[其它课程]ip编址090721jsj

1、1ip编址服务2ip地址扩展方案地址扩展方案 vlsm(可变长子网掩码） cidr（无类别域间路由） ipv6 dhcp 私有地址 nat（地址转换）3vlsm 可变长子网掩码 vlsm提出供了在一个主类(a、b、c类)网络内包含多个子网掩码的能力，以及对一个子网的再进行子网划分的能力。 对ip地址更为有效的使用-如果不采用vlsm，公司将被限制为在一个a、b、c类网络号内只能使用一个子网掩码； 路由归纳的能力更强-vlsm允许在编址计划中有更多的体系分层，因此可以在路由表内进行更好的路由归纳。 4cidr 无类别域间路由 cidr的理念是多个c类地址块可以被组合或聚合在一起生成更大的无类别i

2、 p地址集（也就是说允许有更多的主机） 可以减少由核心路由器运载的路由选择信息的数量。 cidr采用1327位可变网络id，而不是a-b-c类网络id所用的固定的8、16和24位。 5ipv6 下一代互联网 近乎无限的地址空间近乎无限的地址空间 更简洁的报文头部更简洁的报文头部 内置的安全性内置的安全性 更好的更好的qos支持支持 更好的移动性更好的移动性6dhcp 7 何谓 dhcp？动态主机分配协议 dhcp简介简介n手工配置手工配置ip:网络管理员为路由器、服务器以及物理位置与逻辑位置均不会网络管理员为路由器、服务器以及物理位置与逻辑位置均不会发生变化的网络设备分配静态的发生变化的网络设

3、备分配静态的 ip 地址。地址。n动态配置动态配置ip: 网络设备的网络设备的 物理位置和逻辑位置经常会发生变化，管理员无物理位置和逻辑位置经常会发生变化，管理员无法及时地为其分配新的法及时地为其分配新的 ip 地址地址。.8dhcp 的运作的运作 手动分配：手动分配：管理员为客户端指定预分配的 ip 地址，dhcp 只是将该 ip 地址传达给设备。 自动分配：自动分配：dhcp 从可用地址池中选择静态 ip 地址，自动将它永久性地分配给设备。不存在租期问题，地址是永久性地分配给设备。 动态分配：动态分配：dhcp 自动动态地从地址池中分配或出租 ip 地址，使用期限为服务器选择的一段有限时间

4、，或者直到客户端告知 dhcp 服务器其不再需要该地址为止。 dhcp 的运作9dhcp 的运作的运作 客户端广播 dhcpdiscover 消息。dhcpdiscover 消息找到网络上的 dhcp 服务器。 它使用第 2 层和第 3 层广播地址与服务器通信。 dhcpdiscover10dhcp 的运作的运作 当 dhcp 服务器会找到一个可供租用的 ip 地址，创建一个包含请求方主机 mac 地址和所出租的 ip 地址的 arp 条目，并使用 dhcpoffer 消息传送绑定提供报文。 dhcpoffer 消息作为单播发送，服务器的第 2 层 mac 地址为源地址，客户端的第 2 层地址

5、为目的地址。 dhcpoffer11dhcp 的运作的运作 客户端的 dhcprequest 消息要求在 ip 地址分配后检验其有效性。此消息提供错误检查，确保地址分配仍然有效。dhcprequest 还用作发给选定服务器的绑定接受通知，并隐式拒绝其它服务器提供的绑定提供信息。 dhcprequest 消息以广播的形式发送，将绑定提供接受情况告知此 dhcp 服务器和任何其它 dhcp 服务器。 dhcprequest12dhcp 的运作的运作 收到 dhcprequest 消息后，服务器检验租用信息，为客户端租用创建新的 arp 条目，并用单播 dhcpack 消息予以回复。 dhcpack

6、13bootp 与与 dhcpbootp自举协议用来配置网络上的无盘客户，是dhcp的前身。14bootp 与与 dhcp dhcp 消息格式 dhcp 的功能比 bootp 丰富，因此增加了 dhcp 选项字段。与旧的 bootp 客户端通信时，dhcp 选项字段会被忽略。15bootp 与与 dhcp dhcp 的发现方法16bootp 与与 dhcp dhcp 的提供方法17配置配置 dhcp服务器服务器 步骤步骤 1. 1. 定义 dhcp 在分配地址时的排除范围。这些地址通常是保留供路由器接口、交换机管理 ip 地址、服务器和本地网络打印机使用的静态地址。18配置配置 dhcp服务器

