5部署企业网的互联网出口

05.部署企业网的出口2016-03ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE高校计算机网络专业项目实训•认识网络地址转换（NAT）技术•在边界路由器上实施多种NAT•常用的广域网技术•实验1.认识NATZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE网络地址转换（NAT）•私有地址和公有地址ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE网络地址转换（NAT）•公有地址和私有地址–NAT技术允许私有地址用户通过共享一个或多个公有地址访问互联网ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE网络地址转换（NAT）•企业网的互联网出口–使用ACL+NATZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE网络地址转换（NAT）•NAT的2/3/4原则–2个区域，3个地址转换方向，4种地址类型ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE网络地址转换（NAT）•一对一转换：–每一个InsideLocal地址对应转换为一个InsideGlobal地址（静态或动态）ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE网络地址转换（NAT）•一对多转换（端口复用/PAT）–多个InsideLocal转换为一个InsideGlobal地址–使用传输层端口号区分不同的连接2.在边界路由器上实施多种NATZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE静态NAT的转换过程ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE配置静态NATZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE验证静态NATZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE动态NAT的转换过程ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE配置动态NATZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE验证动态NATZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWAREPAT的转换过程ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE配置PATZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE验证PAT3.常用的广域网技术ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE广域网（WAN）接入技术•常用的WAN接入技术–专线–分组交换–电话交换–宽带–城域以太网–VPNZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE广域网（WAN）接入技术•常用的WAN接入技术–专线–分组交换–电话交换–VPNZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE串行通讯链路•串行通讯链路使用专线提供专用的连接ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWAREHDLC：高级数据链路控制协议•适用于WAN接口的二层封装协议，定义了在同步串行链路上封装数据的方式ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE配置HDLC封装Router(config)#interfaces1/0Router(config-if)#encapsulationhdlc•HDLC是CISCO的Serial接口默认封装协议Router#showinterfaces1/0ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWAREPoint-to-PointProtocol（PPP）•PPP–PPP使用最广泛–支持多种协议栈–控制链路的建立–提供错误检测–提供身份验证（安全）–支持数据传递压缩ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWAREPPP的层次化结构•PPP，细分为两个子层–NCP：与网络层沟通–LCP：与物理层沟通•PPP链路协商步骤–协商LCP参数–认证（可选）–协商NCP参数ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWAREPAP认证•PAP（PPPAuthenticationProtocol，PPP认证协议）–认证方创建username、password–被认证方提交username、passworkdZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE配置PAP认证•认证方•被认证方Router(config)#usernameuser1passwordcisco123Router(config)#interfaces1/0Router(config-if)#encapsulationpppRouter(config-if)#pppauthenticationpapRouter(config)#interfaces1/0Router(config-if)#encapsulationpppRouter(config-if)#ppppapsend-usernameuser1passwordcisco123ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARECHAP认证•CHAP（ChallengeHandshakeAuthenticationProtocol，询问握手认证协议）ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE配置CHAP认证•认证方•被认证方AA(config)#usernameBBpassword123AA(config)#interfaces1/0AA(config)#encapsulationpppAA(config)#pppauthenticationchapBB(config)#usernameAApassword123BB(config)#interfaces1/0BB(config)#encapsulationppp4.实验ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE实验（一）：配置路由器的串行广域网接口•配置R1和R2的串行广域网接口，要求如下：–正确连接两台路由器的串行广域网接口，注意区分DCE和DTE–采用默认的HDLC封装，正确配置接口参数使R1、R2能相互ping通–改用PPP封装，要求使用CHAP认证，正确配置接口参数和认证参数，使R1、R2能相互ping通ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE配置NAT端口映射•把Server0的HTTP服务映射到外网172.16.1.100，8080端口。并使用PC0尝试访问。ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE实验（二）：配置静态一对一NAT•搭建下图所示的实验环境并实现下列需求：–按照图示要求规划各个IP网段并正确配置路由器的接口–Internet路由器只允许添加直连路由–企业官网位于内部服务器主机192.168.10.100，配置静态一对一NAT，使互联网上的PC2能够通过互联网地址12.1.1.100正常访问公司主页ZHONGXINGTEACHINGCOURSEWARETEACHINGCOURSEWARE实验（三）：配置PAT•搭建下图所示的实验环境并实现下列需求：–按照图示要求规划各个IP网段并正确配置路由器的接口–Internet路由器只允许添加直连路由–企业内部办公网络分为两个VLAN，配置动态PAT，使内部2个VLAN的所有主机都能够正常接入互联网并访问服务器GUANGZHOUZHONGXINGINFORMATIONTECHNOLOGYSERVICECO.,LTD广州中星信息技术服务股份有限公司