用微课学数据网组建与维护 课件 项目7、8 安全有效接入互联网、与分公司互联互通

项目7

安全有效接入互联网用微课学•数据网组建与维护—基于华为eNSP（工作手册式）2项目7

安全有效接入互联网

项目描述：某企业准备组建企业网，企业有行政区和生产区两个区域，两个区域有研发部、财务部、人事部、生产部和销售部，网络拓扑如图7-1所示。企业网需要满足以下需求。1）各个部门单独划分子网。2）路由设备上配置静态路由实现行政区和生产区网络互联，并接入Internet。3）行政区路由器XZQ_AR_01上部署ACL，实现财务部不能访问Internet，分公司的生产部和销售部在周一到周五工作时间（8:00-17:00）可以访问Internet，其它部门可以随时访问Internet。4）企业网内网使用私网地址，行政区路由器XZQ_AR_01上部署NAT，在第3条要求的前提下实现内网访问外网、允许互联网终端访问网内服务器WEB的HTTP功能。图7-1企业网网络拓扑

任务1静态路由的配置7.1.1IP路由基础

7.1.2静态路由配置7.1.3默认路由优化路由表7.1.4路由汇总简化路由表

任务2访问控制列表（ACL）安全接入互联网7.2.1ACL原理与应用

7.2.2基本ACL配置实例7.2.3高级ACL配置实例任务3网络地址转换（NAT）有效接入互联网

7.3.1NAT的原理与应用7.3.2NAT配置实例

主要内容任务1静态路由的配置5知识目标：

正确区分路由和路由表的概念。

正确描述路由表中各部分的具体含义和作用。

可归纳路由的主要来源方式。

可归纳静态路由的优缺点。

可描述默认路由的作用。技能目标：

能配置静态路由实现网络互联。

能灵活应用默认路由简化路由表。素养目标：具备严谨细致、精益求精的网络工匠精神。提高创新思维能力。任务1静态路由的配置学习目标6本任务通过学习IP路由的基本概念、静态路由原理、默认路由优化路由表、路由汇总方法，带领大家掌握静态路由实现网络互联、默认路由和路由汇总优化路由表的方法。任务分析任务1静态路由的配置

任务1静态路由的配置7.1.1IP路由基础

7.1.2静态路由配置7.1.3默认路由优化路由表7.1.4路由汇总简化路由表

任务2访问控制列表（ACL）安全接入互联网7.2.1ACL原理与应用

7.2.2基本ACL配置实例7.2.3高级ACL配置实例任务3网络地址转换（NAT）有效接入互联网

7.3.1NAT的原理与应用7.3.2NAT配置实例

主要内容87.1.1IP路由基础

路由是指路由器从一个接口上收到数据包，根据数据包的目的地址进行定向并转发到另一个接口的过程。

路由通常与桥接来对比，在粗心的人看来，它们似乎完成的是同样的事。它们的主要区别在于桥接发生在OSI参考模型的第二层（数据链路层），而路由发生在第三层（网络层）。这一区别使二者在传递信息的过程中使用不同的信息，从而以不同的方式来完成其任务。1、路由的概念方向？选择？97.1.1IP路由基础路由器能够连接不同类型的局域网和广域网，如以太网、ATM网、FDDI网、令牌环网等。不同类型的网络，其传送的数据单元——包（Packet）的格式和大小是不同的。就像公路运输是以汽车为单位装载货物，而铁路运输是以车皮为单位装载货物一样，从汽车运输改为铁路运输，必须把货物从汽车上放到火车车皮上，网络中的数据也是如此。数据从一种类型的网络传输至另一种类型的网络，必须进行帧格式转换。路由器就有这种能力。实际上，我们所说的“互联网”，就是指各种路由器将各种不同的网络类型互相连接起来。2、路由器的作用10那么路由器是如何进行数据包的转发的呢？3、网络中数据包转发过程其实在每个路由器的内部都有一张路由表，就好比出门旅游我们所使用的地图。在这个路由表中，包含该路由器掌握的所有目的网络地址，以及通过此路由器到达这些网络的最佳路径。正是由于路由表的存在，路由器才可以高效地进行数据包的转发。7.1.1IP路由基础11路由器接收到数据包后，会读取目标逻辑地址的网络部分，而后查找自己内部的路由表。如果找到目标地址的路由条目，则从相应接口进行转发；如果没有找到，但是能够匹配默认路由，则从对应接口转发；否则，将丢弃数据包，返回路由不可达信息。如图7-3所示，网络中的计算机A要想实现和计算机B的通信，由途径的所有路由器R1、R2和R3逐跳转发，每台路由器上必须有到目标网络/24的路由。若实现双向通信，计算机B要给计算机A返回数据包，途经的路由器R3、R2和R1必须有到达/24网段的路由。7.1.1IP路由基础图7-3路由器转发数据包示意图12

以上可以看出，数据包在从源到目的地的传输是通过逐级跳的方式完成的，而且数据包能去能回才能网络畅通的条件，这也是我们排除网络故障的理论依据。

如果网络不通，先检查两端的计算机是否配置了正确的IP地址、子网掩码以及网关；再逐一检查沿途路由器上的路由表，查看是否有到达目标网络的路由；然后逐一检查返回路径的沿途路由器上的路由表，检查是否有数据包返回所需的路由。7.1.1IP路由基础13路由器用两种方式构建路由表：一种方式是，管理员在路由器上通过命令添加到各个网络的路由，这就是静态路由，适合规模较小的网络或网络不怎么变化的情况；另一种方式就是，配置路由器使用路由协议（RIP或OSPF等）自动构建路由表，这就是动态路由，动态路由适合规模较大的网络，能够针对网络的变化自动选择最佳路径。4、路由表的构成7.1.1IP路由基础图7-4路由表的构成路由表表项的关键信息是什么？14主题讨论：根据安安问路记视频中，你觉得找到目的地的关键信息是什么？7.1.1IP路由基础15路由表中最关键的信息为：目的网络地址和下一跳地址。7.1.1IP路由基础16根据路由信息产生的方式和特点，路由可以分为直连路由、静态路由、默认路由和动态路由几种。5、路由的分类7.1.1IP路由基础1）直连路由是指路由器接口直接相连的网段的路由。图7-5路由表中的直连路由2）静态路由是由管理员手工配置的路由信息。图7-6路由表中的静态路由175、路由的分类7.1.1IP路由基础3）默认路由是一种特殊的静态路由，指的是当路由表中与IP包的目的地址之间没有匹配的表项时路由器能够做出的选择。在路由设备上只能配置一条默认路由，以到网络（掩码为）的路由形式出现。4）动态路由是与静态路由相对的一个概念，指路由器能够根据路由器之间的交换的特定路由信息自动地建立自己的路由表，并且能够根据链路和节点的变化适时地进行自动调整。常见的动态路由协议有：RIP、OSPF、IS-IS、BGP、IGRP/EIGRP。图7-7路由表中的默认路由图7-8路由表中的动态路由185、路由规则7.1.1IP路由基础IP路由选路遵循3个原则，分别是最长匹配原则、优先级原则和开销原则。（1）最长匹配原则所谓最长匹配原则是指在进行路由查找时，使用路由表中到达同一目的地的子网掩码最长的路由。

