大型企业网络配置系列课程详解(七) --NAT的配置与相关概念的理解.doc

大型企业网络配置系列课程详解（七） --NAT的配置与相关概念的理解 ? 实验背景：随着接入因特网的计算机数量不断猛增，IPv4版本地址资源也就愈加显得捉襟见肘。好多企业申请的IP地址都是经过子网不断划分得到的。A类，B类地址基本已用完，而一般的用户根本就申请不到整段的公网C类地址。如果，要想让每一个连入互联网的主机拥有公网的IP地址，在IPv4的年代是根本不可能的事情，而IPv6正在不断发展中，IPv4到IPv6的过度还是需要一段时间的。为了解决这一问题，A类，B类，C类地址里便规划出了一部分私有地址（A类：~55，B类：~55，C类：~55）作为企业内部使用，而内网与外网之间的转换便用到了现在主流的NAT(Network Adderss Translation)技术。NAT技术允许使用私有IP地址的企业局域网可以透明地连接到像因特网这样的公网网络上。NAT不仅解决了IP地址不足的问题，而且还能够隐藏内部网络的细节，避免来自网络外部的攻击，起到一定的安全作用。当然，任何事物，当你提高它其中一部分性能的时候，其它与之关联的性能必然会有所降低。而企业内部启用了NAT之后，做NAT转换的路由器必须对每一个数据包进行IP地址处理，从而造成了一定的网络延迟。 ? 实验目的：1、通过试验了解NAT的基本原理 2、静态NAT的实现与原理 3、动态NAT的实现与原理 4、端口多路复用NAT(PAT)的实现与原理 5、TCP负载均衡配置 ? 实验网络拓扑： ? 实验步骤： 一、配置模拟公网的基本参数(由于不是重点，点到为止) 为了增加试验的真实性，选用R6和R7互联来模拟公网，并且启用RIP v2（如果，中间路由器多了，还可以启用OSPF路由协议），而两边的网络相当于两个不同的企业。（R6和R7配置完成之后，配置内网的交换路由设备时，要想着R6和R7之间的连接就是公网，而我们根本就不知道它是如何相连的，我们只需要在企业内部出外网的路由器接口上启用虚拟拨号功能进行IP地址协商动态获得IP地址就可以了，考虑到试验局限性的原因，这里就当出外网的路由器接口已经通过了虚拟拨号验证并分配的公网IP地址。因此，接下来只需要配置默认路由和NAT就可以连入互联网（实际上是R6和R7之间的互联） ? R6的具体配置: ? R7的具体配置： ? 检查公网R6和R7是否连接正常： ? ? 二、 配置内网路由器的基本参数，并启用默认路由（不是重点，点到为止）。 R5的具体配置： 注意：配置默认路由的时候，由于根本就不知道公网的存在，所以，下一跳应该写出外网的端口号。 ? R10的具体配置： ? ? ? ******************NAT技术的实施**************** 其实NAT技术是可以借助于某些代理服务器来实现，但企业考虑到运算成本和网络性能，很多时候，都是在路由器上实现的。当内网数据发送连接外网的路由器上时（R5和R10）,NAT将自动修改IP包头中的源IP包头中的源IP地址和目的IP地址，IP地址校验则在NAT处理过程中自动完成。NAT支持的业务类型和应用有HTTP，TFTP，Telnet，NTP，NFS以及任何应用数据流中不承载源/目的IP地址的TCP/IP业务；支持在数据流中有IP地址的业务类型有ICMP，FTP(包括PORT和PASV)，TCP/IP上的NetBIOS（数据报、名称和会话服务），DNS，H.323/NetMeeting，IP多播（只转换源地址）；不支持的业务类型有路由表更新，DNS区域传送，BOOTP，talk、ntalk，SNMP，Netshow，VPN。 ? 三、 静态NAT的配置: 静态NAT转换就是将内部网络的私有IP地址转换成公有合法的IP地址，IP地址的对应关系是一对一的，是不变的，即某个私有IP地址只能转换成某个固定的公有IP地址。这种转换一般拥有公司里某些特定的设备（如服务器）的访问，是不能节省公网IP地址的,但是可以隐藏企业内部服务器的IP地址，降低外网的攻击，从而增强内部设备的安全性。 在内部局部（内网局域网配置的私有地址）和内部全局地址（出外网路由器接口的公网地址）之间建立静态地址转换，将内部局部地址转换为内部全局地址 设置NAT功能的路由器需要由一个内部端口（Inside）和一个外部端口（Outside）。内部端口连接的网络用户使用的是内部IP地址（私有地址），外部端口连接的外部的网络使用的是外部IP地址（公有地址，具有全球唯一性），如因特网。要NAT功能发挥作用，必须在这两个端口上启用NAT。R5的端口F0/0应设置为Inside，F0/1应设置为Outside；R10的E0/0应设置为Outside，E0/1应设置为Inside。 ? 配置完静态NAT之后，使用PC22 ping路由器R10