1、2022-10-211为什么要讲设备使用为什么要讲设备使用交换机的用途交换机的用途路由器的用途路由器的用途2022-10-212为什么要讲设备使用网络架构包含两部分内容:网络架构包含两部分内容:1、搭建各种网络服务。、搭建各种网络服务。Windows2003网络服务搭建网络服务搭建Asianux网络网络服务搭建服务搭建重点重点2、设计、设计网络拓扑网络拓扑并并组建网络组建网络;网络设计网络设计设备连接与配置设备连接与配置2022-10-213典型网络拓扑InternetPC1PC2PC3PC4网络连接设备网络连接设备1网络连接设备网络连接设备2交换机交换机路由器路由器2022-10-214网络
2、连接设备TCP/IP体系结构体系结构运输层运输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层应用层网关应用层网关四层交换机、网关四层交换机、网关三层交换机、路由器三层交换机、路由器网桥、交换机网桥、交换机集线器、中继器集线器、中继器2022-10-215交换机(二层)的功能 通常用于局域网内部,连接服务器、通常用于局域网内部,连接服务器、PC和其和其他网络设备他网络设备 实现它们之间数据链路层的通信实现它们之间数据链路层的通信 与与IP地址无关地址无关123456集线器端口间连接集线器端口间连接共享带宽共享带宽交换机端口间连接交换机端口间连接任一对端口带宽固定任一对端口带宽固定20
3、22-10-216路由器的功能 大多工作于大多工作于IP协议之上协议之上 通常用于局域网之间的互联通常用于局域网之间的互联 大型局域网大型局域网 使用它的局域网接口连接交换机使用它的局域网接口连接交换机 交换机连接众多主机交换机连接众多主机 或用于局域网接入或用于局域网接入Internet 有多种接入有多种接入Internet的接口可供选择的接口可供选择2022-10-217InternetPC1PC2PC3PC4交换机交换机路由器路由器路由器接入Internet局域网接口局域网接口广域网接口广域网接口2022-10-218路由器连接两个局域网PC1PC2路由器路由器交换机交换机交换机交换机P
4、C3PC4局域网接口局域网接口局域网接口局域网接口2022-10-219与设备建立连接 使用使用Console口口 2022-10-2110配置软件-超级终端“开始开始-程序程序-附件附件-通讯通讯-超级终端超级终端”新建连接向导,任意填入区号和拨出号新建连接向导,任意填入区号和拨出号 输入新建连接名字,如输入新建连接名字,如switch2022-10-2111选择串行接口Com12022-10-2112设置COM1属性2022-10-2113进入配置界面的提示 User interface aux0 is available.Press ENTER to get started.%Apr 1
5、 23:55:37:968 2000 H3C SHELL/5/LOGIN:-1-Console(aux0)in unit1 login2022-10-2114命令行介绍 全部命令被按照功能或模块分成若干组,全部命令被按照功能或模块分成若干组,每组对应一个视图每组对应一个视图 视图就是设备的某项功能或某个模块视图就是设备的某项功能或某个模块 运行运行“interface GigabitEthernet 1/0/24”进入交换机进入交换机24号千兆以太网端号千兆以太网端口视图口视图 配置端口速率配置端口速率 配置端口所属配置端口所属VLAN2022-10-2115命令行使用技巧 查找历史命令,按光
6、标键查找历史命令,按光标键或或;补齐不完整的命令,按补齐不完整的命令,按Tab键;键;使用帮助,在部分命令后面加使用帮助,在部分命令后面加?键。键。2022-10-2116命令通用格式 acl number acl-number match-order config|auto 粗体表示命令名和关键字粗体表示命令名和关键字 斜体表示参数斜体表示参数 表示可选部分表示可选部分 内必选其一内必选其一 acl number 3001 acl number 3002 mach-order auto2022-10-2117划分VLAN VLAN是什么是什么 为什么要划分为什么要划分VLAN VLAN的划分
