网络课程设计 NAPT技术

1、Logo计算机网络原理及应用计算机网络原理及应用课程设计课程设计校园小型局域网规划设计专业班级：专业班级： 小组成员：小组成员： 授课教师：授课教师： 完成时间：完成时间： 2012 年年 X 月月 X 日日 XXXXXX学院学院目目 录录摘 要 .1本组成员分工介绍 .2第一章 概 述 .31.1 背景及意义.31.2 目前校园网络现状.31.3 校园网建设的原则.3第二章 需求分析 .42.1 局域网设计背景.42.2 局域网设计原则.42.3 局域网的功能需求.52.4 局域网的特征.52.5 VLAN 需求划分.5第三章 校园网络设备配置 .73.1 交换机模块设计.73.1.1 交换

2、机基本原理.83.1.2 核心层交换机的说明配置.83.1.3 汇聚层交换机的说明配置.93.1.4 接入层交换机的说明配置.103.2 路由器模块设计.103.2.1 路由协议的概念和种类.11第四章 校园网络的管理与安全 .134.1 网络管理.134.2 网络安全.144.3 NAPT.144.3.1 NAPT 技术.144.3.2 NAPT 的应用.154.4 ACL.154.4.1 ACL 技术.154.4.2 ACL 的作用.16第五章 网络系统的测试 .16参考文献 .18致 谢 .20摘摘 要要随着计算机的普及，网络的发展，计算机网络给人们带来了极大的便利，通过计算机网络，人们

3、拉近了彼此之间的距离。计算机网络是信息化社会的重要的物质基础，新世纪的教育离不开网络。基于网络教育模式正更替着传统的教育模式。校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体网络，是学校信息化教学环境的基础设施和实现各项管理的物质基础。校园网络的建设是学校向信息化发展的必然选择，是实施“校校通”工程和教育信息化建设的重要组成部分。校园网网络系统是一个非常庞大而复杂的系统，它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。校园网对提高学校的教育教学质量，推进以创新精神为核心的素质教育起着至关重要的

4、作用。校园局域网络的建设是高校向高水平、研究性大学跨进的必然选择，高校校园网的网络建设与网络技术发展几乎是同步进行的，同时考虑未来几年网络平台的发展趋势, 为了充分满足高校骨干网对高速，智能，安全，认证计费等的需求,可以利用万兆以太网的校园网组网技术。构建校园网骨干网，实现各个分校区和本部之间的连接，以及实现端到端的以太网访问，提高了传输的效率，有效地保证了远程多媒体教学、数字图书馆等业务的开展。局域网是一种先进的学习工具，不但是学生与他任职间的交流工具，同时也是学习资源的提供者，有利于学生进行探索学习和协作学习。 关键词关键词 校园网；网络设备；服务器；网络管理；网络安全 本组成员分工介绍本

5、组成员分工介绍注：本介绍按照学号顺序排列：序号学号姓名主要任务备注1拓扑图设计、资料收集、答辩2PPT 制作3项目书设计4答辩5配置命令设计6资料收集7配置命令设计8PPT 制作9资料收集10项目书设计第一章第一章 概概 述述1.1 背景及意义随着信息技术的高速发展，教育信息化水平正成为衡量学校总体发展水平的重要因素，网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。1995 年 CERNET （中国教育和科研计算机网）建设全面启动，全国各地的高校开始建设自己的计算机校园网。校园网建设是高校建设的重要组成部分，建设高质量的局域网， 才能充分发挥网络资源管理和应用的优势，进行信息交

6、流、资源共享、科学计算和科学研究与合作。 校园网的建设与应用，极大地丰富和完善了教育资源，拓宽了学生获取知识的渠道，改善了教学效果，提高了学校的现代化管理水平，促进了教育的社会化，因此，如何进一步搞好校园网的建设，充分发挥校园网的作用，组建高性能，低成本的校园网，是各个高校正在探索和思考的问题。信息时代的变革与发展，带动了整个世界的深刻变革。网络、计算机技术的进步和应用软件的提高，使计算机变的越来越容易使用，它们正被广泛地使用，并迅速改变着人们的生活、学习、工作方式。在一个好的校园网里人们用计算机和网络进行工作、交流和学习，计算机改变了人的教学方式，同时也改变了人的学习方式。社会变的很快，我们

