1、 模塊四模塊四 網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)服務(wù)任務(wù)任務(wù)2 2 企業(yè)網(wǎng)接入互聯(lián)網(wǎng)企業(yè)網(wǎng)接入互聯(lián)網(wǎng)任務(wù)引入任務(wù)引入1任務(wù)分析任務(wù)分析2任務(wù)實(shí)施任務(wù)實(shí)施3小結(jié)與練習(xí)小結(jié)與練習(xí)4任務(wù)引入任務(wù)引入 公司網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)目前都能相互通信，現(xiàn)需要將所有計(jì)公司網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)目前都能相互通信，現(xiàn)需要將所有計(jì)算機(jī)接入互聯(lián)網(wǎng)。但隨著近幾年，計(jì)算機(jī)產(chǎn)業(yè)的高速發(fā)展，互聯(lián)算機(jī)接入互聯(lián)網(wǎng)。但隨著近幾年，計(jì)算機(jī)產(chǎn)業(yè)的高速發(fā)展，互聯(lián)網(wǎng)中可被分配的網(wǎng)中可被分配的IPIP地址也開始日益短缺，申請(qǐng)一個(gè)專線接入互聯(lián)地址也開始日益短缺，申請(qǐng)一個(gè)專線接入互聯(lián)網(wǎng)也只能得到一個(gè)或幾個(gè)公網(wǎng)網(wǎng)也只能得到一個(gè)或幾個(gè)公網(wǎng)IPIP地址。按照傳統(tǒng)的接入互聯(lián)網(wǎng)技地址。

2、按照傳統(tǒng)的接入互聯(lián)網(wǎng)技術(shù)來看，術(shù)來看，5 5個(gè)個(gè)IPIP地址只能同時(shí)有地址只能同時(shí)有1 1到到5 5個(gè)用戶訪問互聯(lián)網(wǎng)。如果有個(gè)用戶訪問互聯(lián)網(wǎng)。如果有更多的計(jì)算機(jī)需要接入互聯(lián)網(wǎng)，網(wǎng)絡(luò)管理員應(yīng)該如何解決？而且更多的計(jì)算機(jī)需要接入互聯(lián)網(wǎng)，網(wǎng)絡(luò)管理員應(yīng)該如何解決？而且為了確保財(cái)務(wù)處的網(wǎng)絡(luò)安全，還必須設(shè)置網(wǎng)絡(luò)不允許財(cái)務(wù)處所在為了確保財(cái)務(wù)處的網(wǎng)絡(luò)安全，還必須設(shè)置網(wǎng)絡(luò)不允許財(cái)務(wù)處所在的網(wǎng)段（的網(wǎng)段（172.16.12.0172.16.12.0）接入互聯(lián)網(wǎng)。）接入互聯(lián)網(wǎng)。 任務(wù)分析任務(wù)分析 互聯(lián)網(wǎng)服務(wù)提供商（如中國電信、中國聯(lián)通、中國移動(dòng)）互聯(lián)網(wǎng)服務(wù)提供商（如中國電信、中國聯(lián)通、中國移動(dòng)）分配分配5 5個(gè)公網(wǎng)

3、個(gè)公網(wǎng)IPIP地址給該公司，地址給該公司，IPIP地址分別是：地址分別是：58.241.218.178/2958.241.218.178/29、58.241.218.179/2958.241.218.179/29、58.241.218.180/2958.241.218.180/29、58.241.218.181/2958.241.218.181/29、58.241.218.182/2958.241.218.182/29；網(wǎng)關(guān)地址：；網(wǎng)關(guān)地址：58.241.218.17758.241.218.177；首選；首選DNSDNS：221.6.4.66221.6.4.66；備選；備選DNSDNS：221

