数据通信网络组建与维护(项目式教学课件) 项目7 私有地址网络接入Internet

1、私有地址网络接入私有地址网络接入Internet项目七项目七教学目标教学目标知识内容与要求知识内容与要求了解访问控制的基本原理；了解访问控制的基本原理；掌握访问控制列表的基本概念和作用掌握访问控制列表的基本概念和作用; 掌握访问控制列表的分类和工作原理；掌握访问控制列表的分类和工作原理；掌握访问控制列表使用的基本规则；掌握访问控制列表使用的基本规则；掌握标准访问控制列表与扩展访问控制列表的配置。掌握标准访问控制列表与扩展访问控制列表的配置。技能目标与要求技能目标与要求能够熟练进行能够熟练进行ALC配置；配置；能够运用能够运用ALC解决实际问题；解决实际问题；能够使用基于时间段的访问控制列表进行

2、访问控制。能够使用基于时间段的访问控制列表进行访问控制。项目描述与分析项目描述与分析 项目背景项目背景 某重点中学的校园网络拓扑结构图如图所示。校园网建成后，某重点中学的校园网络拓扑结构图如图所示。校园网建成后，满足了校区师生对信息化的需求，实现了校园网络资源的共享满足了校区师生对信息化的需求，实现了校园网络资源的共享。但由于在建设初期仅仅实现了互联互通，没有对网络进行安。但由于在建设初期仅仅实现了互联互通，没有对网络进行安全加固，给网络的使用和维护带来了很多问题。例如，行政办全加固，给网络的使用和维护带来了很多问题。例如，行政办公子网被学生经常访问，有部分学生登录到教务管理系统，也公子网被学

3、生经常访问，有部分学生登录到教务管理系统，也有学生在上课期间登录媒体服务器影响正常学习。为了保证校有学生在上课期间登录媒体服务器影响正常学习。为了保证校园网的安全，必须对校园网重新进行一系列的规划，希望能够园网的安全，必须对校园网重新进行一系列的规划，希望能够达到以下功能：达到以下功能： 1）禁止学生子网访问行政子网和教学子网；禁止学生子网访问行政子网和教学子网； 2）禁止学生子网访问财务系统和教务管理系统；禁止学生子网访问财务系统和教务管理系统； 3）禁止学生子网在上课时间访问媒体服务器；禁止学生子网在上课时间访问媒体服务器； 4）教务管理系统仅允许教学管理人员和教师子网访问；教务管理系统仅

4、允许教学管理人员和教师子网访问； 5）财务系统仅允许行政子网访问。财务系统仅允许行政子网访问。 网络拓扑设计与分析网络拓扑设计与分析三层交换机三层交换机三层交换机三层交换机目录目录基础知识基础知识IPv4地址资源匮乏地址资源匮乏全球全球IPv4的地址总量约有的地址总量约有43亿左右，由于互联网的迅速发展，亿左右，由于互联网的迅速发展，再加上再加上 IPv4地址分配的不合理，到目前为止，地址分配的不合理，到目前为止，IPv4地址基本地址基本耗尽。为了解决地址资源紧缺的问题，耗尽。为了解决地址资源紧缺的问题，Internet管理委员会划管理委员会划分了三段私有地址段。使用私有地址的网络利用网络地址

5、转换分了三段私有地址段。使用私有地址的网络利用网络地址转换技术（技术（NAT）将私有地址转换成公有地址后，才能访问）将私有地址转换成公有地址后，才能访问Internet中的资源和服务。中的资源和服务。 私有地址范围：私有地址范围： ？ ？ ？10.0.0.0 - 10.255.255.255172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255资源匮乏解决办法资源匮乏解决办法最终解决办法最终解决办法过度解决办法过度解决办法全面启用全面启用IPV6协议。协议。使用使用NAT技术。技术。公共网络与私有网络公共网络与私有网络Internet

6、192.168.0.0/24192.168.0.0/24192.168.0.0/24LAN1LAN2LAN3私有地址私有地址可不经申请直接在内部网络中分配使用可不经申请直接在内部网络中分配使用，但私有地址不能出，但私有地址不能出现在公网上，当私有网络内的主机要与位于公网上的主机进行通讯时现在公网上，当私有网络内的主机要与位于公网上的主机进行通讯时，将其私有地址转换为合法公网地址才能对外访问，将其私有地址转换为合法公网地址才能对外访问。私有网络私有网络私有网络私有网络私有网络私有网络公共网络公共网络NAT概述概述p NAT NAT（Network Address TranslationNetwo

