第四章 接入Internet4.1网络地址转换4.2 广域网技术案例拓扑结构服务器群ISP行政楼总装配楼信息中心技术需求分析需求3:在整个企 业集团内实现资源共享、产品信息共享、实时新闻发布;分析:由于要实现内部资源共享,需要各个部门通信可以使用VLAN间路由解决。能够实 时新闻发布,需要企业内部网连接到Internet。需求6:申请不到足够的公网IP,但是要全公司都能上网。 分析:用NAT技术 使全公司实现上网。网络地址转换课程议题什么时候使用NAT局域网与Internet互联时,需要使用NAT技术代理服务器proxy、I SA、ICS、 wingate、sysgate等NAT/NAPT(网络地址转换/网络地址端口转换)路由器、防火墙、核心交换机、服 务器常见实现方式NAT/NAPT带来的好处解决地址空间不足的问题;IPv4的空间已经严重不足私有IP地址网络与公网互联;10.0. 0.0/8,172.16.0.0/12,192.168.0.0/16非注册IP地址网络与公网互联;建网时分配了全局IP地址-但没注 册网络改造中,避免更改地址带来的风险课程议题NAT工作原理什么是NAT/NAPT概念:NAT就是将网络地址从一个地址空间转换到另外 一个地址空间的一个行为NAT的类型NAT(Network Address Translation)转换后,一个本地IP地址对应一个 全局IP地址NAPT (Network Address Port Translation)转换后,多个本地地址对应一个全局IP地址 NAT/NAPT的术语NAT中常见的术语:内部本地地址-Inside Local Address内部全局地址-Inside Glo bal Address外部本地地址-Outside Local AddressNAT中用到的接口类型:内部网络 -Insid e外部网络 -Outside外部全局地址-Outside Global Address互联网OutsideInside企业内 部网外部网NAT/NAPT的术语NAT中常见的术语(一组对称的概念):内部本地地址-Inside Local Address内部全 局地址-Inside Global Address外部本地地址-Outside Local Address外部全局地址-Outsi de Global Address 200.8.7.3/24 200.8.7.4/24192.168.1.5192.168.1.7 65.5.8.1172.25.5.1内部本地地址192.168.1.5192.168.1.7 内部全局 地址200.8.7.3200.8.7.4 外部全局地址172.25.5.1 外部本地地址65.5.8.1 NAT工作原理63.5.8.1192.168.1.5192.168.1 .7源IP:192.168.1.7 目的IP:63.5.8.1 源IP:200.8.7.3 目的IP:63.5 .8.1 源IP:63.5.8.1 目的IP:200.8.7.3 源IP:63.5.8.1 目的IP:1 92.168.1.7 源IP:200.8.7.3 目的IP:63.5.8.1 源IP:63.5.8.1 目的IP:192.168.1.7NAPT工作原理63.5.8.1192.168.1.5192.168.1.7Web服务源IP:19 2.168.1.7:1024 目的IP:63.5.8.1:80 源IP:200.8.7.3:1024 目的IP:6 3.5.8.1:80 源IP:63.5.8.1:80 目的IP:200.8.7.3:1024 源IP:63.5.8. 1 :80 目的IP:192.168.1.7:1024 源IP:200.8.7.3:1024 目的IP:63.5 .8.1:80 源IP:63.5.8.1 :80 目的IP:192.168.1.7:1024使用NAPT的情况在以下几种情 况下,需要使用NAPT技术:缺乏全局IP地址,甚至没有专门申请的全局IP地址,只有一个连接ISP的全局IP地址内部网要求上网的主机 数很多提高内网的安全性课程议题NAT/NAPT的配置NAT/NAPT的配置NAT/NAPT的配置有两种静态NAT/NAPT动态NA T/NAPT静态NAT/NAPT需要向外网络提供信息服务的主机永久的一对一IP地址映射关系动态NAT/NAPT只访问外网服务,不提 供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数临时的一对一IP地址映射关系静态NAT配置步 骤1、定义内网接口和外网接口Router(config)#interface fastethernet 1/0Router(con fig-if)#ip nat outsideRouter(config)#interface fastethernet 1/1Ro uter(config-if)#ip nat inside2、建立静态的映射关系Router(config)#ip nat ins ide source static 192.168.1.7 200.8.7.3静态NAPT1、定义内网接口和外网接口Router( config)#interface fastethernet 0Router(config-if)#ip nat outsideR outer(config)#interface fastethernet 1Router(config-if)#ip nat in side2、建立静态的映射关系Router(config)#ip nat inside source static tcp 192.168.1.7 1024 200.8.7.3 1024Router(config)#ip nat inside source static udp 192.168.1.7 1024 200.8.7.3 1024动态NAT配置 1、定义内网接口和外网接口Router(config-if)#ip nat outsideRouter(config-if)#ip nat inside2、定义内部本地地址范围Router(config)#access-list 10 permit 192.1 68.1.0 0.0.0.2553、定义内部全局地址池Router(config)#ip nat pool abc 200.8.7 .3 200.8.7.10 netmask 255.255.255.04、建立映射关系Router(config)#ip nat inside source list 10 pool abc动态NAPT配置1、定义内网接口和外网接口Router(config- if)#ip nat outsideRouter(config-if)#ip nat inside2、定义内部本地地址范围Rout er(config)#access-list 10 permit 192.168.1.0 0.0.0.2553、定义内部全局地址池 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.3 netmask 255.25 5.255.04、建立映射关系Router(config)#ip