資源簡介

(共17張PPT)
網絡安全技術實現
05
網絡地址轉換
任務5.2
5.2.1 利用動態NAT實現局域網訪問Internet
情境描述
鵬博公司向ISP申請了一個公網IP地址，為了使公司員工都能訪問外網，需配置NAT，讓內網主機使用公網IP地址訪問Internet。
本節內容使用Cisco 2911路由器2臺，PC 1臺，服務器1臺，路由器之間通過DCT串口線互聯模擬內外網，拓撲圖如圖5-4所示。
圖5-4 項目5拓撲圖3
網絡地址轉換
任務5.2
實 現 步 驟
（1）按照拓撲圖連接網絡，并按照表5-3配置各端口IP地址。
表5-3 參數設置表3
5.2.1 利用動態NAT實現局域網訪問Internet
網絡地址轉換
任務5.2
（2）在內網路由器上配置動態NAT。
5.2.1 利用動態NAT實現局域網訪問Internet
網絡地址轉換
任務5.2
（3）驗證。先通過內網PC訪問服務器，然后查看內網路由器NAT映射關系。
Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
Icmp 123.1.1.2:25 192.168.1.10:25 60.16.1.2:25 60.16.1.2:25
5.2.1 利用動態NAT實現局域網訪問Internet
網絡地址轉換
任務5.2
5.2.1 利用動態NAT實現局域網訪問Internet
利用動態NAT實現局域網訪問Internet實施的步驟？
網絡地址轉換
任務5.2
知識儲備
5.2.1 利用動態NAT實現局域網訪問Internet
01
NAT
NAT將網絡分為內部網絡和外部網絡兩部分。內部網絡在訪問外部網絡時，通過NAT功能將局域網內部的本地地址轉換為全局地址后轉發數據包。NAT的實現有靜態NAT和動態NAT兩種方式。
（1）靜態NAT：將內部網絡的私有IP地址轉換為公有IP地址時，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為一個公有IP地址。
（2）動態NAT：將內部網絡的私有IP地址轉換為公有IP地址時，IP地址是不確定的，所有被授權訪問Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。
網絡地址轉換
任務5.2
5.2.1 利用動態NAT實現局域網訪問Internet
02
靜態NAT配置
Router (config)# ip nat inside source static local-address global-address
！定義轉換關系
Local-address：需要轉換的內網地址。
Global-address：公有IP地址。
網絡地址轉換
任務5.2
5.2.1 利用動態NAT實現局域網訪問Internet
03
動態NAT配置
Router (config)# ip nat pool address-pool start-address end-address {netmask mask | prefix-length }
！定義全局IP地址池
Address-pool：公網地址池名稱。
Start-address/ end-address：公網開始地址/結束地址。
netmask：子網掩碼。
網絡地址轉換
任務5.2
5.2.1 利用動態NAT實現局域網訪問Internet
學習小結
本小節講解了動態NAT配置方法。NAT的作用是把內網的私有IP地址轉化成外網的公有IP地址，在配置過程中，注意Inside和Outside端口的設置，轉換關系不能定義錯誤。
網絡地址轉換
任務5.2
5.2.2 利用NAPT實現外網主機訪問內網服務器
情境描述
鵬博公司開發了門戶網站部署在公司內網服務器上，為了讓外網客戶能夠訪問該門戶網站以了解公司動態，網絡管理員需要用NAPT技術將該網站映射到外網。
本節內容使用Cisco 2911路由器2臺，PC 1臺，服務器1臺，路由器之間通過DCT串口線互聯模擬內外網，拓撲圖如圖5-5所示。
圖5-5 項目5拓撲圖4
網絡地址轉換
任務5.2
5.2.2 利用NAPT實現外網主機訪問內網服務器
實 現 步 驟
（1）按照拓撲圖連接網絡，并按照表5-4配置各端口IP地址。
表5-4 參數設置表4
網絡地址轉換
任務5.2
5.2.2 利用NAPT實現外網主機訪問內網服務器
（2）在內網路由器上配置NAPT，將IP地址為192.168.1.10的內網服務器的80端口映射到公網IP地址為123.1.1.2的8080端口。
網絡地址轉換
任務5.2
5.2.2 利用NAPT實現外網主機訪問內網服務器
（3）查看內網路由器NAPT映射關系。
Router#show ip nat translations
ProInside globalInside localOutside localOutside global
tcp 123.1.1.2:8080 192.168.1.10:80 --- ---
tcp 123.1.1.2:8080 192.168.1.10:80 60.16.1.2:1025 60.16.1.2:1025
網絡地址轉換
任務5.2
5.2.2 利用NAPT實現外網主機訪問內網服務器
（4）測試。打開外網PC，在瀏覽器地址欄中輸入http://123.1.1.2:8080并按Enter鍵，查看網站是否能正常訪問，如圖5-6所示。
圖5-6 訪問網站
網絡地址轉換
任務5.2
5.2.2 利用NAPT實現外網主機訪問內網服務器
知識儲備
1.NAPT
NAPT（network address port translation，網絡端口地址轉換）可將多個內部IP地址映射為一個合法的公網IP地址，但以不同的協議端口號與不同的內部IP地址相對應，也就是<內網IP地址+內網端口>與<公網IP地址+公網端口>之間的轉換，從而保證內網服務器的安全。
2.NAPT配置
Router(config)# ip nat inside source static {UDP | TCP} local?address local-port global-address global-port
Local-address：需要轉換的內網IP地址。
Local-port：內網端口。
Global-address：公網IP地址。
Global-port：公網端口。
網絡地址轉換
任務5.2
5.2.2 利用NAPT實現外網主機訪問內網服務器
學習小結
本小節講解了動態NAPT的配置方法。NAPT的作用是把內網的私有IP地址和端口映射為外網的公有IP地址和端口。內網針對某個服務的端口是固定的，映射后的外網端口號可以由管理員定義，因此映射后的端口不易猜測，從而起到了保護內網服務安全的作用。

展開更多......

收起↑