NAT與路由器配置實(shí)例.pptVIP

知 識(shí) 回 顧 1、何為接入網(wǎng)？ 2、簡(jiǎn)介非對(duì)稱數(shù)字用戶線路ADSL。 3、選擇接入方式時(shí)應(yīng)從哪幾個(gè)方面考慮? Mr.苦瓜,教學(xué)內(nèi)容： 1、理解NAT技術(shù)的相關(guān)知識(shí)； 2、理解訪問控制列表的基本知識(shí)； 3、掌握路由器的基本應(yīng)用。 教學(xué)重點(diǎn)：路由器的基本應(yīng)用 教學(xué)難點(diǎn)：路由器的基本應(yīng)用,第12節(jié) NAT與路由器配置實(shí)例,1 NAT技術(shù)概述 網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）就是把在內(nèi)部網(wǎng)絡(luò)中使用的私有IP地址轉(zhuǎn)換成外部網(wǎng)絡(luò)中使用的NIC注冊(cè)IP地址，對(duì)外部網(wǎng)絡(luò)隱蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。按NAT技術(shù)的應(yīng)用方式可分為靜態(tài)NAT、動(dòng)態(tài)NAT池和PAT（端口復(fù)用NAT）三種。 NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。NAT設(shè)備維護(hù)一個(gè)狀態(tài)表，用來(lái)把內(nèi)部網(wǎng)絡(luò)的IP地址映射到外部網(wǎng)絡(luò)的IP地址，每個(gè)包在NAT設(shè)備中都被轉(zhuǎn)換后發(fā)往下一級(jí)。NAT本身并不提供類似防火墻、包過(guò)濾、隧道等技術(shù)的安全性，只是在包的最外層改變IP地址，使外部網(wǎng)絡(luò)用戶不知道內(nèi)部網(wǎng)絡(luò)的地址結(jié)構(gòu)，防止一般外部網(wǎng)絡(luò)用戶對(duì)內(nèi)部網(wǎng)絡(luò)的非法訪問。,（1）靜態(tài)NAT 靜態(tài)NAT (Static NAT)是NAT技術(shù)中最簡(jiǎn)單的應(yīng)用方式，在內(nèi)部網(wǎng)絡(luò)中使用私有IP地址，在訪問Internet時(shí)再將私有IP地址轉(zhuǎn)換到與其一一對(duì)應(yīng)的NIC注冊(cè)IP地址。 靜態(tài)NAT適用于內(nèi)部網(wǎng)絡(luò)中有WEB、FTP或E-mail等服務(wù)器為外部網(wǎng)絡(luò)用戶提供服務(wù)的情況下，這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部網(wǎng)絡(luò)用戶可以訪問這些服務(wù)。,（2）動(dòng)態(tài)NAT池 動(dòng)態(tài)NAT池（Pooled NAT）采用動(dòng)態(tài)方法映射內(nèi)部網(wǎng)絡(luò)的私有IP地址和外部網(wǎng)絡(luò)的NIC注冊(cè)IP地址。動(dòng)態(tài)NAT可以在內(nèi)部網(wǎng)中定義很多的內(nèi)部用戶，使內(nèi)部網(wǎng)絡(luò)用戶共享很少的幾個(gè)外部IP地址。當(dāng)NAT池中動(dòng)態(tài)分配的外部IP地址全部被占用后，后續(xù)的NAT轉(zhuǎn)換申請(qǐng)將會(huì)失敗，一般可通過(guò)路由器的超時(shí)配置功能限制一個(gè)內(nèi)部用戶長(zhǎng)期占用一個(gè)NIC注冊(cè)的IP地址來(lái)解決。 由于使用NAT之后，外部網(wǎng)絡(luò)地址與內(nèi)部網(wǎng)絡(luò)地址的對(duì)應(yīng)關(guān)系是動(dòng)態(tài)變化的，因此無(wú)法準(zhǔn)確了解指定內(nèi)部網(wǎng)絡(luò)設(shè)備的運(yùn)行情況，會(huì)對(duì)內(nèi)部網(wǎng)絡(luò)的遠(yuǎn)程管理帶來(lái)一定的不便。,（3）PAT PAT(Port Address Translation)是一種動(dòng)態(tài)地址轉(zhuǎn)換技術(shù)，也稱NAT復(fù)用，它可以使多個(gè)內(nèi)部私有IP地址共用一個(gè)或幾個(gè)NIC注冊(cè)IP地址，通過(guò)不同的協(xié)議端口號(hào)映射不同的內(nèi)部網(wǎng)絡(luò)地址，所有不同的TCP和UDP信息流仿佛都來(lái)源于一個(gè)或幾個(gè)IP地址。PAT理論上可以支持64500個(gè)TCPIP、UDPIP連接，但實(shí)際可以支持的工作站數(shù)約為4000。 PAT技術(shù)非常適用于只申請(qǐng)到少量IP地址但卻經(jīng)常有多個(gè)用戶同時(shí)上外部網(wǎng)絡(luò)的情況。,2 項(xiàng)目案例描述 某單位有三個(gè)部門的電腦（各3臺(tái)）需要網(wǎng)絡(luò)服務(wù)，現(xiàn)有一臺(tái)路由器、一臺(tái)局域網(wǎng)交換機(jī)，已向電信申請(qǐng)了寬帶接入服務(wù)，申請(qǐng)到的IP地址為/24，電信接入IP為8，網(wǎng)絡(luò)要求的功能如下： （1）所有三個(gè)部門的電腦都能訪問Internet； （2）部門3的電腦可以訪問部門1和部門2的電腦； （3）部門1和部門2的電腦能夠互訪，但是不能訪問部門3的電腦。,3 項(xiàng)目需求分析 （1）Internet接入方式分析 為了實(shí)現(xiàn)三個(gè)部門的電腦都能（使用一個(gè)IP地址）訪問Internet，要使用局域網(wǎng)交換機(jī)將三個(gè)部門的電腦組成一個(gè)局域網(wǎng)，并在局域網(wǎng)中使用私有IP地址，然后通過(guò)路由器轉(zhuǎn)換為唯一的外網(wǎng)地址（/24）聯(lián)入Internet，為此必須使用PAT技術(shù)。