第四章 接入Internet4.1网络地址转换4.2 广域网技术案例拓扑结构服务器群ISP行政楼总装配楼信息中心技术需求分析需求3:在整个企
业集团内实现资源共享、产品信息共享、实时新闻发布;分析:由于要实现内部资源共享,需要各个部门通信可以使用VLAN间路由解决。能够实
时新闻发布,需要企业内部网连接到Internet。需求6:申请不到足够的公网IP,但是要全公司都能上网。 分析:用NAT技术
使全公司实现上网。网络地址转换课程议题什么时候使用NAT局域网与Internet互联时,需要使用NAT技术代理服务器proxy、I
SA、ICS、 wingate、sysgate等NAT/NAPT(网络地址转换/网络地址端口转换)路由器、防火墙、核心交换机、服
务器常见实现方式NAT/NAPT带来的好处解决地址空间不足的问题;IPv4的空间已经严重不足私有IP地址网络与公网互联;10.0.
0.0/8,172.16.0.0/12,192.168.0.0/16非注册IP地址网络与公网互联;建网时分配了全局IP地址-但没注
册网络改造中,避免更改地址带来的风险课程议题NAT工作原理什么是NAT/NAPT概念:NAT就是将网络地址从一个地址空间转换到另外
一个地址空间的一个行为NAT的类型NAT(Network Address Translation)转换后,一个本地IP地址对应一个
全局IP地址NAPT (Network Address Port Translation)转换后,多个本地地址对应一个全局IP地址
NAT/NAPT的术语NAT中常见的术语:内部本地地址-Inside Local Address内部全局地址-Inside Glo
bal Address外部本地地址-Outside Local AddressNAT中用到的接口类型:内部网络 -Insid
e外部网络 -Outside外部全局地址-Outside Global Address互联网OutsideInside企业内
部网外部网NAT/NAPT的术语NAT中常见的术语(一组对称的概念):内部本地地址-Inside Local Address内部全
局地址-Inside Global Address外部本地地址-Outside Local Address外部全局地址-Outsi
de Global Address 200.8.7.3/24 200.8.7.4/24192.168.1.5192.168.1.7
65.5.8.1172.25.5.1内部本地地址192.168.1.5192.168.1.7 内部全局
地址200.8.7.3200.8.7.4 外部全局地址172.25.5.1
外部本地地址65.5.8.1 NAT工作原理63.5.8.1192.168.1.5192.168.1
.7源IP:192.168.1.7 目的IP:63.5.8.1 源IP:200.8.7.3 目的IP:63.5
.8.1 源IP:63.5.8.1 目的IP:200.8.7.3 源IP:63.5.8.1 目的IP:1
92.168.1.7 源IP:200.8.7.3 目的IP:63.5.8.1 源IP:63.5.8.1
目的IP:192.168.1.7NAPT工作原理63.5.8.1192.168.1.5192.168.1.7Web服务源IP:19
2.168.1.7:1024 目的IP:63.5.8.1:80 源IP:200.8.7.3:1024 目的IP:6
3.5.8.1:80 源IP:63.5.8.1:80 目的IP:200.8.7.3:1024 源IP:63.5.8.
1 :80 目的IP:192.168.1.7:1024 源IP:200.8.7.3:1024 目的IP:63.5
.8.1:80 源IP:63.5.8.1 :80 目的IP:192.168.1.7:1024使用NAPT的情况在以下几种情
况下,需要使用NAPT技术:缺乏全局IP地址,甚至没有专门申请的全局IP地址,只有一个连接ISP的全局IP地址内部网要求上网的主机
数很多提高内网的安全性课程议题NAT/NAPT的配置NAT/NAPT的配置NAT/NAPT的配置有两种静态NAT/NAPT动态NA
T/NAPT静态NAT/NAPT需要向外网络提供信息服务的主机永久的一对一IP地址映射关系动态NAT/NAPT只访问外网服务,不提
供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数临时的一对一IP地址映射关系静态NAT配置步
骤1、定义内网接口和外网接口Router(config)#interface fastethernet 1/0Router(con
fig-if)#ip nat outsideRouter(config)#interface fastethernet 1/1Ro
uter(config-if)#ip nat inside2、建立静态的映射关系Router(config)#ip nat ins
ide source static 192.168.1.7 200.8.7.3静态NAPT1、定义内网接口和外网接口Router(
config)#interface fastethernet 0Router(config-if)#ip nat outsideR
outer(config)#interface fastethernet 1Router(config-if)#ip nat in
side2、建立静态的映射关系Router(config)#ip nat inside source static tcp
192.168.1.7 1024 200.8.7.3 1024Router(config)#ip nat inside
source static udp 192.168.1.7 1024 200.8.7.3 1024动态NAT配置
1、定义内网接口和外网接口Router(config-if)#ip nat outsideRouter(config-if)#ip
nat inside2、定义内部本地地址范围Router(config)#access-list 10 permit 192.1
68.1.0 0.0.0.2553、定义内部全局地址池Router(config)#ip nat pool abc 200.8.7
.3 200.8.7.10 netmask 255.255.255.04、建立映射关系Router(config)#ip nat
inside source list 10 pool abc动态NAPT配置1、定义内网接口和外网接口Router(config-
if)#ip nat outsideRouter(config-if)#ip nat inside2、定义内部本地地址范围Rout
er(config)#access-list 10 permit 192.168.1.0 0.0.0.2553、定义内部全局地址池
Router(config)#ip nat pool abc 200.8.7.3 200.8.7.3 netmask 255.25
