【摘要】:任务描述某公司内部网络使用内网IP地址192.168.1.0/24网段,有若干台主机需要访问公网,公司已从Internet服务供应商处申请到3个公共IP地址,网络管理员考虑使用动态NAPT技术来实现这一目的。本任务将介绍动态NAPT技术,实现内网主机对公网的访问。相关知识动态NAPT技术通常用于多台内网主机需要同时访问公网而公共IP地址却有限的场合。动态NAPT借助一个公共IP地址就可以映射多个内部本地地址,再辅以端口号来区分内部不同的主机。
任务描述
某公司内部网络使用内网IP地址192.168.1.0/24网段,有若干台主机需要访问公网,公司已从Internet服务供应商(ISP)处申请到3个公共IP地址(222.0.1.1—222.0.1.3),网络管理员考虑使用动态NAPT技术来实现这一目的。
本任务将介绍动态NAPT技术,实现内网主机对公网的访问。
相关知识
动态NAPT技术通常用于多台内网主机需要同时访问公网而公共IP地址却有限的场合。
动态NAPT技术中使用了地址池的概念。地址池中通常存放的是可用的内部全局地址(公共IP地址)。
动态NAPT借助一个公共IP地址就可以映射多个内部本地地址,再辅以端口号来区分内部不同的主机。这里的端口是指TCP/IP协议中的端口,端口号范围为0~65535。
任务解析
公司从ISP处申请到3个公共IP地址,其中两个分别作为公司与ISP的连接端口地址(222.0.1.1和222.0.1.2),剩下一个公有地址(222.0.1.3)正好用作内网访问公网的映射地址。
动态NAPT技术的使用,通常有下述4个步骤。
1.定义标准访问控制列表(ACL),指定允许进行NAT转换的源地址段。
Router(config)#access-list 编号 permit 源地址段 反掩码
2.定义全局地址池,指定用作内网访问公网的映射地址(公共IP地址)。
Router(config)#ip nat pool 地址池名 始IP地址 末IP地址 netmask 子网掩码
3.分别定义连接内网和连接公网的端口类型。
Router(config-if)#ip nat inside或outside !定义端口类型,inside表示连接内网的端口类型,outside表示连接公网的端口类型
4.定义地址转换关系。
Router(config)#ip nat inside source list ACL编号 pool 地址池名 overload
!定义ACL 指定网段与地址池中的公有地址的转换关系
任务实施
一、搭建网络拓扑
在PACKETTRACER软件中搭建如图6-5所示网络拓扑,SERVER服务器使用终端设备Server-PT,默认已开启HTTP(WWW)服务,各设备及端口地址见表6-3。
图6-5
表6-3
二、配置路由器R1的端口
R1(config)#int f0/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exi
R1(config)#int s2/0
R1(config-if)#clock rate 9600
R1(config-if)#ip add 222.0.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exi
R1(config)#
三、配置路由器R2的端口
R2(config)#int s2/0
R2(config-if)#ip add 222.0.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exi
R2(config)#int f0/0
R2(config-if)#ip add 222.0.2.1 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exi
R2(config)#
四、配置路由器R1上的路由
R1(config)#router ospf 1(www.chuimin.cn)
R1(config-router)#netw 222.0.1.0 0.0.0.255 ar 0 !只宣告公网IP地址段
R1(config-router)#exi
R1(config)#
五、配置路由器R2上的路由
R2(config)#router ospf 1
R2(config-router)#netw 222.0.1.0 0.0.0.255 ar 0
R2(config-router)#netw 222.0.2.0 0.0.0.255 ar 0
R2(config-router)#exi
R2(config)#
六、在路由器R1上完成动态NAPT配置
R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255 !指定允许进行NAT转换的源地址段为192.168.1.0/24,注意使用反掩码
R1(config)#ip nat pool to_internet 222.0.1.3 222.0.1.3 netmask 255.255.255.0
!定义地址池to_internet,池中放置一个已申请的公网IP地址222.0.1.3/24
R1(config)#int f0/0
R1(config-if)#ip nat inside !定义连接内网的端口
R1(config-if)#exi
R1(config)#int s2/0
R1(config-if)#ip nat outside !定义连接公网的端口
R1(config-if)#exi
R1(config)#ip nat inside source list 10 pool to_internet overload !定义ACL
指定网段与地址池中的公有地址的转换关系
注意:在定义ACL指定网段与地址池中的公有地址的转换关系时,overload参数非常重要,它指定了采用端口复用技术。
七、配置PC1、PC2、PC3和WWW SERVER的IP地址、子网掩码和网关地址并进行WWW访问测试
表6-3所示为配置PC1、PC2、PC3和WWW SERVER的IP地址、子网掩码和网关地址,进行WWW服务器连通测试。单击计算机PC1,再从“桌面”中选择“WEB浏览器”,在URL地址框内填入“222.0.2.2”后单击“跳转”,成功访问SERVER服务器上的WWW服务,如图6-6所示。同时测试PC2、PC3访问WWW SERVER服务器均可成功。
图6-6
八、查看NAPT转换关系
在路由器R1上特权模式下使用“show ip nat translations”查看NAPT转换关系,如图6-7所示。
图6-7
说明:内网网段192.168.1.0/24以公网IP地址222.0.1.3/24作为映射地址,再辅以不同的端口号(如1031、1024、1025等)对应内网中不同的主机。
任务小结
使用动态NAPT技术,多台内网主机可以借助一个公网IP地址实现对Internet的访问,从而节约了公网IP地址数量。在使用动态NAPT技术时,特别要注意定义ACL指定网段与地址池中的公有地址的转换关系时,overload参数指定了使用端口复用技术,如果不使用此参数而加大地址池中的公共IP地址的个数,也能实现对Internet的访问,这种技术称为动态NAT技术,是通过地址复用来实现的。此时,同时访问Internet的内网主机数不得超过地址池中的公共IP地址数量。
拓展提高
NAPT技术也有动态、静态之分。静态NAPT技术适用于将内部多台实现不同服务的主机借助于一个公共IP地址发布到公网上,和静态NAT技术只能将内部一台主机借助一个公共IP地址比较,静态NAPT技术显然有其优势,请百度一下,自行学习。
课后自测
在PACKET TRACER软件中搭建如图6-8所示网络拓扑,SERVER服务器使用终端设备Server-PT,默认已开启HTTP(WWW)服务,各设备及端口地址见表6-4,要求完成功能如下:
图6-8
表6-4
(1)完成各计算机终端IP地址、子网掩码和默认网关的配置。
(2)完成各设备端口的地址配置。
(3)在路由器R1上配置RIP动态路由(不允许有内网IP地址段10.10.10.0/24的路由)。
(4)在路由器R2上配置RIP动态路由。
(5)测试从WWW SERVER服务器到路由器R1出口地址222.0.1.1/24的连通性,要求正常连通。
(6)在路由器R1上作NAPT转换,使得内网计算机PC1、PC2能同时使用R1的出口地址222.0.1.1/24访问到公网WWW SERVER服务器。
(7)在路由器R1上特权模式下使用“show ip nat translations”查看NAPT转换关系。
相关推荐