7、rk Address Translation）称为网）称为网络地址转换，它是一种把内部网络的私有地址翻译成络地址转换，它是一种把内部网络的私有地址翻译成合法的公有合法的公有IPIP地址的技术。在一个网络内部，地址的技术。在一个网络内部，用户可用户可以以根据需要随意自定义根据需要随意自定义私有私有IPIP地址，不需要经过申请地址，不需要经过申请，在网络内部，各计算机间通过内部的私有，在网络内部，各计算机间通过内部的私有IPIP地址进地址进行通信。当内部的计算机要与外部行通信。当内部的计算机要与外部InternetInternet网络进行网络进行通信时，具有通信时，具有NATNAT功能的设备（比如

8、路由器）负责将功能的设备（比如路由器）负责将其内部的私有其内部的私有IPIP地址转换为合法的公有地址转换为合法的公有IPIP地址。地址。NAT概述（续）概述（续）Internet内网内网10.1.1.1内部本地地址内部本地地址网络地址转换表（简化）网络地址转换表（简化）内部全局地址内部全局地址10.1.1.2Host B177.20.7.310.1.1.210.1.1.1AASA10.1.1.1DDA10.1.1.1199.168.2.3199.168.2.2BBSA199.168.2.2CDA199.168.2.2NAT的特点的特点NATNAT的优点：的优点： 1 1）可以节省公网）可以节省

9、公网IPIP地址，缓解地址，缓解IPIP地址资源匮乏的问题。地址资源匮乏的问题。 2 2）减少和消除地址冲突发生的可能性。）减少和消除地址冲突发生的可能性。 3 3）对外界隐藏内部网络结构，维持局域网的私密性。）对外界隐藏内部网络结构，维持局域网的私密性。NATNAT的的缺点：缺点： 1 1）使用）使用NATNAT必然要引入额外的延迟。必然要引入额外的延迟。 2 2）丧失端到端的）丧失端到端的IPIP跟踪能力。跟踪能力。 3 3）一些特定应用可能无法正常工作，如地址转换对于报文内）一些特定应用可能无法正常工作，如地址转换对于报文内容中含有有用的地址信息的情况很难处理。容中含有有用的地址信息的情

10、况很难处理。 4 4）地址转换由于隐藏了内部主机地址，有时候会使网络调试）地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。变得复杂。NAT的工作原理的工作原理10.0.0.1HostARTA10.0.0.254/24198.76.28.1/24HostB10.0.0.2InternetServer198.76.29.4/24地址池地址池（198.76.28.1120）InternetS=10.0.0.1D=198.76.29.4S=198.76.28.11D=198.76.29.4S=198.76.29.4D=198.76.28.11S=198.76.29.4D=10.0.0.11

11、0.0.0.2198.76.28.12NAT tableInside Address10.0.0.1198.76.28.11Global Address123465NAT的工作方式的工作方式NAT NAT 工作方式包括：工作方式包括： （2 2）一对多超载转换）一对多超载转换一对一转换一对一转换Internet内网内网10.1.1.210.1.1.2Host B177.20.7.32SA10.1.1.23SA199.168.2.210.1.1.310.1.1.4DA199.168.2.24DA10.1.1.2510.1.1.310.1.1.2199.168.2.3199.168.2.2NAT

12、table内部本地地址内部本地地址 内部全局地址内部全局地址10.1.1.4199.168.2.41一对一转换是指一个私有地址转换为一个合法的公有地址，私一对一转换是指一个私有地址转换为一个合法的公有地址，私有地址和公有地址是一对一的关系有地址和公有地址是一对一的关系，包括静态包括静态NAT和动态一对和动态一对一转换两种方式一转换两种方式。一对多超载转换一对多超载转换Internet内网内网10.1.1.1Host B177.21.7.32SA10.1.1.110.1.1.210.1.1.3DA199.168.2.25DA10.1.1.16SA199.168.2.24NAT table1内部全