4、.6.4.67221.6.4.67。網(wǎng)絡(luò)管理員可以通過。網(wǎng)絡(luò)管理員可以通過NATNAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)，通過這五個(gè)公網(wǎng)（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)，通過這五個(gè)公網(wǎng)IPIP地址提供整個(gè)企業(yè)地址提供整個(gè)企業(yè)網(wǎng)的互聯(lián)網(wǎng)接入服務(wù)。通過配置訪問控制列表可以阻止財(cái)務(wù)處網(wǎng)的互聯(lián)網(wǎng)接入服務(wù)。通過配置訪問控制列表可以阻止財(cái)務(wù)處網(wǎng)段接入互聯(lián)網(wǎng)。網(wǎng)段接入互聯(lián)網(wǎng)。相關(guān)知識(shí)相關(guān)知識(shí)NAT(Network Address Translation)網(wǎng)絡(luò)地址轉(zhuǎn)換是將一個(gè)IP地址映射到另一個(gè)IP地址的技術(shù)。它允許企業(yè)網(wǎng)中使用的私有地址映射為公網(wǎng)IP地址聯(lián)入互聯(lián)網(wǎng)，如下圖所示。 當(dāng)當(dāng)NATNAT路由器接收到企業(yè)網(wǎng)傳入的分組時(shí)，它會(huì)創(chuàng)

5、建地址轉(zhuǎn)換表的記錄，路由器接收到企業(yè)網(wǎng)傳入的分組時(shí)，它會(huì)創(chuàng)建地址轉(zhuǎn)換表的記錄，記錄下分組的源地址和即將轉(zhuǎn)換公網(wǎng)記錄下分組的源地址和即將轉(zhuǎn)換公網(wǎng)IPIP地址的對(duì)應(yīng)關(guān)系，并將轉(zhuǎn)換后的分地址的對(duì)應(yīng)關(guān)系，并將轉(zhuǎn)換后的分組轉(zhuǎn)入互聯(lián)網(wǎng)（見下圖所示）；當(dāng)組轉(zhuǎn)入互聯(lián)網(wǎng)（見下圖所示）；當(dāng)NATNAT路由器接收到互聯(lián)網(wǎng)的回應(yīng)分組時(shí)，路由器接收到互聯(lián)網(wǎng)的回應(yīng)分組時(shí)，NATNAT路由器會(huì)根據(jù)回應(yīng)分組中的目的地址查找地址轉(zhuǎn)換表中的記錄，根據(jù)地路由器會(huì)根據(jù)回應(yīng)分組中的目的地址查找地址轉(zhuǎn)換表中的記錄，根據(jù)地址轉(zhuǎn)換表中的記錄，址轉(zhuǎn)換表中的記錄，NATNAT路由器會(huì)將此分組中的目的地址轉(zhuǎn)換為記錄對(duì)應(yīng)的路由器會(huì)將此分組中的目的地

6、址轉(zhuǎn)換為記錄對(duì)應(yīng)的源地址，并將轉(zhuǎn)換源地址，并將轉(zhuǎn)換 分組轉(zhuǎn)入企業(yè)網(wǎng)同時(shí)刪除地址轉(zhuǎn)換表中的此記錄。分組轉(zhuǎn)入企業(yè)網(wǎng)同時(shí)刪除地址轉(zhuǎn)換表中的此記錄。二、二、PAT PAT 技術(shù)技術(shù) PATPAT（端口地址轉(zhuǎn)換）也稱為過載（端口地址轉(zhuǎn)換）也稱為過載NATNAT，用于多個(gè)內(nèi)部私有地址映，用于多個(gè)內(nèi)部私有地址映射到同一個(gè)公網(wǎng)射到同一個(gè)公網(wǎng)IPIP地址上，利用不同的端口號(hào)區(qū)分不同的內(nèi)部私有地址上，利用不同的端口號(hào)區(qū)分不同的內(nèi)部私有地址的請(qǐng)求，如下圖所示，當(dāng)沒有可利用的端口號(hào)時(shí)，地址的請(qǐng)求，如下圖所示，當(dāng)沒有可利用的端口號(hào)時(shí)，PATPAT將會(huì)丟棄將會(huì)丟棄請(qǐng)求包。請(qǐng)求包。任務(wù)實(shí)施任務(wù)實(shí)施根據(jù)公司的要求設(shè)計(jì)企業(yè)網(wǎng)接

