收藏
下载资源

NAT与路由器配置实例

上传人:平*** 文档编号:52746704 上传时间:2018-08-25 格式:PPT 页数:19 大小:259.13KB
返回 下载 相关 举报
NAT与路由器配置实例_第1页
第1页 / 共19页
NAT与路由器配置实例_第2页
第2页 / 共19页
NAT与路由器配置实例_第3页
第3页 / 共19页
NAT与路由器配置实例_第4页
第4页 / 共19页
NAT与路由器配置实例_第5页
第5页 / 共19页
点击查看更多>>
资源描述

《NAT与路由器配置实例》由会员分享,可在线阅读,更多相关《NAT与路由器配置实例(19页珍藏版)》请在金锄头文库上搜索。

1、知 识 回 顾1、何为接入网?2、简介非对称数字用户线路ADSL。3、选择接入方式时应从哪几个方面考虑?Mr.苦瓜,教学内容:1、理解NAT技术的相关知识;2、理解访问控制列表的基本知识;3、掌握路由器的基本应用。 教学重点:路由器的基本应用教学难点:路由器的基本应用,第12节 NAT与路由器配置实例,1 NAT技术概述 网络地址转换(Network Address Translation,NAT)就是把在内部网络中使用的私有IP地址转换成外部网络中使用的NIC注册IP地址,对外部网络隐蔽内部网络的结构。按NAT技术的应用方式可分为静态NAT、动态NAT池和PAT(端口复用NAT)三种。NAT

2、功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表,用来把内部网络的IP地址映射到外部网络的IP地址,每个包在NAT设备中都被转换后发往下一级。NAT本身并不提供类似防火墙、包过滤、隧道等技术的安全性,只是在包的最外层改变IP地址,使外部网络用户不知道内部网络的地址结构,防止一般外部网络用户对内部网络的非法访问。,(1)静态NAT静态NAT (Static NAT)是NAT技术中最简单的应用方式,在内部网络中使用私有IP地址,在访问Internet时再将私有IP地址转换到与其一一对应的NIC注册IP地址。静态NAT适用于内部网络中有WEB、FTP或E

3、-mail等服务器为外部网络用户提供服务的情况下,这些服务器的IP地址必须采用静态地址转换,以便外部网络用户可以访问这些服务。,(2)动态NAT池动态NAT池(Pooled NAT)采用动态方法映射内部网络的私有IP地址和外部网络的NIC注册IP地址。动态NAT可以在内部网中定义很多的内部用户,使内部网络用户共享很少的几个外部IP地址。当NAT池中动态分配的外部IP地址全部被占用后,后续的NAT转换申请将会失败,一般可通过路由器的超时配置功能限制一个内部用户长期占用一个NIC注册的IP地址来解决。由于使用NAT之后,外部网络地址与内部网络地址的对应关系是动态变化的,因此无法准确了解指定内部网络

4、设备的运行情况,会对内部网络的远程管理带来一定的不便。,(3)PATPAT(Port Address Translation)是一种动态地址转换技术,也称NAT复用,它可以使多个内部私有IP地址共用一个或几个NIC注册IP地址,通过不同的协议端口号映射不同的内部网络地址,所有不同的TCP和UDP信息流仿佛都来源于一个或几个IP地址。PAT理论上可以支持64500个TCPIP、UDPIP连接,但实际可以支持的工作站数约为4000。PAT技术非常适用于只申请到少量IP地址但却经常有多个用户同时上外部网络的情况。,2 项目案例描述 某单位有三个部门的电脑(各3台)需要网络服务,现有一台路由器、一台局

5、域网交换机,已向电信申请了宽带接入服务,申请到的IP地址为222.17.240.5/24,电信接入IP为202.100.100.88,网络要求的功能如下:(1)所有三个部门的电脑都能访问Internet;(2)部门3的电脑可以访问部门1和部门2的电脑;(3)部门1和部门2的电脑能够互访,但是不能访问部门3的电脑。,3 项目需求分析 (1)Internet接入方式分析为了实现三个部门的电脑都能(使用一个IP地址)访问Internet,要使用局域网交换机将三个部门的电脑组成一个局域网,并在局域网中使用私有IP地址,然后通过路由器转换为唯一的外网地址(222.17.240.5/24)联入Intern

6、et,为此必须使用PAT技术。,(2)内网规划部门1 部门2 部门3 VLAN VLAN 10 VLAN 20 VLAN 30 VLAN名 Department1 Department2 Department3IP 192.168.10.2/24以上 192.168.20.2/24以上 192.168.30.2/24以上 交换机 f0/1-3 f0/4-6 f0/7-9端口 网关 192.168.10.1 192.168.20.1 192.168.30.1,(3)访问控制为了实现部门间的访问控制,必须在交换机配置访问控制列表。访问控制列表 (Access Control List,ACL)通常

