NAT（网络地址转换技术）

NAT隐藏了内部网络的结构，具有“屏蔽”内部主机的作用，但是在实际应用中，可能需要给外部网络提供一个访问内网主机的机会，如给外部网络提供一台Web服务器，或是一台FTP 服务器。

NAT设备提供的内部服务器功能，即是通过静态配置“公网IP地址＋端口号”与“私网IP地址＋端口号”间的映射关系，实现公网IP地址到私网IP地址的“反向”转换。

如上图所示，外部网络用户访问内部网络服务器的数据报文经过NAT设备时，NAT设备根据报文的目的地址查找地址转换表项，将访问内部服务器的请求报文的目的IP地址和端口号转换成内部服务器的私有IP地址和端口号。当内部服务器回应该报文时，NAT设备再根据已有的地址映射关系将回应报文的'源IP地址和端口号转换成公网IP地址和端口号。

配置思路：

1、使能NAT ALG功能，保证特定的应用层协议能够正常穿越NAT。

2、进入连接外网的接口。

3、配置NAT Server，使得设备能够根据公网信息查询到对应的服务器私网信息。

真实配置视频实录

当内部网络有大量用户需要访问外部网络时，可以通过配置访问控制列表和地址池（或接口地址）的关联，由“具有某些特征的IP报文”挑选使用“地址池中地址（或接口地址）”，从而建立动态地址映射关系。这种情况下，关联中指定的地址池资源由内网报文按需从中选择使用，访问外网的会话结束之后该资源便释放给其它用户。

配置思路

1、配置控制地址转换范围的ACL规则

2、配置ACL规则与公网地址关联。分为地址池方式与接口地址方式（该方式称之为Easy IP功能）。

地址池方式

a 配置公网地址池

b 进入接口视图

c 配置ACL规则与地址池的关联

Easy IP方式

a 进入接口视图

b 配置接口地址

c 配置ACL规则与接口地址的关联

实验八  DHCP+NAT＋ACL（case study）

实验目的

一、了解DHCP原理，掌握在路由器上配置DHCP服务器的方法

二、了解IP Helper Address原理和配置方法

三、掌握NAT原理，掌握静态和动态NAT、PAT的配置方法

四、理解和掌握ACL的作用；学会配置各种ACL

五、参与网络的设计和实现

实验拓扑及器材

本实验需用到路由器4台，交换机1台，串行线、直通线、交叉线、console线若干，主机7台。实验拓扑如下：

场景描述：

上图为某小型公司的网络。

1 拓扑描述：

1）3个VLAN，其中VLAN2（PC1所在VLAN）为一般员工使用，VLAN4（PC2所在VLAN）为来访客户使用，VLAN3（Server1所在VLAN）有公司的>

2）LAN5（即PC3所在的LAN），为网络管理员使用。

3）公司网络通过边界路由器R3连接到ISP（用主机模拟）。

2 IP地址：

1）在公司的网络内部，使用私有地址，地址范围为19216810/24网段。VLAN3的服务器的IP地址为手动配置的固定地址；VLAN2、VLAN4、LAN5的主机的IP地址由DHCP自动获取，路由器R2上配置了DHCP服务，而路由器R1上配置了IP Helper Address。

3）当公司内部需要和外部通信时，通过边界路由器R3进行NAT转换，可用的内部全局地址为20211664128/26网段。其中VLAN3的服务器使用的是静态NAT转换，以使外部网络能对服务器进行访问；而VLAN2、VLAN4、LAN5的主机使用的是PAT，以节省内部全局地址。