,（2）內(nèi)網(wǎng)規(guī)劃 部門1 部門2 部門3 VLAN VLAN 10 VLAN 20 VLAN 30 VLAN名 Department1 Department2 Department3 IP /24以上 /24以上 /24以上 交換機(jī) f0/1-3 f0/4-6 f0/7-9 端口 網(wǎng)關(guān) ,（3）訪問控制 為了實(shí)現(xiàn)部門間的訪問控制，必須在交換機(jī)配置訪問控制列表。 訪問控制列表 (Access Control List，ACL)通常用來(lái)規(guī)劃網(wǎng)絡(luò)中的訪問層次，以期達(dá)到優(yōu)化網(wǎng)絡(luò)流量,加強(qiáng)網(wǎng)絡(luò)安全的作用。ACL可以綁定在物理端口上，也可綁定在Vlan接口上。 ACL命令格式（全局配置模式下）： access-list 名稱 permit/deny 協(xié)議類型 源IP地址 源地址掩碼 目的IP地址 目的地址掩碼 綁定已配置的ACL（接口配置模式）： in f0/0.2 ip access-group 名稱 in,配置ACL的注意事項(xiàng)： 每個(gè)ACL表的末尾都會(huì)隱含”deny”語(yǔ)句, 從而丟棄所有不符合規(guī)則的包； 源地址和目的地址的掩碼中,“0”代表精確匹配,“1”代表忽略該位。如允許來(lái)自/24網(wǎng)段機(jī)器的訪問,則其掩碼是55；而針對(duì)具體主機(jī)的掩碼,則是； 具有嚴(yán)格限制條件的語(yǔ)句應(yīng)放在訪問列表所有語(yǔ)句的最上面； ACL綁定到具體端口上即可生效； ACL所包含的規(guī)則在精不在多，配置具體規(guī)則時(shí)不光需要考慮該規(guī)則是否影響數(shù)據(jù)包傳送,還必須考慮數(shù)據(jù)包能否返回； 同一接口可以綁定多個(gè)ACL,此時(shí)需要給每個(gè)ACL設(shè)置相應(yīng)的優(yōu)先級(jí)；,（4）網(wǎng)絡(luò)結(jié)構(gòu)圖,4 網(wǎng)絡(luò)管理配置 （1）實(shí)現(xiàn)三個(gè)部門互訪 配置外網(wǎng)IP R1(config)#in s1/0 R1(config-if)#ip add R1(config-if)#no shut R1(config-if)#exit,啟用f0/0端口，啟用3個(gè)子接口 R1(config)#in f0/0 R1(config-if)#no ip add R1(config-if)#no shut R1(config-if)#exit R1(config)#in f0/0.1 R1(config-subif)#ip add R1(config-subif)#encapsulation dot1q 10 R1(config-subif)#no shut R1(config-subif)#exit R1(config)#in f0/0.2 R1(config-subif)#ip add R1(config-subif)#encapsulation dot1q 20 R1(config-subif)#no shut R1(config-subif)#exit R1(config)#in f0/0.3 R1(config-subif)#ip add R1(config-subif)#encapsulation dot1q 30 R1(config-subif)#no shut R1(config-subif)#exit,在交換機(jī)與路由器連接的f0/12口開啟trunk Switch#conf t Switch(config)#in f0/12 Switch(config-if)#switchport mode trunk Switch(config-if)#exit Switch(config)#exit 劃分vlan Switch#vlan database Switch(vlan)#vlan 10 name Department1 Switch(vlan)#vlan 20 name Department2 Switch(vlan)#vlan 30 name Department3 Switch(vlan)#exit,將端口加入vlan Switch#conf t Switch(config)#in range f0/13 Switch(config-range)#switchport mode access Switch(config-range)#switchport access vlan 10 Switch(config-range)#exit Switch(config)#in range f0/46 Switch(config-range)#switchport mode access Switch(config-range)#switchport access vlan 20 Switch(config-range)#exit Switch(config)#in range f0/79 Switch(config-range)#switchport mode access Switch(config-range)#switchport access vlan 30 Switch(config-range)#exit,（2）做ACL，拒絕部門1和部門2訪問部門3，允許部門3訪問部門1和部門2，允許部門1和部門2互訪 R1(config)#access-list 101 deny ip 55 55 R1(config)#access-list 101 deny ip 55 55 R1(config)#access-list 101 permit ip any any R1(config)#in f0/0.3 R1(config-subif)#ip access-group 101 in R1(config-subif)#exit R1(config)#exit,（3）利用PAT技術(shù)使內(nèi)部計(jì)算機(jī)上網(wǎng) R1(config)#access-list 1 permit 55 R1(config)#access-list 1 permit 55 R1(config)#access-list 1 permit 55 R1(config)#ip nat inside source list 1 interface s1/0 overload R1(config)#in f0/0 R1(config-if)#ip nat inside R1(conf