7、方法的划分方法 单交换机下的单交换机下的VLAN划分划分 多交换机互联时的多交换机互联时的VLAN划分划分2022-10-2118VLAN的概念 VLAN(Virtual Local Area Network,虚拟局域网)虚拟局域网)把物理上的一个把物理上的一个LAN划分成逻辑上的多个划分成逻辑上的多个LAN VLAN内主机间通信和在一个内主机间通信和在一个LAN内一样内一样 不同不同VLAN间的主机不能直接通信间的主机不能直接通信2022-10-2119VLAN示例示例2022-10-2120为什么要划分VLAN 假设某台交换机上连有假设某台交换机上连有100台计算机台计算机 A1想向想向A
8、2发信息,它要先广播询问谁是发信息,它要先广播询问谁是A2,其余其余99台计算机都会收到广播台计算机都会收到广播 A1向向A3,A4,A100发送广播发送广播 广播范围大,无效信息多广播范围大,无效信息多 计算机分属不同的部门计算机分属不同的部门 要求部门之间的机器不能通信要求部门之间的机器不能通信 VLAN两大功能:限制广播和隔离子网两大功能:限制广播和隔离子网2022-10-2121VLAN的划分方法 基于端口划分的基于端口划分的VLAN 基于基于MAC地址划分地址划分VLAN 基于网络层协议划分基于网络层协议划分VLAN 根据根据IP组播划分组播划分VLAN 2022-10-2122基于
9、端口划分 特定端口属于特定的特定端口属于特定的VLAN 不同不同VLAN需要互相通信时,必须使用需要互相通信时,必须使用路由器转发路由器转发 如果用户连接到新交换机属于其他如果用户连接到新交换机属于其他VLAN的端口,那么必须重新进行配置的端口,那么必须重新进行配置 2022-10-2123基于MAC地址划分VLAN 根据每个主机的根据每个主机的MAC地址来划分地址来划分 无论用户怎样移动,它所属的无论用户怎样移动,它所属的VLAN都都不会发生变化不会发生变化 这种方法的缺点是配置工作繁琐,因而这种方法的缺点是配置工作繁琐,因而通常应用于小型局域网通常应用于小型局域网2022-10-2124基
10、于网络层协议划分VLAN 最常用的是按最常用的是按IP地址划分地址划分 优点是用户物理位置改变了,不需要重优点是用户物理位置改变了,不需要重新配置新配置VLAN 缺点是效率低下,必须检查每一个数据缺点是效率低下,必须检查每一个数据包的网络层地址包的网络层地址2022-10-2125根据IP组播划分VLAN 一个一个IP组播组就是一个组播组就是一个VLAN 2022-10-2126单交换机下的单交换机下的VLAN划分划分 A、B、C、D的的IP地址都属于地址都属于192.168.1.0/24 要求除要求除A与与B、C与与D能够通信外,其他任何能够通信外,其他任何两台机器间都不能通信两台机器间都不
11、能通信2022-10-2127分析 创建创建VLAN 2、VLAN 3 端口端口GigabitEthernet1/0/1和和GigabitEthernet1/0/2加入到加入到VLAN2 端口端口GigabitEthernet1/0/3和和GigabitEthernet1/0/4加入到加入到VLAN32022-10-2128配置命令 系统命令系统命令 system-view 进入系统视图进入系统视图 在进行其他操作前都要执行该命令,因为在进行其他操作前都要执行该命令,因为 绝大多数命令都运行在系统视图下绝大多数命令都运行在系统视图下 undo 原命令原命令 撤消之前执行的任何一条命令撤消之前执
12、行的任何一条命令 如之前通过如之前通过“vlan 10”创建了创建了VLAN 10,可,可以执行以执行“undo vlan 10”撤销创建操作。撤销创建操作。2022-10-2129配置命令 VLAN配置命令配置命令 vlan vlan-id 创建创建VLAN或进入某或进入某VLAN视图视图(vlan 1默认存在默认存在)vlan 10 /创建创建VLAN 10 vlan vlan-id1 to vlan-id2|all 批量创建多个批量创建多个VLAN vlan 10 to 20 /创建创建VLAN 10,11,20 vlan all /创建创建VLAN 2,40942022-10-2130