图7-9最长匹配原则应用示意图195、路由规则7.1.1IP路由基础（2）优先级原则当有多个路由信息时，选择最高优先级的路由作为最佳路由。图7-10优先级原则应用示意图205、路由规则7.1.1IP路由基础（3）开销原则开销（Cost）值越小，路由越优先。图7-11开销原则应用示意图21任务训练1.说一说路由器的作用。2.请简述静态路由和默认路由的区别。3.在进行IP包转发的时候，如果路由表中有多条路由都匹配，这时路由器如何进行转发？7.1.1IP路由基础

任务1静态路由的配置7.1.1IP路由基础

7.1.2静态路由配置7.1.3默认路由优化路由表7.1.4路由汇总简化路由表

任务2访问控制列表（ACL）安全接入互联网7.2.1ACL原理与应用

7.2.2基本ACL配置实例7.2.3高级ACL配置实例任务3网络地址转换（NAT）有效接入互联网

7.3.1NAT的原理与应用7.3.2NAT配置实例

主要内容23要想实现全网通信，也就是网络中的任意两个节点都能通信，这就要求每个路由器的路由表中必须有到所有网段的路由。对于路由器来说，它只知道自己直连的网段，对于没有直连的网段，需要管理员人工添加到这些网段的路由。静态路由：管理员人工添加到某个网段如何转发。后面还会讲到配置网络中的路由器使用动态路由协议（RIP、OSPF）自动构建路由表，就是动态路由。1.静态路由的概念7.1.2静态路由配置24[AR1]iproute-static24

[AR1]iproute-static24[AR2]iproute-static24[AR2]iproute-static24[AR3]iproute-static24[AR3]iproute-static24AR1路由器直连A、B两个网段，C、D网段没有直连，你需要添加到C、D网段的路由。AR2路由器直连B、C两个网段，A、D网段没有直连，你需要添加到A、D网段的路由。AR3路由器直连C、D两个网段，A、B网段没有直连，你需要添加到A、B网段的路由。2.静态路由的配置方法7.1.2静态路由配置25添加静态路由[AR1]iproute-static24[AR1]iproute-static显示全部路由[AR1]displayiprouting-table只显示静态路由[AR1]displayiprouting-tableprotocolstatic删除静态路由[AR1]undoiproute-static243.静态路由的配置命令7.1.2静态路由配置267.1.2静态路由配置静态路由案例：如图7-12所示，网络中有A、B、C共3个网段，A网段地址是/24，B网段地址是/24，C网段地址是/24，路由器的接口IP地址的主机地址部分已在图中标出，例如RTA的Ethernet0/0/0接口地址是/24，网络中的2个路由器RTA和RTB如何添加路由才能使得全网通畅呢？图7-12

静态路由配置示例277.1.2静态路由配置操作步骤：（1）在eNSP模拟器中部署拓扑，路由器型号采用Router，如图7-13图所示。

图7-13

静态路由网络拓扑（2）RTA的接口配置。[RTA]intSerial0/0/0[RTA-Serial0/0/0]ipaddress24[RTA-Serial0/0/0]q[RTA]intEthernet0/0/0[RTA-Ethernet0/0/0]ipaddress24[RTA-Ethernet0/0/0]q（3）RTB的接口配置。[RTB]intSerial0/0/0[RTB-Serial0/0/0]ipaddress24[RTB-Serial0/0/0]q[RTB]intEthernet0/0/0[RTB-Ethernet0/0/0]ipaddress24[RTB-Ethernet0/0/0]q（4）RTA上添加静态路由。[RTA]iproute-static24（5）RTB上添加静态路由。[RTB]iproute-static24（6）查看路由表。[RTA]disiprouting-table28课堂练习：配置静态路由，实现PC1和PC2之间通信。7.1.2静态路由配置29任务训练如图7-16所示，路由器R1、R2和R3互联，需要在三台路由器上添加静态路由，让PC1、PC2和PC3能够互相访问。7.1.1IP路由基础图7-16

静态路由示例网络

任务1静态路由的配置7.1.1IP路由基础

7.1.2静态路由配置7.1.3默认路由优化路由表7.1.4路由汇总简化路由表

任务2访问控制列表（ACL）安全接入互联网7.2.1ACL原理与应用

7.2.2基本ACL配置实例7.2.3高级ACL配置实例任务3网络地址转换（NAT）有效接入互联网

7.3.1NAT的原理与应用7.3.2NAT配置实例

主要内容317.1.3默认路由优化路由表下面我们在路由器上添加以下四条路由。[RTA]iproute-static8

--第1条路由[RTA]iproute-static16

--第2条路由[RTA]iproute-static24

--第3条路由[RTA]iproute-static

0

--第4条路由

1.默认路由哪条路由最优，最先被选择？“最长前缀匹配”算法

默认路由是一种特殊的静态路由，其命令格式和静态路由一样，只是把目的网络和子网掩码改成和。327.1.3默认路由优化路由表1.默认路由

默认路由是一种特殊的静态路由，其命令格式和静态路由一样，只是把目的网络和子网掩码改成和。

如果想让一个网段包括全部的IP地址，这就要求子网掩码短到极限，最短就是0，子网掩码变成了，这就意味着该网段的32位二进制的IP地址都是主机位，任何一个地址都属于该网段。

