收藏
下载资源 加入VIP免费专享

局域网与Internet 的连接.ppt

上传人:啊飒飒 文档编号:11865302 上传时间:2021-10-05 格式:PPT 页数:46 大小:457KB
返回 下载 相关 举报
局域网与Internet 的连接.ppt_第1页
第1页 / 共46页
局域网与Internet 的连接.ppt_第2页
第2页 / 共46页
局域网与Internet 的连接.ppt_第3页
第3页 / 共46页
局域网与Internet 的连接.ppt_第4页
第4页 / 共46页
局域网与Internet 的连接.ppt_第5页
第5页 / 共46页
点击查看更多>>
资源描述

《局域网与Internet 的连接.ppt》由会员分享,可在线阅读,更多相关《局域网与Internet 的连接.ppt(46页珍藏版)》请在三一文库上搜索。

1、1,课程引导IP地址危机,IPv4地址空间不足 RFC1918为私有、内部使用保留了A、B、C类地址范围各一个。 10.0.0.0 10.255.255.255(10.0.0.0/8) 172.16.0.0 172.31.255.255(172.16.0.0/12) 192.168.0.0 192.168.255.255(192.168.0.0/16) 网络地址转换(NAT) IPv6,项目12 局域网与Internet网互联,Inernet,3,项目任务,学习任务:理解NAT技术的内涵 工作任务1:学会静态NAT的配置 工作任务2:学会动态NAT的配置 工作任务3:学会NAPT的配置,学习任

2、务: NAT技术的理解,5,什么是NAT,NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为。 它使得一个网络中使用私有地址的主机以合法地址出现在Internet上。 纯软件NAT 防火墙NAT 路由器NAT,6,NAT的种类,NAT功能通常被集成到路由器、防火墙或单独的NAT设备中。 1、NAT路由器被置于内部网和外网的边界上,在数据包发送到外部网络之前将数据包的内部私有IP地址转换为Internet上的合法地址。 2、NAT也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络,从而对内部网络起到保护作用。,7,NAT带来的好处,解决IPv

3、4地址空间不足的问题; 私有IP地址网络与公网互联; 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 网络改造中,避免更改地址带来的风险; TCP流量的负载均衡,8,NAT的类型,NAT(Network Address Translation):转换后,一个内部本地IP地址对应一个全局IP地址。 NAT又分为:静态NAT和动态NAT。 NAPT (Network Address Port Translation或NPAT):转换后,多个内部本地地址对应一个全局IP地址。,9,NAT/NAPT的术语,内部网络 Inside 在内部网络,每台主机都分配一个内部IP地

4、址,但与外部网络通信时,这些地址需要被转换为另外一个地址。 外部网络 Outside 指内部网络需要连接的网络,一般指互联网,也可以是另一个机构地网络。,互联网,Outside,Inside,企业内部网,外部网,10,NAT/NAPT的术语,内部本地地址Inside Local Address 指分配给内部网络主机的IP地址,该地址可能是非法的未向相关机构注册的IP地址,也可能是合法的私有网络地址。 内部全局地址Inside Global Address 合法的全局可路由地址,由网络信息中心(NIC)或服务提供商提供的可在互联网上传输的地址,在外部网络代表着一个或多个内部本地地址。 外部本地地

5、址Outside Local Address 外部网络的主机在内部网络中表现的IP地址,该地址不一定是合法的地址,也可能是内部可路由地址。 外部全局地址Outside Global Address 外部网络分配给外部主机的IP地址,该地址是合法的全局可路由地址。,11,内部网络,外部网络,Packet 1 源地址:192.168.1.100 目标地址:192.168.2.50,Packet 1 源地址:202.1.2.3 目标地址:192.168.2.50,Packet 2 源地址:202.1.3.3 目标地址:192.168.1.100,Packet 2 源地址:192.168.2.50 目

6、标地址:202.1.2.3,192.168.1.100/24,192.168.2.50/24,NAT路由器,NAT/NAPT的术语,内部本地地址,内部全局地址,外部本地地址,外部全局地址,12,NAT转换的过程,可以是动态或静态NAT,13,任务2、 静态NAT的配置,14,静态NAT,静态NAT:建立内部本地地址和内部全局地址的一对一的永久映射. 永久的一对一IP地址映射关系 需要向外部网络提供信息服务的主机的IP地址必采用静态NAT.,15,配置静态NAT,1、定义内部源地址静态转换关系 Red-Giant(config)#ip nat inside source static local

