網(wǎng)絡(luò)互聯(lián)技術(shù)與實(shí)踐第16章：私有局域網(wǎng)接入互聯(lián)網(wǎng)

1、1 16 6.1 .1 任務(wù)描述任務(wù)描述第16章：私有局域網(wǎng)接入互聯(lián)網(wǎng)私有局域網(wǎng)接入互聯(lián)網(wǎng)某單位組建了一個(gè)局域網(wǎng)絡(luò)，有微機(jī)某單位組建了一個(gè)局域網(wǎng)絡(luò)，有微機(jī)500臺(tái)，臺(tái)，5個(gè)部門，個(gè)部門，通過路由器上聯(lián)到互聯(lián)網(wǎng)。該單位申請(qǐng)了通過路由器上聯(lián)到互聯(lián)網(wǎng)。該單位申請(qǐng)了8個(gè)公網(wǎng)地址，個(gè)公網(wǎng)地址，單位開發(fā)了自己的單位主頁，要求單位內(nèi)部的局域網(wǎng)用戶單位開發(fā)了自己的單位主頁，要求單位內(nèi)部的局域網(wǎng)用戶能夠訪問互聯(lián)網(wǎng)，單位主頁能夠被世界各地的互聯(lián)網(wǎng)用戶能夠訪問互聯(lián)網(wǎng)，單位主頁能夠被世界各地的互聯(lián)網(wǎng)用戶訪問。訪問。1 16 6.2 .2 相關(guān)知識(shí)相關(guān)知識(shí)第16章：私有局域網(wǎng)接入互聯(lián)網(wǎng)私有局域網(wǎng)接入互聯(lián)網(wǎng)16.2.1

2、NAT技術(shù)的產(chǎn)生原理技術(shù)的產(chǎn)生原理16.2.2 NAT技術(shù)的術(shù)語技術(shù)的術(shù)語16.2.3 NAT類型類型16.2.4 NAT配置配置16.2.5 查看和刪除查看和刪除NAT配置配置16.2.1 NAT技術(shù)的產(chǎn)生原理技術(shù)的產(chǎn)生原理為了解決局域網(wǎng)用戶訪問因特網(wǎng)的問題，從而誕生了網(wǎng)為了解決局域網(wǎng)用戶訪問因特網(wǎng)的問題，從而誕生了網(wǎng)絡(luò)地址轉(zhuǎn)換絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)技術(shù)，技術(shù)，它是一種將一個(gè)它是一種將一個(gè)IP地址轉(zhuǎn)換為另一個(gè)地址轉(zhuǎn)換為另一個(gè)IP地址的技術(shù)。地址的技術(shù)。網(wǎng)絡(luò)地址轉(zhuǎn)換（網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)是一個(gè)）技術(shù)是一個(gè)IETF（Internet E

3、ngineering Task Force，Internet工程工作組）標(biāo)準(zhǔn)。工程工作組）標(biāo)準(zhǔn)。16.2.1 NAT技術(shù)的產(chǎn)生原理技術(shù)的產(chǎn)生原理源地址 私轉(zhuǎn)公私有地址圖圖16.1 在路由器上使用在路由器上使用NAT技術(shù)實(shí)現(xiàn)的功能技術(shù)實(shí)現(xiàn)的功能Internet公有地址目的地址 公轉(zhuǎn)私私有地址公有地址16.2.2 NAT技術(shù)的術(shù)語技術(shù)的術(shù)語當(dāng)內(nèi)部網(wǎng)絡(luò)有多臺(tái)主機(jī)訪問因特網(wǎng)上的多個(gè)目的主機(jī)的當(dāng)內(nèi)部網(wǎng)絡(luò)有多臺(tái)主機(jī)訪問因特網(wǎng)上的多個(gè)目的主機(jī)的時(shí)侯，路由器必須記住內(nèi)部網(wǎng)絡(luò)的哪一臺(tái)主機(jī)訪問因特網(wǎng)時(shí)侯，路由器必須記住內(nèi)部網(wǎng)絡(luò)的哪一臺(tái)主機(jī)訪問因特網(wǎng)上的哪一臺(tái)主機(jī)，以防止在地址轉(zhuǎn)換時(shí)將不同的連接混淆，上的哪一臺(tái)主機(jī)

4、，以防止在地址轉(zhuǎn)換時(shí)將不同的連接混淆，所以路由器會(huì)為所以路由器會(huì)為NAT的眾多連接建立一個(gè)表，即的眾多連接建立一個(gè)表，即NAT表，表，如圖如圖16.2所示。所示。16.2.2 NAT技術(shù)的術(shù)語技術(shù)的術(shù)語16.2.2 NAT技術(shù)的術(shù)語技術(shù)的術(shù)語Local圖圖16.3 內(nèi)部地址和外部地址內(nèi)部地址和外部地址InternetGlobalInsideOutside主機(jī)位置IP地址的邏輯位置16.2.2 NAT技術(shù)的術(shù)語技術(shù)的術(shù)語InsideOutsideNATInside local address（內(nèi)部本地地址）inside global address（內(nèi)部全局地址）outside local ad

5、dress（外部本地地址）outside global address（外部全局地址）16.2.2 NAT技術(shù)的術(shù)語技術(shù)的術(shù)語3. 私有地址私有地址私有地址（私有地址（Private Address）屬于非注冊(cè)地址，專門）屬于非注冊(cè)地址，專門為組織機(jī)構(gòu)內(nèi)部使用。在為組織機(jī)構(gòu)內(nèi)部使用。在IPv4地址中下列地址為私有地址：地址中下列地址為私有地址：A類：類：55B類：類：55C類：類：5516.2.3 NAT類型類型靜態(tài)NAT動(dòng)態(tài)NATNAT類型類型端口地址轉(zhuǎn)換16.

