NAT与路由器配置实例.ppt

知识回顾1 何为接入网 2 简介非对称数字用户线路ADSL 3 选择接入方式时应从哪几个方面考虑 Mr 苦瓜 教学内容 1 理解NAT技术的相关知识 2 理解访问控制列表的基本知识 3 掌握路由器的基本应用 教学重点 路由器的基本应用教学难点 路由器的基本应用 第12节NAT与路由器配置实例 1NAT技术概述网络地址转换 NetworkAddressTranslation NAT 就是把在内部网络中使用的私有IP地址转换成外部网络中使用的NIC注册IP地址 对外部网络隐蔽内部网络的结构 按NAT技术的应用方式可分为静态NAT 动态NAT池和PAT 端口复用NAT 三种 NAT功能通常被集成到路由器 防火墙 ISDN路由器或者单独的NAT设备中 NAT设备维护一个状态表 用来把内部网络的IP地址映射到外部网络的IP地址 每个包在NAT设备中都被转换后发往下一级 NAT本身并不提供类似防火墙 包过滤 隧道等技术的安全性 只是在包的最外层改变IP地址 使外部网络用户不知道内部网络的地址结构 防止一般外部网络用户对内部网络的非法访问 1 静态NAT静态NAT StaticNAT 是NAT技术中最简单的应用方式 在内部网络中使用私有IP地址 在访问Internet时再将私有IP地址转换到与其一一对应的NIC注册IP地址 静态NAT适用于内部网络中有WEB FTP或E mail等服务器为外部网络用户提供服务的情况下 这些服务器的IP地址必须采用静态地址转换 以便外部网络用户可以访问这些服务 2 动态NAT池动态NAT池 PooledNAT 采用动态方法映射内部网络的私有IP地址和外部网络的NIC注册IP地址 动态NAT可以在内部网中定义很多的内部用户 使内部网络用户共享很少的几个外部IP地址 当NAT池中动态分配的外部IP地址全部被占用后 后续的NAT转换申请将会失败 一般可通过路由器的超时配置功能限制一个内部用户长期占用一个NIC注册的IP地址来解决 由于使用NAT之后 外部网络地址与内部网络地址的对应关系是动态变化的 因此无法准确了解指定内部网络设备的运行情况 会对内部网络的远程管理带来一定的不便 3 PATPAT PortAddressTranslation 是一种动态地址转换技术 也称NAT复用 它可以使多个内部私有IP地址共用一个或几个NIC注册IP地址 通过不同的协议端口号映射不同的内部网络地址 所有不同的TCP和UDP信息流仿佛都来源于一个或几个IP地址 PAT理论上可以支持64500个TCP IP UDP IP连接 但实际可以支持的工作站数约为4000 PAT技术非常适用于只申请到少量IP地址但却经常有多个用户同时上外部网络的情况 2项目案例描述某单位有三个部门的电脑 各3台 需要网络服务 现有一台路由器 一台局域网交换机 已向电信申请了宽带接入服务 申请到的IP地址为222 17 240 5 24 电信接入IP为202 100 100 88 网络要求的功能如下 1 所有三个部门的电脑都能访问Internet 2 部门3的电脑可以访问部门1和部门2的电脑 3 部门1和部门2的电脑能够互访 但是不能访问部门3的电脑 3项目需求分析 1 Internet接入方式分析为了实现三个部门的电脑都能 使用一个IP地址 访问Internet 要使用局域网交换机将三个部门的电脑组成一个局域网 并在局域网中使用私有IP地址 然后通过路由器转换为唯一的外网地址 222 17 240 5 24 联入Internet 为此必须使用PAT技术 2 内网规划部门1部门2部门3VLANVLAN10VLAN20VLAN30VLAN名Department1Department2Department3IP192 168 10 2 24以上192 168 20 2 24以上192 168 30 2 24以上交换机f0 1 3f0 4 6f0 7 9端口网关192 168 10 1192 168 20 1192 168 30 1 3 访问控制为了实现部门间的访问控制 必须在交换机配置访问控制列表 访问控制列表 AccessControlList ACL 通常用来规划网络中的访问层次 以期达到优化网络流量 加强网络安全的作用 ACL可以绑定在物理端口上 也可绑定在Vlan接口上 ACL命令格式 全局配置模式下 access list名称permit deny协议类型源IP地址源地址掩码目的IP地址目的地址掩码绑定已配置的ACL 接口配置模式 inf0 0 2ipaccess group名称in 配置ACL的注意事项 每个ACL表的末尾都会隐含 deny 语句 从而丢弃所有不符合规则的包 源地址和目的地址的掩码中 0 代表精确匹配 1 代表忽略该位 如允许来自192 168 1 0 24网段机器的访问 则其掩码是0 0 0 255 而针对具体主机的掩码 则是0 0 0 0 具有严格限制条件的语句应放在访问列表所有语句的最上面 ACL绑定到具体端口上即可生效 ACL所包含的规则在精不在多 配置具体规则时不光需要考虑该规则是否影响数据包传送 还必须考虑数据包能否返回 同一接口可以绑定多个ACL 此时需要给每个ACL设置相应的优先级 4 网络结构图 4网络管理配置 1 实现三个部门互访 配置外网IPR1 config ins1 0R1 config if ipadd222 17 240 3255 255 255 0R1 config if noshutR1 config if exit 启用f0 0端口 启用3个子接口R1 config inf0 0R1 config if noipaddR1 config if noshutR1 config if exitR1 config inf0 0 1R1 config subif ipadd192 168 10 1255 255 255 0R1 config subif encapsulationdot1q10R1 config subif noshutR1 config subif exitR1 config inf0 0 2R1 config subif ipadd192 168 20 1255 255 255 0R1 config subif encapsulationdot1q20R1 config subif noshutR1 config subif exitR1 config inf0 0 3R1 config subif ipadd192 168 30 1255 255 255 0R1 config subif encapsulationdot1q30R1 config subif noshutR1 config subif exit 在交换机与路由器连接的f0 12口开启trunkSwitch conftSwitch config inf0 12Switch config if switchportmodetrunkSwitch config if exitSwitch config exit 划分vlanSwitch vlandatabaseSwitch vlan vlan10nameDepartment1Switch vlan vlan20nameDepartment2Switch vlan vlan30nameDepartment3Switch vlan exit 将端口加入vlanSwitch conftSwitch config inrangef0 1 3Switch config range switchportmodeaccessSwitch config range switchportaccessvlan10Switch config range exitSwitch config inrangef0 4 6Switch config range switchportmodeaccessSwitch config range switchportaccessvlan20Switch config range exitSwitch config inrangef0 7 9Switch config range switchportmodeaccessSwitch config range switchportaccessvlan30Switch config range exit 2 做ACL 拒绝部门1和部门2访问部门3 允许部门3访问部门1和部门2 允许部门1和部门2互访R1 config access list101denyip192 168 10 00 0 0 255192 168 30 00 0 0 255R1 config access list101denyip192 168 20 00 0 0 255192 168 30 00 0 0 255R1 config access list101permitipanyanyR1 config inf0 0 3R1 config subif ipaccess group101inR1 config subif exitR1 config exit 3 利用PAT技术使内部计算机上网R1 config access list1permit192 168 10 00 0 0 255R1 config access list1permit192 168 20 00 0 0 255R1 config access list1permit192 168 30 00 0 0 255R1 config ipnatinsidesourcelist1interfaces1 0overloadR1 config inf0 0R1 config if ipnatinsideR1 co