13、局内部全局地址地址: 端口号端口号外部全局外部全局地址地址: 端口号端口号协议协议内部本地内部本地地址地址: 端口号端口号 TCP 10.1.1.2:1723 199.168.2.2:5723 177.21.7.3:23 TCP 10.1.1.3:1723 199.168.2.2:5492 177.21.7.3:233TCP 10.1.1.1:1024 199.168.2.2:5024 177.21.7.3:23 一对多超载是指将内部私有地址转换成一个外部合法的公有一对多超载是指将内部私有地址转换成一个外部合法的公有IP地址和端口地址和端口号的组合，即号的组合，即“私有私有IP+端口号端口号公

14、有公有IP+端口号端口号”，一对多转换包括一对一对多转换包括一对多超载和多超载和PAT两种方式两种方式。静态静态NAT的配置与应用的配置与应用静态静态NATNAT配置步骤：配置步骤：（1 1）定义内外部接口）定义内外部接口 1 1）定义内部接口。）定义内部接口。 (config-if)#ip nat inside (config-if)#ip nat inside 2 2）定义外部接口。）定义外部接口。 (config-if)#ip nat outside (config-if)#ip nat outside（2 2）配置静态转换关系）配置静态转换关系 (config)#ip nat insi

15、de source static tcp | (config)#ip nat inside source static tcp | udp udp global-ip 静态静态NAT配置实例配置实例静态静态NAT配置实例配置实例路由器路由器1的配置：的配置：RouterenRouter#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R1R1(config)#interface fastEthernet 0/0R1(config-if)#

16、ip address 172.16.1.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#ip nat inside R1(config-if)#exitR1(config)#interface serial 2/0R1(config-if)#ip address 200.1.1.1 255.255.255.0R1(config-if)#clock rate 64000R1(config-if)#no shutdownR1(config-if)#ip nat outsideR1(config-if)#exitR1(config)#ip

17、nat inside source static 172.16.1.3 200.1.1.5R1(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2静态静态NAT配置实例配置实例路由器路由器2的配置：的配置：RouterenRouter#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R2R2(config)#line vty 0 4R2(config-line)#password ciscoR2(conf

18、ig-line)#loginR2(config-line)#exitR2(config)#interface loopback 0R2(config-if)#ip address 202.1.1.2 255.255.255.0R2(config-if)#exitR2(config)#interface serial 2/0R2(config-if)#ip address 200.1.1.2 255.255.255.0R2(config-if)#no shutdown静态静态NAT配置实例配置实例PC机配置：机配置：172.16.1.3 255.255.255.0 172.16.1.1静态静态N

19、AT配置实例配置实例测试测试1）在路由器在路由器R1上执行：上执行：debug ip nat显示显示IP NAT debugging is on2）紧接着，在紧接着，在PC机上机上ping 202.1.1.23）观察路由器观察路由器R1的输出的输出NAT: s=172.16.1.3-200.1.1.5, d=202.1.1.2 11 NAT*: s=202.1.1.2, d=200.1.1.5-172.16.1.3 11 NAT: s=172.16.1.3-200.1.1.5, d=202.1.1.2 12 NAT*: s=202.1.1.2, d=200.1.1.5-172.16.1.3 1

20、2 NAT: s=172.16.1.3-200.1.1.5, d=202.1.1.2 13 NAT*: s=202.1.1.2, d=200.1.1.5-172.16.1.3 13 NAT: s=172.16.1.3-200.1.1.5, d=202.1.1.2 14.静态静态NAT配置实例配置实例R1#undebug allAll possible debugging has been turned offR1#show ip nat statistics Total translations: 11 (1 static, 10 dynamic, 10 extended)Outside In

21、terfaces: Serial2/0Inside Interfaces: FastEthernet0/0Hits: 20 Misses: 20Expired translations: 10Dynamic mappings:R1#show ip nat translations Pro Inside global Inside local Outside local Outside global- 200.1.1.5 172.16.1.3 - - 静态静态NAT配置实例配置实例R2#ping 172.16.1.3 Type escape sequence to abort.Sending 5

22、, 100-byte ICMP Echos to 172.16.1.3, timeout is 2 seconds:.Success rate is 0 percent (0/5) R2#ping 200.1.1.5 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 200.1.1.5, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 62/62/63 ms 动态动态NAT的配置与应用的配置与应用（1