13、配置命令 VLAN配置命令配置命令 port interface-list 为当前为当前vlan增加增加Access型端口型端口 执行该命令前,要先进入相应执行该命令前,要先进入相应VLAN视图视图 port gigabitethernet 1/0/5 gigabitethernet 1/0/10 display vlan-id 显示某个显示某个vlan的信息的信息 display vlan 10 /显示显示vlan 10的信息的信息2022-10-2131示例1的配置命令system-viewvlan 2port GigabitEthernet 1/0/1 GigabitEthernet 1
14、/0/2vlan 3port GigabitEthernet 1/0/3 GigabitEthernet 1/0/4 2022-10-2132多交换机互联时的多交换机互联时的VLAN划分划分 4台计算机的台计算机的IP地址和所属地址和所属VLAN与示例与示例1同同 A和和C连在交换机连在交换机1上,上,B和和D连在交换机连在交换机2上上 2台交换机相连台交换机相连 要求实现与示例要求实现与示例1相同的连通性相同的连通性2022-10-2133分析 实现跨交换机的实现跨交换机的VLAN划分,关键是使交换机划分,关键是使交换机之间相连的端口允许来自之间相连的端口允许来自VLAN内部的数据包内部的数
15、据包通过,这要求:通过,这要求:交换机互连的端口设置为交换机互连的端口设置为Trunk或或Hybrid型;型;交换机互连的端口关联交换机互连的端口关联VLAN 2和和VLAN 3。2022-10-2134以太网端口的链路类型 Access类型类型 端口只能属于端口只能属于1个个VLAN,一般用于连接计算机,一般用于连接计算机,这是所有端口的默认链路类型;这是所有端口的默认链路类型;Trunk类型类型 端口可以属于多个端口可以属于多个VLAN,可以接收和发送多个,可以接收和发送多个VLAN的报文,一般用于交换机之间的连接;的报文,一般用于交换机之间的连接;Hybrid类型类型 端口可以属于多个端
16、口可以属于多个VLAN,可以接收和发送多个,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。用于连接用户的计算机。2022-10-2135配置命令 端口配置命令端口配置命令 interface interface-type interface-number 进入以太网端口视图进入以太网端口视图 interface gigabitethernet 1/0/5 port link-type access|trunk|hybrid 设置端口的链路类型设置端口的链路类型 之前必须先进入相关端口视图之前必须先进入相关端口视图 p
17、ort link-type trunk /将当前端口改为将当前端口改为Trunk型型2022-10-2136 port trunk permit vlan vlan-id-list|all 为为Trunk型端口指定型端口指定VLAN 执行前必须先进入端口视图执行前必须先进入端口视图 port trunk permit vlan 2 3 port hybrid vlan vlan-id-list tagged|untagged 为为Hybrid型端口指定型端口指定VLAN 执行前必须先进入端口视图执行前必须先进入端口视图 port hybrid permit vlan 2 32022-10-21
18、37示例2的配置命令交换机交换机1和交换机和交换机2均执行以下命令即可均执行以下命令即可system-viewvlan 2port gigabitethernet 1/0/1vlan 3port gigabitethernet 1/0/2interface gigabitethernet 1/0/24port link-type trunkport trunk permit vlan 2 32022-10-2138VLAN间的通信VLAN之间还需要通信吗?之间还需要通信吗?如何实现如何实现VLAN间通信?间通信?子接口的概念和配置子接口的概念和配置2022-10-2139VLAN间还需要通信?