7、-address global-address local-address :内部私有地址; global-address :内部全局地址 2、定义内部接口 Red-Giant(config)# interface interface-type -number : Red-Giant(config-if)#ip nat inside 3、定义外部接口 Red-Giant(config)# interface interface-type inumber Red-Giant(config-if)#ip nat outside,16,静态NAT配置实例,案例背景:某公司想让外部用户访问一台内部编址

8、的WEB服务器,管理员可以使用静态NAT,将一个全球合法地址(内部全局地址2.2.2.3)和一个内部本地地址(10.1.1.1)进行映射。,Inernet,NAT路由器,WEB服务器 10.1.1.1,Fa0,S0,17,静态NAT配置实例具体步骤,Inernet,NAT路由器,WEB服务器 10.1.1.1,Fa0 10.1.1.254,S0,1、Router(config)# ip nat inside source static 10.1.1.1 2.2.2.3 2、Router(config)# int fa 0 Router(config-if)# ip nat inside 3、R

9、outer(config)# int s0 Router(config-if)# ip nat outside,18,NAT的验证命令,show ip nat statistics :显示转换的统计信息 show ip nat translations verbose :显示激活的转换 注意:显示NAT激活转换的命令最好在网络测试正常后进行,可以看出效果,19,你是某公司的网络管理员,内部网络有一个服务器(使用的是私有地址)可以为外部用户提供服务,但不想让外部网络用户知道自己的网络内部结构,可以通过在内部网络的边界路由器上使用NAT技术将内部网络与外部Internet隔开,使外部用户根本不知道

10、通过NAT设置的内部服务器的IP地址 建议: 1、最好小组成员充分讨论,制定出工作计划,分工明确,从而预防实际操作过程中的混乱。 2、同一小组成员应明确所使用的设备,避免使用时产生冲突。 3、该项目的完成可以参考教材中的实训十九,但不可盲目照抄。,任务1项目需求,20,注意:广域网口的使用,服务提供商,DTE(数据终端设备) NAT路由器,DCE(数据通讯设备),R2600-1,R2600-2,Red-giant (config) # hostname R2 R2(config) # interface serial 0 R2(config-if) # ip address 202.1.1.2

11、 255.255.255.0 R2(config-if) # clock rate 64000 R2(config-if) # no sh,V.35线缆,S0,S0,Fa0,21,任务1参考设计,22,项目参考配置,Red-giant (config) # hostname R1 R1(config) # interface serial 0 R1(config-if) # ip address 192.1.1.1 255.255.255.0 R1(config-if) # no sh,23,项目参考配置,R1(config) # interface fastEthernet 0 R1(con

12、fig-if) # ip add 192.168.1.1 255.255.255.0 R1(config-if) # no sh,24,项目参考配置,R1(config) #ip route 0.0.0.0 0.0.0.0 serial 0,25,项目参考配置,1、基本配置 Red-giant (config) # hostname R2 R2(config) # interface serial 0 R2(config-if) # ip address 192.1.1.2 255.255.255.0 R1(config-if) # clock rate 64000 R2(config-if)

13、 # no shutdown R2(config-if) # end R2(config) # interface fastEthernet 0 R2(config-if) # ip add 192.168.2.1 255.255.255.0 R2(config-if) # no sh,26,项目参考配置,R2(config) #ip route 0.0.0.0 0.0.0.0 serial 0,27,项目参考配置,R1 (config) # ip nat inside source static 192.168.1.2 192.1.1.1 (定义静态NAT地址映射) R1 (config)

14、# int fastEthernet 0 R1 (config-if) # ip nat inside (定义内部接口) R1 (config) # int serial 0 R1 (config-if) # ip nat outside (定义外部接口),28,任务3、 动态NAT的配置,29,动态NAT的特点,动态NAT:建立内部本地地址和内部全局地址池的临时映射. 临时的一对一IP地址映射关系(实际是两个地址池) 适用于只访问外网服务,不提供信息服务的主机 内部主机数可以大于全局IP地址数 最多访问外网主机数决定于全局IP地址数,30,1、定义一个可以根据需要进行分配的全球地址池。 Ro

15、uter(config)#ip nat pool name start-ip end-ip netmask netmask 2、定义一个标准的Access-list 规则以允许哪些内部地址可以进行动态地址转换。 Router(config)#access-list (199) permit source source-wildcard,动态NAT配置步骤,3、将由access-list 指定的内部本地地址与指定的内部合法地址池进行地址转换 Router(config)#ip nat inside source list access-list- Number pool name,31,4、进入

