版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
Module5廣域網(wǎng)技術(shù)《網(wǎng)絡(luò)互聯(lián)技術(shù)》任務(wù)5.1
CHAP和PAP認(rèn)證廣域網(wǎng)概述PPP基本概念PPP報(bào)文格式PPP協(xié)商階段PPP鏈路建立過程PPP鏈路認(rèn)證PPP認(rèn)證配置流程PPP認(rèn)證協(xié)議配置命令廣域網(wǎng)通常覆蓋很大的地理范圍,提供遠(yuǎn)距離數(shù)據(jù)通信的網(wǎng)絡(luò)。PPP(Point-to-PointProtocol,點(diǎn)到點(diǎn)協(xié)議)是一種常見的廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議,主要用于在全雙工的鏈路上進(jìn)行點(diǎn)到點(diǎn)的數(shù)據(jù)傳輸封裝。PPP因支持多種網(wǎng)絡(luò)層協(xié)議,無(wú)重傳機(jī)制、支持多種驗(yàn)證方式等特點(diǎn)得到了廣泛應(yīng)用。本次任務(wù)介紹PPP協(xié)議的工作原理及CHAP、PAP認(rèn)證配置方法。任務(wù)背景準(zhǔn)備知識(shí)廣域網(wǎng)通常使用因特網(wǎng)服務(wù)提供商提供的設(shè)備作為信息傳輸平臺(tái),對(duì)網(wǎng)絡(luò)通信的要求較高。常見的廣域網(wǎng)通信協(xié)議包括點(diǎn)到點(diǎn)協(xié)議(PPP)、高級(jí)數(shù)據(jù)鏈路控制協(xié)議(HDLC)等。不同的鏈路可以使用不同的數(shù)據(jù)鏈路層協(xié)議,每種數(shù)據(jù)鏈路層協(xié)議都定義了相應(yīng)的數(shù)據(jù)鏈路層封裝的幀格式,數(shù)據(jù)包經(jīng)過不同的鏈路,就要封裝成對(duì)應(yīng)的幀。廣域網(wǎng)協(xié)議對(duì)應(yīng)OSI的三層模型1.廣域網(wǎng)概述2.PPP基本概念PPP是TCP/IP網(wǎng)絡(luò)中最重要的點(diǎn)到點(diǎn)數(shù)據(jù)鏈路層協(xié)議,主要用于在全雙工的同/異步鏈路上進(jìn)行點(diǎn)到點(diǎn)的數(shù)據(jù)傳輸。PPP主要由三類協(xié)議族組成:鏈路控制協(xié)議族LCP(LinkControlProtocol),主要用來(lái)建立、拆除和監(jiān)控PPP數(shù)據(jù)鏈路。網(wǎng)絡(luò)層控制協(xié)議族NCP(NetworkControlProtocol),用來(lái)協(xié)商在該數(shù)據(jù)鏈路上所傳輸?shù)臄?shù)據(jù)包的格式與類型。擴(kuò)展協(xié)議族CHAP(Challenge-HandshakeAuthenticationProtocol)和PAP(PasswordAuthenticationProtocol),主要用于網(wǎng)絡(luò)安全方面的驗(yàn)證。PPP協(xié)議相對(duì)與其它鏈路層協(xié)議有如下優(yōu)點(diǎn):PPP既支持同步鏈路又支持異步鏈路,而X.25、幀中繼等數(shù)據(jù)鏈路層協(xié)議僅支持同步鏈路,SLIP僅支持異步鏈路。PPP協(xié)議具有良好的擴(kuò)展性,如在以太網(wǎng)鏈路承載PPP協(xié)議時(shí),可擴(kuò)展為PPPoE。支持鏈路層、網(wǎng)絡(luò)層參數(shù)的協(xié)商。支持認(rèn)證功能,提升網(wǎng)絡(luò)的安全性。無(wú)重傳機(jī)制,網(wǎng)絡(luò)開銷小,速度快。3.PPP報(bào)文格式PPP報(bào)文封裝格式PPP幀各字段含義字段名稱含義Flag標(biāo)識(shí)一個(gè)物理幀的起始和結(jié)束,該字節(jié)為0x7EAddress值為全1的廣播地址,對(duì)于PPP協(xié)議來(lái)說,該字段無(wú)實(shí)際意義Control該字段默認(rèn)值為0x03,表明為無(wú)序號(hào)幀Protocol用來(lái)區(qū)分PPP數(shù)據(jù)幀中信息域所承載的數(shù)據(jù)包類型,如0021表示為IP數(shù)據(jù)包,C021表示為L(zhǎng)CP報(bào)文、C023表示為PAP報(bào)文、C223表示為CHAP報(bào)文InformationPPP幀的載荷數(shù)據(jù),包含協(xié)議字段中指定協(xié)議的數(shù)據(jù)包,默認(rèn)最大長(zhǎng)度是1500字節(jié)FCS主要對(duì)PPP數(shù)據(jù)幀傳輸?shù)恼_性進(jìn)行檢測(cè)4.PPP協(xié)商階段PPP鏈路的建立存在五個(gè)協(xié)商階段Dead階段:物理層不可用階段。當(dāng)通信雙方的兩端檢測(cè)到物理線路激活時(shí),就會(huì)從Dead階段躍遷至Establish階段。鏈路被斷開后也同樣會(huì)返回到Dead階段。Establish階段:鏈路建立階段。PPP鏈路進(jìn)行LCP協(xié)商。Authenticate階段:驗(yàn)證階段。PPP提供密碼驗(yàn)證協(xié)議PAP(PasswordAuthenticationProtocol)和質(zhì)詢握手驗(yàn)證協(xié)議CHAP(Challenge-HandshakeAuthenticationProtocol)兩種驗(yàn)證方式。Network階段:網(wǎng)絡(luò)層協(xié)商階段。