19、某银行有以下某银行有以下VLAN VLAN 10:办公部门:办公部门 VLAN 20:柜台机和:柜台机和ATM机机 VLAN 30:数据库服务器:数据库服务器 通信需求:通信需求:办公部门与服务器及柜台机隔离;办公部门与服务器及柜台机隔离;柜台机柜台机(ATM)需访问数据库需访问数据库2022-10-2140如何实现VLAN间通信 使用三层交换机使用三层交换机 开启交换机的路由功能开启交换机的路由功能 带宽高、速度快,带宽高、速度快,适用于全新网络适用于全新网络 单臂路由单臂路由 使用路由器与交换机相连使用路由器与交换机相连 创建若干子接口与创建若干子接口与VLAN一一关联一一关联 带宽低、速
20、度慢,带宽低、速度慢,适用于网络升级适用于网络升级2022-10-2141单臂路由示例 交换机交换机路由器路由器Ethernet 0/0.1vlan 2Ethernet 0/0.2vlan 3vlan 2vlan 2vlan 3 vlan 32022-10-2142子接口的概念 子接口是逻辑接口的一种。逻辑接口指能够子接口是逻辑接口的一种。逻辑接口指能够实现数据交换功能但物理上不存在的接口实现数据交换功能但物理上不存在的接口拨号接口、拨号接口、LoopBack接口接口 NULL接口、子接口等接口、子接口等 子接口就是在一个主接口上配置出来的多个子接口就是在一个主接口上配置出来的多个逻辑上的虚拟
21、接口逻辑上的虚拟接口子接口共用主接口的物理层参数,又可以分别配子接口共用主接口的物理层参数,又可以分别配置各自的链路层和网络层参数置各自的链路层和网络层参数 以太网子接口以太网子接口以太网子接口关联了以太网子接口关联了VLAN ID后,可支持后,可支持IP协议协议2022-10-21网络架构技术-万征43路由器基本配置命令 interface interface-type interface-number 进入以太网接口视图进入以太网接口视图 interface gigabitethernet 0/0 interface gigabitethernet 0/1 ip address 192.1
22、68.1.10 255.255.0.0 设置接口设置接口IP地址为地址为192.168.1.10/16 执行前必须先进入路由器接口执行前必须先进入路由器接口2022-10-2144配置命令 子接口子接口 interface interface-type interface-number.subnumber 为主接口创建子接口为主接口创建子接口 执行前必须先进入主接口视图执行前必须先进入主接口视图 interface gigabitethernet 0/0.1 (为为gigabitethernet 0/0创建创建1号子接口号子接口)vlan-type dot1q vid vlan-id 为子接口
23、设置封装格式并关联为子接口设置封装格式并关联vlan id 执行前必须先进入子接口视图执行前必须先进入子接口视图 vlan-type dot1q vid 10 /为子接口关联为子接口关联vlan 102022-10-2145子接口配置示例 交换机交换机路由器路由器gigabitethernet 0/0.1vlan 2gigabitethernet 0/0.2vlan 3vlan 2vlan 3192.168.1.2/24192.168.11.2/24192.168.1.10/24192.168.11.10/24要求两台客户要求两台客户端能够通信端能够通信2022-10-2146配置步骤1 交换
24、机划分交换机划分vlan2 交换机连路由器端口设为交换机连路由器端口设为Trunk且关联且关联VLAN 2和和VLAN 33 为路由器创建子接口、配置为路由器创建子接口、配置IP并关联并关联vlan4 为为2个客户端配个客户端配IP和网关和网关(网关为相应子接口的网关为相应子接口的IP)2022-10-2147路由器上的配置命令system-viewinterface gigabitethernet 0/0.1ip address 192.168.1.10 255.255.255.0vlan-type dot1q vid 2interface gigabitethernet 0/0.2ip a
25、ddress 192.168.11.10 255.255.255.0vlan-type dot1q vid 3说明:说明:交换机和客户端上的配置应与网络拓扑图一致交换机和客户端上的配置应与网络拓扑图一致 路由器的路由器的GE0端口与交换机相连端口与交换机相连2022-10-2148NAT配置 NAT简介简介 NAT工作过程工作过程 NAT的工作模式的工作模式 内部服务器内部服务器 2022-10-2149校内计算机如何访问校内计算机如何访问Internet?2022-10-2150IP地址的分类0 7 8 15 16 23 24 31 ABCDE组播组播0111 224.0.0.0至至239.