nat inside source list 10 pool a bc overload课程议题NAT的监视和维护NAT/NAPT的监视和维护命令显示命令show ip nat statistic s 显示翻译统计show ip nat translations [verbose] 显示活动 翻译清除状态命令clear ip nat translation 从NAT转换表中清除所有动态地址转换项NAT/NAPT带来的限 制限制影响网络性能不能处理IP报头加密的报文;无法实现端到端的路径跟踪(traceroute)某些应用可能支持不了:内嵌IP地址内 嵌IP地址的应用有:FTPDNSNetMeetingH.323,VoIP其它自编应用NAT与应用的兼容性问题,详见RFC 3027 课程议题NAT技术实现局域网接入Internet实验拓扑F1/2S0S0F1/1BF0/23F0/23VLAN2S2126S 3760FTPserverF0/24F0/24企业内部网外部网VLAN3F0/23F0/23VLAN5S2126S3760F0/2 4F0/24VLAN4F1/0A实验拓扑工作目标在路由器上配置动态NAPT,使局域网主机能够以公网地址访问外网服务器在路由器上查看 NAPT转换列表F1/0S1/2S1/2F1/0FTP服务器192.168.1.2192.168.1.1202.10.1.1202 .10.1.2202.10.2.1202.10.2.2A B 故障分析故障1:网络线缆连接错误故障2:IP地址配置错误实验拓扑F1 /2S0S0F1/1BF0/23F0/23VLAN2S2126S3760FTPserverF0/24F0/24企业内部网外部网VL AN3F0/23F0/23VLAN5S2126S3760F0/24F0/24VLAN4F1/0Ashow ip nat trans lations [verbose]show ip nat translations [verbose]案例拓扑结构广域网技术项目背 景 某公司总部在北京,因为业务发展壮大,在上海建立了一家分公司,为了便于管理及日常工作顺利开展,总部决定和分公司之间采用广 域网线路连接。项目拓扑R3640RG-S6808×2RG-S3760RG-S4909RG-S3760RG-S3760RG-S376 0RG-R6806ERG-S2126SRG-S2126S分公司公司总部教学目标通过本章学习,要求学员: 1、了解常见的广域链路类型 和特点; 2、熟悉PPP协议的特点; 3、掌握PAP协议的特点及配置; 4、了解CHAP协议的特点及配置。广域网概述点对点协议PP PPPP协议的验证(pap和chap)本章内容课程议题广域网概述广域网的概念广域网(Wide Area Networks,WAN) 距离远、带宽小、延时大广域网接入技术(第一层)广域网第一层接入技术主要有:X.21、EIA/TIA-232、EIA/TIA-449 、V.24、V.35广域网接入技术(第二层)广域网第二层接入技术主要有:LAPB、Frame Relay、HDLC、PPP、SDL C、SMDS广域网中的常见数据链路层协议 常见的几种数据链路层协议:点到点协议(PPP) 高级数据链路控制(HDLC)协议 帧中继 (Frame Relay)广域网设备 广域网中常见的设备有以下几种:广域网交换机 接入服务器 调制解调器 CSU/DSU ISDN 终端适配器 路由器(Router) 课程议题点对点协议PPPPPP协议简介PPP协议是目前使用最广泛的广域网协议,这是因为它具有以 下特性: 能够控制数据链路的建立;能够对IP地址进行分配和使用;允许同时采用多种网络层协议;能够配置和测试数据链路;能够进行错误检 测;有协商选项,能够对网络层的地址和数据压缩等进行协商。 LCP(连接控制协议)NCP(网络控制协议)21(IP, IPX, Ap pleTalk)3PPP协议结构(EIA/TIA-232, V.24, V.35, ISDN)PPP协议的优点PPP协议PPP不仅 适用于拨号用户,而且适用于租用的路由器线路采用NCP协议(如IPCP、IPXCP),支持更多的网络层协议具有验证协议CHAP、PA P更好了保证了网络的安全性PPP LCP选项PPP的配置路由器上的配置RA(config)#interface seriel 1/ 2RA(config-if)# encapsulation ppp注:路由器广域网默认封装方式为HDLC课程议题PPP协议的验证( pap和chap)PPP PAP验证ClientServerHostname: ruijiePassword: 123 用户名+ 密码验证成功验证失败username ruijiepassword 123 PAP验证特点:两次握手协议明文方式进行验证RBRAP AP验证的配置客户端(被验证方)RA(config)#interface seril 1/2RA(config-if)# enca psulation pppRA(config-if)#ppp pap sent-username ruijie password 0 123PAP验证的配置服务端(验证方)RB(config)#username ruijie password 123RB(co nfig)#interface seril 1/2RB(config-if)# encapsulation pppRB(confi g-if)#ppp authentication papPPP CHAP验证ClientServerHostname: RAPas sword: 123 Hostname: RBPassword: 123 RB+挑战报文RA+加密后的密码验证成功验证失败CHAP 验证特点:CHAP为三次握手协议只在网络上传输用户名,而并不传输口令安全性要比PAP高,但认证报文耗费带宽RBRACHAP认证配置 客户端(被验证方)RA(config)#username RB password 123RA(config)#interface serial 1/2RA(config-if)#encapsulation pppCHAP认证配置服务端(验证方)RB(confi g)#username RA password 123RB(config)#interface serial 1/2RB(config-if)#encapsulation pppRB(config-if)#ppp authentication chapPPP认证的调试特权模式下输入:Router#show interfaces serial 1/2Router#debug ppp authentication课程回顾广域网概述点对点协议PPPPPP协议的验证(pap和chap)PAP认证F1/0S1/2S1/2F1/0192.168.1.2192.168.1.1192.168.2.1192.168.2.2192.168.3.1192.168.3.2A B 实验目的在路由器上配置PAP认证实验检测网络连通Router#debug ppp authentication注意检测方法 |
|