PPP通過NCP協(xié)商來(lái)選擇和配置一個(gè)網(wǎng)絡(luò)層協(xié)議并進(jìn)行網(wǎng)絡(luò)層參數(shù)協(xié)商。Terminate階段:網(wǎng)絡(luò)終止階段。PPP運(yùn)行過程中,物理鏈路斷開、認(rèn)證失敗、超時(shí)定時(shí)器時(shí)間到、管理員通過配置關(guān)閉連接等動(dòng)作都可能導(dǎo)致鏈路進(jìn)入Terminate階段。5.PPP鏈路建立過程建立過程:通信雙方開始建立PPP鏈路時(shí),由Dead階段進(jìn)入到Establish階段。然后開始進(jìn)行LCP協(xié)商,協(xié)商成功后鏈路處于Opened狀態(tài),表示底層鏈路已經(jīng)建立。若協(xié)商失敗則退回Dead階段。LCP協(xié)商過程中,若不存在認(rèn)證,鏈路直接進(jìn)入Network階段。若存在認(rèn)證,鏈路進(jìn)入Authenticate認(rèn)證階段。驗(yàn)證成功,進(jìn)入Network階段;驗(yàn)證失敗,進(jìn)入Terminate階段,拆除鏈路,LCP狀態(tài)轉(zhuǎn)為Down。在Network階段雙方進(jìn)行NCP協(xié)商,協(xié)商成功后,便可通過這條PPP鏈路發(fā)送報(bào)文。PPP鏈路建立的流程6.PPP鏈路認(rèn)證PAP認(rèn)證過程PAP認(rèn)證PAP認(rèn)證為兩次握手方式,口令以明文方式在鏈路上發(fā)送。PAP認(rèn)證過程被認(rèn)證方將攜帶本端用戶名及密碼的Authenticate-Request報(bào)文發(fā)給認(rèn)證方;認(rèn)證方收到被認(rèn)證方發(fā)送的用戶名和密碼信息后,根據(jù)本地配置的用戶名和密碼數(shù)據(jù)庫(kù)檢查用戶名和密碼信息是否匹配。如果匹配,則返回Authenticate-Ack報(bào)文,表示認(rèn)證成功;否則,返回Authenticate-Nak報(bào)文,表示認(rèn)證失敗。6.PPP鏈路認(rèn)證CHAP認(rèn)證過程CHAP認(rèn)證CHAP認(rèn)證過程為三次握手機(jī)制,在鏈路上不傳輸用戶密碼。CHAP認(rèn)證過程:認(rèn)證方主動(dòng)發(fā)起認(rèn)證請(qǐng)求,向被認(rèn)證方發(fā)送Challenge報(bào)文,報(bào)文包含認(rèn)證方的用戶名、隨機(jī)數(shù)(Random)和ID字段(認(rèn)證序列號(hào))。被認(rèn)證方收到此Challenge報(bào)文之后,根據(jù)報(bào)文中的用戶名查找對(duì)應(yīng)的密碼,并結(jié)合隨機(jī)數(shù)和ID字段進(jìn)行哈希運(yùn)算,然后將生成的HASH值和本端的用戶名封裝在Response報(bào)文中發(fā)回認(rèn)證方。認(rèn)證方接收到被認(rèn)證方發(fā)送的Response報(bào)文之后,按照?qǐng)?bào)文中的用戶名在本地查找對(duì)應(yīng)的密碼,然后結(jié)合隨機(jī)數(shù)和ID字段進(jìn)行哈希運(yùn)算,最后將運(yùn)算得到的HASH值和Response報(bào)文中封裝的HASH值做比較,相同則認(rèn)證成功,返回Success報(bào)文;不相同則認(rèn)證失敗,返回Failure報(bào)文。7.PPP認(rèn)證配置流程PAP認(rèn)證配置流程如下:設(shè)置接口封裝協(xié)議為PPP,華為設(shè)備默認(rèn)串口封裝模式為PPP,此步可忽略;認(rèn)證方配置本地用戶,該用戶即為被認(rèn)證方的用戶信息;認(rèn)證方配置鏈路認(rèn)證方式為PAP;被認(rèn)證方配置向認(rèn)證方發(fā)送用于認(rèn)證的自身用戶信息。CHAP認(rèn)證配置流程(認(rèn)證方配置用戶名)如下:設(shè)置接口封裝協(xié)議為PPP,華為設(shè)備默認(rèn)串口封裝模式為PPP,此步可忽略;認(rèn)證方配置本地用戶數(shù)據(jù)庫(kù),創(chuàng)建被認(rèn)證方的用戶信息;認(rèn)證方配置鏈路認(rèn)證方式CHAP;認(rèn)證方配置用戶名,該用戶名將被封裝在Challenge報(bào)文中發(fā)送給被認(rèn)證方;被認(rèn)證方創(chuàng)建認(rèn)證方的用戶信息;被認(rèn)證方配置用于認(rèn)證的自身用戶名。(1)配置接口封裝的鏈路層協(xié)議命令:link-protocol{PPP|HDLC}說明:缺省情況下,接口封裝的鏈路層協(xié)議為PPP視圖:接口視圖舉例:配置路由器R1接口S1/0/0的鏈路層封裝協(xié)議為PPP。[R1]interfaceSerial1/0/0[R1-Serial1/0/0]link-protocolPPP8.PPP認(rèn)證協(xié)議配置命令(2)創(chuàng)建本地用戶創(chuàng)建AAA本地用戶命令:local-userusernamepasswordcipherpassword
說明:PAP認(rèn)證方式下,在認(rèn)證方創(chuàng)建本地用戶,該用戶為被認(rèn)證方的用戶信息;CHAP認(rèn)證方式下,認(rèn)證方和被認(rèn)證方都需要?jiǎng)?chuàng)建對(duì)端的用戶信息,且兩端密碼要一致視圖:AAA視圖配置AAA用戶的服務(wù)類型為PPP命令:local-useruser-nameservice-typePPP說明:缺省情況下,本地用戶關(guān)閉所有的服務(wù)類型視圖:AAA視圖舉例:R1配置本地AAA用戶(huawei,huawei@123),服務(wù)類型為PPP。[R1]aaa[R1-aaa]local-userhuaweipasswordcipherhuawei@123