7、必须跟上时代的步伐，因此在经济条件允许的情况下，尽快尽早的建设校园网好处将是显著的和长远的。1.2 目前校园网络现状 与其它网络一样，校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说，危害网络安全的主要威胁有：非授权访问，即对网络设备及信息资源进行非正常使用或越权使用等；冒充合法用户，即利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的；破坏数据的完整性，即使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用；干扰系统正常运行。1.3 校园网建设的原则1整体规划分步实施：一方面因为学校的资金情况，不能一步到位。二是依据需求，

8、不能盲目投资。 2注重应用系统建设：计算机网络要想发挥出它的作用，必须有建立在它之上的应用系统。这必须跟据学校的实际情况，选择恰当的应用系统。 3把握当前先进性： 要将未来的可扩展性和经济可行性结合起来。当前计算机网络技术发展很快，设备更新淘汰很快。校园网建设应当采用当前成熟先进的技术和设备，而这些设备应有良好的扩张性，即能够兼容未来可能的技术。第二章第二章 需求分析需求分析2.1 局域网设计背景局域网（Local Area Network,LAN）是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件

9、和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。本次设计要求有 2 栋教学楼，2 栋学生公寓，1 个图书馆，1 个实验室建立一个小型局域网。2.2 局域网设计原则1、实用性和经济性：系统建设应始终贯彻面向应用，注重实效的方针，坚持使用、经济的原则建设校园的网络系统。2、先进性和成熟性：系统设计既采用先进的技术和方法，又要注意结构、设备的相对成熟。不但能反映当今的技术水平，而且具有发展潜力。3、可靠性和稳定性：从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障

10、时间。4、安全性和保密性：在系统设计中，既考虑信息资源的充分共享，更注意信息的保护和隔离。可扩展性和易维护性：为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低人力资源的费用，提高网络的易用性。2.3 局域网的功能需求 1、数据共享需求，局域网的一个重要作用就是资源共享，要组建的局域网要实现局域网内部全网互通以及局域网与外网之间的互通。2、要求能够实现对用户名、IP 地址、MAC 地址、交换机端口、交换机 IP的同时绑定，以此杜绝非法用户恶意盗用合法用户的用户名、密码、IP 和 MAC等想象。3、可靠性，系统设计除采用信誉好、质量高的设备

11、外，还采用一系列冗余技术，提高整个系统的可靠性。2.4 局域网的特征1、网络所覆盖的地理范围比较小。通常不超过几十公里，甚至只在一幢建筑或一个房间内。2、局域网的传递速率比较高，其范围自 1Mbps 到 10Mbps，近来已达到100Mbps。3、传输质量好，误码率低。4、规则的拓扑结构。2.5 VLAN 需求划分VLAN（Virtual Local Area Network）称为虚拟局域网，是指在逻辑上将物理的 LAN 分成不同大小的逻辑子网，每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN） 。因为交换

12、机通信的原理就是要通过“广播”来发现通往的目的 MAC 地址，以便在交换机内部的 MAC 数据库建立 MAC 地址表，而广播不能跨越不同网段。VLAN 技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个 VLAN 都包含一组有着相同需求的计算机工作站，与物理上形成的 LAN 有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个 VLAN 内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理 LAN 网段 。由 VLAN 的特点可知，一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中，从而有助于控制

13、流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN 除了能将网络划 分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。通过划分 VLAN 子网，能划小了广播域，避免了数据碰撞在大的物理 LAN 内产生严重后果的可能，也避免了广播风暴的产生。提高交换网络的交换效率，保证网络稳定。提高网络安全性，通过划分 VLAN，LAN 被划分不同子网段，因此不能直接通信。必要的通信必须经过路由来实现，因此可在路由器（或三层交换机）上配置访问列表来进行跨子网段的授权访问，从而提高校园内部网络访问的安全性。方便