7、入互聯(lián)網(wǎng)方案，如下圖所示，路由器根據(jù)公司的要求設(shè)計(jì)企業(yè)網(wǎng)接入互聯(lián)網(wǎng)方案，如下圖所示，路由器R1R1運(yùn)行運(yùn)行NATNAT。一、確定一、確定NATNAT路由器連接內(nèi)網(wǎng)端口和外網(wǎng)端口路由器連接內(nèi)網(wǎng)端口和外網(wǎng)端口步驟步驟1：配置連接外網(wǎng)端口（：配置連接外網(wǎng)端口（FA0/0） R1enableR1#configure terminal！進(jìn)入配置模式R1(config)#interface fa0/0！進(jìn)入Fa0/0接口，F(xiàn)a0/0連接著互聯(lián)網(wǎng)R1(config-if)#ip nat outside！配置f0/0接口為外部端口R1(config-if)#ip address 58.241.218.178

8、255.255.255.248！配置公網(wǎng)IP地址R1(config-if)#no shutdownR1(config-if)#exit步驟步驟2 2：確定：確定fa0/1fa0/1接口為連接內(nèi)網(wǎng)端口接口為連接內(nèi)網(wǎng)端口R1(config)#interface fa0/1！進(jìn)入Fa0/1接口，F(xiàn)a0/1連接著企業(yè)網(wǎng)R1(config-if)#ip nat inside！配置fa0/1接口為內(nèi)部端口R1(config-if)#ip address 172.16.0.10 255.255.255.252！配置公網(wǎng)IP地址R1(config-if)#no shutdownR1(config-if)#ex

9、it二、除財(cái)務(wù)處以外將其他所有計(jì)算機(jī)接入互聯(lián)網(wǎng)二、除財(cái)務(wù)處以外將其他所有計(jì)算機(jī)接入互聯(lián)網(wǎng)步驟步驟1 1：配置訪問控制列表，實(shí)現(xiàn)只禁止財(cái)務(wù)處聯(lián)入互聯(lián)網(wǎng)。：配置訪問控制列表，實(shí)現(xiàn)只禁止財(cái)務(wù)處聯(lián)入互聯(lián)網(wǎng)。R1(config)#access-list 1 deny 172.16.12.0 0.0.0.255！建立標(biāo)準(zhǔn)ACL，阻止來自172.16.12.0的網(wǎng)絡(luò)數(shù)據(jù)包R1(config)#access-list 1 permit any！允許所有的網(wǎng)絡(luò)通信即使企業(yè)網(wǎng)不需要禁止某一部門接入互聯(lián)網(wǎng)，即使企業(yè)網(wǎng)不需要禁止某一部門接入互聯(lián)網(wǎng)，NATNAT服務(wù)器也需要有服務(wù)器也需要有ACLACL，允許所有的網(wǎng)絡(luò)通

10、信（如：允許所有的網(wǎng)絡(luò)通信（如：R1(config)#access-list 1 permit anyR1(config)#access-list 1 permit any）。）。步驟步驟2 2：啟用：啟用PATPAT功能，并引用功能，并引用access-list 1access-list 1訪問控制列表訪問控制列表R1(config)#ip nat inside source list 1 interface fa0/0 overload! 啟用過載NAT功能。此命令將內(nèi)部源地址轉(zhuǎn)換為外部接口上配置的IP地址（58.241.218.178/29），并且引用access-list 1訪問控制列

11、表。能力鏈接分析過載NAT命令：ip nat：表示啟用NAT功能；inside：表示轉(zhuǎn)換內(nèi)部IP地址；source：表示轉(zhuǎn)換源IP地址；list 1：表示引用訪問控制列表，訪問控制列表號(hào)為1；interface fa0/0：表示轉(zhuǎn)換后的數(shù)據(jù)包，由該接口轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)；overload：表示啟用過載NAT（又稱為：PAT）。三、向所有運(yùn)行三、向所有運(yùn)行OSPFOSPF動(dòng)態(tài)路由協(xié)議的三層設(shè)備發(fā)布默認(rèn)路由，動(dòng)態(tài)路由協(xié)議的三層設(shè)備發(fā)布默認(rèn)路由，使企業(yè)網(wǎng)內(nèi)所有接入互聯(lián)網(wǎng)分組轉(zhuǎn)發(fā)給使企業(yè)網(wǎng)內(nèi)所有接入互聯(lián)網(wǎng)分組轉(zhuǎn)發(fā)給NATNAT路由器路由器步驟1：在NAT路由器（R1）中配置默認(rèn)路由。步驟2：在R1路由器中向