5.255.04、建立映射关系Router(config)#ip nat inside source list 10 pool a
bc overload课程议题NAT的监视和维护NAT/NAPT的监视和维护命令显示命令show ip nat statistic
s 显示翻译统计show ip nat translations [verbose] 显示活动
翻译清除状态命令clear ip nat translation 从NAT转换表中清除所有动态地址转换项NAT/NAPT带来的限
制限制影响网络性能不能处理IP报头加密的报文;无法实现端到端的路径跟踪(traceroute)某些应用可能支持不了:内嵌IP地址内
嵌IP地址的应用有:FTPDNSNetMeetingH.323,VoIP其它自编应用NAT与应用的兼容性问题,详见RFC 3027
课程议题NAT技术实现局域网接入Internet实验拓扑F1/2S0S0F1/1BF0/23F0/23VLAN2S2126S
3760FTPserverF0/24F0/24企业内部网外部网VLAN3F0/23F0/23VLAN5S2126S3760F0/2
4F0/24VLAN4F1/0A实验拓扑工作目标在路由器上配置动态NAPT,使局域网主机能够以公网地址访问外网服务器在路由器上查看
NAPT转换列表F1/0S1/2S1/2F1/0FTP服务器192.168.1.2192.168.1.1202.10.1.1202
.10.1.2202.10.2.1202.10.2.2A B 故障分析故障1:网络线缆连接错误故障2:IP地址配置错误实验拓扑F1
/2S0S0F1/1BF0/23F0/23VLAN2S2126S3760FTPserverF0/24F0/24企业内部网外部网VL
AN3F0/23F0/23VLAN5S2126S3760F0/24F0/24VLAN4F1/0Ashow ip nat trans
lations [verbose]show ip nat translations [verbose]案例拓扑结构广域网技术项目背
景 某公司总部在北京,因为业务发展壮大,在上海建立了一家分公司,为了便于管理及日常工作顺利开展,总部决定和分公司之间采用广
域网线路连接。项目拓扑R3640RG-S6808×2RG-S3760RG-S4909RG-S3760RG-S3760RG-S376
0RG-R6806ERG-S2126SRG-S2126S分公司公司总部教学目标通过本章学习,要求学员: 1、了解常见的广域链路类型
和特点; 2、熟悉PPP协议的特点; 3、掌握PAP协议的特点及配置; 4、了解CHAP协议的特点及配置。广域网概述点对点协议PP
PPPP协议的验证(pap和chap)本章内容课程议题广域网概述广域网的概念广域网(Wide Area Networks,WAN)
距离远、带宽小、延时大广域网接入技术(第一层)广域网第一层接入技术主要有:X.21、EIA/TIA-232、EIA/TIA-449
、V.24、V.35广域网接入技术(第二层)广域网第二层接入技术主要有:LAPB、Frame Relay、HDLC、PPP、SDL
C、SMDS广域网中的常见数据链路层协议 常见的几种数据链路层协议:点到点协议(PPP) 高级数据链路控制(HDLC)协议 帧中继
(Frame Relay)广域网设备 广域网中常见的设备有以下几种:广域网交换机 接入服务器 调制解调器 CSU/DSU ISDN
终端适配器 路由器(Router) 课程议题点对点协议PPPPPP协议简介PPP协议是目前使用最广泛的广域网协议,这是因为它具有以
下特性: 能够控制数据链路的建立;能够对IP地址进行分配和使用;允许同时采用多种网络层协议;能够配置和测试数据链路;能够进行错误检
测;有协商选项,能够对网络层的地址和数据压缩等进行协商。 LCP(连接控制协议)NCP(网络控制协议)21(IP, IPX, Ap
pleTalk)3PPP协议结构(EIA/TIA-232, V.24, V.35, ISDN)PPP协议的优点PPP协议PPP不仅
适用于拨号用户,而且适用于租用的路由器线路采用NCP协议(如IPCP、IPXCP),支持更多的网络层协议具有验证协议CHAP、PA
P更好了保证了网络的安全性PPP LCP选项PPP的配置路由器上的配置RA(config)#interface seriel 1/
2RA(config-if)# encapsulation ppp注:路由器广域网默认封装方式为HDLC课程议题PPP协议的验证(
pap和chap)PPP PAP验证ClientServerHostname: ruijiePassword: 123 用户名+
密码验证成功验证失败username ruijiepassword 123 PAP验证特点:两次握手协议明文方式进行验证RBRAP
AP验证的配置客户端(被验证方)RA(config)#interface seril 1/2RA(config-if)# enca
psulation pppRA(config-if)#ppp pap sent-username ruijie password
0 123PAP验证的配置服务端(验证方)RB(config)#username ruijie password 123RB(co
nfig)#interface seril 1/2RB(config-if)# encapsulation pppRB(confi
g-if)#ppp authentication papPPP CHAP验证ClientServerHostname: RAPas
sword: 123 Hostname: RBPassword: 123 RB+挑战报文RA+加密后的密码验证成功验证失败CHAP
验证特点:CHAP为三次握手协议只在网络上传输用户名,而并不传输口令安全性要比PAP高,但认证报文耗费带宽RBRACHAP认证配置
客户端(被验证方)RA(config)#username RB password 123RA(config)#interface
serial 1/2RA(config-if)#encapsulation pppCHAP认证配置服务端(验证方)RB(confi
g)#username RA password 123RB(config)#interface serial 1/2RB(config-if)#encapsulation pppRB(config-if)#ppp authentication chapPPP认证的调试特权模式下输入:Router#show interfaces serial 1/2Router#debug ppp authentication课程回顾广域网概述点对点协议PPPPPP协议的验证(pap和chap)PAP认证F1/0S1/2S1/2F1/0192.168.1.2192.168.1.1192.168.2.1192.168.2.2192.168.3.1192.168.3.2A B 实验目的在路由器上配置PAP认证实验检测网络连通Router#debug ppp authentication注意检测方法 |
|