因此

子网掩码网段包括了全球所有IPv4地址，也就是全球最大的网段，换一种写法就是/0。337.1.3默认路由优化路由表下面我们在路由器上添加以下四条路由。[RTA]iproute-static8

--第1条路由[RTA]iproute-static16--第2条路由[RTA]iproute-static24

--第3条路由[RTA]iproute-static

0

--第4条路由

1.默认路由哪条路由最优，最先被选择？根据前面所学习的“最长匹配原则”，第3条路由是掩码长度最长的、最精确的匹配项。第4条路由，即默认路由，掩码长度最短，是在路由器没有为数据包找到更为精确匹配的路由时最后匹配的一条路由。如果没有默认路由器，其目的地址在路由表中没有匹配条目的数据包将被丢弃。

默认路由是一种特殊的静态路由，其命令格式和静态路由一样，只是把目的网络和子网掩码改成和。34默认路由在某些时候非常有效，当存在末梢网络时，默认路由会大简化路由器的配置，减轻管理员的工作负担，提高网络性能。2.使用默认路由简化路由表7.1.3默认路由优化路由表末梢网络末梢网络357.1.3默认路由优化路由表如图7-17所示的网络结构，通过默认路由简化路由表，默认路由与静态路由配合实现全网互联互通。

图7-17简化路由表的配置示例配置分析：对于路由器RTA和路由器RTD都是属于末梢网络的路由器，除了直连网段之外，到达其他网段的下一跳地址都是同一个地址，所以可以分别配置一条默认路由；对于路由器RTB和路由器RTC，到达其他网段存在两个下一跳地址，所以可以配置静态路由和默认路由的组合。367.1.3默认路由优化路由表

图7-17简化路由表的配置示例主要配置：（1）RTA的路由配置。[RTA]iproute-static0（2）RTB的路由配置。[RTB]iproute-static24[RTB]iproute-static0（3）RTC的路由配置。[RTC]iproute-static24[RTC]iproute-static0（4）RTD的路由配置。[RTD]iproute-static037

默认路由还经常应用在企业的外网（Internet）出口，外网访问的网段较多，不方便指定明细的网段。直接使用默认路由，IP报文可以转发访问任意的地址。3.使用默认路由作为指向Internet的路由7.1.3默认路由优化路由表图7-18

指向Internet的默认路由配置示例配置分析：路由器RTC位于Internet，路由器RTA和PC1属于内部网络，路由器RTB是出口路由器，若使内网和Internet之间互访，可在出口路由器RTB上使用默认路由。387.1.3默认路由优化路由表图7-18

指向Internet的默认路由配置示例主要配置：（1）RTA的路由配置。[RTA]iproute-static0（2）RTB的路由配置。[RTB]iproute-static24[RTB]iproute-static0--指向Internet的路由（3）RTC的路由配置。[RTC]iproute-static039思考与讨论：小王完成客户的网络工程配置后，业务主管在产品测试发现网络功能已完全实现，但仍要求小王用默认路由优化路由器配置，小王表示非常不理解，你是怎么理解业务主管的要求的？7.1.3默认路由优化路由表40课堂练习：基于优化路由表的角度，通过配置静态路由和默认路由来实现PC1和PC2之间的通信。7.1.3默认路由优化路由表41任务训练公司内网有A、B和C共3个路由器，并接入到互联网运营商路由器ISP上，网络拓扑和地址规划如图7-19所示，请在各个路由器上添加静态路由和默认路由，使得各网段之间能够相互通信。图7-19

默认路由应用示例7.1.3默认路由优化路由表

任务1静态路由的配置7.1.1IP路由基础

7.1.2静态路由配置7.1.3默认路由优化路由表7.1.4路由汇总简化路由表

任务2访问控制列表（ACL）安全接入互联网7.2.1ACL原理与应用

7.2.2基本ACL配置实例7.2.3高级ACL配置实例任务3网络地址转换（NAT）有效接入互联网

7.3.1NAT的原理与应用7.3.2NAT配置实例

主要内容437.1.4路由汇总简化路由表Internet是全球最大的互联网，如果Internet上的路由器把全球所有的网段都添加到路由表，那将是一个非常庞大的路由表。路由器每转发一个数据包，都要检查路由表为该数据包选择转发接口，庞大的路由表势必会增加处理时延。通过合理的地址规划，可以通过路由汇总简化路由表。将物理位置连续的网络分配地址连续的网段，在边界路由器外的路由器就可以将远程的网络合并成一条路由，这就是路由汇总。447.1.4路由汇总简化路由表在图7-20所示的网络中，对R1而言，如果要到达R2右侧的/24~/24网络，自然要配置路由，若手工为每个网段配置静态路由，那意味着需要配置255条，不仅工作量极大，也使得R1的路由表极为臃肿。图7-20

路由汇总配置457.1.4路由汇总简化路由表通过创建一条汇总路由iproute-static24，则大大简化路由配置。当然，也可以通过配置默认路由来说实现，但默认路由无法实现对路由更为细致地控制。图7-20

路由汇总配置46不汇总时路由表R2/24/24/24/24/24/24/24/24/24/24R1[R1]iproute-static[R1]iproute-static[R1]iproute-static[R1]iproute-static[R1]iproute-static[R2]iproute-static[R2]iproute-static[R2]iproute-static[R2]iproute-static[R2]iproute-static边界线北京市石家庄市7.1.4路由汇总简化路由表47汇总后的路由表R2/24/24/24/24/24/24/24/24/24/24R1[R1]iproute-static[R2]iproute-static边界线北京市石家庄市到石家庄市的网络汇总成一条路由将全部以172.16开头网络进行了合并，汇总成一条路由到北京市的网络汇总成一条路由将全部以192.168开头网络进行了合并，汇总成一条路由7.1.4路由汇总简化路由表48任务训练如图7-21所示，公司A区和B区的网络由路由器R1和路由器R2互联，请使用路由汇总技术，在路由器R1上配置一条到B区的汇总路由，在路由器R2上配置一条到A区的汇总路由，使得各网段之间能够相互通信。7.1.4路由汇总简化路由表图7-21