14、网络管理：采用 VLAN 技术来划分校园网络，一个 VLAN 可以根据不同的院系、办公室或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动，VLAN 提供了网段和机构的弹性组合机制。VLAN 技术很好的解决了网络管理的问题，能实现网络监督与管理的自动化，从而更有效的进行网络监控。如表2-1 所示，该学校校园网络 Vlan 的划分及 IP 的分配。另外，IP 地址分为公网地址和私网地址两类，公有地址（Public address）由 Inter NIC（Internet Network Information Center 因特网信

15、息中心）负责。这些 IP 地址分配给注册并向 Inter NIC 提出申请的组织机构。通过它直接访问因特网。ISP 分配给学校的全局 IP 地址地址段为: -00/24.,私有地址（Private address）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址A 类 -55B 类 -55 C 类 -55 表 2-1 学校 vlan 的划分及 IP 的分配表序号子网名称网段 IP网关 IP备注1教学楼

16、 1 /24 /241921681119216821Vlan 2Vlan 32教学楼 1 /24 /241921683119216841Vlan 4Vlan 53公寓楼 1 /24 /241921685119216861Vlan 6Vlan 74公寓楼 2 /24 /241921687119216881Vlan 8Vlan 95实验楼 /24 /2419216891192168

17、101Vlan 10Vlan 116图书馆 /24 /24192168111192168121Vlan 12Vlan 13第三章第三章 校园网络设备配置校园网络设备配置3.1 交换机模块设计使用双核心网络的主要目的是实现冗余的连接防止单点失效，从逻辑上，大型网络可分为核心层、分布层和接入层，每层都有其特点。层次化设计的优点可以总结为如下几点：1、扩展性：因为网络可模块化增长而不会遇到问题；2、简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；3、计的灵活性：使网络容易升级到最新

18、的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；4、管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。3.1.1 交换机基本原理 交换机（Switch）又成网络开关，属于集线器的一种，但是与普通集线器在功能上有很大差别。集线器位于计算机网络体系结构的物理层，其功能仅限于数据接收发送，通常以广播模式工作，即集线器某个端口工作时，其他所有端口都能够收听到信息，所有端口共享一个通信宽带，容易产生广播风暴。交换机位于计算机网络体系结构的数据链路层，是在对数据包智能分析的基础上，有选择的针对目的节点计算机进行数据发送。交换机在进行通信处理时，只有发出请求的端口和目的端口之间

19、相互响应而不影响其他端口，每个端口都有自己独占的带宽。因此，交换机就能够确保收发节点计算机之间的通信带宽并且能够有效抑制广播风暴的产生。3.1.2 核心层交换机的说明配置核心层交换机是整个网络的中心交换机，具有最高的交换性能，用于连接和汇聚各汇聚层交换机的流量。核心层交换机一般采用中高端的三层交换机，这类交换机具有很高的交换背板带宽和较多的高速端口，能提供高性能的交换和 IP 包的转发服务。核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设

20、计以及网络设备的要求十分严格。 基于端口 vlan 的划分这是最常应用的一种 VLAN 划分方法，应用也最为广泛、最有效，目前绝大多数 VLAN 协议的交换机都提供这种 VLAN 配置方法。这种划分 VLAN 的方法是根据以太网交换机的交换端口来划分的，它是将 VLAN 交换机上的物理端口和 VLAN 交换机内部的 PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的 VLAN 交换机。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义 VLAN 成员时非常简单，只要将所有的端口都定义为相应的 VLAN 组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原

21、来的端口，到了一个新的交换机的某个端口，必须重新定义。在核心交换机上的配置如下： 1. 开启路由： ip routing； 2.三层交换机接口配置 ip：例如：interface FastEthernet0/1 no switchport ip address 依次按照示例配置命令为 f0/2、f0/3、f0/4、f0/5、f0/6、f0/7 分别配置ip；3、为三层交换机创建 vlan，并且为 vlan 配置 ip： 例如：interface Vlan2 ip address 依次为 v