[R1-aaa]local-userhuaweiservice-typeppp8.PPP認(rèn)證協(xié)議配置命令(3)配置PPP認(rèn)證類型命令:pppauthentication-mode{PAP|CHAP}說明:缺省情況下,PPP協(xié)議不進(jìn)行認(rèn)證視圖:接口視圖舉例1:配置路由器R1接口S1/0/0的認(rèn)證方式為PAP。舉例2:配置路由器R1接口S1/0/1的認(rèn)證方式為CHAP。[R1-Serial1/0/0]pppauthentication-modepap[R1-Serial1/0/1]pppauthentication-modechap8.PPP認(rèn)證協(xié)議配置命令(4)配置PAP認(rèn)證下,被認(rèn)證方配置用于認(rèn)證方驗(yàn)證的PAP用戶名及密碼命令:ppppaplocal-userusernamepasswordcipherpassword
說明:被認(rèn)證方發(fā)送的PAP用戶信息要與認(rèn)證方創(chuàng)建的本地用戶一致才能認(rèn)證成功視圖:接口視圖舉例:被認(rèn)證方R2接口S1/0/0配置發(fā)送用于PAP認(rèn)證的用戶信息,用戶名為huawei,密碼為huawei@123。[R2-Serial1/0/0]ppppaplocal-userhuaweipasswordcipherhuawei@1238.PPP認(rèn)證協(xié)議配置命令(5)配置CHAP認(rèn)證下的認(rèn)證用戶名命令:pppchapuserusername
說明:該命令配置在認(rèn)證方,用戶名將被封裝在Challenge報(bào)文中發(fā)送給被認(rèn)證方,且被認(rèn)證方要存在與該用戶名一致的本地用戶。該命令配置在被認(rèn)證方,認(rèn)證方將對(duì)此用戶進(jìn)行認(rèn)證,認(rèn)證方要存在與該用戶名一致的本地用戶視圖:接口視圖舉例:認(rèn)證方R1接口S1/0/0上配置的CHAP用戶名huawei。[R1-Serial1/0/0]ppppaplocal-userhuaweipasswordcipherhuawei@1238.PPP認(rèn)證協(xié)議配置命令9.任務(wù)實(shí)施:CHAP和PAP認(rèn)證配置(1)掌握PPP協(xié)議的工作原理;(2)掌握PAP、CHAP認(rèn)證的配置方法。(一)任務(wù)目的
某公司總部與分支機(jī)構(gòu)通過PPP鏈路連接,出于安全的考慮,分支機(jī)構(gòu)在接入總部網(wǎng)絡(luò)時(shí)需進(jìn)行PPP認(rèn)證,認(rèn)證通過后,總、分支網(wǎng)絡(luò)之間才能正常通信。(二)任務(wù)描述(1)拓?fù)鋱D(2)操作流程總分支路由器配置網(wǎng)絡(luò)參數(shù);公司總部路由器R1作為PPP認(rèn)證方,對(duì)分支接入設(shè)備(被認(rèn)證方)進(jìn)行單向認(rèn)證:分支1接入時(shí)采用PAP認(rèn)證;分支2接入時(shí)采用CHAP認(rèn)證。具體認(rèn)證信息如下:(三)實(shí)施規(guī)劃認(rèn)證方式R1配置本地用戶名/密碼R2R3配置本地用戶名/密碼PAPbranch1/huawei@123————————CHAPbranch2/huawei@456——core/huawei@4569.任務(wù)實(shí)施:CHAP和PAP認(rèn)證配置(四)操作步驟配置網(wǎng)絡(luò)參數(shù)[R1]interfaceSerial1/0/0[R1-Serial1/0/0]ipadd30[R1-Serial1/0/0]ints1/0/1[R1-Serial1/0/1]ipadd30R1配置接口IP地址:
配置PAP單向認(rèn)證
配置CHAP單向認(rèn)證[R2]intSerial1/0/0[R2-Serial1/0/0]ipadd30R2配置接口IP地址:[R3]intSerial1/0/0[R3-Serial1/0/0]ipadd30R3配置接口IP地址:9.任務(wù)實(shí)施:CHAP和PAP認(rèn)證配置(四)操作步驟[R1]aaa[R1-aaa]local-userbranch1passwordcipherhuawei@123//創(chuàng)建本地用戶信息,與被認(rèn)證方的用戶信息一致。[R1-aaa]local-userbranch1service-typeppp//用戶可使用的服務(wù)為PPP[R1-aaa]ints1/0/0[R1-Serial1/0/0]pppauthentication-modepap
//指定認(rèn)證方式為PAP,此時(shí)該設(shè)備為PAP認(rèn)證方R1配置PAP認(rèn)證方:[R2]ints1/0/0[R2-Serial1/0/0]ppppaplocal-userbranch1passwordcipherhuawei@123
//配置被認(rèn)證方發(fā)送的PAP認(rèn)證用戶信息R2配置PAP被認(rèn)證方:配置網(wǎng)絡(luò)參數(shù)配置PAP單向認(rèn)證
配置CHAP單向認(rèn)證9.任務(wù)實(shí)施:CHAP和PAP認(rèn)證配置(四)操作步驟[R1]aaa[R1-aaa]local-userbranch2passwordcipherhuawei@456[R1-aaa]local-userbranch2service-typeppp[R1-aaa]ints1/0/1[R1-Serial1/0/1]pppchapusercore
//配置CHAP認(rèn)證用戶名,與被認(rèn)證方的本地用戶信息一致[R1-Serial1/0/1]pppauthentication-modechap
