet
任务实施
步骤1：配置LAN的主机名称及其接口IP地址。
步骤2：配置ISP的主机名称及其接口IP地址。
*
活动1 利用动态NAPT实现局域网访问Internet
步骤3：在LAN上配置默认路由，实现外部网络可达。
步骤4：在LAN上配置动态NAPT，使公司内部网络用户可以访问外部网络Web服务器。
*
活动1 利用动态NAPT实现局域网访问Internet
任务验收
1．测试内部网络用户能否访问外部网络Web服务器，如图5.3.2所示
图5.3.2 测试内部网络用户能否访问外部网络Web服务器
*
活动1 利用动态NAPT实现局域网访问Internet
2．查看NAT配置信息
（1）查看NAT映射表。
（2）查看NAT信息统计表。
*
活动1 利用动态NAPT实现局域网访问Internet
知识链接
1．NAT概述
目前，互联网的一个重要问题是对IP地址的需求急剧膨胀，IP地址空间衰竭，而NAT技术的使用则在一定程度上解决了该问题。NAT技术的使用，使得一个组织内部的私有IP地址转换为可以在互联网上通信的公有IP地址，从而实现了组织内部网络与互联网的连接，而不需要重新给组织内部网络中的每台主机分配公有IP地址。
NAT的优点如下所述。
（1）节省IP地址资源，在一定程度上解决了IP地址短缺的问题。
（2）可以实现服务器TCP负载均衡，维持TCP会话。
（3）连接地址池中的IP地址可以是虚拟IP地址，不一定需要配置在物理接口上，这样维护起来比较方便。
（4）可以解决地址重叠问题。
NAT的缺点如下所述。
（1）增加了传输延迟。
（2）隐藏了端对端的IP地址，不利于某些程序的应用。
（3）不便于跟踪、管理。
2．NAT的工作过程
（1）客户机将数据包发送到运行NAT的计算机上。
（2）NAT将数据包中的端口号和专用的IP地址换成自己的端口号和公用的IP地址，然后将数据包发送给外部网络的目的主机，同时在映像表中记录跟踪信息，以便向客户机发送回答信息。
（3）外部网络发送回答信息给NAT。
（4）NAT将收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址，并转发给客户机。
*
活动1 利用动态NAPT实现局域网访问Internet
3．NAT配置
1）静态NAT
静态NAT将内部IP地址和外部IP地址进行一对一的转换。这种方法要求申请到的合法IP地址足够多，可以与内部IP地址一一对应。
静态NAT一般用于那些需要固定的合法IP地址的主机，如Web服务器、FTP服务器、E-mail服务器等，如图5.3.3所示。
图5.3.3 静态NAT
*
活动1 利用动态NAPT实现局域网访问Internet
其配置步骤如下所述。
（1）定义内部源IP地址静态转换关系：
（2）定义接口连接内部网络：
（3）定义接口连接外部网络：
示例如下：
*
活动1 利用动态NAPT实现局域网访问Internet
2）动态NAT
动态NAT将多个合法IP地址统一地组织起来，构成一个IP地址池。当有主机需要访问外部网络时，分配一个合法IP地址与内部IP地址进行转换，当主机使用结束后，归还该地址。对于NAT池，如果同时联网用户太多，则可能出现IP地址耗尽的问题，如图5.3.4所示。
图5.3.4 动态NAT
其配置步骤如下所述。
（1）定义全局IP地址池：
（2）定义访问控制列表，只有匹配该列表的IP地址才能转换：
*
活动1 利用动态NAPT实现局域网访问Internet
（3）定义内部源IP地址动态转换关系：
（4）定义接口连接内部网络：
（5）定义接口连接外部网络：
示例如下：
*
活动1 利用动态NAPT实现局域网访问Internet
3）PAT
使用PAT（端口多路复用）技术，将多个内部IP地址映射为一个合法IP地址，使用不同的端口号区分各个内部IP地址。这种方法只需要一个合法IP地址。路由器支持的PAT会话数是有限制的，所以使用PAT技术的局域网，其网络的规模不能太大。