12、OSPF網(wǎng)絡(luò)注入默認(rèn)路由。R1enableR1#conf tR1(config)#ip route 0.0.0.0 0.0.0.0 fa0/0!將NAT路由器中未知路由的數(shù)據(jù)包轉(zhuǎn)發(fā)到NAT的外部端口（fa0/0），通過NAT轉(zhuǎn)換后轉(zhuǎn)發(fā)給互聯(lián)網(wǎng)R1(config)#router ospf 1R1(config-router)#default-information originate!通過“default-information originate”命令向OSPF區(qū)域注入默認(rèn)路由，將企業(yè)網(wǎng)內(nèi)未知路由的數(shù)據(jù)包轉(zhuǎn)發(fā)給NAT路由器，通過NAT轉(zhuǎn)換后轉(zhuǎn)發(fā)給互聯(lián)網(wǎng)R1(config-router)#exi

13、t任務(wù)小結(jié)任務(wù)小結(jié) NAT服務(wù)器的建立需要指定服務(wù)器的建立需要指定inside端口、端口、outside端端口、口、ACL，最后啟用，最后啟用NAT服務(wù)。企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)訪問互聯(lián)服務(wù)。企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)訪問互聯(lián)網(wǎng)時(shí)，將信息發(fā)送給自己的網(wǎng)關(guān)（路由器或三層交換機(jī)），網(wǎng)時(shí)，將信息發(fā)送給自己的網(wǎng)關(guān)（路由器或三層交換機(jī)），網(wǎng)關(guān)收到信息后查詢路由表，查詢是否有相應(yīng)的路由條目，網(wǎng)關(guān)收到信息后查詢路由表，查詢是否有相應(yīng)的路由條目，在沒有配置默認(rèn)路由前，路由器只能轉(zhuǎn)發(fā)在路由表中已存在沒有配置默認(rèn)路由前，路由器只能轉(zhuǎn)發(fā)在路由表中已存在的路由條目，而準(zhǔn)備發(fā)送給互聯(lián)網(wǎng)的數(shù)據(jù)包，它們的目在的路由條目，而準(zhǔn)備發(fā)送給互聯(lián)網(wǎng)的數(shù)據(jù)

14、包，它們的目的的IP地址的網(wǎng)絡(luò)號(hào)在路由表中都是未知的。因此每臺(tái)路由地址的網(wǎng)絡(luò)號(hào)在路由表中都是未知的。因此每臺(tái)路由器都需要配置一條默認(rèn)路由，幫助未知的網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)器都需要配置一條默認(rèn)路由，幫助未知的網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)給給NAT路由器。路由器。課堂練習(xí)課堂練習(xí)選擇題選擇題1. 1. 一臺(tái)思科路由器配置了下列命令：一臺(tái)思科路由器配置了下列命令：Ip nat pool nat-text 192.168.6.10 192.168.6.20 netmask 255.255.255.0Ip nat pool nat-text 192.168.6.10 192.168.6.20 netmask 255.255.

15、255.0這個(gè)例子是這個(gè)例子是NATNAT的（的（ ）類型。）類型。A. A. 靜態(tài)靜態(tài)NAT B. NAT B. 動(dòng)態(tài)動(dòng)態(tài)NATNATC. C. 過載動(dòng)態(tài)過載動(dòng)態(tài)NAT D. NAT D. 端口地址轉(zhuǎn)換端口地址轉(zhuǎn)換2. 2. 在在NATNAT中多個(gè)中多個(gè)IPIP地址使用不同的端口號(hào)映射到一個(gè)全局注冊(cè)地址使用不同的端口號(hào)映射到一個(gè)全局注冊(cè)IPIP地址，稱為（地址，稱為（ ）。）。A. A. 靜態(tài)靜態(tài)NAT B. NAT B. 動(dòng)態(tài)動(dòng)態(tài)NATNATC. C. 過載動(dòng)態(tài)過載動(dòng)態(tài)NAT D. NAT D. 端口地址轉(zhuǎn)換端口地址轉(zhuǎn)換3. 3. 在路由器中查看在路由器中查看NATNAT表，使用（表，使用（）命令。）命令。A Ashow ip nat translations Bshow ip nat translations Bshow ip natshow ip natC Cshow nat Dshow nat Dshow ip nat statistic