《數(shù)據(jù)通信技術(shù)》面向新工科5G移動通信“十三五”規(guī)劃教材數(shù)/據(jù)/通/信/技/術(shù)任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet講師XXX、XXX任務(wù)引入

信息化浪潮風(fēng)起云涌的今天，企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素。企業(yè)網(wǎng)已經(jīng)越來越多的被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在供應(yīng)商，客戶，合作伙伴，員工之間實現(xiàn)優(yōu)化的信息溝通。著直接關(guān)系到企業(yè)能否活的關(guān)鍵的競爭優(yōu)勢，近年來越來越多的企業(yè)都在加快構(gòu)建自身的信息網(wǎng)絡(luò)，而其中絕大多數(shù)都是中小企業(yè)。目前我國企業(yè)尤其是中小企業(yè)網(wǎng)絡(luò)建設(shè)正在如火如荼的進(jìn)行中，本篇以中小企業(yè)內(nèi)部局域網(wǎng)的組件需求，實際管理為出發(fā)點，從中小企業(yè)局域網(wǎng)的管理需求和傳統(tǒng)局域網(wǎng)技術(shù)入手，研究了局域網(wǎng)技術(shù)在企業(yè)管理中的應(yīng)用。任務(wù)分解1.配置分析2配置流程3主要配置4結(jié)果驗證任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet

二、DHCP配置 一、NAT配置1.配置分析2.配置流程3.關(guān)鍵配置4.結(jié)果驗證5DHCP配置任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet01任務(wù)描述:通過NAT的配置和DHCP配置實訓(xùn)，熟悉企業(yè)網(wǎng)絡(luò)接入的流程和命令操作。02學(xué)習(xí)目標(biāo)：1．領(lǐng)會：使用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)達(dá)到外網(wǎng)訪問內(nèi)網(wǎng)服務(wù)器和內(nèi)網(wǎng)訪問Internet。2．應(yīng)用：使用動態(tài)主機(jī)配置協(xié)議實現(xiàn)地址分配服務(wù)。任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet任務(wù)實施

如圖6-5-1所示，該組網(wǎng)中，用戶都是私網(wǎng)地址，必須通過NAT轉(zhuǎn)換成公網(wǎng)地址才能訪問公網(wǎng)。圖6-4-1標(biāo)準(zhǔn)ACL配置圖6-5-1NAT單出口組網(wǎng)任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet任務(wù)實施1NAT配置1.1配置分析此任務(wù)中，私網(wǎng)用戶使用的內(nèi)部網(wǎng)絡(luò)的地址是10.20.0.0/24網(wǎng)段和10.10.0.0/24網(wǎng)段，這些網(wǎng)段的地址屬于私有地址，可以在一個企業(yè)（局域網(wǎng)）內(nèi)部使用，但是不能訪問外網(wǎng)。需要通過NAT將這些私有地址轉(zhuǎn)為公有地址，才能實現(xiàn)用戶對公網(wǎng)的訪問。已經(jīng)指定地址池為：200.0.0.1-200.0.0.5，公網(wǎng)地址的數(shù)量就只有5個，而當(dāng)前私網(wǎng)用戶的數(shù)量最多可能達(dá)到508個，不能實現(xiàn)一對一的地址轉(zhuǎn)換，因此，需要進(jìn)行動態(tài)一對多的NAT配置。

任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet任務(wù)實施1NAT配置1.2配置流程

