第 3 章 路由技术 — 网络地址转换
26
www.jstu.edu.cn 第 第 3 3 第 第第第第 第 第第第第 — — 第第第第 第第第第 第第 第第
description
第 3 章 路由技术 — 网络地址转换. 项目三接入 Internet. 教学目标. 通过本章学习使学员能够: 1 、了解局域网和 Internet 互联常用技术; 2、掌握 NAT 技术工作原理; 3 、掌握利用 NAT/NAPT 实现局域网访问互联网的方法。. 主要内容. 项目描述 知识准备 项目实施 项目小结. 课程议题. 项目描述. 企业网专线接入 Internet 工作场景. - PowerPoint PPT Presentation
Transcript of 第 3 章 路由技术 — 网络地址转换
www.jstu.edu.cn
第第 33章 路由技术章 路由技术 ——网络地址网络地址
转换转换
www.jstu.edu.cn
项目三接入项目三接入 InternetInternet
www.jstu.edu.cn
教学目标教学目标
通过本章学习使学员能够:通过本章学习使学员能够:11 、了解局域网和、了解局域网和 InternetInternet 互联常用技术;互联常用技术;
2、掌握2、掌握 NATNAT 技术工作原理;技术工作原理;
33 、掌握利用、掌握利用 NAT/NAPTNAT/NAPT 实现局域网访问互联网的方法。实现局域网访问互联网的方法。
www.jstu.edu.cn
主要内容主要内容
项目描述项目描述
知识准备知识准备
项目实施项目实施
项目小结 项目小结
www.jstu.edu.cn
课程议题课程议题
项目描述项目描述
www.jstu.edu.cn
光纤传输技术与其它宽带接入( ADSL )相比更为经济高效,它的使用限于办公大楼或楼群内己铺设光纤的地方。光纤传输技术将以太网的优越性扩展到了宽带网络中,提供端到端的以太网连接而无需多协议的转换,其提供的高速率、大容量接入服务,满足市场对带宽的巨大需求。以太网直接使用光网络直接传输数据,也使局域网技术正向广域网延伸。
企业网专线接入 Internet 工作场景
www.jstu.edu.cn
企业网专线接入 Internet 工作拓扑 以太网直接使用光网络直接
传输数据,也使局域网技术正向广域网延伸。以太网的应用普遍、价格低廉、组网灵活以及管理简单,和光纤传输网络的可靠性、高容量、高速度等的有机融合。节约了网络建设的成本,消除了存在于局域网和广域网之间的带宽瓶颈,必将成为未来融合话音、数据和视频的下一代宽带网络建设的优秀解决方案。
www.jstu.edu.cn
企业网专线接入 Internet 项目任务 丰达电器股份有限公司内部局域网络,共有 150 台左右的主机。共分为二个区
域,普通办公区、信息资料区。对应交换机上划分了 VLAN10 和 VLAN20
两个 VLAN ,使用三层交换机使网络互通。通过 ADSL 技术接入到Internet 网,随着网络内部信息流量的扩大,为提高上网速度,公司希望能向电信局申请了一条 10M 光纤专线,通过路由器接入互联网,保证所有主机高速接入互联网。
www.jstu.edu.cn
课程议题课程议题
NAPTNAPT技术技术
www.jstu.edu.cn
什么是什么是 NAT/NAPTNAT/NAPT
概念:概念: NATNAT 就是将网络地址从一个地址空间转换到另外一个地址空间的就是将网络地址从一个地址空间转换到另外一个地址空间的
一个行为一个行为 NATNAT 的类型的类型
NATNAT (( Network Address TranslationNetwork Address Translation )) 转换后,一个本地 IP 地址对应一个全局 IP 地址
NAPT NAPT (( Network Address Port TranslationNetwork Address Port Translation )) 转换后,多个本地地址对应一个全局 IP 地址
www.jstu.edu.cn
NAT/NAPTNAT/NAPT 的术语的术语
NATNAT 中用到的接口类型:中用到的接口类型: 内部网络 -内部网络 - InsideInside
外部网络 -外部网络 - OutsideOutside
NATNAT 中常见的术语:中常见的术语: 内部本地地址-内部本地地址- Inside Local AddressInside Local Address
内部全局地址-内部全局地址- Inside Global AddressInside Global Address
外部本地地址-外部本地地址- Outside Local AddressOutside Local Address
外部全局地址-外部全局地址- Outside Global AddressOutside Global Address
互联网OutsideInside
企业内部网 外部网
www.jstu.edu.cn
NATNAT 工作原理工作原理
200.8.7.3/24
200.8.7.4/2463.5.8.1
192.168.1.5
192.168.1.7
内部本地地址 内部全局地址
192.168.1.7 200.8.7.3
192.168.1.5 200.8.7.4
源 IP:192.168.1.7
目的 IP:63.5.8.1
源 IP:200.8.7.3
目的 IP:63.5.8.1
源 IP:63.5.8.1
目的 IP:200.8.7.3