7、服务器 步骤步骤 2. 使用 ip dhcp pool 命令创建 dhcp 池。19配置配置 dhcp服务器服务器步骤步骤 3. 配置地址池的具体信息。nip dhcp pool 命令创建具有特定名称的地址池，并使路由器进入 dhcp 配置模式n要排除特定地址，请使用 ip dhcp excluded-address 命令。n可以使用 dns-server 命令配置 dhcp 客户端可使用的 dns 服务器 ip 地址。n其它参数包括配置 dhcp 租用的期限。默认设置是一天，但是可以使用 lease 命令更改此值。20配置配置 dhcp服务器服务器 在支持 dhcp 服务器的各版本 cisc

8、o ios 软件上，默认启用 dhcp 服务。 要禁用此服务，请使用 no service dhcp 命令。 使用 service dhcp 全局配置命令可重新启用 dhcp 服务过程。如果没有配置参数，启用服务将不会有效果。21配置配置 dhcp服务器服务器 要检验 dhcp 的运作，请使用 show ip dhcp binding 命令。此命令显示 dhcp 服务已提供的全部 ip 地址与 mac 地址绑定列表。 要检验路由器正在接收或发送消息，请使用 show ip dhcp server statistics 命令。此命令显示关于已发送和接收的 dhcp 消息数量的计数信息。n 检验

9、dhcp22配置配置 dhcp服务器服务器 ipconfig /all 命令显示 pc 上的 tcp/ip 配置参数。n 检验 dhcp23配置配置 dhcp服务器服务器 另一个用来查看多地址池的有用命令是 show ip dhcp pool 命令。n 检验 dhcp24配置配置 dhcp 客户端客户端 路由器可以做为dhcp的客户端，要将以太网接口配置为 dhcp 客户端，必须使用 ip address dhcp 命令进行配置。25实验：实验：26dhcp 中继中继 pc1 试图从位于 的 dhcp 服务器获取 ip 地址。这一情形中，路由器 r1 未被配置成 dh

10、cp 服务器。27dhcp 中继中继 要将路由器要将路由器 r1 配置成配置成 dhcp 中继代理，需要使用中继代理，需要使用 ip helper-address 接口配置命令配置离客户端最近的接口。接口配置命令配置离客户端最近的接口。 此命令把对关键服务的广播请求转发给所配置的地址。此命令把对关键服务的广播请求转发给所配置的地址。 请在接收广播的接口上配置请在接收广播的接口上配置 ip 帮助地址。帮助地址。28使用使用 sdm 配置配置 dhcp 服务器服务器 在在 configure 选项卡的选项卡的 additional tasks 中启用中启用 dhcp 服服务器功能。在任务列表中，单

11、击务器功能。在任务列表中，单击 dhcp 文件夹，然后选择文件夹，然后选择 dhcp pools 以添加新池。单击以添加新池。单击 add 以创建新以创建新 dhcp 池。池。29使用使用 sdm 配置配置 dhcp 服务器服务器 add dhcp pool 窗口包含配置 dhcp ip 地址池的选项。dhcp 服务器分配的 ip 地址取自一个共用池。要配置该池，请指定范围的起始 ip 地址和结束 ip 地址。 如需要排除地址范围内的其它 ip 地址，可以通过调整起始和结束 ip 地址来实现。 其它可用选项有：dns server、wins server、import all dhcp opt

12、ions into the dhcp server database（导入所有 dhcp 选项到 dhcp 服务器数据库）30使用使用 sdm 配置配置 dhcp 服务器服务器 此屏幕显示路由器上已配置的地址池总结信息。此屏幕显示路由器上已配置的地址池总结信息。31dhcp 配置故障排除配置故障排除 故障排除任务故障排除任务 1：解决：解决 ip 地址冲突地址冲突 故障排除任务故障排除任务 2：检验物理连通性：检验物理连通性 故障排除任务故障排除任务 3：使用静态：使用静态 ip 地址配置客户端工作站以测试网络连通性地址配置客户端工作站以测试网络连通性 故障排除任务故障排除任务 4：检验交换机

13、端口配置（：检验交换机端口配置（stp portfast 和其它命令）和其它命令） 故障排除任务故障排除任务 5：辨别：辨别 dhcp 客户端在客户端在 dhcp 服务器所处的子网或服务器所处的子网或 vlan 上是否能获得上是否能获得 ip 地址地址server?n dhcp 配置故障排除配置故障排除32dhcp 配置故障排除配置故障排除 步骤 1. 检验 ip helper-address 命令是配置在正确的接口上。它必须存在于包含 dhcp 客户端工作站的 lan 的入站接口上，并且必须指向正确的 dhcp 服务器。 步骤 2. 确认没有配置全局配置命令 no service dhcp。

