单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,知 识 回 顾,1、何为接入网？,2、简介非对称数字用户线路ADSL。,3、选择接入方式时应从哪几个方面考虑?,教学内容：,1、理解NAT技术的相关知识；,2、理解访问控制列表的根本知识；,3、掌握路由器的根本应用。,教学重点：路由器的根本应用,教学难点：路由器的根本应用,第12节 NAT与路由器配置实例,1 NAT技术,网络地址转换Network Address Translation，NAT就是把在内部网络中使用的私有IP地址转换成外部网络中使用的NIC注册IP地址，对外部网络隐蔽内部网络的结构。按NAT技术的应用方式可分为静态NAT、动态NAT池和PAT端口复用NAT三种。,NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表，用来把内部网络的IP地址映射到外部网络的IP地址，每个包在NAT设备中都被转换后发往下一级。NAT本身并不提供类似防火墙、包过滤、隧道等技术的平安性，只是在包的最外层改变IP地址，使外部网络用户不知道内部网络的地址结构，防止一般外部网络用户对内部网络的非法访问。,1静态NAT,静态NAT(Static NAT)是NAT技术中最简单的应用方式，在内部网络中使用私有IP地址，在访问Internet时再将私有IP地址转换到与其一一对应的NIC注册IP地址。,静态NAT适用于内部网络中有WEB、FTP或E-mail等效劳器为外部网络用户提供效劳的情况下，这些效劳器的IP地址必须采用静态地址转换，以便外部网络用户可以访问这些效劳。,2动态NAT池,动态NAT池Pooled NAT采用动态方法映射内部网络的私有IP地址和外部网络的NIC注册IP地址。动态NAT可以在内部网中定义很多的内部用户，使内部网络用户共享很少的几个外部IP地址。当NAT池中动态分配的外部IP地址全部被占用后，后续的NAT转换申请将会失败，一般可通过路由器的超时配置功能限制一个内部用户长期占用一个NIC注册的IP地址来解决。,由于使用NAT之后，外部网络地址与内部网络地址的对应关系是动态变化的，因此无法准确了解指定内部网络设备的运行情况，会对内部网络的远程管理带来一定的不便。,3PAT,PAT(Port Address Translation)是一种动态地址转换技术，也称NAT复用，它可以使多个内部私有IP地址共用一个或几个NIC注册IP地址，通过不同的协议端口号映射不同的内部网络地址，所有不同的TCP和UDP信息流仿佛都来源于一个或几个IP地址。PAT理论上可以支持64500个TCPIP、UDPIP连接，但实际可以支持的工作站数约为4000。,PAT技术非常适用于只申请到少量IP地址但却经常有多个用户同时上外部网络的情况。,2 工程案例描述,某单位有三个部门的电脑各3台需要网络效劳，现有一台路由器、一台局域网交换机，已向电信申请了宽带接入效劳，申请到的IP地址为，电信接入IP为，网络要求的功能如下：,1所有三个部门的电脑都能访问Internet；,2部门3的电脑可以访问部门1和部门2的电脑；,3部门1和部门2的电脑能够互访，但是不能访问部门3的电脑。,3 工程需求分析,1Internet接入方式分析,为了实现三个部门的电脑都能使用一个IP地址访问Internet，要使用局域网交换机将三个部门的电脑组成一个局域网，并在局域网中使用私有IP地址，然后通过路由器转换为唯一的外网地址联入Internet，为此必须使用PAT技术。,2内网规划,部门1 部门2 部门3,VLAN VLAN 10 VLAN 20 VLAN 30,VLAN名 Department1 Department2 Department3,IP 以上 以上 以上,交换机 f0/1-3 f0/4-6 f0/7-9,端口,网关,3访问控制,为了实现部门间的访问控制，必须在交换机配置访问控制列表。,访问控制列表(Access Control List，ACL)通常用来规划网络中的访问层次，以期到达优化网络流量,加强网络平安的作用。ACL可以绑定在物理端口上，也可绑定在Vlan接口上。,ACL命令格式全局配置模式下：,access-list 名称 permit/deny 协议类型 源IP地址 源地址掩码 目的IP地址 目的地址掩码,绑定已配置的ACL接口配置模式：,in f0/0.2,ip access-group 名称in,配置ACL的本卷须知：,每个ACL表的末尾都会隐含deny语句,从而丢弃所有不符合规那么的包；,源地址和目的地址的掩码中,“0代表精确匹配,“1代表忽略该位。