源 IP:63.5.8.1
目的 IP:192.168.1.7
源 IP:200.8.7.3
目的 IP:63.5.8.1
源 IP:63.5.8.1
目的 IP:192.168.1.7
www.jstu.edu.cn
NAPTNAPT 工作原理工作原理
200.8.7.3/2463.5.8.1
192.168.1.5
192.168.1.7
源 IP:192.168.1.7:1024
目的 IP:63.5.8.1:80
内部本地地址:端口 内部全局地址 : 端口
外部全局地址 : 端口
192.168.1.7:102
4
200.8.7.3:1024 63.5.8.1: 80
192.168.1.5:113
6
200.8.7.3:1136 63.5.8.1: 80 源 IP:200.8.7.3:1024
目的 IP:63.5.8.1:80
源 IP:63.5.8.1:80
目的IP:200.8.7.3:1024
源 IP:63.5.8.1 :80
目的IP:192.168.1.7:1024
Web 服务
源IP:200.8.7.3:1024
目的 IP:63.5.8.1:80
源 IP:63.5.8.1 :80
目的 IP:192.168.1.7:1024
www.jstu.edu.cn
使用使用 NAPTNAPT 的情况的情况
在以下几种情况下,需要使用在以下几种情况下,需要使用 NAPTNAPT 技术:技术: 缺乏全局缺乏全局 IPIP 地址地址 ,, 甚至没有专门申请的全局甚至没有专门申请的全局 IPIP 地址,只有一个连接地址,只有一个连接
ISPISP 的全局的全局 IPIP 地址地址 内部网要求上网的主机数很多内部网要求上网的主机数很多 提高内网的安全性提高内网的安全性
www.jstu.edu.cn
NAT/NAPTNAT/NAPT 的配置的配置
NAT/NAPTNAT/NAPT 的配置有两种的配置有两种 静态静态 NAT/NAPTNAT/NAPT
动态动态 NAT/NAPTNAT/NAPT
静态静态 NAT/NAPTNAT/NAPT 需要向外网络提供信息服务的主机需要向外网络提供信息服务的主机 永久的一对一永久的一对一 IPIP 地址映射关系地址映射关系
动态动态 NAT/NAPTNAT/NAPT 只访问外网服务,不提供信息服务的主机只访问外网服务,不提供信息服务的主机 内部主机数可以大于全局内部主机数可以大于全局 IPIP 地址数地址数 最多访问外网主机数决定于全局最多访问外网主机数决定于全局 IPIP 地址数地址数 临时的一对一临时的一对一 IPIP 地址映射关系地址映射关系
www.jstu.edu.cn
静态静态 NATNAT
配置步骤配置步骤11 、定义内网接口和外网接口、定义内网接口和外网接口
Router(config)#interface fastethernet 1/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 1/1 Router(config-if)#ip nat inside
22 、建立静态的映射关系、建立静态的映射关系 Router(config)#ip nat inside source static 192.168.1.7 200.8.7.3
www.jstu.edu.cn
静态静态 NAPTNAPT
11 、定义内网接口和外网接口、定义内网接口和外网接口 Router(config)#interface fastethernet 0Router(config)#interface fastethernet 0
Router(config-if)#ip nat outsideRouter(config-if)#ip nat outside
Router(config)#interface fastethernet 1Router(config)#interface fastethernet 1
Router(config-if)#ip nat insideRouter(config-if)#ip nat inside
22 、建立静态的映射关系、建立静态的映射关系 Router(config)#ip nat inside source static tcpRouter(config)#ip nat inside source static tcp
192.168.1.7 1024 200.8.7.3 1024192.168.1.7 1024 200.8.7.3 1024
Router(config)#ip nat inside source static udp Router(config)#ip nat inside source static udp
192.168.1.7 1024 200.8.7.3 1024192.168.1.7 1024 200.8.7.3 1024
www.jstu.edu.cn
动态动态 NATNAT 配置配置
11 、定义内网接口和外网接口、定义内网接口和外网接口 Router(config-if)#ip nat outsideRouter(config-if)#ip nat outside
Router(config-if)#ip nat insideRouter(config-if)#ip nat inside
22 、定义内部本地地址范围、定义内部本地地址范围 Router(config)#access-list 10 permit 192.168.1.0 Router(config)#access-list 10 permit 192.168.1.0
