《网络互联技术与实践第16章:私有局域网接入互联网》由会员分享,可在线阅读,更多相关《网络互联技术与实践第16章:私有局域网接入互联网(57页珍藏版)》请在金锄头文库上搜索。
1、16.1 任务描述,第16章:私有局域网接入互联网,某单位组建了一个局域网络,有微机500台,5个部门,通过路由器上联到互联网。该单位申请了8个公网地址,单位开发了自己的单位主页,要求单位内部的局域网用户能够访问互联网,单位主页能够被世界各地的互联网用户访问。,16.2 相关知识,第16章:私有局域网接入互联网,16.2.1 NAT技术的产生原理,16.2.2 NAT技术的术语,16.2.3 NAT类型,16.2.4 NAT配置,16.2.5 查看和删除NAT配置,16.2.1 NAT技术的产生原理,为了解决局域网用户访问因特网的问题,从而诞生了网络地址转换(Network Address T
2、ranslation,NAT)技术,它是一种将一个IP地址转换为另一个IP地址的技术。 网络地址转换(NAT)技术是一个IETF(Internet Engineering Task Force,Internet工程工作组)标准。,16.2.1 NAT技术的产生原理,16.2.2 NAT技术的术语,当内部网络有多台主机访问因特网上的多个目的主机的时侯,路由器必须记住内部网络的哪一台主机访问因特网上的哪一台主机,以防止在地址转换时将不同的连接混淆,所以路由器会为NAT的众多连接建立一个表,即NAT表,如图16.2所示。,16.2.2 NAT技术的术语,16.2.2 NAT技术的术语,16.2.2
3、NAT技术的术语,Inside,Outside,NAT,Inside local address(内部本地地址),inside global address(内部全局地址),outside local address(外部本地地址),outside global address(外部全局地址),16.2.2 NAT技术的术语,3. 私有地址 私有地址(Private Address)属于非注册地址,专门为组织机构内部使用。在IPv4地址中下列地址为私有地址: A类:10.0.0.010.255.255.255 B类:172.16.0.0172.31.255.255 C类:192.168.0.0
4、192.168.255.255,16.2.3 NAT类型,静态NAT,动态NAT,NAT类型,端口地址转换,16.2.3 NAT类型,静态NAT,动态NAT,NAT类型,在静态NAT中,是指内部网络中的主机IP地址(内部本地地址)一对一地永久映射成外部网络中的某个合法的地址。静态地址转换以一对一的方式将内部私有地址映射到公共IP地址,当要求外部网络能够访问内部设备时,静态NAT特别有用。如内部网络有Web服务器、E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换(将一个全球的地址映射到一个内部地址,静态映射将一直存在于NAT表中,直到被管理员取
5、消),以便外部用户可以使用这些服务。,16.2.3 NAT类型,静态NAT,动态NAT,NAT类型,动态地址池转换(Pool NAT),动态端口转换(Port NAT),16.2.3 NAT类型,(1)Pool NAT转换。Pool NAT执行本地地址与全局地址的一对一转换,但全局地址与本地地址的对应关系不是一成不变的,它是从内部全局地址池(Pool)中动态地选择一个末使用的地址对内部本地地址进行转换。采用动态NAT意味着可以在内部网络中定义很多的内部用户,通过动态分配的方法,共享很少的几个外部IP地址。而静态NAT则只能形成一对一的固定映射关系。,16.2.3 NAT类型,(2)Port N
6、AT转换。端口地址转换(Port Address Translation,PAT)又称复用动态地址转换或NAT重载,是把内部本地地址映射到外部网络的一个IP地址的不同端口上,因一个IP地址的端口数有65535个,即一个全局地址可以和最多达65535个内部地址建立映射,因此从理论上说一个全局地址可供65535个内部地址通过NAT连接Internet。在实际应用过程中,仅使用了大于或等于1024的端口。在只申请到少量IP地址却经常同时有多于合法地址个数的用户上外部网络的情况下,这种转换极为有用。,16.2.4 NAT配置,(1)配置静态NAT地址映射 在路由器的全局模式下配置静态NAT地址映射的命
7、令如下: Router(config)#ip nat inside source static local-ip global-ip (2)配置连接Internet的接口 在路由器连接Internet的接口(一般是以太网接口或快速以太网接口)上首先要配置IP地址,这个地址为公用地址,并且要启动该接口。 Router(config)#interface type mod/num Router(config-if)#ip address ip-address subnet-mask 然后声明该接口是NAT转换的外部网络接口,命令格式如下: Router(config-if)#ip nat outs
8、ide,1静态NAT配置基本过程,16.2.4 NAT配置,(3)配置连接企业内部网络的接口 在路由器连接企业内部网络的接口(一般是路由器的另一个以太网接口或快速以太网接口)上也要配置IP地址,这个地址应该是私有地址,并且要启动该接口。 Router(config)#interface type mod/num Router(config-if)#ip address ip-address subnet-mask 然后声明该接口是NAT转换的内部网络接口,命令格式如下: Router(config-if)#ip nat inside (4)显示活动的转换条目 Router#show ip na