如允许来自网段机器的访问,那么其掩码是；而针对具体主机的掩码,那么是；,具有严格限制条件的语句应放在访问列表所有语句的最上面；,ACL一旦绑定到具体端口上时,即可生效；,ACL所包含的规那么在精不在多，配置具体规那么时不光需要考虑该规那么是否影响数据包传送,还必须考虑数据包能否返回；,同一接口可以绑定多个ACL,此时需要给每个ACL设置相应的优先级；,4网络结构图,4 网络管理配置,1实现三个部门互访,配置外网IP,R1(config)#in s1/0,R1(config-if)#ip add,R1(config-if)#no shut,R1(config-if)#exit,启用f0/0端口，启用3个子接口,R1(config)#in f0/0,R1(config-if)#no ip add,R1(config-if)#no shut,R1(config-if)#exit,R1(config)#in f0/0.1,R1(config-subif)#encapsulation dot1q 10,R1(config-subif)#no shut,R1(config-subif)#exit,R1(config)#in f0/0.2,R1(config-subif)#encapsulation dot1q 20,R1(config-subif)#no shut,R1(config-subif)#exit,R1(config)#in f0/0.3,R1(config-subif)#encapsulation dot1q 30,R1(config-subif)#no shut,R1(config-subif)#exit,在交换机与路由器连接的f0/12口开启trunk,Switch#conf t,Switch(config)#in f0/12,Switch(config-if)#switchport mode trunk,Switch(config-if)#exit,Switch(config)#exit,划分vlan,Switch#vlan database,Switch(vlan)#vlan 10 name Department1,Switch(vlan)#vlan 20 name Department2,Switch(vlan)#vlan 30 name Department3,Switch(vlan)#exit,将端口参加vlan,Switch#conf t,Switch(config)#in range f0/13,Switch(config-range)#switchport mode access,Switch(config-range)#switchport access vlan 10,Switch(config-range)#exit,Switch(config)#in range f0/46,Switch(config-range)#switchport mode access,Switch(config-range)#switchport access vlan 20,Switch(config-range)#exit,Switch(config)#in range f0/79,Switch(config-range)#switchport mode access,Switch(config-range)#switchport access vlan 30,Switch(config-range)#exit,2做ACL，拒绝部门1和部门2访问部门3，允许部门3访问部门1和部门2，允许部门1和部门2互访,R1(config)#access-list 101 deny ip,R1(config)#access-list 101 deny ip,R1(config)#access-list 101 permit ip any any,R1(config)#in f0/0.3,R1(config-subif)#ip access-group 101 in,R1(config-subif)#exit,R1(config)#exit,3利用PAT技术使内部计算机上网,R1(config)#ip nat inside source list 1,interface s1/0 overload,R1(config)#in f0/0,R1(config-if)#ip nat inside,R1(config-if)#exit,R1(config)#in s1/0,R1(config-if)#ip nat outside,R1(config-if)#exit,R1(config)#exit,4根据网络规划将各部门的计算机的ip和网关设置好以后，便可以验收了。,课 程 小 结,本次课在介绍了NAT技术的根本知识的根底上，通过一个实际案讲解了NAT技术的实际工作中的应用，要求同学们在理解课堂讲授的根底上，结合前面所学内容，能够独立完成简单的网络规划和配置工作。,