局域网与Internet 的连接

1、课程指南IP地址危机、IPv4地址空间不足RFC1918私有、为了内部使用，分别保留了一个a、b、c地址范围。 10.0.0到10.255.255.255 (10.0.0/8 ) 172.16.0.0到172.31.255.255 (172.16.0.0/12 ) 192.168.0到192.168.255.255 (192.168.0.0/16 )网络地址IPv6项目12LAN与互联网连接、Inernet :3、项目任务、学习任务：理解NAT技术的内涵任务1 :理解静态NAT的配置任务2 :学习动态NAT的配置任务3 :理解NAT技术、5、NAT是网络访问确保使用私有地址的网络上的主机在internet上以合法地址显示。 纯软件NAT防火墙NAT路由器NAT、6、NAT类型和NAT功能通常集成到路由器、防火墙或其他NAT设备中。 1.NAT路由器位于内部网与外部网之间的边界处并且在分组被发送到外部网络之前将该分组的内部私有IP地址转换为因特网上的有效地址。 2、NAT也可以应用于防火墙技术，隐藏个别的IP地址以防止从外部发现，防止从外部直接接入内部网络，发挥保护内部网络的作用。 7、NAT带来的好处，解决IPv4地址空间不足问题的私有IP地址网在与公用网互连的10.0.0.0/8、172.16.0.0/12、192.168.0.0/16网络改造过程中， 避免地址变更带来的风险TCP流量负载平衡、8、NAT类型、networkaddresstranslation (NAT ) :转换后，内部本地IP地址与全局IP地址对应。 NAT包括静态NAT和动态NAT。 napt (networkaddressporttranslation或NPAT ) :转换后，多个内部本地地址与全局IP地址相对应。 9、NAT/NAPT术语、内部网-inside位于内部网络中，每台主机都有一个内部IP地址，但是必须将这些地址转换为不同的地址才能与外部网络进行通信。 外部网络-Outside是指内部网络需要连接的网络，通常是互联网或其他组织的网络。 互联网，Outside，Inside，内部网，外部网，10，NAT/NAPT术语，内部本地地址- inside local地址是分配给内部网络主机的IP地址，该地址在相关机构注册内部全局地址-InsideGlobalAddress是合法的全局可路由地址，网络信息中心(NIC )或服务提供商提供的因特网上可转移的地址在外部网络中使用一个或多个内部本地地址外部本地地址-OutsideLocalAddress外部网络的主机在内部网络中表示的IP地址。 该地址不一定是有效地址，也可以是内部可路由的地址。 外部全局地址-OutsideGlobalAddress外部网络分配给外部主机的IP地址。 这是一个合法的全球可路由地址。11，内部网络，外部网络，Packet1源地址： 192.168.1.100目标地址：92.168.2.50， Packet1源地址： 202.1.2.3目标地址：92.168.2.50 Packet2源地址： 202.1.3.3目标地址：192.168.1.100， Packet2源地址： 192.168.2.50目标地址：202.1.2.3、192.168.1.100/24、192.168.2.50/24、NAT路由器、NAT/NAPT术语、内部本地地址内部全局地址、外部本地，12，NAT翻译过程建立动态或静态NAT，13，任务2，静态NAT部署，14，静态NAT静态NAT:为内部本地地址与内部全局地址的一对一永久映射。 永久一对一ip地址的映射关系为：向外部网络提供信息服务的主机的ip地址必须采用静态NAT.15，配置静态NAT 1，内部源地址的静态转换关系red-giant(config)# ipnatinsicestaticocal-address global-address定义本地地址：内部私有地址的global-address:内部全局地址2，内部接口red-giant (CCD ) interface-type-number : red-giant (config-if ) ipnatsinside 3，外部接口red-giant (config ) interface interface-typeinumberred-giant ipNAToutside，16，静态NAT配置示例，情况背景：管理员希望外部用户访问具有内部地址的WEB服务器，并使用静态NAT访问全局合法地址(内部全局地址2.2.2.3 )和内部本地地址(10.1.1.1 ) 、Inernet、NAT路由器、WEB服务器10.1.1.1、Fa0、s0、17、静态NAT配置实例的具体步骤、Inernet、NAT路由器、WEB服务器10.1.1.1、Fa010.1.1.254、s0、 1、router (config ) # ipnatinsidesourcestatic 10.1.1.12.2.32、router (config ) # intfa0router (config-if ) # ipnatsinside 3和router (config ) #路由器ipNAToutside，18，NAT的验证命令， showipnatstatistics :显示转换统计信息showipnattranslationsverbose :显示活动转换的注意事项：显示nat活动转换的命令最好在网络测试成功后执行，效果最好在你是公司的网络管理者的内部网络中，有能够向外部用户提供服务的服务器(使用私有地址)，但是不想让外部网络用户知道自己的网络内部结构。 在内部网络的边界路由器中使用NAT技术隔离内部网络和外部互联网，使外部用户完全不知道在NAT中设置的内部服务器的IP地址建议： 1、最佳团队成员进行充分讨论，制定工作计划，明确分工2、同组成员应明确使用的设备，以免使用时发生冲突。 3、本项目完成可参考教材中的实训19，但不得盲目抄写。