0.0.0.2550.0.0.255
33 、定义内部全局地址池、定义内部全局地址池 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.10 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.10
netmask 255.255.255.0netmask 255.255.255.0
44 、建立映射关系、建立映射关系 Router(config)#ip nat inside source list 10 pool abcRouter(config)#ip nat inside source list 10 pool abc
www.jstu.edu.cn
动态动态 NAPTNAPT 配置配置
11 、定义内网接口和外网接口、定义内网接口和外网接口 Router(config-if)#ip nat outsideRouter(config-if)#ip nat outside
Router(config-if)#ip nat insideRouter(config-if)#ip nat inside
22 、定义内部本地地址范围、定义内部本地地址范围 Router(config)#access-list 10 permit 192.168.1.0 Router(config)#access-list 10 permit 192.168.1.0
0.0.0.2550.0.0.255
33 、定义内部全局地址池、定义内部全局地址池 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.3 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.3
netmask 255.255.255.0netmask 255.255.255.0
44 、建立映射关系、建立映射关系 Router(config)#ip nat inside source list 10 pool abc Router(config)#ip nat inside source list 10 pool abc
overloadoverload
www.jstu.edu.cn
NAT/NAPTNAT/NAPT 的监视和维护命令的监视和维护命令
显示命令显示命令 show ip nat statistics show ip nat statistics
显示翻译统计 show ip nat translations [verbose] show ip nat translations [verbose]
显示活动翻译
清除状态命令清除状态命令 clear ip nat translation *clear ip nat translation *
从 NAT 转换表中清除所有动态地址转换项
www.jstu.edu.cn
NAT/NAPTNAT/NAPT 带来的限制带来的限制
限制限制 影响网络性能影响网络性能 不能处理不能处理 IPIP 报头加密的报文;报头加密的报文; 无法实现端到端的路径跟踪(无法实现端到端的路径跟踪( traceroute)traceroute)
某些应用可能支持不了:内嵌某些应用可能支持不了:内嵌 IPIP 地址地址
内嵌内嵌 IPIP 地址的应用有:地址的应用有: FTPFTP
DNSDNS
NetMeetingNetMeeting
H.323,VoIPH.323,VoIP
其它自编应用其它自编应用
NATNAT 与应用的兼容性问题,详见与应用的兼容性问题,详见 RFC 3027RFC 3027
www.jstu.edu.cn
课程议题课程议题
项目实施项目实施
www.jstu.edu.cn
企业网专线接入 Internet 项目工作现场 某大型企业共有 150 台主机,企业
网络共分为二个区域,普通办公区、信息资料区。网络内部使用 S2126
为接入用户的交换机,划分了VLAN10 和 VLAN20 两个 VLAN ,
S3550 为企业网络的核心设备,用于汇聚企业网中的所有接入层设备。企业通过 R1762 路由器接入互联网,要求保证所有主机正常高速上网。
为了提高上网速度向电信局申请了一条 10M 的光纤专线接入互联网。 S3550 通过 F0/24 和
R1762 路由器连接。 Server 用于安装一台 FTP 服务器,地址为200.16.3.8/24 。 Microsoft Word
Îĵµ
www.jstu.edu.cn
工作任务分解工作任务分解
11 、交换机划分、交换机划分 VLANVLAN
22 、二层交换机和三层交换机级联、二层交换机和三层交换机级联
33 、、 trunktrunk 实现相同实现相同 VLANVLAN 访问访问
44 、三层交换机配置路由,实现、三层交换机配置路由,实现 VLANVLAN 间互访间互访
55 、三层交换机和路由器相连、三层交换机和路由器相连
66 、配置静态路由和缺省路由、配置静态路由和缺省路由
77 、配置、配置 NAPTNAPT 访问访问 InternetInternet
www.jstu.edu.cn
项目测试项目测试
所有主机能够访问所有主机能够访问 InternetInternet 服务器服务器
www.jstu.edu.cn
课程议题课程议题
项目小结项目小结