//指定認(rèn)證方式為CHAP,此時(shí)該設(shè)備為CHAP認(rèn)證方R1配置CHAP認(rèn)證方:[R3]aaa[R3-aaa]local-usercorepasswordcipherhuawei@456[R3-aaa]local-usercoreservice-typeppp[R3-aaa]ints1/0/0[R3-Serial1/0/0]pppchapuserbranch2R3配置CHAP被認(rèn)證方:配置網(wǎng)絡(luò)參數(shù)配置PAP單向認(rèn)證配置CHAP單向認(rèn)證9.任務(wù)實(shí)施:CHAP和PAP認(rèn)證配置(五)實(shí)驗(yàn)測(cè)試查看接口狀態(tài)信息R1查看接口S1/0/0信息:[R1]disints1/0/0Serial1/0/0currentstate:UPLineprotocolcurrentstate:UPLastlineprotocoluptime:2021-05-0312:21:28UTC-08:00Description:HUAWEI,ARSeries,Serial1/0/0InterfaceRoutePort,TheMaximumTransmitUnitis1500,Holdtimeris10(sec)InternetAddressis/30LinklayerprotocolisPPPLCPopened,IPCPopenedLastphysicaluptime:2021-05-0312:21:22UTC-08:00Lastphysicaldowntime:2021-05-0312:21:21UTC-08:00Currentsystemtime:2021-05-0313:56:57-08:00Physicallayerissynchronous,Virtualbaudrateis64000bpsInterfaceisDTE,CabletypeisV11,ClockmodeisTCLast300secondsinputrate6bytes/sec48bits/sec0packets/secLast300secondsoutputrate2bytes/sec16bits/sec0packets/sec......9.任務(wù)實(shí)施:CHAP和PAP認(rèn)證配置(五)實(shí)驗(yàn)測(cè)試查看接口信息R1查看接口S1/0/1信息:[R1]disints1/0/1Serial1/0/1currentstate:UPLineprotocolcurrentstate:UPLastlineprotocoluptime:2021-05-0313:54:10UTC-08:00Description:HUAWEI,ARSeries,Serial1/0/1InterfaceRoutePort,TheMaximumTransmitUnitis1500,Holdtimeris10(sec)InternetAddressis/30LinklayerprotocolisPPPLCPopened,IPCPopenedLastphysicaluptime:2021-05-0313:44:54UTC-08:00Lastphysicaldowntime:2021-05-0313:44:49UTC-08:00Currentsystemtime:2021-05-0314:00:20-08:00Physicallayerissynchronous,Virtualbaudrateis64000bpsInterfaceisDTE,CabletypeisV11,ClockmodeisTCLast300secondsinputrate6bytes/sec48bits/sec0packets/secLast300secondsoutputrate2bytes/sec16bits/sec0packets/sec......9.任務(wù)實(shí)施:CHAP和PAP認(rèn)證配置在PPP鏈路建立過程中,R1作為認(rèn)證方,分別對(duì)分支R2、R3進(jìn)行了認(rèn)證。結(jié)果顯示R1接口S1/0/0和S1/0/1的物理層和鏈路層狀態(tài)都是Up,并且PPP的LCP和IPCP都是opened狀態(tài),說明鏈路的PPP協(xié)商已經(jīng)成功。(六)結(jié)果分析CHAP認(rèn)證分為兩種方式:認(rèn)證方配置了用戶名(pppchapuserusername)和認(rèn)證方?jīng)]有配置用戶名。本例采用第一種方式,認(rèn)證方和被認(rèn)證方都需要?jiǎng)?chuàng)建對(duì)端的用戶信息,且密碼必須一致。推薦使用第一種的方式,這樣可以對(duì)認(rèn)證方的用戶名進(jìn)行確認(rèn);配置PPP認(rèn)證后,可以在接口視圖下執(zhí)行shutdown和undoshutdown,使認(rèn)證立即生效。(七)注意事項(xiàng)9.任務(wù)實(shí)施:CHAP和PAP認(rèn)證配置Module5廣域網(wǎng)技術(shù)《網(wǎng)絡(luò)互聯(lián)技術(shù)》任務(wù)5.2
動(dòng)態(tài)NAPT及靜態(tài)