14、此命令会禁用路由器上的所有 dhcp 服务器和中继功能。n 检验路由器 dhcp/bootp 中继配置33dhcp 配置故障排除配置故障排除 debug ip packet detail 100 debug ip dhcp server events n 使用 debug 命令检查路由器是否接收 dhcp 请求34实验：实验：35nat 36公用和私有公用和私有ip编址编址n 所有公有 internet 地址都必须在所属地域的相应 internet 注册管理机构 (rir) 注册。n 与公有 ip 地址不同，私有 ip 地址是保留的数值块，任何人均可以使用。37 何谓 nat？何谓何谓 nat

15、？nnat 就像大办公室中的前台接待员。客户拨打您办公室的总机号码，这是客户知道的唯一号码。nnat 有很多用途，但最主要的用途是让网络能使用私有 ip 地址以节省 ip 地址。nat 将不可路由的私有内部地址转换成可路由的公有地址。nat 还能在一定程度上增加网络的私密性和安全性，因为它对外部网络隐藏了内部 ip 地址。nr2 执行 nat 过程，将主机的内部私有地址转换为公有、外部、可路由的地址。38 代理服务器proxy、isa、ics、 wingate、sysgate等 nat/pat(网络地址转换/网络地址端口转换)路由器、防火墙、核心交换机、服务器常见实现方式常见实现方式39何谓何

16、谓 nat？n内部本地地址内部本地地址 通常不是通常不是 rir 或服务器提供商分配的或服务器提供商分配的 ip 地址，极有可能是地址，极有可能是 rfc 1918 私有地址。图中，私有地址。图中，ip 地址地址 0 被分配给内部网络上的被分配给内部网络上的主机主机 pc1。n内部全局地址内部全局地址 当内部主机流量流出当内部主机流量流出 nat 路由器时分配给内部主机的有效路由器时分配给内部主机的有效公有地址。当来自公有地址。当来自 pc1 的流量发往的流量发往 web 服务器服务器 时，路由器时，路由器 r2 必须进行地址转换。本例中，必

17、须进行地址转换。本例中，pc1 的内部全局地址使用的内部全局地址使用 ip 地址地址 26。n外部全局地址外部全局地址 分配给分配给 internet 上主机的可达上主机的可达 ip 地址。例如，地址。例如，web 服务器服务器的可达的可达 ip 地址为地址为 。n外部本地地址外部本地地址 分配给外部网络上主机的本地分配给外部网络上主机的本地 ip 地址。大多数情况下，此地址。大多数情况下，此地址与外部设备的外部全局地址相同。地址与外部设备的外部全局地址相同。40 nat 如何工作？何谓何谓 nat？n内部主机 (0)

18、 希望与外部 web 服务器 () 通信。它发送数据包给配置了 nat 的网络边界网关 r2。nr2 读取数据包的目的 ip 地址，并检查数据包是否符合规定的转换标准。41 nat 如何工作？何谓何谓 nat？n r2 有一个 acl，它确定内部网络中可进行转换的有效主机。因此，r2 将内部本地 ip 地址转换成内部全局 ip 地址，本例中为 26。它将此本地与全局地址映射关系存储在 nat 表中。42 nat 如何工作？何谓何谓 nat？n 路由器将数据包发送到目的地。43 nat 如何工作？何谓何谓 nat？n 当 web 服务器回应时，

19、数据包回到 r2 的全局地址 (26)。44 nat 如何工作？何谓何谓 nat？n r2 参考 nat 表，发现这是原先转换的 ip 地址。因此，它将内部全局地址转换成内部本地地址，然后将数据包转发给 ip 地址为 0 的 pc1。n 如果它没有找到映射关系，数据包将被丢弃。45 nat 转换有两种类型何谓何谓 nat？n动态 nat：使用公有地址池，并以先到先得的原则分配这些地址。当具有私有 ip 地址的主机请求访问 internet 时，动态 nat 从地址池中选择一个未被其它主机占用的 ip 地址。这就是到目前为止所介绍的映射。n静态

20、nat ：使用本地地址与全局地址的一对一映射，这些映射保持不变。静态 nat 对于必须具有一致的地址、可从 internet 访问的 web 服务器或主机特别有用。这些内部主机可能是企业服务器或网络设备。46 nat 过载何谓何谓 nat？n nat 过载（有时称为端口地址转换或 pat）将多个私有 ip 地址映射到一个或少数几个公有 ip 地址。因为每个私有地址也会用端口号加以跟踪。n 大多数家用路由器就是这样工作的。47 nat 过载何谓何谓 nat？n 当 nat 处理各数据包时，它使用端口号（本例中为 1331 和 1555）来识别发起数据包的客户端。n nat 过载将 sa 变成客户