26、255.255.255保留保留01111240.0.0.0至至247.255.255.255主机号主机号网络号网络号0 1.0.0.0至至126.255.255.254 126个网络个网络 1700万台主机万台主机主机号主机号网络号网络号01 128.1.0.0至至191.255.255.254 16382个网络个网络 65000台主机台主机主机号主机号网络号网络号011 192.0.1.0至至223.255.255.254 200万个网络万个网络 254台主机台主机 IP地址分为地址分为A、B、C、D和和E五类五类,其区别是用于表,其区别是用于表示网络号的二进制位数不同。示网络号的二进制位数
27、不同。2022-10-2151局域网与本地IP地址 IP地址的数目地址的数目 vs.全球人口全球人口 232=40亿亿 vs.70亿亿对于仅在机构对于仅在机构内部使用的计算机可由本机构自内部使用的计算机可由本机构自行分配其行分配其IP地址地址。例如,例如,学校内部所有计算机使用的学校内部所有计算机使用的IP地址地址都不都不是能够在是能够在Internet上直接使用的。上直接使用的。(显显IP版版QQ测试测试)以下地址作为专用的本地地址:以下地址作为专用的本地地址:10/8(10.0.0.0到到10.255.255.255)172.16/12(172.16.0.0到到172.31.255.255
28、)192.168/16(192.168.0.0到到192.168.255.255)2022-10-2152全球IP与本地IP 详解 甲住甲住江西仪器厂江西仪器厂 职工宿舍职工宿舍1栋栋201室室 乙住乙住北京化工厂北京化工厂 职工宿舍职工宿舍1栋栋201室室全球全球IP:不能重复不能重复本地本地IP:可以重复可以重复发信息时写全球发信息时写全球IP or 本地本地IP?寄信时如何写地址?寄信时如何写地址?2022-10-2153NAT简介 NAT(Network Address Translation,网,网络地址转换络地址转换)实现私有网络访问公共网络的功能实现私有网络访问公共网络的功能 大
29、量私网地址使用少数公网地址上网大量私网地址使用少数公网地址上网 (不可能所有机器同时上网不可能所有机器同时上网)使公网能够访问内部的服务器使公网能够访问内部的服务器 允许或限制特定计算机访问公共网络允许或限制特定计算机访问公共网络 私网私网IP地址段地址段 10.0.0.010.255.255.255 172.16.0.0172.31.255.255 192.168.0.0192.168.255.255 2022-10-2154NAT工作过程1 (192.168.1.3)向()向(202.120.10.2)发送)发送数据报数据报1IP Packet 1 Source IP:192.168.1.
30、3Destination IP:202.120.10.2IP Packet 1 Source IP:202.169.10.1Destination IP:202.120.10.2IP Packet 2 Source IP:202.120.10.2Destination IP:192.168.1.3IP Packet 2 Source IP:202.120.10.2Destination IP:202.169.10.1192.168.1.1202.169.10.1192.168.1.3192.168.1.2202.120.10.2202.120.10.3ServerServerPC2PC1Int
31、ernet2022-10-2155NAT工作过程2IP Packet 1 Source IP:192.168.1.3Destination IP:202.120.10.2IP Packet 1 Source IP:202.169.10.1Destination IP:202.120.10.2IP Packet 2 Source IP:202.120.10.2Destination IP:192.168.1.3IP Packet 2 Source IP:202.120.10.2Destination IP:202.169.10.1192.168.1.1202.169.10.1192.168.1.
32、3192.168.1.2202.120.10.2202.120.10.3ServerServerPCPCInternetIP Packet 1 Source IP:192.168.1.3Destination IP:202.120.10.2IP Packet 1 Source IP:202.169.10.1Destination IP:202.120.10.2IP Packet 2 Source IP:202.120.10.2Destination IP:192.168.1.3IP Packet 2 Source IP:202.120.10.2Destination IP:202.169.10
33、.1192.168.1.1202.169.10.1192.168.1.3192.168.1.2202.120.10.2202.120.10.3ServerServerPC2PC1Internet NAT网关将源地址网关将源地址192.168.1.3换成公网换成公网地址地址202.169.10.1,并记录这一映射,并记录这一映射 2022-10-2156NAT工作过程3IP Packet 1 Source IP:192.168.1.3Destination IP:202.120.10.2IP Packet 1 Source IP:202.169.10.1Destination IP:202.12
34、0.10.2IP Packet 2 Source IP:202.120.10.2Destination IP:192.168.1.3IP Packet 2 Source IP:202.120.10.2Destination IP:202.169.10.1192.168.1.1202.169.10.1192.168.1.3192.168.1.2202.120.10.2202.120.10.3ServerServerPCPCInternet 202.120.10.2收到数据报收到数据报1后返回后返回packet 2(目的地址为(目的地址为202.169.10.1)IP Packet 1 Sourc
35、e IP:192.168.1.3Destination IP:202.120.10.2IP Packet 1 Source IP:202.169.10.1Destination IP:202.120.10.2IP Packet 2 Source IP:202.120.10.2Destination IP:192.168.1.3IP Packet 2 Source IP:202.120.10.2Destination IP:202.169.10.1192.168.1.1202.169.10.1192.168.1.3192.168.1.2202.120.10.2202.120.10.3Server
36、ServerPC2PC1Internet2022-10-2157NAT工作过程4IP Packet 1 Source IP:192.168.1.3Destination IP:202.120.10.2IP Packet 1 Source IP:202.169.10.1Destination IP:202.120.10.2IP Packet 2 Source IP:202.120.10.2Destination IP:192.168.1.3IP Packet 2 Source IP:202.120.10.2Destination IP:202.169.10.1192.168.1.1202.169
37、.10.1192.168.1.3192.168.1.2202.120.10.2202.120.10.3ServerServerPCPCInternet NAT网关将目的地址网关将目的地址202.169.10.1替换替换为为192.168.1.3IP Packet 1 Source IP:192.168.1.3Destination IP:202.120.10.2IP Packet 1 Source IP:202.169.10.1Destination IP:202.120.10.2IP Packet 2 Source IP:202.120.10.2Destination IP:192.168.