3 公司内部的路由器上配有ACL，使得：

1）VLAN2能访问VLAN3、VLAN4、LAN5以及Internet，但不能被VLAN4、Internet的用户访问。

2）VLAN3能被VLAN2、LAN5的用户访问，而被VLAN4、Internet的用户只能通过>

3）路由器的虚拟终端只允许LAN5用户的登录。

实验重难点

一、DHCP & IP Helper Address

1 DHCP（动态主机配置协议）

网络管理员可以利用DHCP服务器从事先定义好的地址池里为客户机动态分配IP配置以及DNS服务器、域名等参数。

DHCP对客户端的配置过程主要包括以下四个步骤：

1）客户端需要IP配置的时候，向所有节点发送DHCPDISCOVER广播寻找DHCP服务器；

2）服务器用单播方式向客户端发送DHCPOFFER响应，提供IP建议配置信息；

3）客户端如果觉得该建议配置可以接受，就向所有节点发DHCPREQUEST广播；

4）服务器向客户端单点传送一个DHCPACK以确认该配置的正式化。

2 IP Helper Address

网络中有多种类似DHCP这样需要通过广播寻找服务器的服务。而在大型的网络中，往往不是所有客户都与这些主要服务器处于同一子网中。缺省情况下路由器不会将客户的广播转发到他们的子网之外，因此这些定位服务器的广播包将无法到达服务器。

为了既能让客户能定位服务器而又避免在每一个子网上放置服务器，Cisco IOS提供了帮助地址特性。IP helper-address命令可以让路由器中继这些主要UDP服务的广播请求，并把它们转发到特定的服务器上，从而服务器能基于请求作出响应，给请求客户以它们所需要的信息。

在DHCP包中有一个GIADDR字段，若需跨网域进行自动地址分配，则此字段为中继代理的地址，否则为0。DHCP服务器可以从代理的地址识别该请求主机对应的网段，从而能正确地分配地址。

二、NAT

1 私有地址和地址转换

IANA保留了下列三块IP地址空间作为私有地址：

10000～10255255255(一个单独A类网络号码)

1721600～17231255255(16个相邻的B类网络号)

19216800～192168255255(256个相邻的C类网络号)

任何组织可以不经IANA或因特网登记处的允许就可以使用私有地址。取得私有IP地址的主机能和组织内部任何其他主机连接，但是如果不经过一个代理网关就不能和组织外的主机连接。

地址转换，即NAT功能，就是指在一个组织网络内部，根据需要可以使用私有的IP地址(不需要经过申请)，在组织内部，各计算机间通过私有IP地址进行通讯，而当组织内部的计算机要与外部网络进行通讯时，具有NAT功能的设备负责将其私有IP地址转换为公有IP地址，即用该组织申请的合法IP地址进行通信。

2．NAT几个主要术语

1）内部局部地址（Inside Local）：在内部网络中分配给主机的私有IP地址。

2）内部全局地址（Inside Global）：一个合法的IP地址，它对外代表一个或多个内部局部IP地址。

3）外部全局地址（Outside Global）：由其所有者给外部网络上的主机分配的IP地址。

4）外部局部地址（Outside Local）：外部主机在内部网络中表现出来的IP地址。

3．NAT的类型

静态地址转换将内部局部地址与内部全局地址进行一对一的转换，内部局部地址被永久映射成某个固定的全局地址。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户共用的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。

动态地址转换也是将内部局部地址与内部全局地址一对一的转换，它从内部全局地址池中动态地选择一个未使用的地址对内部局部地址进行转换，即采用动态分配的方法映射内部局部地址和内部全局地址。

端口地址转换(PAT)是一种动态地址转换，它允许多个内部局部地址地址映射到同一个全局地址。NAT设备通过映射TCP或UDP端口号来跟踪记录不同的会话。

4．NAT的工作原理

当内部网络中的一台主机想传输数据到外部网络时，在它传输到外部网络之前要经过NAT路由器。该路由器检查数据包的报头，获取该数据包的源IP信息，并检查是否满足地址转换条件。如果不满足，则直接对数据包按常规进行路由处理。如果满足动态地址转换条件，则从该路由器的内部全局地址表中分配一个内部全局地址给该内部局部地址，并形成内部局部地址和内部全局地址的映射表。静态地址转换的映射表则是固定生成的。NAT路由器把该数据包的源地址，用它的内部全局地址代替，把此数据包传输到外部网络中。