任务1项目需求，20，注意：广域网端口的使用，服务提供商，数据终端设备(DTE ) NAT路由器，数据通信设备(DCE )，R2600-1，r 2600-2 red-giant (config ) #主机名r2r2(config ) interface serial0r2(config-if ) # IP地址202.1.1.2255.255.0 r2(config-if ) #时钟速率64000 r2(config-if ) #否， V.35缆线、S0、S0、fa0、21、任务1参考设计、22、项目参考部署red-giant (config ) #主机名r1(config ) #接口串行0 r1(config-if ) # IP地址192.1.1.1255.255.255.0 r1(配置- if ) # nosh，23，项目参考配置， R1 (config ) #接口快速以太网0 r1(config-if ) # ipadd 192.168.1.1255.255.255.0 r1(config-if ) # nosh，24，项目参考配置，# R1 (config ) # IP路由0.0.00 25项目参考配置， 1、基本配置red-giant (config )主机名r2r2(config )接口系列0 r2(config-if ) # IP地址192.1.1.2255.255.0 r1(config-if ) # noshutdownr2(配置文件) endr2(配置文件) interface FastEthernet0r2(配置文件) # ipadd 192.168.2.1255.255.255.0 r2(配置文件) R2 (config ) # IP路径0.0.00.0.0系列0， 27、项目参考配置r1(config ) # int FastEthernet0r1(config-if ) # ipnatsinside (定义内部接口) r1(config ) int serial0r1(config-if ) # ipnat outside (定义外部接口)，28，任务3，动态NAT配置，29，动态NAT特性， 动态NAT:或者不提供用于建立内部本地地址与内部全局地址池之间的临时映射的信息服务的主机的内部主机数量取决于能够访问的外部网络主机数量而大于全局IP地址数量。 30，1，定义可按需分配的全局地址池。 router (config ) ipnatpoolnamestart-ipend-ipnetmaskingmask 2，定义可动态地址转换的内部地址的标准访问列表规则。 router(config)#访问列表(1- 99 ) permitsourcesource-wild card，动态NAT配置过程将访问列表中指定的内部本地地址和内部合法地址池转换为地址router(config)# ) ipnatinsidesourcelistaccess-list-number poolname，31， 4、内部接口router(config)#接口类型编号5、要连接到内部网络的内部接口router (config-if ) # ipnatsinside 6、外部接口router(config)# interfacetypenumber7，连接到外部网络的外部接口Router(config-if)#ipnatoutside，动态NAT部署过程，32，示例背景：一家公司30个公共IP地址，用于为整个公司提供互联网服务地址范围从2.2.2.1/24到2.2.2.30/24，公司规模不断扩大，目前有近100台PC的合法地址没有一台一台地分配，而且销售部门通常有三分之一的人外出工作，公司内部也一直需要网络服务动态NAT应用程序实例，33，动态NAT应用程序实例拓扑，公司： 10.10.10.0/24，网关： 10.10.254/24，10.10.254/24，2.2.2.1/24，34，1，NAT地址定义ipnatpoolmypool2.2.2. 30 net mask 255.255.255.02并使用公司专用地址的PC访问控制列表router (config ) #访问列表20参数10.10.10.00.0 NAT地址池router (config ) # ipnatinsidesourcelist 20 pool my pool，动态NAT配置实例，35 4，内部接口router (config )，定义了已配置的访问控制列表指定要连接到内部网络的内部接口Router(config-if)#ipnatinside，进入动态NAT配置示例36、S0接口router (config ) #接口07， S0连接到外部网络的外部接口Router(config-if)#ipNAToutside、动态NAT配置示例、37、指定为动态NAT配置示例的注意事项： 8、路由信息router (config ) # IP route0.0. 00.0 server 38、动态NAT配置测试设计方案：F0，S0，注意：两个路由器都启用了路由信息，S0，39，任务4，NAPT配置，40，NAPT概念，1，NAPT (或NPAT):网络地址端口转换，并且使多个内部地址同一个发光2、何时使用NAPT全局IP地址不足，没有特别申请的全局IP地址，只有连接到ISP的全局IP地址的内部网增加互联网的主机数，41、 NAT设备通过映射TCP和UDP端口号来跟踪和记录不同会话，使得数百万私有节点能够使用全局地址来访问因特网。 端口号可根据需要使用。 通常是在1024-65535之间未分配的端口号。 例如，50个内部节点可以使用相同的全局地址61.144.246.85浏览网站(如服务器202.96.134.163上的80端口)，但每个节点使用不同的源端口号。 一旦Web服务器响应于61.144.246.85，NAT设备就使用响应包的目的地端口来确定将被发送给哪个内部用户，并将内部主机的IP地址填充在报头中。 NAPT技术特征、42、示例性动态NAT配置、43、NAPT转换过程可以配置动