16、内部接口 Router(config)#interface type number 5、指定与内部网络相连的内部接口 Router(config-if)#ip nat inside 6、进入外部接口 Router(config)#interface type number 7、指定与外部网络相连的外部接口 Router(config-if)#ip nat outside,动态NAT配置步骤,32,实例背景:某公司申请了30个公网IP地址为整个公司提供上网服务,地址范围是2.2.2.1/24到2.2.2.30/24 ,可是公司规模现已经扩大,目前有近有100台PC机,合法地址不够每台分配一个,而

17、且销售部门平时有三分之一的人在外跑业务,在公司内部的也不会一直需要网络服务,根据此情况请你解决公司全局地址不够每台PC机映射到一个地址的情况。,动态NAT应用实例,33,动态NAT应用实例拓扑结构,公司内部:10.10.10.0/24,网关:10.10.10.254/24,10.10.10.254/24,2.2.2.1/24,34,1、定义一个NAT地址池 Router(config)# ip nat pool mypool 2.2.2.2 2.2.2.30 Netmask 255.255.255.0 2、为公司中使用内部私有地址的PC机设置访问控制列表Router(config)#acces

18、s-list 20 permit 10.10.10.0 0.0.0.255 3、将设置的访问控制列表应用于已经定义好的NAT地址池 Router(config)# ip nat inside source list 20 pool mypool,动态NAT配置实例,35,4、进入内部接口 Router(config)#interface f 0 5、指定与内部网络相连的内部接口 Router(config-if)#ip nat inside,动态NAT配置实例,36,6、进入S0接口 Router(config)#interface S 0 7、指定S0为和外部网络相连的外部接口 Router

19、(config-if)#ip nat outside,动态NAT配置实例,37,动态NAT配置实例,注意: 8、启用路由信息 Router (config) #ip route 0.0.0.0 0.0.0.0 serial 0,38,动态NAT配置测试设计方案,F0,S0,注意: 两个路由器都要启用路由信息,S0,39,任务4、 NAPT的配置,40,NAPT概念,1、NAPT(或NPAT):网络地址端口转换 使多个内部地址映射到同一个全球地址,有时也被称为“多对一NAT”。 2、什么时候用NAPT? 缺乏全局IP地址 甚至没有专门申请的全局IP地址,只有一个连接ISP的全局IP地址 内部网要

20、求上网的主机数很多 提高内网的安全性,41,使用NAPT可以让成百上千的私有节点使用一个全球地址访问Internet,NAT设备通过映射TCP和UDP端口号来跟踪和记录不同的会话。可以按需使用端口号,通常是从102465535之间没有被分配的端口号。 例如:50个内部节点可以用同一个全球地址61.144.246.85来浏览某一个网站(比如服务器202.96.134.163的80端口),但是每个节点都使用不同的源端口号。当Web服务器应答61.144.246.85时,NAT设备用应答数据包中的目的端口来决定它们是去往哪个内部用户,并将该内部主机的IP地址放到包头中。,NAPT技术的特点,42,动

21、态NAT配置实例,43,NAPT转换过程,可以是动态或静态NAPT,44,配置动态NAPT,1、定义全局IP地址(对于NAPT,一般就定义一个IP地址) Red-Giant(config)#ip nat pool name IPaddress netmask mask overload 2、定义访问列表,只有匹配该列表的地址才进行NAPT转换 Red-Giant(config)#access-list access-list-number permit source- ip wildcard 3、定义内部源地址动态转换关系 Red-Giant(config)#ip nat inside sou

22、rcelist access-list-number pool name overload 4、定义连接内部网络的接口 Red-Giant(config)# interface interface-type -number Red-Giant(config-if)#ip nat inside 5、定义接口连接外部网络 Red-Giant(config)# interface interface-type i-number Red-Giant(config-if)#ip nat outside,45,你是某公司的网络管理员,向ISP申请了一个公网的合法地址,但要实现全公司的主机实现外网服务,请提出方案并予以解决。 建议: 1、最好小组成员充分讨论,制定出工作计划,分工明确,从而预防实际操作过程中的混乱。 2、同一小组成员应明确所使用的设备,避免使用时产生冲突。 3、该项目的完成可以参考教材中的实训21,但不可盲目照抄。,任务4项目需求,46,任务3参考设计,服务提供商,R1,R2,S0,S0,F0,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 科普知识


经营许可证编号:宁ICP备18001539号-1