38、1.3IP Packet 2 Source IP:202.120.10.2Destination IP:202.169.10.1192.168.1.1202.169.10.1192.168.1.3192.168.1.2202.120.10.2202.120.10.3ServerServerPC2PC1Internet2022-10-2158 路由器相当于路由器相当于?江西仪器厂的收发室!江西仪器厂的收发室!江西仪器厂江西仪器厂收发室收发室北京化工厂北京化工厂1栋栋201室室收信人收信人发信人发信人1栋栋201室室现代教育中心现代教育中心疑问:几个人同时发信怎办?疑问:几个人同时发信怎办?1栋栋
39、201室室 江西仪器厂江西仪器厂-13栋栋601室室 江西仪器厂江西仪器厂-2北京化工厂北京化工厂北京化工厂北京化工厂江西仪器厂江西仪器厂北京化工厂北京化工厂收信人收信人发信人发信人对方回信对方回信2022-10-2159 NAT“隐藏隐藏”了企业的私有网络了企业的私有网络,并并使内网主机能够访问外网使内网主机能够访问外网 2022-10-2160NAT服务器的网络接口 内部接口内部接口 连接企业内部网络,是内部网络的网关连接企业内部网络,是内部网络的网关 外部接口外部接口 与外部网络相连与外部网络相连 地址转换在外部接口完成地址转换在外部接口完成2022-10-2161NAT的工作模式 一对
40、一地址转换一对一地址转换 Easy IP 多对多地址转换及对地址转换的限制多对多地址转换及对地址转换的限制 NAPT 2022-10-2162一对一地址转换 仅使用仅使用1 1个外网地址个外网地址(但这个地址可能不但这个地址可能不是是NATNAT网关的外部接口地址网关的外部接口地址)所有内网主机均只能通过这个地址访问外所有内网主机均只能通过这个地址访问外网网 某时刻仅允许一台内网主机访问外网某时刻仅允许一台内网主机访问外网2022-10-2163Easy IP 在在“一对一转换一对一转换”的基础上多的基础上多1条限制条限制 外网地址就是外网地址就是NAT网关的外部接口地址网关的外部接口地址20
41、22-10-2164多对多地址转换 多个外网地址,多台内部主机访问外网多个外网地址,多台内部主机访问外网 定义地址池,即可用的外网地址定义地址池,即可用的外网地址定义可以访问外网的内部主机列表定义可以访问外网的内部主机列表2022-10-2165NAPT 允许多个内部地址映射到同一个公有地允许多个内部地址映射到同一个公有地址上址上 实现以下形式的映射实现以下形式的映射“私有地址端口私有地址端口”“公有地址端口公有地址端口”2022-10-2166NAPT示例IP Packet 1 Source IP:192.168.1.3Source Port:1537IP Packet 1 Source I
42、P:202.169.10.1Source Port:1537192.168.1.1202.169.10.1192.168.1.3192.168.1.2202.120.10.2202.120.10.3ServerServerPCPCIP Packet 2 Source IP:192.168.1.3Source Port:2468IP Packet 2 Source IP:202.169.10.1Source Port:2468IP Packet 3 Source IP:192.168.1.1Source Port:1111IP Packet 4 Source IP:192.168.1.2Sour
43、ce Port:1111IP Packet 3 Source IP:202.169.10.1Source Port:1111IP Packet 4 Source IP:202.169.10.1Source Port:2222Internet2022-10-2167内部服务器 在私有网络内部存在一些服务器,提供在私有网络内部存在一些服务器,提供给外网主机访问给外网主机访问 在在NAT中将它们定义为内部服务器,如中将它们定义为内部服务器,如 192.168.1.3为为FTP服务器,可以为它指定服务器,可以为它指定公网地址公网地址202.169.10.10 192.168.1.2是是Web服务器,可