NAT配置NAT技術(shù)基本概念NAT技術(shù)分類NAPT配置流程N(yùn)AT配置命令連接到互聯(lián)網(wǎng)的設(shè)備都需要一個(gè)唯一的、合法的IP地址來(lái)標(biāo)識(shí),但隨著互聯(lián)網(wǎng)的發(fā)展,終端數(shù)量的增多,以及IPv4地址空間本身的限制,IPv4地址無(wú)法實(shí)現(xiàn)一對(duì)一的分配。NAT技術(shù)有效緩解了IP地址緊張的局面。通過將多個(gè)私有地址轉(zhuǎn)化為一個(gè)或多個(gè)公有地址,解決內(nèi)網(wǎng)用戶數(shù)量多而公有IP地址數(shù)量少的情況。本次任務(wù)介紹NAT技術(shù)的分類、工作原理及配置方法。任務(wù)背景準(zhǔn)備知識(shí)內(nèi)網(wǎng)主機(jī)訪問互聯(lián)網(wǎng)時(shí),必須要有一個(gè)公網(wǎng)地址身份標(biāo)識(shí)。NAT(NetworkAddressTranslation)技術(shù)可以實(shí)現(xiàn)IP數(shù)據(jù)報(bào)文頭中的IP地址的轉(zhuǎn)換,當(dāng)內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)時(shí),將IP數(shù)據(jù)包頭中的私有地址(源IP地址)轉(zhuǎn)化為公網(wǎng)地址。通過NAT技術(shù)部署,可以實(shí)現(xiàn)公網(wǎng)地址和私有地址的“一對(duì)多”的映射關(guān)系,以此緩解IPv4地址緊張的局面。1.NAT技術(shù)基本概念地址類型私有地址范圍A~55B~55C~55私有地址是從A、B、C三類地址中各劃取一段作為私有地址空間。私有地址不能被互聯(lián)網(wǎng)識(shí)別,僅供局域網(wǎng)內(nèi)部通信使用,并且在不同的局域網(wǎng)中可以復(fù)用。2.NAT技術(shù)分類靜態(tài)NAT將內(nèi)網(wǎng)中的一個(gè)私有IP固定地轉(zhuǎn)換為一個(gè)公網(wǎng)IP(固定轉(zhuǎn)換)。通常應(yīng)用在允許外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)服務(wù)器的環(huán)境中,外網(wǎng)主機(jī)可通過其所映射的公網(wǎng)地址來(lái)訪問內(nèi)網(wǎng)服務(wù)器。靜態(tài)NAT工作過程示意圖2.NAT技術(shù)分類動(dòng)態(tài)NAT將內(nèi)網(wǎng)中的一個(gè)私有IP轉(zhuǎn)換為公網(wǎng)IP地址池中的一個(gè)地址(臨時(shí)轉(zhuǎn)換)。內(nèi)網(wǎng)主機(jī)訪問外網(wǎng)時(shí),若地址池有可用地址,轉(zhuǎn)換使用;若無(wú)可用地址,主機(jī)將無(wú)法訪問外網(wǎng),直到其它主機(jī)通信結(jié)束,映射關(guān)系解除,公網(wǎng)地址重新釋放地址池中才可轉(zhuǎn)化使用。動(dòng)態(tài)NAT實(shí)現(xiàn)“一對(duì)一”的地址轉(zhuǎn)換,并不能起到節(jié)約公網(wǎng)地址的作用,并且公網(wǎng)IP地址池中的地址個(gè)數(shù)限制了同時(shí)訪問外部網(wǎng)絡(luò)的內(nèi)網(wǎng)用戶數(shù)量,因此不適應(yīng)于目前網(wǎng)絡(luò)部署。動(dòng)態(tài)NAT工作過程示意圖2.NAT技術(shù)分類NAPTNAPT基于“IP地址+端口號(hào)”的轉(zhuǎn)換方式,實(shí)現(xiàn)一個(gè)公網(wǎng)地址可以同時(shí)與多個(gè)私有地址形成映射關(guān)系,不同的映射關(guān)系通過端口號(hào)來(lái)區(qū)分。NAPT分為:動(dòng)態(tài)NAPT:動(dòng)態(tài)NAPT的映射關(guān)系是臨時(shí)的,主要應(yīng)用于為內(nèi)網(wǎng)主機(jī)提供外網(wǎng)訪問服務(wù)的環(huán)境中。靜態(tài)NAPT:靜態(tài)NAT映射關(guān)系是固定的,應(yīng)用于外網(wǎng)用戶訪問內(nèi)部服務(wù)器指定服務(wù)的環(huán)境中。端口號(hào)分類端口號(hào)分類端口范圍描述公認(rèn)端口0~1023這些端口明確地表明了某種服務(wù)的協(xié)議。如FTP服務(wù)端口為20、21,HTTP通信端口為80注冊(cè)端口1024~49151這些端口大多數(shù)沒有明確定義的服務(wù)對(duì)象,應(yīng)用程序會(huì)根據(jù)自己的實(shí)際需要進(jìn)行定義動(dòng)態(tài)/私有端口49152~65535理論上不為服務(wù)分配這些端口,機(jī)器通常從1024起分配動(dòng)態(tài)端口2.NAT技術(shù)分類NAPTNAPT基于“IP地址+端口號(hào)”的轉(zhuǎn)換方式,實(shí)現(xiàn)一個(gè)公網(wǎng)地址可以同時(shí)與多個(gè)私有地址形成映射關(guān)系,不同的映射關(guān)系通過端口號(hào)來(lái)區(qū)分。NAPT分為:動(dòng)態(tài)NAPT:動(dòng)態(tài)NAPT的映射關(guān)系是臨時(shí)的,主要應(yīng)用于為內(nèi)網(wǎng)主機(jī)提供外網(wǎng)訪問服務(wù)的環(huán)境中。靜態(tài)NAPT:靜態(tài)NAT映射關(guān)系是固定的,應(yīng)用于外網(wǎng)用戶訪問內(nèi)部服務(wù)器指定服務(wù)的環(huán)境中。動(dòng)態(tài)NAPT工作過程示意圖2.NAT技術(shù)分類NAPTNAPT基于“IP地址+端口號(hào)”的轉(zhuǎn)換方式,實(shí)現(xiàn)一個(gè)公網(wǎng)地址可以同時(shí)與多個(gè)私有地址形成映射關(guān)系,不同的映射關(guān)系通過端口號(hào)來(lái)區(qū)分。NAPT分為:動(dòng)態(tài)NAPT:動(dòng)態(tài)NAPT的映射關(guān)系是臨時(shí)的,主要應(yīng)用于為內(nèi)網(wǎng)主機(jī)提供外網(wǎng)訪問服務(wù)的環(huán)境中。靜態(tài)NAPT:靜態(tài)NAT映射關(guān)系是固定的,應(yīng)用于外網(wǎng)用戶訪問內(nèi)部服務(wù)器指定服務(wù)的環(huán)境中。靜態(tài)NAPT工作過程示意圖3.NAPT配置流程N(yùn)APT配置流程如下:創(chuàng)建公網(wǎng)地址池;配置ACL,定義允許進(jìn)行NAT轉(zhuǎn)換的內(nèi)網(wǎng)私有地址范圍;外網(wǎng)出接口上配置ACL匹配的內(nèi)網(wǎng)地址與公網(wǎng)地址池的轉(zhuǎn)換關(guān)系。(1)配置靜態(tài)NAT命令:natstaticglobalglobal-addressinsidehost-address