圖6-5-2NAT配置流程N(yùn)AT的配置主要有以下幾個步驟：a啟用NAT功能；b定義ACL匹配列表c定義NAT公網(wǎng)地址池；d進(jìn)行NAT轉(zhuǎn)換；e指定NAT轉(zhuǎn)換的內(nèi)部端口及外部端口。f此外還可根據(jù)需要擴(kuò)展設(shè)置NAT老化時間、用戶最大會話數(shù)。任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet1NAT配置1.3關(guān)鍵配置RT1路由器的配置：圖6-5-2NAT配置流程ipnatstart//在全局配置模式下配置啟動NAT功能；aclstandardnumber1//配置標(biāo)準(zhǔn)ACL，列表號為1，匹配從源地址網(wǎng)段10.0.0.0/24、10.1.0.0/24發(fā)出的數(shù)據(jù)包；permit10.10.0.00.0.0.255permit10.20.0.00.0.0.255ipnatpoolZTE200.0.0.1200.0.0.5prefix-length24//配置名為ZTE的地址池，將合法外部地址段200.0.0.1至200.0.0.5加入地址池；ipnatinsidesourcelist1poolZTEoverload//配置NAT轉(zhuǎn)換語句，將內(nèi)網(wǎng)的符合ACL1的數(shù)據(jù)包的源地址轉(zhuǎn)換為地址池ZTE中的地址；ipnattranslationmaximaldefault300//設(shè)置用戶最大會話數(shù)，或者叫內(nèi)部地址允許轉(zhuǎn)換的最大條目數(shù)為300；interfacefei_2/1//進(jìn)入接口配置模式；ipaddress202.102.0.1255.255.255.252//配置接口IP地址；ipnatoutside//指定此接口為NAT的外部接口；iproute0.0.0.00.0.0.0202.102.0.2//設(shè)置通往202.102.0.2的靜態(tài)路由；任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet1NAT配置1.4結(jié)果驗證（1）NAT維護(hù)命令①SHOWIPNATSTATISTICS（顯示NAT轉(zhuǎn)換的統(tǒng)計數(shù)據(jù)）（2）SHOWIPNATTRANSLATIONS

命令格式命令模式命令功能SHOWIPNATSTATISTICS除用戶模式外所有模式顯示NAT轉(zhuǎn)換的統(tǒng)計數(shù)據(jù)命令格式命令模式命令功能SHOWIPNATTRANSLATIONS{*|{GLOBAL<GLOBAL-IP>|LOCAL<LOCAL-IP>}}除用戶模式外所有模式顯示NAT活動的轉(zhuǎn)換條目信息任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet（3）SHOWIPNATCOU（4）CLEARIPNATTRANSLATIONS命令格式命令模式命令功能showipnatcount{by-max<count>|by-used<count>|global<global-ip>|local<local-ip>}除用戶模式外所有模式降序顯示NAT轉(zhuǎn)換的基于地址的統(tǒng)計數(shù)據(jù)命令格式命令模式命令功能clearipnattranslation{*|[<global-ip><global-port><local-ip><local-port>]|list<list-number>[<interface-name>]|{global<global-ip>|local<local-ip>}}特權(quán)清除NAT轉(zhuǎn)換條目任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet1.4.2日常維護(hù)診斷系統(tǒng)當(dāng)前最大可用的動態(tài)轉(zhuǎn)換條目數(shù)可以通過IPPOOL中的GLOBALIP數(shù)量大致計算，一般一個IP地址對應(yīng)大約6萬個轉(zhuǎn)換條目，為了確保網(wǎng)上銀行、支付寶等識別源IP的業(yè)務(wù)穩(wěn)定運(yùn)行，建議地址池中的地址個數(shù)設(shè)置14~30個之間是合理的，確保用戶轉(zhuǎn)換會話數(shù)非常大的時候，每個公網(wǎng)地址有足夠的資源可以應(yīng)付。開局時一般要求對于每個用戶限制轉(zhuǎn)換條目數(shù)，這個設(shè)置是為了保護(hù)設(shè)備，在用戶流量異常時，可以起到保護(hù)設(shè)備CPU的功能。對于一般上網(wǎng)用戶，100~200個轉(zhuǎn)換條目是足夠的，對于一些大客戶用戶或者校園網(wǎng)用戶可以適當(dāng)放寬，建議在300~600之間根據(jù)實際情況調(diào)節(jié)。如果用戶數(shù)量較少（<2000），那么可以設(shè)置的大一些，500~600，如果用戶數(shù)超過2000，建議設(shè)置為200~400。使用SHOWIPNATSTATISTICS命令查看當(dāng)前動態(tài)的NAT轉(zhuǎn)換條目，如果接近或者等于最大的可用條目數(shù)，NAT資源不足，那么用戶上網(wǎng)可能會受到影響。