在端口多路复用技术中，使用端口区分的不是一台主机，而是一个会话（网络连接），当一台主机同时建立多个会话时，它的每个会话会占用一个端口映射。从理论上来讲，一个IP地址可以映射约65 000个会话，但是实际的路由器往往只支持几千个会话（Cisco路由器支持约4000个会话），如图5.3.5所示。
图5.3.5 PAT
*
活动1 利用动态NAPT实现局域网访问Internet
（1）定义访问控制列表，只有匹配该列表的IP地址才能转换：
（2）定义内部源IP地址复用转换关系：
（3）定义接口连接内部网络：
（4）定义接口连接外部网络：
示例如下：
*
活动1 利用动态NAPT实现局域网访问Internet
任务小结
本活动介绍了使用动态NAPT来使内部网络用户通过网络地址转换来访问Internet。动态NAPT可以实现多个内部网络本地IP地址共用一个或少数几个公网IP地址来访问互联网，同时每个公网IP地址通过端口号来区分内部网络主机发起的会话，极大地缓解了内部网络主机数量多而公网IP地址短缺的矛盾，在园区网中应用比较广泛。
*
任务3 网络地址转换的配置
活动2 利用静态NAT实现外部网络主机访问内部网络服务器
*
活动2 利用静态NAT实现外部网络主机访问内部网络服务器
任务描述
海成公司的办公网络接入了Internet，由于需要进行企业宣传，因此建立了用于产品推广和业务交流的网站。目前，海成公司只向网络运营商申请了两个公网IP地址，服务器位于公司内部网络中。海成公司要求内部网络用户能够访问Internet，并要求客户在互联网上可以访问公司的内部网站。
*
活动2 利用静态NAT实现外部网络主机访问内部网络服务器
任务分析
基于私有IP地址与公有IP地址不能直接通信的原则，公网的计算机是不能直接访问内部网络服务器的。如果想要使内部网络服务器上的服务能够被外部网络主机访问，就需要将内部网络服务器的私有IP地址通过静态NAT映射到公网的IP地址上，这样互联网上的用户才能通过公网IP地址访问内部网络服务器。
下面以2台型号为2911的路由器来模拟网络，使读者可以学习和掌握利用静态NAT实现外部网络主机访问内部网络服务器的配置方法，拓扑图如图5.3.6所示。
图5.3.6 配置利用静态NAT实现外部网络主机访问内部网络服务器的拓扑图
*
活动2 利用静态NAT实现外部网络主机访问内部网络服务器
具体要求如下：
（1）添加1台计算机和1台服务器，并将标签名分别更改为PC1和Server1。其中，PC1代表公网的计算机，Server1代表公司内部的一台Web服务器。
（2）添加2台型号为2911的路由器，将标签名分别更改为LAN和ISP，并将路由器的名称分别设置为LAN和ISP。
（3）为LAN和ISP添加HWIC-2T模块，并均添加在S0/0/0接口位置，路由器之间使用DCE串口线互连，模拟与公网互联。
（4）根据如图5.3.6所示的拓扑图，使用双绞线连接好计算机和服务器。设置计算机和服务器的IP地址、子网掩码和默认网关。
（5）在LAN上使用默认路由实现数据包向外转发。
（6）在LAN上配置静态NAT，实现公网的计算机能访问内部网络上的Web服务器，动态映射IP地址为20.1.8.9。
*
活动2 利用静态NAT实现外部网络主机访问内部网络服务器
任务实施
步骤1：配置LAN的主机名称及其接口IP地址。
步骤2：配置ISP的主机名称及其接口IP地址。
*
活动2 利用静态NAT实现外部网络主机访问内部网络服务器
步骤3：在LAN上配置默认路由，实现外部网络可达。
步骤4：在LAN上配置静态NAT，使外部网络主机可以访问公司内部网络的Web服务器。
*
活动2 利用静态NAT实现外部网络主机访问内部网络服务器