22、lan3、vlan4、 vlan5 、vlan6、vlan7、vlan8、vlan9、vlan10、vlan11、vlan12、vlan13 配置 ip。 3.1.3 汇聚层交换机的说明配置汇聚层交换机用于汇聚接入层交换机的流量，提供 VLAN 间互访，并上连至核心层交换机。汇聚层交换机应采用三层交换机，以提供高性能数据交换。汇聚层交换机的每一个端口向下级连接入层交换机。当用户接入端口不够用，而汇聚层交换机又恰好有空余端口时，汇聚层交换机的端口也可提供给用户作为网络接入端口使用。一幢楼各房间的网线，通常综合布线，全部拉到楼宇配线间，并接在配线架上，利用双绞线跳线，再从配线架接到接入层交换机的各

23、个端口。接入层交换机再向上级连到汇聚层交换机，汇聚层交换机再通过光纤向上级连到位于中心机房的核心层交换机。汇聚层与核心层交换机均是三层设备，因此它们之间的级联属于三层设备间的级联，其链路最好采用路由方式。本局域网汇聚层的配置是为每个三层交换机的每个接口配置 ip 地址和在其上划分 vlan。例如： interface FastEthernet0/1 switchport mode trunk interface FastEthernet0/2 no switchport ip address interface Vlan2 ip addre

24、ss interface Vlan3 ip address 按照以上配置命令分别为每个汇聚层交换机配置。3.1.4 接入层交换机的说明配置接入层位于整个网络结构的最底层，接入层交换机用于连接最终用户，提供网络接入服务。接入层交换机通常采用二层交换机，端口密度一般较高，并应配备高速上行链路端口。这类交换机用量较大，与汇聚层交换机共同放置于每幢楼的楼宇配线间。接入层为二层交换机,二层的交换机配置例如：interface FastEthernet0/1 switchport access vlan

25、2 interface FastEthernet0/2 switchport access vlan 3interface FastEthernet0/3 switchport mode trunk按照上述配置命令分别为其它而成交换机配置。3.2 路由器模块设计路由器是内部局域网和广域网的分界点，主要是能够进行数据包的转发和路径的选择。另外，路由器要能够支持不同网络提供商的接入，实现线路的冗余，路由器的概述1、路由器简介 路由器是工作在网络层的网络设备，其主要功能是路由选择。另外，路由器还具有网络地址转换（NAT）功能。路由器常用于连接不同的网络或网段，以实现网络的互联互通，从而构成一个更大的

26、网络。2、路由器的组成路由器由硬件和软件两部分组成。硬件部分主要由 CPU、存储器和各种网络接口组成。软件部分主要包括自引导程序、IOS 操作系统、启动配置文件和路由器管理程序等。3.2.1 路由协议的概念和种类在大型局域网络的建设中熟练掌握路由和交换技术是不可缺少的，采取什么样的路由算法，要根据网络的拓扑结构而定，路由协议工作在 OSI 参考模型的第 3 层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。下面简单的介绍几种常见的路由协议。（1）.RIP协议RIP(RoutinginformationProtocol)是应用较早、使用较普遍的内部网关

27、协议(InteriorGatewayProtocol,简称 IGP)，适用于小型同类网络，是典型的距离向量(distance-vector)协议。RIP 通过广播 UDP 报文来交换路由信息，每 30 秒发送一次路由信息更新。 RIP 提供跳跃计数(hopcount)作为尺度来衡量路由距离，跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器，但跳跃计数相同，则 RIP 认为两个路由是等距离的。 RIP 最多支持的跳数为 15，即在源和目的网间所要经过的最多路由器的数目为 15，跳数 16 表示不可达。本课程设计中需要在所有的三层交换机和路由器上配置r

28、ip 协议，已达到局域网内部全网互通和局域网内与外网互通的目的。配置例如：router rip network network network 按照配置命令依次配置。（2）.EIGRP加强型内部网关路由协议EIGRP 路由协议是 Cisco 的私有路由协议,它综合了距离矢量和链路状态 2者的优点，其中包括：(1)快速收敛：链路状态包(Link-State Packet,LSP)的转发是不依靠路由计算的,所以大型网络可以较为快速的进行收敛.它只宣告链路和链路状态,而不宣告路由,所以即使链路发生了变化,不会引起该链路的路由被