任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet1.4.3日常維護(hù)診斷（3）NAT資源不足有幾種情況①網(wǎng)絡(luò)規(guī)模擴(kuò)張，用戶量增大導(dǎo)致的NAT資源不足這種情況通?？梢詮膕howipnatstatistics中看出本地用戶數(shù)量已經(jīng)大于以前的數(shù)量，而地址池的數(shù)量還是以前的數(shù)量。建議措施：a.擴(kuò)充地址池；b.結(jié)合網(wǎng)絡(luò)情況降低調(diào)整一些應(yīng)用的老化時間；c.設(shè)備擴(kuò)容。②本地用戶數(shù)正常，用戶流量異常導(dǎo)致NAT資源不足通常發(fā)現(xiàn)用戶量有限，而NAT條目暴漲，可能是用戶流量異常導(dǎo)致三層流保障造成。使用SHOWIPNATCOUNTBY-USED/BY-MAX查看用戶的當(dāng)前、歷史NAT條目是否異常。如果某個用戶的條目明顯大于其它，肯定是該用戶流量有問題（可能是用戶中毒、使用BT下載等工具、用戶私設(shè)置代理導(dǎo)致實際用戶量明顯大于現(xiàn)有用戶量等原因）。建議措施：a.用戶殺毒，同時用戶端口設(shè)置ACL禁掉一些病毒端口，包括ICMP包等；b.使用ipnattranslationmaximal命令對每個用戶的最大會話數(shù)進(jìn)行限制，這樣設(shè)置后對使用量最高的這些用戶會有影響，但是保證了其它大部分用戶的正常業(yè)務(wù)。具體數(shù)值可根據(jù)用戶種類和網(wǎng)絡(luò)資源實際情況限制，可以參考平時使用showipnatcount命令查看的內(nèi)容；c.調(diào)整老化時間；d.整改非法代理；e.擴(kuò)充地址池。任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet圖6-5-3DHCP配置要求1.5DHCP配置如圖6-5-3所示，按下列要求完成配置。a路由器RT1上為DHCPServer，需完成DHCPServer的配置。b在SW1需創(chuàng)建VLAN10和VLAN20，部門A和部門B分別屬于VLAN10和VLAN20，且它們的缺省網(wǎng)關(guān)分別為192.168.10.254/24和192.168.20.254/24。cSW1作為DHCP的中繼，需完成DHCPRelay的配置。dRT1的回環(huán)接口地址1.1.1.1為DHCPServer的地址，其掩碼為255.255.255.0。e部門A的用戶能自動獲取到192.169.10.X/24網(wǎng)段的地址，部門B的用戶能自動獲取到192.168.20.X/24網(wǎng)段的地址。任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet2DHCP配置2.1配置分析a在RT1上要配置兩個地址池。b在SW1上需要配置DHCP服務(wù)器地址為RT1的回環(huán)接口地址1.1.1.1。c在RT1上添加到用戶網(wǎng)段的路由；在SW1上添加目的地址為1.1.1.1的路由。2.2配置流程圖6-5-3DHCP服務(wù)器配置流程DHCP服務(wù)器的配置主要有以下幾個步驟：①啟動DHCP服務(wù)器功能。②配置地址池。③配置DHCP相關(guān)參數(shù)，如DNS地址等。④配置用戶側(cè)接口IP地址。⑤在用戶側(cè)接口上配置用戶缺省網(wǎng)關(guān)。⑥在用戶側(cè)接口上配置地址池。⑦添加Server到網(wǎng)關(guān)的路由。任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet2DHCP配置2.2配置流程圖6-5-4DDHCP中繼的配置流程DHCP中繼的配置主要有以下幾個步驟：①啟動DHCP中繼功能。②配置用戶側(cè)接口IP地址。③在用戶側(cè)接口配置DHCP服務(wù)器代理地址。④在用戶側(cè)接口配置DHCP服務(wù)器地址。⑤添加到DHCPServer的路由。任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet2DHCP配置2.3主要配置路由器RT1的配置：IpDHCPserverenable//全局模式下啟動DHCP服務(wù)器功能IplocalpoolZTE1192.168.10.1192.168.10.253255.255.255.0//全局模式下配置IP地址池ZTE1IplocalpoolZTE2192.168.20.1192.168.20.253255.255.255.0//全局模式下配置IP地址池ZTE2ipdhcpserverdns8.8.8.8//全局模式下配置DNSinterfacefei_1/1//進(jìn)入用戶側(cè)接口user-interface//接口模式下配置用戶側(cè)接口標(biāo)志Ipaddress