說明:該命令用于將內(nèi)網(wǎng)IP地址映射成為公網(wǎng)IP地址視圖:接口視圖舉例:路由器R1將內(nèi)網(wǎng)映射成。[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natstaticglobalinside4.NAT配置命令(2)創(chuàng)建公網(wǎng)IP地址池命令:nataddress-groupgroup-index
start-address
end-address
說明:group-index為NAT地址池索引號(hào),在定義NAT映射關(guān)系時(shí)被調(diào)用;地址池內(nèi)IP不可與設(shè)備已有IP重復(fù)視圖:系統(tǒng)視圖舉例:路由器R1創(chuàng)建地址池,索引號(hào)為1,起始地址為,終止地址為。[R1]nataddress-group14.NAT配置命令(3)配置動(dòng)態(tài)NAT/動(dòng)態(tài)NAPT命令:natoutboundacl-numberaddress-groupgroup-index[no-pat]說明:acl-number為通過ACL定義的允許進(jìn)行NAT轉(zhuǎn)化的內(nèi)網(wǎng)私有地址范圍;攜帶no-pat參數(shù)為動(dòng)態(tài)NAT轉(zhuǎn)換,不攜帶no-pat為NAPT模式視圖:接口視圖舉例:在路由器R1出接口G0/0/1上配置ACL2000與索引號(hào)為1的NAT地址池的映射關(guān)系。[R1-GigabitEthernet0/0/1]natoutbound2000address-group14.NAT配置命令(4)配置靜態(tài)NAPT命令:natstaticprotocol{tcp|udp}global{
global-address
|
current-interface
}global-portinsidehost-address
host-port
說明:將“私有地址+端口”映射成為“公網(wǎng)地址+指定端口”視圖:接口視圖舉例:R1配置靜態(tài)NAPT,外網(wǎng)用戶可通過訪問到內(nèi)網(wǎng)的WEB服務(wù)器()。[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natstaticprotocoltcpglobal80inside804.NAT配置命令5.任務(wù)實(shí)施:動(dòng)態(tài)NAPT及靜態(tài)NAT配置(1)掌握動(dòng)態(tài)NAPT及靜態(tài)NAT的工作原理;(2)掌握NAT技術(shù)的配置方法。(一)任務(wù)目的
某公司網(wǎng)絡(luò)用戶數(shù)量較多,通過路由器接入運(yùn)營(yíng)商,申請(qǐng)了公網(wǎng)地址段/29用于內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)。同時(shí)公司內(nèi)部部署了一臺(tái)WWW服務(wù)器,能夠?qū)ν馓峁┰L問服務(wù)。(二)任務(wù)描述(1)拓?fù)鋱D(2)操作流程終端及服務(wù)器配置網(wǎng)絡(luò)參數(shù);路由器配置網(wǎng)絡(luò)參數(shù),網(wǎng)絡(luò)出口配置IP地址/29,運(yùn)營(yíng)商側(cè)配置IP地址/29;R1配置默認(rèn)路由,下一跳指向運(yùn)營(yíng)商;R1配置NAT:配置公網(wǎng)地址池:/29-/29;配置ACL2000,定義允許轉(zhuǎn)換的內(nèi)網(wǎng)地址;定義轉(zhuǎn)化過程,采用NAPT方式,實(shí)現(xiàn)公網(wǎng)地址一對(duì)多的轉(zhuǎn)化;配置靜態(tài)NAT,將WWW服務(wù)器映射至。(三)實(shí)施規(guī)劃5.任務(wù)實(shí)施:動(dòng)態(tài)NAPT及靜態(tài)NAT配置(四)操作步驟路由器配置網(wǎng)絡(luò)參數(shù)終端配置網(wǎng)絡(luò)參數(shù)[R1]intg0/0/0[R1-GigabitEthernet0/0/0]ipadd29[R1-GigabitEthernet0/0/0]intg0/0/1[R1-GigabitEthernet0/0/1]ipadd5424[R1-GigabitEthernet0/0/1]quitR1配置接口IP地址:R1配置默認(rèn)路由R1配置NAT[R2]intg0/0/0[R2-GigabitEthernet0/0/0]ipadd29[R2-GigabitEthernet0/0/0]intg0/0/1[R2-GigabitEthernet0/0/1]ipadd5424[R2-GigabitEthernet0/0/1]intg0/0/2[R2-GigabitEthernet0/0/2]ipadd5424[R2-GigabitEthernet0/0/2]quitR2配置接口IP地址:5.