任务验收
1．测试外部网络主机能否访问内部网络Web服务器，发现可以访问，如图5.3.7所示
图5.3.7 测试外部网络主机能否访问内部网络Web服务器
*
活动2 利用静态NAT实现外部网络主机访问内部网络服务器
2．查看NAT配置信息
（1）查看NAT映射表。
（2）查看NAT信息统计表。
*
活动2 利用静态NAT实现外部网络主机访问内部网络服务器
知识链接
1．静态NAPT
基于端口的静态网络地址映射即静态NAPT。传统的NAT一般是指一对一的地址映射，不能同时满足所有内部网络主机与外部网络通信的需要。使用NAPT可以将多个内部本地IP地址映射到一个内部全局IP地址上。
NAPT分为静态NAPT和动态NAPT。静态NAPT一般应用于将内部网络中指定主机的指定端口映射到全局IP地址的指定端口上。而静态NAT则将内部网络主机映射为全局IP地址，显然不可能提供那么多的全局IP地址。
2．静态NAPT配置
（1）定义内部源IP地址静态转换关系，即基于端口的静态映射：
（2）定义接口连接内部网络：
（3）定义接口连接外部网络：
*
活动2 利用静态NAT实现外部网络主机访问内部网络服务器
示例如下：
任务小结
本活动介绍了配置基于端口的静态网络地址映射（静态NAPT）来实现外部网络用户访问内部网络Web服务。针对园区网中服务器只向外部网络提供部分应用服务的情况，一般会采用静态NAPT来实现，这样既可以在一定程度上保护内部网络服务器，又可以尽可能地节约公网IP地址。
*
活动2 利用静态NAT实现外部网络主机访问内部网络服务器
项 目 实 训
（1）海成公司组建了园区网络，如图5.3.8所示。海成公司有行政部、财务部、职工宿舍、销售部和网管中心5个部门。其中，行政部、财务部、职工宿舍及网管中心通过公司的核心交换机进行连接，实现数据交换；而销售部则通过一条专线直接连接到出口路由器上。公司核心交换机与出口路由器直接相连，以实现公司各部门之间的通信。同时，海成公司向ISP申请了一组公网IP地址，用于实现公司内部网络用户访问Internet。网络设备和计算机的IP地址信息如表5.3.1所示。
*
活动2 利用静态NAT实现外部网络主机访问内部网络服务器
图5.3.8 海成公司的网络拓扑图
*
活动2 利用静态NAT实现外部网络主机访问内部网络服务器
表5.3.1 网络设备和计算机的IP地址信息
*
活动2 利用静态NAT实现外部网络主机访问内部网络服务器
要求实现以下功能。
① 部署公司内部的网络安全，保障工作网络正常运行，强化对公司内部网络的管理。
② 内部网络用户能够正常访问互联网。
③ 向外部网络用户提供公司的网站服务，尽可能地保障内部网络服务器的安全。
（2）海成公司的网络拓扑图如图5.3.8所示。要求实现下列功能。
① 实现公司内部网络通信及内部网络用户访问外部网络的链路可达。
② 在公司内部网络所有接入交换机上配置端口安全功能，要求设置接口的最大连接数为1，违例处理方式为restrict。同时，为了减轻网络建设初期接口与MAC地址绑定的工作量，要求配置基于粘性的安全MAC地址功能。
③ 在核心交换机上配置端口安全功能，要求设置服务器MAC地址与接口绑定，违例处理方式为shutdown。
④ 部署内部网络部门间的访问控制，要求网管中心服务器只向用户提供Web服务和FTP服务。其中，FTP服务只响应行政部主机的访问，而对服务器的所有访问流量均被阻止。
⑤ 公司申请了公网IP地址池（201.1.1.2/24～201.1.1.5/24）。配置动态NAPT实现内部网络用户通过公网IP地址池（201.1.1.2/24～201.1.1.4/24）访问互联网。
⑥ 配置基于端口的静态网络地址映射，实现外部网络用户通过公网 IP 地址201.1.1.5/24的80端口来访问内部网络的Web服务。

展开更多......

收起↑