7、用来规划网络中的访问层次,以期达到优化网络流量,加强网络安全的作用。ACL可以绑定在物理端口上,也可绑定在Vlan接口上。ACL命令格式(全局配置模式下):access-list 名称 permit/deny 协议类型 源IP地址 源地址掩码 目的IP地址 目的地址掩码 绑定已配置的ACL(接口配置模式):in f0/0.2ip access-group 名称 in,配置ACL的注意事项:每个ACL表的末尾都会隐含”deny”语句, 从而丢弃所有不符合规则的包;源地址和目的地址的掩码中,“0”代表精确匹配,“1”代表忽略该位。如允许来自192.168.1.0/24网段机器的访问,则其掩码是0.

8、0.0.255;而针对具体主机的掩码,则是0.0.0.0;具有严格限制条件的语句应放在访问列表所有语句的最上面;ACL绑定到具体端口上即可生效;ACL所包含的规则在精不在多,配置具体规则时不光需要考虑该规则是否影响数据包传送,还必须考虑数据包能否返回;同一接口可以绑定多个ACL,此时需要给每个ACL设置相应的优先级;,(4)网络结构图,4 网络管理配置 (1)实现三个部门互访配置外网IPR1(config)#in s1/0R1(config-if)#ip add 222.17.240.3 255.255.255.0R1(config-if)#no shutR1(config-if)#exit,

9、启用f0/0端口,启用3个子接口 R1(config)#in f0/0 R1(config-if)#no ip add R1(config-if)#no shut R1(config-if)#exit R1(config)#in f0/0.1 R1(config-subif)#ip add 192.168.10.1 255.255.255.0 R1(config-subif)#encapsulation dot1q 10 R1(config-subif)#no shut R1(config-subif)#exit R1(config)#in f0/0.2 R1(config-subif)#ip

10、 add 192.168.20.1 255.255.255.0 R1(config-subif)#encapsulation dot1q 20 R1(config-subif)#no shut R1(config-subif)#exit R1(config)#in f0/0.3 R1(config-subif)#ip add 192.168.30.1 255.255.255.0 R1(config-subif)#encapsulation dot1q 30 R1(config-subif)#no shut R1(config-subif)#exit,在交换机与路由器连接的f0/12口开启tru

11、nk Switch#conf t Switch(config)#in f0/12 Switch(config-if)#switchport mode trunk Switch(config-if)#exit Switch(config)#exit划分vlan Switch#vlan database Switch(vlan)#vlan 10 name Department1 Switch(vlan)#vlan 20 name Department2 Switch(vlan)#vlan 30 name Department3 Switch(vlan)#exit,将端口加入vlan Switch#

12、conf t Switch(config)#in range f0/13 Switch(config-range)#switchport mode access Switch(config-range)#switchport access vlan 10 Switch(config-range)#exit Switch(config)#in range f0/46 Switch(config-range)#switchport mode access Switch(config-range)#switchport access vlan 20 Switch(config-range)#exit

13、 Switch(config)#in range f0/79 Switch(config-range)#switchport mode access Switch(config-range)#switchport access vlan 30 Switch(config-range)#exit,(2)做ACL,拒绝部门1和部门2访问部门3,允许部门3访问部门1和部门2,允许部门1和部门2互访R1(config)#access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255R1(config)#access-list

14、101 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255R1(config)#access-list 101 permit ip any anyR1(config)#in f0/0.3R1(config-subif)#ip access-group 101 in R1(config-subif)#exitR1(config)#exit,(3)利用PAT技术使内部计算机上网 R1(config)#access-list 1 permit 192.168.10.0 0.0.0.255 R1(config)#access-list 1 per

15、mit 192.168.20.0 0.0.0.255 R1(config)#access-list 1 permit 192.168.30.0 0.0.0.255 R1(config)#ip nat inside source list 1 interface s1/0 overload R1(config)#in f0/0 R1(config-if)#ip nat inside R1(config-if)#exit R1(config)#in s1/0 R1(config-if)#ip nat outside R1(config-if)#exit R1(config)#exit(4)根据网络规划将各部门的计算机的ip和网关设置好以后,便可以验收了。,课 程 小 结本次课在介绍了NAT技术的基本知识的基础上,通过一个实际案讲解了NAT技术的实际工作中的应用,要求同学们在理解课堂讲授的基础上,结合前面所学内容,能够独立完成简单的网络规划和配置工作。,

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 中学教育 > 教学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号