29、宣告.但是链路状态路由协议使用的是 Dijkstra 算法,该算法比较复杂,并且较占 CPU 和内存资源和其他路由协议单独计算路由相比,链路状态路由协议采用种扩散计算(diffusingcomputations ),通过多个路由器并行的记性路由计算,这样就可以在无环路产生的情况下快速的收敛.(2) 减少带宽占用:EIGRP 不作周期性的更新,它只在路由的路径和度发生变化以后做部分更新.当路径信息改变以后,DUAL 只发送那条路由信息改变了的更新,而不是发送整个路由表.和更新传输到一个区域内的所有路由器上的链路状态路由协议相比,DUAL 只发送更新给需要该更新信息的路由器。 在 WAN 低速链路

30、上,EIGRP 可能会占用大量带宽,默认只占用链路带宽 50%,之后发布的 IOS 允许使用命令 ip bandwidth-percent eigrp 来修改这一默认值 .(3)支持多种网络层协议:EIGRP 通过使用“协议相关模块”(即 protocol-dependentmodule),可以支持 IPX,ApplleTalk,IP,IPv6 和 NovellNetware等协议.(4)无缝连接数据链路层协议和拓扑结构:EIGRP 不要求对 OSI 参考模型的层 2 协议做特别是配置.不像 OSPF,OSPF 对不同的层 2 协议要做不同配置,比如以太网和帧中继总之,EIGRP 能够有效的工

31、作在 LAN 和 WAN 中,而且 EIGRP 保证网络不会产生环路(loop-free);而且配置起来很简单;支持 VLSM;它使用多播和单播,不使用广播,这样做节约了带宽。（3）.OSPF开放最短路径优先路由协议OSPF(Open Shortest Path First 开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称 IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。与 RIP 相对，OSPF 是链路状态路由协议，而 RIP 是距离向量路由协议。链路是路由器接口的另一种说法，因此 OSPF 也称为接口状态路

32、由协议。OSPF 通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个 OSPF 路由器使用这些最短路径构造路由表。OSPF 路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（Autonomous System） ，即 AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个 AS 中，所有的 OSPF 路由器都维护一个相同的描述这个 AS 结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF 路由器正是通过这个数据库计算出其 OSPF 路由表的。 作为一种链路状态的路

33、由协议，OSPF 将链路状态广播数据包 LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。在一个 OSPF 区域中只能有一个骨干区域,可以有多个非骨干区域,骨干区域的区域号为 0。各非骨干区域间是不可以交换信息的，他们只有与骨干区域相连，通过骨干区域相互交换信息。非骨干区域和骨干区域之间相连的路由叫边界路由（ABRs-Area Border Routers）,只有 ABRs 记载了各区域的所有路由表。各非骨干区域内的非 ABRs 只记载了本区域内的路由

34、表，若要与外部区域中的路由相连，只能通过本区域的 ABRs，由 ABRs 连到骨干区域的 BR，再由骨干区域的 BR 连到要到达的区域。骨干区域和非骨干区域的划分，大大降低了区域内工作路由的负担。其中，RIP 和 OSPF 路由协议是通用的路由协议，而 EIGRP 是 cisco 公司的专用协议，只有 cisco 公司的设备支持，因此这个协议具有局限性，在大部分局域网内，因此 OSPF 是首选的路由协议。第四章第四章 校园网络的管理与安全校园网络的管理与安全4.1 网络管理随着校园网的不断发展和应用，网络管理和安全防范问题也越来越复杂。为此，我校专门设立了网络管理中心，负责网络管理系统的建立和

35、应用、线路和站点的监测、通信设备管理、全局目录管理、用户和文件管理及收费管理、用户培训等。同时，利用网管中心，可以方便地采取各种安全性措施，控制通信，购买硬件防火墙，即时下载系统漏洞，实施新的安全技术，数据备份等提高网络可靠和安全性能水平。校园网管理的主要目的是保障网络运行的品质，如维持网络传送速率、降低传送错误率、确保网络安全等。4.24.2 网络安全主机安全技术：加强网络上结点计算机的安全，包括：系统防火墙的规则设置、更新。系统漏洞补丁升级更新，在人们的潜意识里增加安全防范意识等等。身份认证技术：身份验证技术可以阻止或减少由于非法用户的登陆对系统的恶意或非法操作。访问控制技术：对信息的权限