9、t translation verbose,1静态NAT配置基本过程,16.2.4 NAT配置,(1)定义一个用于分配地址的全局地址池 在全局配置模式下,通过在路由器上定义一个分配地址的全局地址池,可以把用来进行NAT转换的公用地址池放在该池中,以供NAT使用。定义公用地址池的命令如下: Router(config)#ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-lengthrotary (2)定义一个标准访问控制列表(ACL),它允许那些需要转换的地址通过 在全局设置模式下,定义一个标
10、准访问控制列表,该列表的作用是用来筛选允许上网企业内部主机,通过在该列表中使用“允许”语句,能够指定哪些人可以上网。命令如下: Router(config)#access-list access-list-number permit source source-wildcard,2. 动态NAT配置基本过程,16.2.4 NAT配置,(3)定义内部网络私有地址与外部网络公用地址之间的映射 在全局配置模式下,将由access-list指定的内部私有地址与指定的公用地址池相映射,从而提供内网私有地址和外网公用地址之间的NAT转换。其命令如下: Router(config)#ip nat insid
11、e sourcelist access-list-number | namepool pool-name overload | static local-ip global-ip (4)配置连接Internet的接口 Router(config-if)#ip nat outside (5)配置连接企业内部网络的接口 Router(config-if)#ip nat inside (6)定义指向外网的默认路由 做好以上步骤后应定义指向外网的默认路由,命令格式如下: Router(config)#ip route 0.0.0.0 0.0.0.0 next-hop-ip 其中:next-hop-ip
12、即专线在ISP端的连接地址。,2. 动态NAT配置基本过程,16.2.4 NAT配置,(1)定义标准访问列表,允许那些需要转换的内部网络地址通过。 Router(config)#access-list access-list-number permit source source-wildcard 其中各参数的含义见项目六访问控制列表。 (2)启用动态地址转换,使用前面定义的访问控制列表来指定哪些地址将被转换,并指定其地址将被重载的接口。 Router(config)#ip nat inside source list acess-list-number interface interface
13、 overload (3)配置连接Internet的接口 Router(config-if)#ip nat outside (4)配置连接企业内部网络的接口 Router(config-if)#ip nat inside,3. Port NAT配置的基本过程,16.2.5 查看和删除NAT配置,表16-2 用于清除NAT转换条目的命令,16.3 方案设计,该单位内部有500台微机,5个部门,可以组建基于三层交换技术的交换网络,为了便于管理和维护,划分6个子网,其中5个子网分属5个部门,1个子网属于网络服务器,通过路由器与互联网相连。单位主页通过静态NAT转换使互联网用户能够访问,单位局域网内用
14、户通过动态NAT转换能够访问互联网。该单位申请的8个公网IP地址,实际可用的IP地址只有6个,1个为Web服务器静态NAT映射的地址,2个地址作为地址池,通过地址池进行网络地址转换访问因特网,其余的地址作为备用。网络拓扑如图16.4所示。,16.3 方案设计,16.4 任务实施,为了完成本项目,搭建如图16.5所示网络拓扑图。 (1)采用一台三层交换机作为核心层,4台二层交换机作为汇聚层兼接入层交换机。为了在实训室模拟本项目,采用一台路由器和一台主机模拟互联网。该单位申请的8个公网IP地址为216.12.228.32/29。分配给边界路由器的外网端口的IP地址为202.206.233.106/
15、30。 (2)在局域网内划分7个VLAN:VLAN10分配给部门1,VLAN20分配给部门2,VLAN30分配给部门3,VLAN40分配给部门4,VLAN50分配给部门5,VLAN100分配给服务器组,VLAN99分配给管理VLAN。 (3)为了实现各部门的主机能够相互访问,三层交换机上开启路由功能。 (4)在边界路由器上配置静态NAT,实现Web服务器上网和能够让外网用户访问。 (5)在边界路由器上配置动态NAT,实现局域网内用户能够访问互联网。用户访问。,16.4.1 实训任务,16.4 任务实施,16.4 任务实施,为了搭建如图16.5所示的网络环境,需要如下的设备: (1)Cisco2
16、811路由器(2台); (2)Cisco3560交换机(1台); (3)Cisco 2960交换机(6台) (4)PC机7台; (5)双绞线(若干根),16.4.2 设备清单,16.4 任务实施,步骤1:规划设计 (1)规划各部门子网地址VLAN ID,名称如表16-3所示。,16.4.3 实施过程,(2)规划各部门计算机IP地址、子网掩码和网关如表16-4所示。,16.4 任务实施,16.4.3 实施过程,(3)规划各交换机名称,端口所属VLAN以及连接的计算机,和各交换机之间的连接关系。如表16-5所示。,16.4 任务实施,16.4.3 实施过程,(4)规划网络中三层交换机和路由器相连端口三层IP地址、路由器各端口IP地址如表16-6所示。,16.4 任务实施,16.4.3 实施过程,(5)NAT转换使用公网IP地址 Web服务器静态映射使用公网IP地址216.12.228.37,216.12.228.35和216.12.228.36为动态地址池地址使用。 步骤2:实训环境准备 (1)硬件连接。在交换机和计算机断电