23、1）定义内外部接口）定义内外部接口（2 2）配置）配置NATNAT转换的地址池转换的地址池(config)#ip nat pool (config)#ip nat pool prefix-length prefix-length 说明：地址为公网接口说明：地址为公网接口IPIP地址则为地址则为PATPAT方式。方式。（3 3）配置配置ACLACL（4 4）配置转换规则配置转换规则 ZXR10(config)#ip nat inside source list ZXR10(config)#ip nat inside source list pool pool overload overload说

24、明：使用说明：使用overloadoverload为超载方式，不使用为动态一对一方式。为超载方式，不使用为动态一对一方式。动态动态NAT配置实例配置实例动态动态NAT配置实例配置实例路由器路由器R0配置：配置：R0enable R0#configure terminal Enter configuration commands, one per line. End with CNTL/Z.R0(config)#interface fastEthernet 0/0R0(config-if)#ip address 192.168.1.1 255.255.255.0R0(config-if)#ip

25、nat inside /将该接口标记为与内部连接将该接口标记为与内部连接R0(config-if)#no shutdownR0(config-if)#exitR0(config)#interface serial 2/0R0(config-if)#ip address 172.1.1.1 255.255.255.0R0(config-if)#clock rate 64000R0(config-if)#ip nat outside /将该接口标记为与外部连接将该接口标记为与外部连接R0(config-if)#no shutdown R0(config-if)#exitR0(config)#acc

26、ess-list 1 permit 192.168.1.0 0.0.0.255 /定义访问控制列表定义访问控制列表R0(config)#ip nat pool lab 172.1.10.2 172.1.10.7 netmask 255.255.255.248 R0(config)#ip nat inside source list 1 pool labR0(config)#ip route 0.0.0.0 0.0.0.0 172.1.1.2R0(config)#动态动态NAT配置实例配置实例路由器路由器R1配置：配置：R1enable R1#configure terminal Enter c

27、onfiguration commands, one per line. End with CNTL/Z.R1(config)#interface serial 2/0R1(config-if)#ip address 172.1.1.2 255.255.255.0R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface loopback 0R1(config-if)#ip address 202.1.1.1 255.255.255.0R1(config-if)#exitR1(config)#ip route 172.1.1

28、0.0 255.255.255.248 172.1.1.1R1(config)#line vty 0 4R1(config-line)#password ciscoR1(config-line)#loginR1(config-line)#动态动态NAT配置实例配置实例主机主机0配置配置ip：192.168.1.2 子网掩码：子网掩码：255.255.255.0默认网关：默认网关：192.168.1.1 主机主机1配置配置ip：192.168.1.3子网掩码：子网掩码：255.255.255.0默认网关：默认网关：192.168.1.1 动态动态NAT配置实例配置实例监测和查看动态内部源地址的转

29、换监测和查看动态内部源地址的转换R0#debug ip nat IP NAT debugging is on在主机在主机0上上ping 202.1.1.1 监测监测R0路由器的输出路由器的输出R0#NAT: s=192.168.1.2-172.1.10.2, d=202.1.1.1 1 NAT*: s=202.1.1.1, d=172.1.10.2-192.168.1.2 1 NAT: s=192.168.1.2-172.1.10.2, d=202.1.1.1 2 NAT*: s=202.1.1.1, d=172.1.10.2-192.168.1.2 2 NAT: s=192.168.1.2-

30、172.1.10.2, d=202.1.1.1 3动态动态NAT配置实例配置实例在主机在主机1上上ping 202.1.1.1 监测监测R0路由器的输出路由器的输出R0#NAT: s=192.168.1.3-172.1.10.3, d=202.1.1.1 1 NAT*: s=202.1.1.1, d=172.1.10.3-192.168.1.3 5 NAT: s=192.168.1.3-172.1.10.3, d=202.1.1.1 2 NAT*: s=202.1.1.1, d=172.1.10.3-192.168.1.3 6 NAT: s=192.168.1.3-172.1.10.3, d=202.1.1.1 3 NAT*: s=202.1.1.1, d=172.1.10.3-192.168.1.3 7 NA