36、的控制，阻止了非授权用户进行的信息的浏览，修改甚至破坏。适当地控制对 Web 和 FTP 内容的访问是安全运行 Web 服务器的关键。防火墙技术：要主的技术有数据包过滤技术、应用网关和代理服务等；防火墙体系结构在网络中的设置应用。它是由两个包过滤路由器和两个堡垒机组成。堡垒主机和服务器放置在一个处于内外网的小型网络（Dmz 安全区）中。连接外网的包过滤路由器主要用来防止外网的攻击。对于入侵者必须通过外部路由器和堡垒主机，内部路由器才能入侵到内网中。4.3 NAPT 4.3.1 NAPT技术 NAPT（Network Address Port Translation），即网络端口地址转换，就是将

37、多个内部地址映射为一个合法公网地址，但以不同的协议端口号与不同的内部地址相对应。也就是 与之间的转换。NAPT 普遍用于接入设备中，它可以将中小型的网络隐藏在一个合法的 IP 地址后面。 NAPT 也称多对一的 NAT,PAT,NPAT,地址超载。 由于 NAT 实现是私有 IP 和 NAT 的公共 IP 之间的转换，那么，私有网中同时与公共网进行通信的主机数量就受到 NAT 的公共 IP 地址数量的限制。为了克服这种限制，NAT 被进一步扩展到在进行 IP 地址转换的同时进行 Port 的转换，这就是网络地址端口转换 NAPT（Network Address Port Translation

38、）技术。4.3.2 NAPT的应用在 Internet 中使用 NAPT 时，所有不同的信息流看起来好像来源于同一个 IP 地址。这个优点在小型办公室内非常实用，通过从ISP 处申请的一个IP 地址，将多个连接通过 NAPT 接入 Internet。实际上，许多 SOHO 远程访问设备支持基于 PPP 的动态 IP 地址。这样， ISP 甚至不需要支持 NAPT，就可以做到多个内部 IP 地址共用一个外部 IP 地址上 Internet，虽然这样会导致信道的一定拥塞，但考虑到节省的ISP 上网费用和易管理的特点，用NAPT 还是很值得的。NAPT 使得一组主机可以共享唯一的外部地址，当位于内部

39、网络中的主机通过 NAT 设备向外部主机发起会话请求时， NAT 设备就会查询 NAT 表，看是否有相关会话记录，如果有相关记录，就会将内部IP 地址及端口同时进行转换，再转发出去；如果没有相关记录，进行IP 地址和端口转换的同时，还会在 NAT 表增加一条该会话的记录。外部主机接收到数据包后，用接受到的合法公网地址及端口作为目的 IP 地址及端口来响应， NAT 设备接收到外部回来的数据包，再根据 NAT 表中的记录把目的地址及端口转换成对应的内部 IP 地址及端口，转发给该内部主机。其配置命令如下：interface FastEthernet0/1 ip nat insideip nat

40、pool cisco netmask ip nat inside source list 1 pool cisco overloadaccess-list 1 permit 554.4 ACL4.4.1 ACL技术 访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL 适用于所有的被路由协议，如IP、IPX、AppleTalk 等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对

41、某种访问进行控制。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL 可以过滤网络中的流量，是控制访问的一种网络技术手段。4.4.2 ACL的作用ACL 可以限制网络流量、提高网络性能。例如，ACL 可以根据数据包的协议，指定数据包的优先级。 ACL 提供对通信流量的控制手段。例如，ACL 可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL 是提供网络安全访问的基本手段。ACL 允许主机 A 访问人力资源网络，而拒绝主机 B 访问。 ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许 E-mail 通信流量被路由，拒绝所有的 Telnet通信流量。第五章第五章 网络系统的测试网络系统的测试在这里我们通过 ping、tracert 等网络命令，来观察机器的连通性和数据包的转发路径。为了说明问题，我们就用一个机器 作为代表来进行测试。1.测试不同 vlan 之间的通信，如图 5-1 所示。图 5-1 测试不同 vlan 之间的通信图通过测试我们可以清晰的看到，不同的 vlan 之间的数据包转发是没有问题的2.测试教学楼 1 与教学楼 2