任務(wù)實(shí)施:動(dòng)態(tài)NAPT及靜態(tài)NAT配置(四)操作步驟路由器配置網(wǎng)絡(luò)參數(shù)終端配置網(wǎng)絡(luò)參數(shù)[R1]iproute-staticR1配置默認(rèn)路由:R1配置默認(rèn)路由R1配置NAT5.任務(wù)實(shí)施:動(dòng)態(tài)NAPT及靜態(tài)NAT配置(四)操作步驟路由器配置網(wǎng)絡(luò)參數(shù)終端配置網(wǎng)絡(luò)參數(shù)[R1]nataddress-group1//指定公網(wǎng)地址池[R1]acl2000//定義允許轉(zhuǎn)換的內(nèi)網(wǎng)地址[R1-acl-basic-2000]rulepermitsource55[R1-acl-basic-2000]intg0/0/0[R1-GigabitEthernet0/0/0]natoutbound2000address-group1
//配置轉(zhuǎn)換過程,采用NAPT方式[R1-GigabitEthernet0/0/0]natstaticglobalinside0
//配置一對(duì)一靜態(tài)映射R1配置NAT:R1配置默認(rèn)路由R1配置NAT5.任務(wù)實(shí)施:動(dòng)態(tài)NAPT及靜態(tài)NAT配置(五)實(shí)驗(yàn)測(cè)試訪問測(cè)試PC1訪問互聯(lián)網(wǎng)ISP-WWW服務(wù)器:R1查看NAT映射表項(xiàng)5.任務(wù)實(shí)施:動(dòng)態(tài)NAPT及靜態(tài)NAT配置(五)實(shí)驗(yàn)測(cè)試訪問測(cè)試PC2訪問企業(yè)網(wǎng)WWW服務(wù)器:R1查看NAT映射表項(xiàng)5.任務(wù)實(shí)施:動(dòng)態(tài)NAPT及靜態(tài)NAT配置(五)實(shí)驗(yàn)測(cè)試訪問測(cè)試R1查看NAT映射表項(xiàng)R1查看動(dòng)態(tài)映射表項(xiàng):[R1]disnatsessionallNATSessionTableInformation:Protocol:TCP(6)SrcAddrPortVpn:1544DestAddrPortVpn:020480NAT-InfoNewSrcAddr:NewSrcPort:10254NewDestAddr:----NewDestPort:----Total:15.任務(wù)實(shí)施:動(dòng)態(tài)NAPT及靜態(tài)NAT配置(五)實(shí)驗(yàn)測(cè)試訪問測(cè)試R1查看NAT映射表項(xiàng)R1查看靜態(tài)映射表項(xiàng):[R1]disnatstaticStaticNatInformation:Interface:GigabitEthernet0/0/0GlobalIP/Port:/----InsideIP/Port:0/----Protocol:----VPNinstance-name:----Aclnumber:----Netmask:55Description:----Total:15.任務(wù)實(shí)施:動(dòng)態(tài)NAPT及靜態(tài)NAT配置從NAT動(dòng)態(tài)映射表項(xiàng)可以看出,內(nèi)網(wǎng)用戶訪問Internet上的WEB服務(wù)器時(shí),其私有地址轉(zhuǎn)換為公網(wǎng)地址池中的地址。從靜態(tài)映射表項(xiàng)可以看出,內(nèi)網(wǎng)WEB服務(wù)器地址0映射到了公網(wǎng)地址。外網(wǎng)主機(jī)可以通過訪問來(lái)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)WEB服務(wù)器的訪問。(六)結(jié)果分析動(dòng)態(tài)NAPT可實(shí)現(xiàn)公網(wǎng)地址一對(duì)多的映射關(guān)系。如果用戶在配置了NAT設(shè)備出接口的IP和其他應(yīng)用之后,還有空閑公網(wǎng)IP地址,可以選擇此方式;地址池是一些連續(xù)的IP地址集合,且地址池的起始地址必須小于等于結(jié)束地址。(七)注意事項(xiàng)5.任務(wù)實(shí)施:動(dòng)態(tài)NAPT及靜態(tài)NAT配置Module5廣域網(wǎng)技術(shù)《網(wǎng)絡(luò)互聯(lián)技術(shù)》任務(wù)5.3
靜態(tài)NAPT及Easy
IP配置EasyIP基本概念EasyIP配置流程EasyIP配置命令對(duì)于小型網(wǎng)絡(luò)而言,通常只有一個(gè)公網(wǎng)地址配置在網(wǎng)絡(luò)出口設(shè)備的外網(wǎng)接口上,這個(gè)公網(wǎng)地址可能是靜態(tài)地址,也可以實(shí)通過撥號(hào)方式獲取的動(dòng)態(tài)地址。EasyIP可以將外網(wǎng)接口的公網(wǎng)地址和內(nèi)網(wǎng)用戶的私有地址進(jìn)行一對(duì)多映射,滿足用戶的外網(wǎng)訪問需求。本次任務(wù)介紹EasyIP的工作原理及配置方法。任務(wù)背景準(zhǔn)備知識(shí)EasyIP是NAPT的一種簡(jiǎn)化情況。公網(wǎng)地址不再由公網(wǎng)地址池提供,而是使用連接公網(wǎng)的接口IP作為轉(zhuǎn)化的公網(wǎng)地址。EasyIP同樣基于“IP地址+端口號(hào)”的映射方式,內(nèi)網(wǎng)主機(jī)映射為“出接口IP+隨機(jī)端口”訪問外網(wǎng)。同時(shí)還可以將內(nèi)網(wǎng)服務(wù)器映射為“出接口IP+指定端口”,對(duì)外提供訪問服務(wù)。1.EasyIP
基本概念EasyIP