路由汇总应用示例49R1R2/24/24A区B区/24/24/24/24[R1]iproute-static

[R2]iproute-static

练一练7.1.4路由汇总简化路由表任务2访问控制列表ACL安全接入互联网51知识目标：可说出访问控制列表的应用场合。

可描述访问控制列表的基本原理和作用。

可描述访问控制列表的分类和基本规则。技能目标：能熟练进行ACL配置。能运用ACL解决实际问题。能够使用基于时间段的访问控制列表进行访问控制。素养目标：提高网络安全防护意识。培养规范操作的网络工匠精神。学习目标任务2访问控制列表（ACL）安全接入互联网52本任务通过学习访问控制列表（ACL）的概念、作用、分类和应用，带领大家掌握基本ACL和高级ACL的配置，并能运用ACL解决网络中的实际问题。任务分析任务2访问控制列表（ACL）安全接入互联网

任务1静态路由的配置7.1.1IP路由基础

7.1.2静态路由配置7.1.3默认路由优化路由表7.1.4路由汇总简化路由表

任务2访问控制列表（ACL）安全接入互联网7.2.1ACL原理与应用

7.2.2基本ACL配置实例7.2.3高级ACL配置实例任务3网络地址转换（NAT）有效接入互联网

7.3.1NAT的原理与应用7.3.2NAT配置实例

主要内容54数据网络是否安全？2018，美国Facebook信息泄露事件在全球引起了轩然大波。一家名为“剑桥分析”的大数据公司利用Facebook搜集了超过8700万用户资料，并通过数据分析预测和影响了美国总统选举。用户的行为分析是基于数据的，它利用了用户在网站上发生的所有行为,如搜索、浏览、打分、点评、加入购物车等从而获取到用户的行为。新闻、热点、广告等个性化推送服务。55数据网络是否安全？北京公司利用爬虫技术窃取2.1亿条简历数据2月8日，北京某科技公司因爬虫窃密案被判处罚金人民币四千万元，被告人王某某被判处有期徒刑七年，罚金人民币一千万元，其他被告人均被判处相应刑罚。该公司在2015年至2019年间组建爬虫技术团队，在未取得求职者和平台直接授权的情况下，秘密爬取国内主流招聘平台上的求职者简历数据，涉及2.1亿余条个人信息。上海企业通过扫码点餐、人脸识别等非法收集个人信息3月13日，上海多家家企业因侵害消费者合法权益被市场监管局曝光，其中，上海九翊餐饮管理有限公司通过“扫码点餐”非法收集消费者个人信息，且未向消费者明示收集、使用的目的、方式和范围；上海悦筑房地产有限公司非法收集消费者人脸信息，用于甄别客户是自行前往售楼处还是由分销商带往，据此向分销商结算佣金。虚假冬奥知识竞赛平台致350余万学生信息遭泄露1月-2月，李某辉伙同汤某峰等人在没有取得冬奥组委会授权的情况下，开发一“冬奥知识竞赛平台”，非法获取全国大中专院校在校学生的个人信息350余万条，骗取部分参与者缴纳证书工本费总计1000万余元。56思考与讨论：面对数据安全问题，你可选择从个人、企业或技术的角度，探讨一下解决方案。数据网络是否安全？577.2.1ACL原理与应用1.什么是ACL？访问控制列表（AccessControlList，ACL）可以定义一系列不同的访问控制规则，路由器设备根据这些规则对数据包进行区分，哪些是合法的流量，哪些是非法的流量，通过这种区分来对数据包进行过滤并达到有效控制的目的。图7-22

部署ACL对数据流量进行控制587.2.1ACL原理与应用2.ACL的作用常见的ACL的应用是将ACL应用到接口上。其主要作用是根据数据包与数据段的特征来进行判断，决定是否允许数据包通过路由器转发，其主要目的是对数据流量进行管理和控制。ACL作为一个通用的数据流量的判别标准还可以和其他技术配合，应用在不同的场合：网络地址转换NAT、防火墙、QOS与队列技术、策略路由、数据速率限制等。597.2.1ACL原理与应用3.ACL的分类根据不同的划分规则，ACL可以有不同的分类。最常见的两种分类是基本ACL和高级ACL。（1）基本ACL。基本ACL只针对数据包的源地址信息作为过滤的标准，过滤标准比较粗，其编号取值范围是2000-2999。（2）高级ACL。高级ACL可以针对数据包的源地址、目的地址、协议类型及应用类型（端口号）等信息作为过滤的标准，即可以根据数据包是从哪里来、到哪里去、何种协议、什么样的应用等特征来进行精确地控制。其编号取值范围是3000-3999。表

7-1

基本ACL和高级ACL的比较分类编号范围参数基本ACL2000-2999源IP地址等高级ACL3000-3999源IP地址、目的IP地址、源端口、目的端口等607.2.1ACL原理与应用4.ACL规则如果未匹配如果未匹配/24/24RTARTBrule15denysource55每个ACL可以包含多个规则，RTA根据规则来对数据流量进行过滤。rule10denysource55acl2000rule5denysource55617.2.1ACL原理与应用5.如何安排ACL规则顺序1）ACL匹配顺序是至上而下，具体的判别条目应放置在前面2）每张ACL中都有一条隐含Deny3）ACL配置完成后需要调用才能生效，可以直接在接口下例如：你要控制一个网段/24的访问，rule5permit，表示允许网段，除此以外全部拒绝rule10deny表示拒绝网段，除此以外全部拒绝。实际上等于拒绝所有网段(包括)等同于denyany的效果627.2.1ACL原理与应用6.在什么地方部署ACL访问控制列表ACL必须部署在路由器的某个接口的某个方向上。因此，对于路由器来说存在入口（Inbound）和出口（Outbound）两个方向。图7-24路由器接口的出口和入口方向标准ACL应放在离目的地近的地方；扩展ACL放在离源近的地方63任务训练1.说一说，ACL的作用是什么？2.归纳一下，ACL可以分为哪几种类别？它们的区别是什么？3.想一想，你该如何安排访问列表中的规则条目顺序？7.2.1ACL原理与应用