21、端的内部全局 ip 地址，同样会附加端口号。48 下一可用端口何谓何谓 nat？n nat 过载会尝试保留源端口号。49 下一可用端口何谓何谓 nat？n 但是，如果此源端口已被使用，nat 过载会从适当的端口组 0-511、512-1023 或 1024-65535 开始分配第一个可用端口号。当没有端口可用时，如果配置了一个以上的外部 ip 地址，则 nat 过载将会使用下一 ip 地址，再次尝试分配原先的源端口。50 nat 与 nat 过载之间的区别何谓何谓 nat？nnat 一般只按公有 ip 地址与私有 ip 地址之间的一对一对应关系转换 ip 地址。nat 过载则会同时修改发送者的

22、私有 ip 地址和端口号。nat 过载选择对公有网络上主机可见的端口号。nnat 将传入的数据包路由给其内部目的地时，将以公有网络上主机给出的传入源 ip 地址为依据。利用 nat 过载，一般只需一个或极少的几个公有 ip 地址。51使用使用 nat 的利弊的利弊52受到受到nat影响的应用程序影响的应用程序 一些高层协议（比如ftp，quake，sip）是在ip包的有效数据内发送网络层（第三层）信息的。 如主动模式的ftp，若客户端是在一个简单的nat防火墙后发送的请求 ，同时也通知对方自己想要在哪个端口接受数据 。 一个应用层网关（application layer gateway或alg

23、）可以修正这个问题。运行在nat防火墙设备上的alg软件模块可以更新任何由地址转换而导致无效的信息。 53配置静态配置静态 natn 静态 nat 为内部地址与外部地址的一对一映射。静态 nat 允许外部设备发起与内部设备的连接。n 首先需要定义要转换的地址，然后在适当的接口上配置 nat。54配置静态配置静态 nat55实验实验 router0配置静态路由，router1不配置路由 配置静态 -， -56配置动态配置动态 natn动态 nat 则是将私有 ip 地址映射到公有地址。这些公有 ip 地址源自

24、 nat 池。n动态 nat 不是创建到单一 ip 地址的静态映射，而是使用内部全局地址池。57配置动态配置动态 nat58实验实验 router0配置静态路由，router1不配置路由 配置动态nat /24 -00 0059配置配置 nat过载过载n 仅有一个公有 ip 地址时，过载配置通常把该公有地址分配给连接到 isp 的外部接口。所有内部地址离开该外部接口时，均被转换为该地址。n 使用 interface 关键字来标识外部 ip 地址，因此没有定义 nat 池。利用 overload 关键字，可以将端口号添加到转换中。

25、n为单一公有 ip 地址配置 nat 过载60配置配置 nat过载过载n为单一公有 ip 地址配置 nat 过载61实验实验 router0配置静态路由，router1不配置路由 配置动态nat /24 -62配置配置 nat过载过载n 当 isp 提供了一个以上公有 ip 地址时，nat 过载将使用地址池。这种配置与动态、一对一 nat 配置的主要区别是前者使用了 overload 关键字。overload 关键字允许进行端口地址转换。n为公有 ip 地址池配置 nat 过载63配置配置 nat过载过载n为公有 ip 地址池配置 nat 过载64配

26、置配置 nat过载过载n 端口转发（有时也称为隧道）是将网络端口从一个网络节点转发到另一个网络节点的操作。n 这种技术允许外部用户从外部网络通过启用 nat 的路由器到达私有 ip 地址（lan 内部）上的端口。65配置端口转发配置端口转发利用端口转发，internet 上的用户能够使用 wan 端口地址和相匹配的外部端口号来访问内部服务器。当用户通过 internet 发送这些类型的请求到您的 wan 端口 ip 地址时，路由器将这些请求转发到您的 lan 上适当的服务器。66检验检验 nat 和和 nat 过载过载n 以上是测试的例子。.n检验 nat 和 nat 过载67检验检验 nat 和和 nat 过载过载n show ip nat translations 命令的输出显示命令的输出显示nat 分配的详细情分配的详细情况。在该命令中增加况。在该命令中增加 verbose 可显示关于每个转换的附加信可显示关于每个转换的附加信息，包括创建和使用条目的时间长短。息，包括创建和使用条目的时间长短。n 该命令显示所有已配置的静态转换和所有由流量创建的动态转该命令显示所有已配置的静态转换和所有由流量创建的动态转换。换。n检验 nat 和 nat 过载68检验检验 nat 和和 nat 过