44、以为它指定服务器,可以为它指定公网地址公网地址202.169.10.20:80 192.168.1.4是是Email服务器,可以为它指服务器,可以为它指定公网地址定公网地址202.169.10.20:25和和202.169.10.20:1102022-10-2168访问控制列表(ACL)与与NAT配套使用,规定内网的哪些配套使用,规定内网的哪些IP地地址能够访问外网址能够访问外网 即规定允许通过的源即规定允许通过的源IP和目的和目的IP列表列表2022-10-2169基本ACL配置命令 acl number acl-number 创建一个创建一个ACL acl number 2001 /创建编
45、号为创建编号为2001的的ACL rule permit|deny source addr wildcard 创建创建1条规则,允许或拒绝某个源地址网段条规则,允许或拒绝某个源地址网段 rule permit source 10.110.2.0 0.0.0.255 /允许允许10.110.2.0/24网段访问外网网段访问外网 /0.0.0.255刚好是刚好是24位子网掩码的逆位子网掩码的逆2022-10-2170NAT配置命令 nat address-group group-number start-address end-address 定义地址池,即可把哪些地址作为可用外部地址定义地址池,
46、即可把哪些地址作为可用外部地址nat address-group 1 210.35.7.20 210.35.7.30 /210.35.7.20210.35.7.30都可作外部地址都可作外部地址 nat outbound acl-number address-group group-number 为某个地址池绑定为某个地址池绑定ACL并启动并启动NAT 执行前必须进入路由器连外网接口的视图执行前必须进入路由器连外网接口的视图 nat outbound 2001 address-group 1 /为地址池为地址池1绑定绑定ACL 2001,地址池地址池1和和ACL 2001必须先定义好必须先定义好
47、2022-10-2171NAT配置命令 续 nat server protocol pro-type global g-addr g-port inside i-addr i-port 指定一个内部服务器指定一个内部服务器 nat server protocol tcp global 210.35.7.20 80 inside 192.168.1.2 www /上面两行是上面两行是1条命令,条命令,192.168.1.2是内网的是内网的www服务器,为该服务器绑定外网服务器,为该服务器绑定外网IP:210.35.7.20和端和端口口80。当外网主机在。当外网主机在IE中输入中输入http:/2
48、10.35.7.20时,时,数据包先被路由器接收,后转发给数据包先被路由器接收,后转发给192.168.1.22022-10-2172NAT配置案例1 地址池:地址池:210.35.7.202 ACL:允许:允许192.168.0.0/16访问外网访问外网3 192.168.1.2是内网是内网www服务器服务器 要求要求192.168.11.10能访问外网,而能访问外网,而外网主机能访问内部外网主机能访问内部www服务器服务器210.35.7.20/24外网主机外网主机外网外网2022-10-2173配置步骤1 交换机连路由器端口设为交换机连路由器端口设为Trunk2 路由器创建路由器创建AC
49、L和地址池;为和地址池;为GE 0/0和和GE 0/1配置配置IP地址;在地址;在GE 0/1上启动上启动NAT;为内部;为内部www服务器服务器192.168.1.2绑定绑定210.35.7.20:80。3 为内网的客户端和服务器分别配置为内网的客户端和服务器分别配置IP和网和网关关(网关为路由器网关为路由器GE 0/0接口的接口的IP地址地址)2022-10-2174NAT案例路由器端配置命令案例路由器端配置命令system-viewacl number 2001rule permit source 192.168.0.0 0.0.255.255nat address-group 1 21
50、0.35.7.20 210.35.7.20interface gigabitethernet 0/0ip address 192.168.1.1 255.255.0.0interface gigabitethernet 0/1ip address 210.35.7.20 255.255.255.0nat outbound 2001 address-group 1nat server protocol tcp global 210.35.7.20 80 inside 192.168.1.2 www2022-10-2175设置默认路由 ip route-static 0.0.0.0 0.0.0.0