当外部网络对内部主机进行应答时，应答数据包穿越外部网络到达发送端的NAT路由器上。此路由器分析目的IP地址，当发现此目的IP地址为内部全局地址时，它将查找NAT映射表，从而获得内部局部地址；然后将数据包的目的地址替换成内部局部地址，并将数据包转发到内部网络中，最终到达发送的主机。

三、ACL（访问控制列表）

ACL能允许或拒绝数据包穿过规定的路由器接口，是应用在IP地址或上层协议(如TCP层)的允许和拒绝条件的一个有序的集合。ACL的主要作用是对数据包进行过滤，从而有助于控制通过网络的数据包传输，达到限制网络数据流以及限制某些用户或设备对网络进行访问的目的，具有简单的网络安全功能。

ACL语句是按顺序进行处理的，若找到匹配的语句则立刻执行permit或deny，剩下语句不再进行处理；若所有语句都不匹配，数据包将被deny。每一种被路由协议（如IP、IPX ），在路由器的每个接口上的每个方向上（in和out），最多只能绑定一条ACL。后面绑定的ACL会覆盖前面绑定的，也就是说后面绑定的ACL会取代前面绑定的ACL而起作用。

标准ACL：它只对数据包的源IP地址进行控制和过滤，配置时的编号范围是1～99和1300～1999。放置规则是将它们放在距目的地路由器尽可能近的地方以进行有效的控制。理由是标准ACL只能指定源地址，所以在数据流被拒绝点之后的路径中的任何设备都不能进行通信。不过要注意的是，这就意味着数据流会通过网络被转发，只在距目的地近的地方才被拒绝。配置方法是――(1)定义ACL：Router(config)#access-list <num> {permit |deny} 源地址 [通配符掩码]；(2)绑定ACL到接口：Router(config-if)#ip access-group <num> {in|out}。

扩展ACL：它会对源和目的IP地址都进行过滤和控制，配置时的编号范围是100～199和2000～2699。放置规则是将它们放在离源近的地方以减少非法流穿越多台路由器以及ICMP的管理性拒绝消息。理由是扩展ACL除了源的信息外，还指定了目的地的相关信息，如IP地址、TCP层的端口号等。配置方法是――(1) 定义ACL：Router(config)#access-list <num> { permit | deny } 协议 源地址 通配符掩码 [ eq | neq | gt | lt 源端口] 目的地址 通配符掩码 [ eq | neq | gt | lt 目的端口] [other options]；(2) 绑定ACL到接口：Router(config-if)#ip access-group <num> {in|out}。

标准或扩展ACL修改时无法修改特定条目，只有完全删除后再按正确的方式重新建立才行。标准和扩展ACL对于由路由器自身发出的数据包不起限制作用。

命名ACL：命名ACL允许在标准ACL和扩展ACL中，使用一个字母数字组合的字符串（名字）来表示ACL号。命名ACL可以删除某一特定的条目，而不用通过完全删除一个ACL，然后再重新建立一个ACL来删除某一条特定的条目。

限制虚拟终端：出于安全性的考虑，我们需要限制主机或者其它路由器对虚拟终端的访问。类似物理接口，我们可以在虚拟端口绑定ACL。

实验内容

一、 按照拓扑配置路由器名称、接口（包括子接口）

二、 配置交换机（配置方法可参考实验五）

1 清空交换机原先的配置

2 配置VLAN并绑定到相应的端口

3 配置trunk

三、 配置路由

1 在内部网络配置OSPF路由协议

2 在R3上配置默认路由，并传播到整个内部网络

R3(config)#ip route 0000 0000 202116641

R3(config)#router ospf 1

R3(config-router)#default-information originate

3 在ISP配置静态路由

ISP(config)#ip route 20211664128 255255255192 202116642

四、 配置DHCP

1 在R2配置DHCP服务：VLAN2对应地址池是192168164/26，VLAN4对应地址池是1921681128/26，LAN5对应地址池是192168132/27

