骨干师资培训9-局域网接入Internet网

局域网接入Internet局域网与Internet的互联常见实现方式代理服务器proxy、ISA、ICS、wingate、sysgate等NAT/NAPT(网络地址转换/网络地址端口转换)路由器、防火墙、核心交换机、服务器代理服务器共享上网代理服务器o具有缓存功能,可以加快访问速度。o对每一种应用独立代理，对用户有很强控制能力。o对新出现的网络应用无法支持。o客户端的每种网络应用软件需要配置。o具有防火墙功能。Internet代理服务器Intranet使用NAT与代理服务器共享上网网络地址转换（NAT）o减少IP地址浪费。o透明代理,客户端具有连接互联网能力的机器一样o对客户机网络应用程序控制能力比Proxy差一些。o具有防火墙功能InternetNAT服务器Intranet60.1.1.1192.168.0.1192.168.0.0NAT/NAPT带来的好处解决IPv4地址空间不足的问题；私有IP地址网络与公网互联；10.0.0.0/8，172.16.0.0/12，192.168.0.0/16非注册IP地址网络与公网互联；建网时分配了全局IP地址－但没注册网络改造中，避免更改地址带来的风险；什么是NAT/NAPTNAT将网络地址,从一个地址空间,转换到另外一个地址空间的一个行为。NAT的类型NAT（NetworkAddressTranslation）转换后，一个本地IP地址对应一个全局IP地址NAPT（NetworkAddressPortTranslation）转换后，多个本地地址对应一个全局IP地址NAT/NAPT的术语内部网络－Inside外部网络－Outside内部本地地址－InsideLocalAddress内部全局地址－InsideGlobalAddress外部本地地址－OutsideLocalAddress外部全局地址－OutsideGlobalAddress互联网OutsideInside企业内部网外部网NATNAT（网络地址转换），局域网主机访问互联网时，网络出口设备根据特定的规则，将局域网IP地址转换为公网IP,从而实现局域网多台主机利用NAT共享一条线路访问互联网。IP：AInternetIP：BIP：C（公网）IP：D（公网）server局域网A的数据到路由器后，路由器将A的IP转换为公网IP(C)，发送给服务器服务器返回数据到路由器后，路由器将公网IP(C)转换为A的IP,转发给主机ANAT工作原理200.8.7.3/24200.8.7.4/2463.5.8.1192.168.1.5192.168.1.7源IP:192.168.1.7目的IP:63.5.8.1内部本地地址内部全局地址192.168.1.7200.8.7.3192.168.1.5200.8.7.4源IP:200.8.7.3目的IP:63.5.8.1源IP:63.5.8.1目的IP:200.8.7.3源IP:63.5.8.1目的IP:192.168.1.7NAPT工作原理200.8.7.3/2463.5.8.1192.168.1.5192.168.1.7源IP:192.168.1.7:1024目的IP:63.5.8.1:80内部本地地址：端口内部全局地址:端口外部全局地址:端口192.168.1.7:1024200.8.7.3:102463.5.8.1：80192.168.1.5:1136200.8.7.3:113663.5.8.1：80源IP:200.8.7.3:1023目的IP:63.5.8.1:80源IP:63.5.8.1:80目的IP:200.8.7.3:1024源IP:63.5.8.1:80目的IP:192.168.1.7:1024Web服务什么时候使用NAPT缺乏全局IP地址只有一个连接ISP的全局IP地址内部网要求上网的主机数很多提高内网的安全性NAT/NAPT的配置NAT/NAPT的配置有两种静态NAT/NAPT动态NAT/NAPT静态NAT/NAPT需要向外网络提供信息服务的主机永久的一对一IP地址映射关系动态NAT/NAPT只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数临时的一对一IP地址映射关系静态NAT1、定义内网接口和外网接口Router(config)#interfacefastethernet0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1Router(config-if)#ipnatinside2、建立静态的映射关系Router(config)#ipnatinsidesourcestatic192.168.1.7200.8.7.3动态NAT配置1、定义内网接口和外网接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定义内部本地地址范围Router(config)#access-list10permit192.168.1.00.0.0.2553、定义内部全局地址池Router(config)#ipnatpoolabc200.8.7.3200.8.7.10netmask255.255.255.04、建立映射关系Router(config)#ipnatinsidesourcelist10poolabc静态NAPT1、定义内网接口和外网接口Router(config)#interfacefastethernet0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1Router(config-if)#ipnatinside2、建立静态的映射关系Router(config)#ipnatinsidesourcestatictcp192.168.1.71024200.8.7.31024Router(config)#ipnatinsidesourcestaticudp192.168.1.71024200.8.7.31024动态NAPT配置1、定义内网接口和外网接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定义内部本地地址范围Router(config)#access-list10permit192.168.1.00.0.0.2553、定义内部全局地址池Router(config)#ipnatpoolabc200.8.7.3200.8.7.3netmask255.255.255.04、建立映射关系Router(config)#ipnatinsidesourcelist10poolabcoverloadNAT/NAPT的配置静态和动态两种静态1、定义inside和outside接口2、建立一对一映射关系3、NAT和NAPT之间区别在于NAPT需要指定协议的端口动态1、定义inside和outside接口2、定义内网本地地址池（利用标准访问列表定义）3、定义内网全局地址池（利用ipnatpool）4、建立内网本地地址池和内网全局地址池的映射关系5、NAT和NAPT之间的区别在于NAPT在配置命令结尾加overloadNAT/NAPT的监视和维护命令显示命令showipnatstatistics显示翻译统计showipnattranslations[verbose]显示活动翻译清除状态命令clearipnattranslation*从NAT转换表中清除所有动态地址转换项clearipnattranslationinsidelocal-addressglobal-address清除一个包含指定内部翻译的转换项更多的命令用clearipnat?NAT/NAPT带来的限制限制影响网络性能不能处理IP报头加密的报文；无法实现端到端的路径跟踪（traceroute)某些应用可能支持不了：内嵌IP地址内嵌IP地址的应用有FTPDNSNetMeetingH.323,VoIP其它自编应用谢谢!