工作過程示意圖2.EasyIP
配置流程EasyIP配置流程如下:配置ACL:定義允許進(jìn)行NAT轉(zhuǎn)換的內(nèi)網(wǎng)私有地址范圍;配置EasyIP地址轉(zhuǎn)換:ACL匹配的內(nèi)網(wǎng)地址轉(zhuǎn)換為出接口公網(wǎng)地址。
配置
EasyIP命令:natoutboundacl-number說明:EasyIP無(wú)需創(chuàng)建公有地址池,將ACL匹配內(nèi)網(wǎng)地址直接轉(zhuǎn)化為出接口地址視圖:接口視圖舉例:內(nèi)網(wǎng)用戶訪問外網(wǎng)時(shí)(ACL2000定義),轉(zhuǎn)化為R1出接口Gi0/0/1地址。[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natoutbound20003.NAT配置命令4.任務(wù)實(shí)施:靜態(tài)NAPT及EasyIP配置(1)掌握靜態(tài)NAPT及EasyIP的工作原理;(2)掌握靜態(tài)NAPT及EasyIP的配置方法。(一)任務(wù)目的
某公司網(wǎng)絡(luò)通過路由器接入運(yùn)營(yíng)商,只申請(qǐng)了一個(gè)公網(wǎng)地址/30用于內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)。同時(shí)公司內(nèi)部部署了一臺(tái)WWW服務(wù)器,要對(duì)外提供訪問服務(wù)。(二)任務(wù)描述(1)拓?fù)鋱D(2)操作流程終端及服務(wù)器配置網(wǎng)絡(luò)參數(shù);路由器配置網(wǎng)絡(luò)參數(shù),網(wǎng)絡(luò)出口配置/30,運(yùn)營(yíng)商側(cè)配置/30;R1配置默認(rèn)路由,下一跳指向運(yùn)營(yíng)商;R1配置NAT:配置ACL2000,定義允許轉(zhuǎn)換的內(nèi)網(wǎng)地址;定義轉(zhuǎn)化過程,采用EasyIP方式,實(shí)現(xiàn)公網(wǎng)地址一對(duì)多轉(zhuǎn)化;配置靜態(tài)NAPT,將WWW服務(wù)器0:80映射至:80。(三)實(shí)施規(guī)劃4.任務(wù)實(shí)施:靜態(tài)NAPT及EasyIP配置(四)操作步驟路由器配置網(wǎng)絡(luò)參數(shù)終端配置網(wǎng)絡(luò)參數(shù)[R1]intg0/0/0[R1-GigabitEthernet0/0/0]ipadd30[R1-GigabitEthernet0/0/0]intg0/0/1[R1-GigabitEthernet0/0/1]ipadd5424[R1-GigabitEthernet0/0/1]quitR1配置接口IP地址:R1配置默認(rèn)路由R1配置NAT[R2]intg0/0/0[R2-GigabitEthernet0/0/0]ipadd30[R2-GigabitEthernet0/0/0]intg0/0/1[R2-GigabitEthernet0/0/1]ipadd5424[R2-GigabitEthernet0/0/1]intg0/0/2[R2-GigabitEthernet0/0/2]ipadd5424[R2-GigabitEthernet0/0/2]quitR2配置接口IP地址:4.任務(wù)實(shí)施:靜態(tài)NAPT及EasyIP配置(四)操作步驟路由器配置網(wǎng)絡(luò)參數(shù)終端配置網(wǎng)絡(luò)參數(shù)[R1]iproute-staticR1配置默認(rèn)路由:R1配置默認(rèn)路由R1配置NAT4.任務(wù)實(shí)施:靜態(tài)NAPT及EasyIP配置(四)操作步驟路由器配置網(wǎng)絡(luò)參數(shù)終端配置網(wǎng)絡(luò)參數(shù)[R1]acl2000//定義允許轉(zhuǎn)換的內(nèi)網(wǎng)地址[R1-acl-basic-2000]rulepermitsourc
溫馨提示
- 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 動(dòng)物烙印行業(yè)營(yíng)銷策略方案
- 人工授精替動(dòng)物行業(yè)市場(chǎng)調(diào)研分析報(bào)告
- 農(nóng)業(yè)灌溉裝置產(chǎn)品供應(yīng)鏈分析
- 布料精加工行業(yè)經(jīng)營(yíng)分析報(bào)告
- 入場(chǎng)券產(chǎn)品供應(yīng)鏈分析
- 照像取景器產(chǎn)品供應(yīng)鏈分析
- 品牌聲譽(yù)管理行業(yè)市場(chǎng)調(diào)研分析報(bào)告
- 展示桌產(chǎn)品供應(yīng)鏈分析
- 無(wú)線電收發(fā)機(jī)產(chǎn)品供應(yīng)鏈分析
- 床用暖床器產(chǎn)業(yè)鏈招商引資的調(diào)研報(bào)告
- 語(yǔ)文研究性學(xué)習(xí)提出的背景及意義
- 食堂安全考試試題含答案三級(jí)安全教育考試
- 毛概演講(完整版)
- 部編版語(yǔ)文教材九年級(jí)上冊(cè)第二單元整體備課
- 起重裝卸機(jī)械操作工復(fù)習(xí)題庫(kù)及答案
- m301項(xiàng)目整車性能驗(yàn)證策劃-簽批版1.55mt
- YY 0612-2007一次性使用人體動(dòng)脈血樣采集器(動(dòng)脈血?dú)忉?
- 異丁烷安全標(biāo)簽
- ACS早期識(shí)別課件
- 人教統(tǒng)編版二年級(jí)語(yǔ)文上冊(cè)《7 媽媽睡了》教學(xué)課件PPT小學(xué)公開課
- 鍵盤的使用教案課件
評(píng)論
0/150
提交評(píng)論