任务1静态路由的配置7.1.1IP路由基础

7.1.2静态路由配置7.1.3默认路由优化路由表7.1.4路由汇总简化路由表

任务2任务2访问控制列表（ACL）安全接入互联网7.2.1ACL原理与应用

7.2.2基本ACL配置实例7.2.3高级ACL配置实例任务3网络地址转换（NAT）有效接入互联网

7.3.1NAT的原理与应用7.3.2NAT配置实例

主要内容657.2.2基本ACL配置实例如图7-25所示，某企业内网有2个网段，研发部在VLAN1，网络地址为/24，服务器区在VLAN2，网络地址为/24，路由器AR1连接这2个VLAN。路由器AR2为互联网路由器，所在网络地址为/24。要求：①研发部网段可以访问Internet。②服务器区网段不允许访问Internet。图7-25基本ACL的应用配置分析：若完成配置要求，需要控制内网访问Internet的流量，这些访问流量都要经过路由器AR1的GE0/0/0端口发送出去，因此可以在此端口的出口（Outbound）方向进行数据包过滤。由于数据包过滤的条件都基于源地址，故使用基本ACL就可以实现。667.2.2基本ACL配置实例图7-25基本ACL的应用操作步骤：（1）AR1的接口配置。[AR1]vlan2[AR1-vlan2]intvlan2[AR1-Vlanif2]ipaddress24[AR1-Vlanif2]inte0/0/4[AR1-Ethernet0/0/4]portlinkaccess[AR1-Ethernet0/0/4]portdefaultvlan2[AR1-Ethernet0/0/4]inte0/0/5[AR1-Ethernet0/0/5]portlinkaccess[AR1-Ethernet0/0/5]portdefaultvlan2[AR1]intvlan1[AR1-Vlanif1]ipaddress24[AR1]intg0/0/0[AR1-GigabitEthernet0/0/0]ipaddress24（2）AR2的接口配置。[AR2]intg0/0/0[AR2-GigabitEthernet0/0/0]ipadd24[AR2-GigabitEthernet0/0/0]intvlan1[AR2-Vlanif1]ipadd24（3）AR1和AR2的路由配置。[AR1]iproute-static[AR2]iproute-static此时，主机之间互ping，能够ping通。677.2.2基本ACL配置实例图7-25基本ACL的应用（4）ACL配置。[AR1]acl2000--创建基本ACL2000[AR1-acl-basic-2000]rule10denysource55

--创建规则10，拒绝网段源地址为的主机的访问Internet[AR1-acl-basic-2000]rule20permitsource55

--创建规则20，允许网段源地址为的主机可以访问Internet[AR1-acl-basic-2000]rule30deny--最后拒绝所有，默认允许所有[AR1]disaclall--查看当前ACL（5）将ACL绑定到GE0/0/0的出站方向。[AR1]intg0/0/0[AR1-GigabitEthernet0/0/0]traffic-filteroutboundacl2000--绑定到出站方向

任务1静态路由的配置7.1.1IP路由基础

7.1.2静态路由配置7.1.3默认路由优化路由表7.1.4路由汇总简化路由表

任务2任务2访问控制列表（ACL）安全接入互联网7.2.1ACL原理与应用

7.2.2基本ACL配置实例7.2.3高级ACL配置实例任务3网络地址转换（NAT）有效接入互联网

7.3.1NAT的原理与应用7.3.2NAT配置实例

主要内容697.2.3高级ACL配置实例如图7-26所示，某企业网络AR1为内网出口路由器，连接工程部、财务部、财务部服务器这3个VLAN。路由器AR2为互联网路由器，Server2为互联网中的服务器，提供DNS和HTTP服务。在AR1路由器上创建高级ACL，以实现下列要求。①允许工程部在工作时间（周一到周五的8:00~17:00）能够访问Internet。②允许财务部能够访问Internet，但只允许访问网站。③禁止财务部服务器访问Internet。图7-26高级ACL的应用配置分析：在AR1上创建一个高级ACL，将该ACL绑定到AR1的GE0/0/0接口的出向。允许财务部访问Internet网站，访问网站需要域名解析，域名解析使用的协议是DNS，DNS协议使用的是UDP的53端口，访问网站使用的协议是HTTP协议和HTTPS协议，HTTP协议使用的是TCP的80端口，HTTPS协议使用的是TCP的443端口。707.2.3高级ACL配置实例图7-26高级ACL的应用ACL配置：[AR1]acl3000--创建高级ACL[AR1]time-rangeworking-time08:00to17:00working-day[AR1-acl-adv-3000]rule5permitipsource55destinationanytime-rangeworking-time[AR1-acl-adv-3000]rule10permitudpsource55destinationanydestination-porteqdns[AR1-acl-adv-3000]rule15permittcpsource55destination-porteqwww[AR1-acl-adv-3000]rule20permittcpsource55destination-porteq443[AR1-acl-adv-3000]rule25denyip将ACL绑定到接口。[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]traffic-filteroutboundacl3000①允许工程部在工作时间（周一到周五的8:00~17:00）能够访问Internet。②允许财务部能够访问Internet，但只允许访问网站。③禁止财务部服务器访问Internet。717.2.3高级ACL配置实例①

验证工程部是否实现在工作时间（周一到周五的8:00~17:00）能够访问Internet。<AR1>displayclock--查看当前时间<AR1>clockdatetime06:00:002021-01-04

--更改路由器时间和日期，此时间为非工作时间使用工程部中的PC1pingInternet上的Server2，发现ping不通。再在AR1上查看ACL，可以看到rule5变成Inactive（不活跃）状态。若改变路由器时间在工作时间段，PC1可以ping通Internet上的Server2，rule5变成Aactive（活跃）状态。727.2.3高级ACL配置实例②验证财务部是否能够访问Internet的网站。如图7-27所示，设置DNS服务器域名为“”，IP地址为，并启动DNS服务。如图7-28所示，设置Http服务器文件根目录为“D:\”，并启动Http服务。