1) 配置192168164/26网段的DHCP服务：

R2(config)#ip dhcp pool VLAN2pool //建立一个地址池

R2(dhcp-config)#network 192168164 255255255192 //指定分配的IP地址范围

R2(dhcp-config)#default-router 192168165 //指定网关

R2(dhcp-config)#dns-server 202116641 //指定DNS服务器

R2(dhcp-config)#exit

R2(config)#ip dhcp excluded-address 192168165 //指定不能分配的地址

2) 配置1921681128/26网段的DHCP服务：

R2(config)#ip dhcp pool VLAN4pool

R2(dhcp-config)#network 1921681128 255255255192

R2(dhcp-config)#default-router 1921681129

R2(dhcp-config)#dns-server 202116641

R2(dhcp-config)#exit

R2(config)#ip dhcp excluded-address 1921681129

3) 配置192168132/27网段的DHCP服务：

R2(config)#ip dhcp pool LAN5pool

R2(dhcp-config)#network 192168132 255255255224

R2(dhcp-config)#default-router 192168133

R2(dhcp-config)#dns-server 202116641

R2(dhcp-config)#exit

R2(config)#ip dhcp excluded-address 192168133

2 在R1配置helper address

R1(config)#ip helper-address 19216815

3 主机设置为用DHCP获取IP地址，并查看获取地址的结果

4 检验DHCP的常用命令

show ip dhcp binding

show ip dhcp server statistics

debug ip dhcp server events

debug ip dhcp server packet

五、 在R3配置NAT

1 Server1用静态NAT映射到20211664129

R3(config)#ip nat inside source static 1921681194 20211664129

//在内部接口上启用源地址转换

R3(config)#interface s0

R3(config-if)#ip nat inside //指定内部接口

R3(config-if)#interface s1

R3(config-if)#ip nat outside //指定外部接口

2 VLAN2、VLAN4、LAN5的主机用动态NAT映射到地址池20211664130～20211664254

R3(config)#ip nat pool CISCO 20211664130 20211664254 netmask 255255255192

R3(config)#access-list 1 deny 1921681192 00063

R3(config)#access-list 1 permit 19216810 000255

R3(config)#ip nat inside source list 1 pool CISCO

3 把动态NAT改为使用PAT

1) 删除NAT配置，清除所有NAT转换表项:

R3#clear ip nat translation 

R3#clear ip nat statistics

R3(config)#no ip nat inside source list 1 pool CISCO

2) 配置PAT：

R3(config)#ip nat inside source list 1 pool CISCO overload

4 检验NAT的常用命令

show ip nat translations [verbose]  //查看映射表

show ip nat statistics

debug ip nat

六、 配置ACL

1 在R1的f02口绑定ACL，使VLAN2能访问VLAN3、VLAN4、LAN5以及Internet，但不能被VLAN4、Internet的用户访问

R1(config)#access-list 100 permit ip 1921681192 00063 any

R1(config)#access-list 100 permit ip 192168132 00031 any

R1(config)#access-list 100 permit tcp any any established

R1(config)#interface f02

R1(config-if)#ip access-group 100 out

2 在R1的f03口绑定ACL，使VLAN3能被VLAN2、LAN5的用户访问，而被VLAN4、Internet的用户只能通过>

R1(config)#access-list 101 permit ip 192168164 00063 any

R1(config)#access-list 101 permit ip 192168132 00031 any

R1(config)#access-list 101 permit tcp any any eq 80

R1(config)#access-list 101 permit tcp any any eq 20

R1(config)#access-list 101 permit tcp any any eq 21

R1(config)#access-list 101 permit tcp any any established

R1(config)#interface f03

R1(config-if)#ip access-group 101 out

3 在R1、R2、R3的虚拟终端绑定ACL，只允许LAN5用户的telnet登录

以R1为例：

1) 配置telnet

R1(config)#enable password cisco

R1(config)#line vty 0 4

R1(config-line)#password Cisco

R1(config-line)#login

2) 在虚拟终端绑定ACL

R1(config)#access-list 1 permit 192168132 00031

R1(config)#line vty 0 4

R1(config-line)#access-class 1 in

4 检验ACL的常用命令

show access-lists

show run

show ip interface