公共网络NAT地址转换的配置详解

学习目标

·掌握地址转换的配置

·掌握向外发布内部服务器地址转换的方法

·掌握私有地址访问Internet的配置方法

任务引言

在IPv4时代，NAT很好地解决了IP地址不足的问题。不仅如此，NAT还能有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

知识引入

网络地址转换协议(Network Address Translation，NAT)是指内部网络IP地址与公用IP地址进行转换。

NAT的实现方式有三种，即静态转换、动态转换和端口多路复用。

静态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公用IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时，可以采用动态转换的方式。

端口多路复用(Port Address Translation，PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换。采用端口多路复用方式，内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自Internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

工作任务——网络地址转换配置

【工作任务背景】

企业A总公司内部客户端有访问Internet的需求，ISP供应商需要在总公司的出口网关处为内部网络部署网络地址转换。同时，公司内部还存在一台服务器，这个服务器提供公司的门户网站服务，它应该被内部客户端和外部Internet客户端访问。拓扑图如图4－9－1所示。

图4－9－1　NAT地址转换配置

【工作任务分析】

如图4－9－1所示，PC1为内部客户端，PC2为Internet客户端。详细的参数说明见表4－9－1和表4－9－2。当PC1访问Server2服务器上的网站时，需要在Isprtr1上做NAT地址转换，更换源地址为接口合法地址。同样，当PC2访问Server1服务器上的网站时，也需要在Isprtr1上做NAT地址转换，更换目的地址，使数据能够转发到Server1上。

表4－9－1　网络设备信息

表4－9－2　PC信息

PC1模拟企业A广州总公司，PC2模拟因特网客户端。Server1和Server2分别模拟公司内部应用服务器和因特网应用服务器。

【任务实现】

1.首先对总公司内部访问器进行初始化设置，配置Edgefw主机名、IP地址、安全等级和接口名称；根据表4－9－1配置网络地址；初始化路由器Edgefw。

2.配置Isprtr1路由器的主机名，根据表4－9－1配置网络地址。

3.配置Isprtr2路由器的主机名，根据表4－9－1配置网络地址。

4.配置Isprtr3路由器的主机名，根据表4－9－1配置网络地址。

5.为了使ISP区域网络互通，启用动态路由协议和配置静态路由。此处采用EIGRP动态路由协议，并且使用全新的命名模式进行部署。

6.部署成功后，在Isprtr1上检查路由表。

7.开始部署网络地址转换。首先在Isprtr1上创建相应的ACL条目，用于匹配需要进行网络地址转换的客户端。

8.创建动态NAT规则，使用100.0.3.100地址作为NAT外部全局地址。关联“Inside＿Network”ACL条目。

9.相关配置创建完成后，在Isprtr1接口上启用NAT。连接外部网络的接口定义为outside接口，连接总公司内部的接口定义为inside接口。

10.为了使内部网络能够访问Internet，需要在Edgefw上配置默认路由。

11.测试采用ping工具，需要在Edgefw上放行ICMP流量。

12.在PC1客户端上进行连通性测试，如图4－9－2所示。

图4－9－2　连通性测试

13.在PC1客户端上进行Web服务访问测试，如图4－9－3所示。

14.在Isprtr1上检查NAT转换。

(www.xing528.com)

图4－9－3　Web服务访问测试

15.在Isprtr1上创建静态NAT规则，以将内部Server1通过静态NAT将TCP80端口映射到公网上。

16.在Edgefw上放行来自外部网络访问内部服务器的Web流量。

17.在PC2客户端上进行Web服务访问测试，如图4－9－4所示。

图4－9－4　Web服务访问测试

工作任务——地址重载转换配置

【工作任务背景】

由于网络公网地址非常有限，先要求使用地址重载方式配置网络地址转换，这样当公司出口网络地址不是固定地址时，也能完成Internet访问。但是，在使用地址重载后，公司内部服务器就没有办法正常提供服务了。原因是公司的外部全局地址不固定，无法为服务器添加合适的域名解析记录。本任务拓扑图如图4－9－1所示，根据表4－9－1和表4－9－2进行初始化网络地址等设置。

在Isprtr1上部署地址重载转换，根据不同来源的客户端使用不同的出口进行访问Internet。

【任务实现】

1.根据所学知识，完成拓扑中网络设备的主机名、网络地址的设定。

2.在防火墙设备和路由器设备上设置必要的路由，实现网络拓扑通信。

3.开始部署网络地址转换，在Isprtr1上配置相关的ACL条目，用于匹配需要进行网络地址转换的客户端，此处创建两条ACL条目，分别用于匹配不同网段的客户端。

4.在Isprtr1上创建route－map规则，用于NAT的规则匹配。

5.当ACL和route－map的规则创建成功后，开始部署网络地址转换规则。

6.在相应的路由接口上启用NAT功能。

7.在PC1上进行测试，访问Server2成功，如图4－9－5所示。

图4－9－5　在PC1上进行连通性测试

8.在Server1上进行测试，访问Server2成功，如图4－9－6所示。

图4－9－6　在Server1上进行连通性测试

9.检查Isprtr1上的NAT转换表。

问题探究

1.简述静态NAT的应用场景。

2.简述动态NAT的应用场景。

3.简述IP复用和接口复用的区别。

4.简述NAT应用方向的区别。

知识拓展

ip nat{inside｜outside}:接口配置命令。以在至少一个内部和一个外部接口上启用NAT。

ip nat inside source static local－ip global－ip:全局配置命令。在对内部局部地址使用静态地址转换时，用该命令进行地址定义。

Access－list Access－list－number{permit｜deny}local－ip－address:使用该命令为内部网络定义一个标准的IP访问控制列表。

ip nat pool pool－name start－ip end－ip netmask netmask[type rotary]:使用该命令为内部网络定义一个NAT地址池。

ip nat inside source list Access－list－number pool pool－name[overload]:使用该命令定义访问控制列表与NAT内部全局地址池之间的映射。

ip natoutside source list Access－list－number pool pool－name[overload]:使用该命令定义访问控制列表与NAT外部局部地址池之间的映射。

ip nat inside destination list Access－list－number pool pool－name:使用该命令定义访问控制列表与终端NAT地址池之间的映射。

show ip nat translations:显示当前存在的NAT转换信息。

show ip nat statistics:查看NAT的统计信息。

show ip nat translations verbose:显示当前存在的NAT转换的详细信息。

debug ip nat:跟踪NAT操作，显示出每个被转换的数据包。

Clear ip nat translations*:删除NAT映射表中的所有内容。

项目拓展

利用所学知识完成在防火墙上配置静态NAT和动态NAT。