图7-27DNS服务器设置图7-28Http服务器设置737.2.3高级ACL配置实例②如图7-29所示，设置财务处Clinet1的域名服务器地址为，并在客户端的地址栏输入域名“”获取Http服务。图7-29Client客户端设置③验证是否禁止财务部服务器访问Internet。在Serve1的接触配置界面，pingServer2的IP地址，结果不能ping通。74任务训练图7-30所示的网络中，在路由器AR1上创建ACL，禁止PC1、PC2和PC3之间相互通信，禁止PC1、PC2访问Server2的web，但运行PC3访问Server2的web。7.2.3高级ACL配置实例图7-30ACL配置网络拓扑任务3网络地址转换（NAT）有效接入互联网76知识目标：可说出NAT产生的背景。正确描述NAT的工作原理和工作过程。可归纳NAT的类型。技能目标：能熟练进行MAT配置。能运用NAT解决实际问题。素养目标：培养资源节约的工程理念。培养规范操作的网络工匠精神。学习目标任务3网络地址转换（NAT）有效接入互联网77本任务通过学习NAT技术的产生背景、NAT工作原理、NAT的分类、NAT的配置和应用，带领大家掌握Easy-IP、NATServer的配置，并能运用NAT技术解决网络中的实际问题。任务分析任务3网络地址转换（NAT）有效接入互联网

任务1静态路由的配置7.1.1IP路由基础

7.1.2静态路由配置7.1.3默认路由优化路由表7.1.4路由汇总简化路由表

任务2访问控制列表（ACL）安全接入互联网7.2.1ACL原理与应用

7.2.2基本ACL配置实例7.2.3高级ACL配置实例任务3网络地址转换（NAT）有效接入互联网

7.3.1NAT的原理与应用7.3.2NAT配置实例

主要内容79引

入IPV4地址不够用怎么办？我国已积极推进IPV6网络的部署实现网络规模、用户规模和流量规模三个世界第一，PV4和IPV6共存阶段，节省使用IPV4地址仍是近期存在的问题802021年7月，近千万中国网民联署呼吁彻查美国德堡时，服务器遭美国IP网络攻击网络安全问题是未来中国发展建设的重点工作：在我国“十四五”规划中，网络安全已经确定成为未来中国发展建设工作的重点之一。《“十四五”规划和2035年远景目标纲要》里共提及“网络安全”14次，涉及数字经济、数字生态、国家安全、能源资源安全四大领域。没有网络安全就没有国家安全--习近平引

入81国内数一数二的主流服务器被攻击瘫痪攻击服务器的方式(DDOS)：分布式拒绝服务攻击(英文意思是DistributedDenialofService，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。DDoS是DoS的升级

引

入82主题讨论：1.你知道网络攻击的方式有哪些？2.你觉得黑客网络攻击的目的是什么？3.如何维护网络安全？维护网络安全是全社会共同责任引

入831.NAT定义。NAT是NetworkAddressTranslation的简写，中文意思是“网络地址转换”，它是一个IETF（国际互联网工程任务组，一个公开性质的大型民间国际团体）标准，它可以把私网地址和公网地址做转换，一方面可隐藏内部网络的真实IP地址，使内部网络免受黑客的直接攻击，另一方面由于内部网络使用了私有IP地址，从而有效解决了公网IP地址不足的问题。7.3.1NAT的原理与应用842.NAT应用场景7.3.1NAT的原理与应用图7-31NAT的应用场景企业或家庭所使用的网络为私有网络，使用的是私有地址；运营商维护的网络为公共网络，使用的是公有地址。私有地址不能在公网中路由。NAT一般部署在连接内网和外网的网关设备上。853.NAT的类型7.3.1NAT的原理与应用

常见的NAT技术有三种类型：静态转换NAT（StaticNAT）、动态转换NAT（PooledNAT）、网络地址端口转换NAPT（PAT）。（1）静态转换NAT

将每个拥有内部私有地址的计算机都映射成外部网络中的一个合法的公有IP地址，其中的IP地址是一对一的一成不变的。S:D:D:S:S:D:SWASWARTAS:D:主机A主机BD:S:D:S:S:D:S:D:/24/24/24主机C图7-32

静态NAT应用场景867.3.1NAT的原理与应用（2）动态地址NAT

在外部网络中定义了一些合法地址，它们是采用动态分配的方法将地址映射到内部网络，IP地址是随机的，不是一一对应的。/24……S:D:S:D:D:S:SWASWARTAS:D:主机A主机B/24/24/24主机C图7-33动态NAT应用场景877.3.1NAT的原理与应用（3）网络地址端口NAT网络地址端口NAT，也称NAPT，它使用一个合法公有地址，以不同的协议端口号与不同的内部地址相对应。图7-34动态NAPT应用场景/24：2843：2844……SWASWARTA主机A主机B/24/24S::1028D::80S::1025D::80S::2844D::80S::2843D::80/24主机C88任务训练1.描述NAT的应用场景。2.简述NAT的工作原理。3.NAT按技术类型可以分为哪三种转换方式？7.3.1NAT的原理与应用

任务1静态路由的配置7.1.1IP路由基础

7.1.2静态路由配置7.1.3默认路由优化路由表7.1.4路由汇总简化路由表

任务2访问控制列表（ACL）安全接入互联网7.2.1ACL原理与应用

7.2.2基本ACL配置实例7.2.3高级ACL配置实例任务3网络地址转换（NAT）有效接入互联网

7.3.1NAT的原理与应用7.3.2NAT配置实例

主要内容907.3.2NAT配置实例[AR1]intg0/0/1[AR1-GigabitEthernet0/0/1]natstaticglobalinsidenetmask55[AR1-GigabitEthernet0/0/1]natstaticglobalinsidenetmask55[AR1-GigabitEthernet0/0/1]natstaticglobalinsidenetmask55<R1>displaynatstatic1.静态NAT配置案例需求：在AR1上做静态NAT私有地址用公网地址替换、私有地址用公网地址替换、私有地址用公网地址替换。