192.168.0.253255.255.255.0//配置用戶側(cè)接口IP地址peerdefaultippoolZTE1//接口模式下配置用戶側(cè)接口上地址池ZTE1peerdefaultippoolZTE2//接口模式下配置用戶側(cè)接口上地址池ZTE2Iproute192.168.10.0255.255.255.0192.168.0.254//全局模式下添加到目的網(wǎng)段192.168.10.X/24網(wǎng)段的路由Iproute192.168.20.0255.255.255.0192.168.0.254//全局模式下添加到目的網(wǎng)段192.168.20.X/24網(wǎng)段的路由任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet2DHCP配置2.3主要配置交換機(jī)SW1的配置（作為DHCP中繼）：ipdhcprelayenable//全局模式下啟動DHCP中繼功能interfacevlan2//配置用戶側(cè)接口IP地址ipaddress192.168.0.254255.255.255.0//配置服務(wù)器側(cè)接口IP地址interfacevlan10//進(jìn)入用戶側(cè)接口ipaddress192.168.10.254255.255.255.0//配置用戶側(cè)接口IP地址ipdhcprelayagent192.168.10.254//配置接口的DHCP服務(wù)器代理地址ipdhcprelayserver1.1.1.1//配置接口的DHCP服務(wù)器地址interfacevlan20//進(jìn)入用戶側(cè)接口ipaddress192.168.20.254255.255.255.0//配置用戶側(cè)接口IP地址//配置接口的DHCP服務(wù)器代理地址，即為部門B用戶的網(wǎng)關(guān)ipdhcprelayagent192.168.20.254ipdhcprelayserver1.1.1.1//配置接口的DHCP服務(wù)器地址iproute1.1.1.0255.255.255.0192.168.0.253任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet2DHCP配置2.4結(jié)果驗證（1）顯示DHCPServer進(jìn)程模塊的配置信息通過該命令，可以看到當(dāng)前具體的用戶，MAC地址與分配的IP對應(yīng)關(guān)系。。zxr10#showipdhcpserveruserCurrentonlineusersare1.IndexMACaddrIPaddrStateInterfaceExpiration10011.25D3.399510.10.3.3BOUNDvlan1022:22:4103/28/2006命令格式命令模式命令功能showipdhcpserver所有模式顯示DHCPServer進(jìn)程模塊的配置信息任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet2DHCP配置2.4結(jié)果驗證（2）查看DHCPServer進(jìn)程模塊的當(dāng)前在線用戶列表通過該命令，可以看到DHCPServer的基本配置，如給用戶提供的dns，ip地址租用時間等。zxr10#showipdhcpserverdhcpserverconfigureinformationcurrentdhcpserverstate:enable(running)availablednsforClient.master:1.1.1.1slave:leasetimeofipaddress:3600secondsupdatearpstate:disable命令格式命令模式命令功能showipdhcpserveruser所有模式查看DHCPServer進(jìn)程模塊的當(dāng)前在線用戶列表任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet2DHCP配置2.4結(jié)果驗證（3）顯示DHCPRelay進(jìn)程模塊的配置信息（4）顯示配置的本地地址池信息命令格式命令模式命令功能showipdhcprelay所有模式顯示DHCPRelay進(jìn)程模塊的配置信息命令格式命令模式命令功能showiplocalpool[<pool-name>]所有模式顯示配置的本地地址池信息任務(wù)五企業(yè)網(wǎng)絡(luò)接入Internet2DHCP配置2.4結(jié)果驗證（5）顯示接口相關(guān)的DHCPServer/Relay的配置信息顯示信息：命令格式命令模式命令功能showipinterface<interface-name>所有模式顯示接口相關(guān)的DHCPServer/Rel