项目三任务八 配置动态NAT实现高效安全地访问Internet.pptxVIP

任务描述某公司只向ISP申请了五个公网IP地址，希望全公司的主机都能访问外网，请你在路由器上做适当配置实现些功能。本任务利用动态NAT技术，实现了使用五个公网IP地址让所有公司主机访问外网的需求。知识链接1．NAT概念网络地址转换（NAT,NetworkAddressTranslation）是将一种地址空间转化为另一种地址空间的技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。2．NAT用途NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护内部网络的主机或服务器。任务八动态NAT高效安全地访问Internet

任务八动态NAT高效安全地访问Internet3．NAT分类NAT的实现方式有四种，即静态转换StaticNat、动态转换DynamicNat、静态网络地址端口转换NAPT和动态网络地址端口转换NAPT。4．NAT术语命令功能说明内部本地IP地址分配给内部网络中的主机的IP地址，通常这种地址为私有地址内部全局IP地址对外代表一个或多个内部本地IP地址，通常这种地址是全局唯一的公有地址，通常是ISP提供的外部本地IP地址外部网络中的主机IP地址，通常是全局可路由地址外部全局IP地址外部网络主机的合法IP。公网上机器在内网上所显示的IP地址

任务八动态NAT高效安全地访问InternetNAT技术对于地址可以双向隐藏PC1：192.158.1.100PC2：192.16.2.50内部网络外部网络Parket1源地址：192.168.1.100目的地址：203.4.5.6Parket2源地址：203.4.5.6目的地址：192.158.1.100Parket1源地址：202.1.2.3目的地址：203.4.5.6Parket2源地址：192.16.2.50目的地址：202.1.2.3NAT路由器

任务八动态NAT高效安全地访问Internet5．NAT的工作过程静态NAT工作过程内部本地地址：10.1.1.1内部全局地址：172.2.2.2?172.2.2.2/24HostA:10.1.1.1HostB:1.1.1.3动态NAT工作过程内部本地地址：10.1.1.1地址池：172.2.2.2、172.2.2.3、…内部全局地址：172.2.2.2?172.2.2.2/24HostA:10.1.1.1HostB:1.1.1.3

任务八动态NAT高效安全地访问Internet6．NAT的配置方法1）静态NAT配置命令功能说明Router(config-if)#ipnat{inside|outside}Inside:指定接口为NAT内部接口Outside：指定接口为NAT外部接口Router(config)#ipnatinsidesourcestaticlocal-ip{interfaceinterface|global-ip}local-ip:分配给内部网络中的主机的本地IP地址。interface:路由器本地接口。如果指定该参数，路由器将使用该接口的地址进行转换global-ip:外部主机看到的内部主机的全局唯一的IP地址2）动态NAT配置命令功能说明Router(config-if)#ipnat{inside|outside}Inside:指定接口为NAT内部接口Outside：指定接口为NAT外部接口Router(config)#access-listlistnumber{permit|deny}address[wildcard-mask]Listnumber：是规则序号，标准ACL取值为1-99Permit和deny：表示匹配条件的报文是通过还是阻止。address：数据包的源IP地址，也可以配合通配符屏蔽码（wildcard）表示一组源IP地址。Wildcard：通配符屏蔽码，反掩码。

任务八动态NAT高效安全地访问InternetRouter(config)#ipnatpoolpool-namestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}pool-name:地址池的名称start-ip：全局地址池包含的地址范围中的第一个IP地址end-ip：全局地址池包含的地址范围中的最后一个IP地址netmask：地址池中地址的子网掩码（不是反掩码）prefix-length：一个数字，指出netmask中有几个1，即网络前缀长度Router(config)#ipnatinsides