注意：基础配置包含接口地址以及AR1上配置一条默认路由，AR2是互联网路由器不需配置路由此实训注意事项：eNSP的Router不支持NAT，需选择AR类型91测试完成后，删除静态NAT设置，初始化环境，为接下来的实训做好准备[AR1]intg0/0/1[AR1-GigabitEthernet0/0/1]undonatstaticglobalinsidenetmask55[AR1-GigabitEthernet0/0/1]undonatstaticglobalinsidenetmask55[AR1-GigabitEthernet0/0/1]undonatstaticglobalinsidenetmask55--删除静态NAT设置，初始化网络环境。7.3.2NAT配置实例927.3.2NAT配置实例2.动态NAT配置（地址池方式）案例需求：在AR1上做动态NATISP给企业分配了、、、共4个公网地址，其中指定给AR1的GE0/0/1端口。（1）创建ACL，定义NAT数据流。[AR1]acl2000[AR1-acl-basic-2000]rule5permitsource55[AR1-acl-basic-2000]rule10deny[AR1-acl-basic-2000]quit（2）创建公网地址池。[AR1]nataddress-group1

--指定公网地址池编号1和开始地址和结束地址（3）为AR1上连接Internet的端口GE0/0/1配置NAT。[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]natoutbound2000address-group1（4）测试。网内主机可以ping通Internet主机和服务器。93测试完成后，动态地址池NAT设置，初始化环境，为接下来的实训做好准备[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]undonatoutbound2000address-group1[AR1-GigabitEthernet0/0/1]quit[AR1]undonataddress-group1--删除动态地址池NAT设置，初始化网络环境。7.3.2NAT配置实例943.使用外网端口做NAPT(Easy-IP)7.3.2NAT配置实例案例需求：在AR1上配置Easy-IP，允许内网主机使用AR1路由器上GE0/0/0端口的公网地址做地址转换以访问Internet。要求在AR1上做动态NATISP只给企业分配了一个公网地址，并把这个地址指定给AR1的GE0/0/1端口。（1）创建ACL，定义NAT数据流。[AR1]acl2000[AR1-acl-basic-2000]rule5permitsource55[AR1-acl-basic-2000]rule10deny[AR1-acl-basic-2000]quit（2）为AR1上连接Internet的端口GE0/0/1配置Easy-IP。[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]natoutbound2000

--指定允许网络地址端口转换的ACL（3）测试。网内主机可以ping通Internet主机和服务器。（4）删除AR1上端口GigabitEthernet/0/1的NAT配置[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]undonatoutbound2000

95AR154InternetAR2WebFTPServer1PC3PC5PC6目标地址

TCP目标端口21目标地址

TCP目标端口80目标地址TCP目标端口21目标地址

TCP目标端口80GE0/0/1背景：Internet上的计算机是没办法直接访问企业内网（私网IP地址）中的计算机和服务器的。如果打算让Internet上的计算机访问企业内网中的服务器，那么需要在企业连接Internet的路由器上配置端口映射，且该路由器必须有公网地址。NATServer（服务器映射）就是应用于实现私网服务器以公网IP地址对外提供服务的技术。当外部网络的用户访问内部服务器时，NAT将请求报文的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言，NAT还会自动将回应报文的源地址（私网地址）转换成公网地址。7.3.2NAT配置实例4.使用外网端口做NAPT(Easy-IP)967.3.2NAT配置实例4.使用外网端口做NAPT(Easy-IP)案例需求：在AR1上定义NATServer，实现以下功能：①Internet上的用户可以正常访问企业内网中的Web服务器。②该公司员工下班回家后，可以用远程连接企业内网的FTP服务器。AR1的GE0/0/1端口地址为公网地址，还有一个公网地址是。（1）AR1上部署Easy-IP，保证内网访问外网。[AR1]acl2000[AR1-acl-basic-2000]rule5permitsource55[AR1-acl-basic-2000]rule10deny[AR1-acl-basic-2000]quit[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]natoutbound2000（2）允许互联网终端访问网内服务器web的http功能。[AR1-GigabitEthernet0/0/1]natserverprotocoltcpglobalcurrent-interfacewwwinsidewww（3）允许互联网终端访问网内FTP服务器的FTP功能。[AR1-GigabitEthernet0/0/1]natserverprotocoltcpglobalftpinsideftp977.3.2NAT配置实例（4）测试。①验证Internet上的用户是否可以正常访问企业内网中的Web服务器的http功能。在Web服务器上启动Http服务，如图7-36所示。在Clinet1的客户端输入地址，并获取网内Web服务器上的Http服务，如图7-37所示。图

7-36Web服务器上启动Http服务图7-37Clinet1的客户端获取Http服务

987.3.2NAT配置实例②验证互联网用户是否可以用远程连接企业内网的FTP服务器。在FTP服务器上启动Ftp服务，如图7-38所示。在Clinet1的客户端通过这个公网地址登录FTP服务器，并获取网内FTP服务器上的文件内容，如图7-39所示。图

7-38

FTP服务器上启动Ftp服务图

7-39

Clinet1的客户端获取Ftp服务99

归纳总结

1.静态NAT：可以一对一转换公网和私网地址[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natstaticglobalinsidenetmask55[R1-GigabitEthernet0/0/1]natstaticglobalinsidenetmask552.使用外端口地址实现NAPT，也叫Easy-NAT[AR1]acl2000[AR1-acl-basic-2000]rule5permitsource55[AR1-acl-basic-2000]ruledeny[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]natoutbound2000--指定允许NAPT的ACL3.使用地址池实现NAPT，属于动态NAT1）创建ACL2）创建公网地址池[AR1]nataddress-group1--指定公网地址池编号1和开始地址和结束地址3）为AR1上连接Internet的端口GigabitEthernet0/0/1配置NAPT[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]natoutbound2000address-group1--指定ACL2000使用的公网地址池4.NAT的server功能：实现外网访问内网服务器

[AR1-GigabitEthernet0/0/1]natserverprotocoltcpglobalcurrent-interfacewwwinsidewwwNAPT有个特点：内网的计算机能够主动发起对公网的访问，公网的计算机却不能主动发起对内网的访问。可以认为是单向访问。100

项目描述：某企业准备组建企业网，企业有行政区和生产区两个区域，两个区域有研发部、财务部、人事部、生产部和销售部，网络拓扑如图7-1所示。企业网需要满足以下需求。1）各个部门单独划分子网。2）路由设备上配置静态路由实现行政区和生产区网络互联，并接入Internet。3）行政区路由器XZQ_AR_01上部署ACL，实现财务部不能访问Internet，分公司的生产部和销售部在周一到周五工作时间（8:00-17:00）可以访问Internet，其它部门可以随时访问Internet。4）企业网内网使用私网地址，行政区路由器XZQ_AR_01上部署NAT，在第3条要求的前提下实现内网访问外网、允许互联网终端访问网内服务器WEB的HTTP功能。图7-1企业网网络拓扑项

目

实

施101项

目

实

施

网络拓扑：102项

目

实

施2.数据规划

（1）VLAN及端口成员分配。根据项目方案的要求，各子网对应的VLAN及VLAN的端口成员分配如表

7-2所示。设备节点子网名称VLAN号对应端口LSW1与AR1互联子网VLAN10GE0/0/1研发部VLAN20GE0/0/2财务部VLAN30GE0/0/3人事部VLAN40GE0/0/4LSW2生产部VLAN60GE0/0/2销售部VLAN70GE0/0/3与AR2互联子网VLAN80GE0/0/1表

7-2

VLAN及端口分配表感谢观看THANKSDataCommunicationNetwork用微课学•数据网组建与维护——基于华为eNSP（工作手册式）项目8

与分公司互联互通用微课学•数据网组建与维护—基于华为eNSP（工作手册式）105项目8与分公司互联互通

项目描述：某工业互联网企业有总公司和分公司两个区域，总公司的核心层设计为冗余架构，企业网终端连接人事部、财务部、研发部、维护部、生产部、测试部等部门，网络拓扑如图8-1所示，网络功能需要满足以下需求。1）各个部门单独划分子网。2）三层设备上配置OSPF动态路由实现网络互联。3）总公司和分公司通过广域网专线互联连接，为了安全，分公司路由器作为被认证方，总公司路由器作为认证方，采用PPP的挑战握手身份认证协议（CHAP）认证。图8-1工业互联网企业网络拓扑

任务1动态路由协议OSPF实现网络互联8.1.1OSPF协议原理与应用

8.1.2单域OSPF配置8.1.3多域OSPF配置

任务2与分公司互联中的PPP认证8.2.1HDLC协议原理与配置

8.2.2PPP协议原理与配置

主要内容任务1动态路由协议OSPF实现网络互联108知识目标：正确描述OSPF协议的基本术语。能描述DR、BDR、Router-id的作用和选取原则。可归纳链路状态路由协议的工作过程。可描述OSPF区域划分的作用。技能目标：能配置OSPF协议实现网络互联。能合理地进行OSPF网络的区域划分。能灵活应用OSPF协议解决实际应用问题。素养目标：提高创新思维意识。

具备严谨细致、精益求精的网络工匠精神。任务1动态路由协议OSPF实现网络互联学习目标109本任务通过学习OSPF协议的定义、相关概念、工作过程、网络类型、区域划分及OSPF配置案例，带领大家配置OSPF协议、合理划分OSPF网络区域，实现网络互联。任务分析任务1动态路由协议OSPF实现网络互联

任务1动态路由协议OSPF实现网络互联8.1.1OSPF协议原理与应用

8.1.2单域OSPF配置8.1.3多域OSPF配置

任务2与分公司互联中的PPP认证8.2.1HDLC协议原理与配置

8.2.2PPP协议原理与配置

主要内容111

8.1.1OSPF协议原理与应用开放最短路径优先协议（OpenShortestPathFirst，OSPF）用于单一自治系统AS内的决策路由。在IP网络上，它通过收集和传递自治系统的链路状态来动态地发现最短优先路径并传播路由。最短路径意思是指出发点和终点之间长度最短（边权和最小）的路径。图8-3所示的最短路径优先算法示意图中，1->3->2->5是该例图的一条最短路径。1、OSPF协议的概念图8-3最短优先路径优先算法示意图112

8.1.1OSPF协议原理与应用2、OSPF协议的特点SiteBSiteASiteCOSPFRTBRTARTCRIPOSPF无环路收敛快扩展性好支持认证113

8.1.1OSPF协议原理与应用3、OSPF工作过程目的网络下一跳开销.................................................................LSA泛洪LSDBLSAofRTALSAofRTBLSAofRTCSPF算法路由计算最短路径树路由表SiteAOSPFRTBRTARTCOSPF工作过程总体示意图链路状态表如何产生？114

8.1.1OSPF协议原理与应用4、OSPF工作过程目的网络下一跳开销.................................................................LSA泛洪LSDBLSAofRTALSAofRTBLSAofRTCSPF算法路由计算最短路径树路由表SiteAOSPFRTBRTARTCOSPF工作过程总体示意图邻居表拓扑表路由表115

8.1.1OSPF协议原理与应用OSPF工作过程3建立链路状态（拓扑表）建立邻接关系（邻居表）21选举DR/BDR4计算路由（路由表）Router-ID网络中运行OSPF协议的路由器都要有一个唯一的标识，这就是Router-ID。一般建议手工配置RouterID。如果没有配置RouterID，则选择最大的Loopback地址作为RouterID，如果没有配置Loopback地址，那么在OPSF接口地址中选择最大的IP地址作为RouterID。。Hello包最常用的一种报文，2s为周期发送给本路由器的邻居。内容包括一些定时器的数值、DR、BDR以及自己已知的邻居。。指定路由器（DR）和备份指定路由器（BDR）为减小多路访问网络中OSPF流量，OSPF会选择一个指定路由器（DR）和一个备份指定路由器（BDR）。同一广播域内的路由器都与DR通告链路状态LSA，并由DR进行中转通告给广播域内别的路由器；BDR会监控DR的状态，并在当前DR发生故障时接替其角色。116

8.1.1OSPF协议原理与应用Hello包的交换是通过组播实现的。拥有最高优先级的Router将成为DR（BDR），同优先级则RouterID大当选。HelloDRBDROS