6、2.3 NAT類型類型靜態(tài)NAT動(dòng)態(tài)NATNAT類型類型在靜態(tài)NAT中，是指內(nèi)部網(wǎng)絡(luò)中的主機(jī)IP地址（內(nèi)部本地地址）一對(duì)一地永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。靜態(tài)地址轉(zhuǎn)換以一對(duì)一的方式將內(nèi)部私有地址映射到公共IP地址，當(dāng)要求外部網(wǎng)絡(luò)能夠訪問內(nèi)部設(shè)備時(shí)，靜態(tài)NAT特別有用。如內(nèi)部網(wǎng)絡(luò)有Web服務(wù)器、E-mail服務(wù)器或FTP服務(wù)器等可以為外部用戶提供的服務(wù)，這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換（將一個(gè)全球的地址映射到一個(gè)內(nèi)部地址，靜態(tài)映射將一直存在于NAT表中，直到被管理員取消），以便外部用戶可以使用這些服務(wù)。16.2.3 NAT類型類型靜態(tài)NAT動(dòng)態(tài)NATNAT類型類型動(dòng)態(tài)地址池轉(zhuǎn)換（

7、Pool NAT）動(dòng)態(tài)端口轉(zhuǎn)換（Port NAT）16.2.3 NAT類型類型（1）Pool NAT轉(zhuǎn)換。轉(zhuǎn)換。Pool NAT執(zhí)行本地地址與全局執(zhí)行本地地址與全局地址的一對(duì)一轉(zhuǎn)換，但全局地址與本地地址的對(duì)應(yīng)關(guān)系不地址的一對(duì)一轉(zhuǎn)換，但全局地址與本地地址的對(duì)應(yīng)關(guān)系不是一成不變的，它是從內(nèi)部全局地址池（是一成不變的，它是從內(nèi)部全局地址池（Pool）中動(dòng)態(tài)地）中動(dòng)態(tài)地選擇一個(gè)末使用的地址對(duì)內(nèi)部本地地址進(jìn)行轉(zhuǎn)換。采用動(dòng)選擇一個(gè)末使用的地址對(duì)內(nèi)部本地地址進(jìn)行轉(zhuǎn)換。采用動(dòng)態(tài)態(tài)NAT意味著可以在內(nèi)部網(wǎng)絡(luò)中定義很多的內(nèi)部用戶，通意味著可以在內(nèi)部網(wǎng)絡(luò)中定義很多的內(nèi)部用戶，通過動(dòng)態(tài)分配的方法，共享很少的幾個(gè)外部過

8、動(dòng)態(tài)分配的方法，共享很少的幾個(gè)外部IP地址。而靜態(tài)地址。而靜態(tài)NAT則只能形成一對(duì)一的固定映射關(guān)系。則只能形成一對(duì)一的固定映射關(guān)系。16.2.3 NAT類型類型（2）Port NAT轉(zhuǎn)換。端口地址轉(zhuǎn)換（轉(zhuǎn)換。端口地址轉(zhuǎn)換（Port Address Translation，PAT）又稱復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換或）又稱復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換或NAT重載，重載，是把內(nèi)部本地地址映射到外部網(wǎng)絡(luò)的一個(gè)是把內(nèi)部本地地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端地址的不同端口上，因一個(gè)口上，因一個(gè)IP地址的端口數(shù)有地址的端口數(shù)有65535個(gè)，即一個(gè)全局地個(gè)，即一個(gè)全局地址可以和最多達(dá)址可以和最多達(dá)65535個(gè)內(nèi)部地址建立映射，

9、因此從理論個(gè)內(nèi)部地址建立映射，因此從理論上說一個(gè)全局地址可供上說一個(gè)全局地址可供65535個(gè)內(nèi)部地址通過個(gè)內(nèi)部地址通過NAT連接連接Internet。在實(shí)際應(yīng)用過程中，僅使用了大于或等于。在實(shí)際應(yīng)用過程中，僅使用了大于或等于1024的端口。在只申請(qǐng)到少量的端口。在只申請(qǐng)到少量IP地址卻經(jīng)常同時(shí)有多于合法地地址卻經(jīng)常同時(shí)有多于合法地址個(gè)數(shù)的用戶上外部網(wǎng)絡(luò)的情況下，這種轉(zhuǎn)換極為有用。址個(gè)數(shù)的用戶上外部網(wǎng)絡(luò)的情況下，這種轉(zhuǎn)換極為有用。16.2.4 NAT配置（1）配置靜態(tài)）配置靜態(tài)NAT地址映射地址映射在路由器的全局模式下配置靜態(tài)在路由器的全局模式下配置靜態(tài)NAT地址映射的命令如下：地址映射的命令如

10、下： Router(config)#ip nat inside source static local-ip global-ip（2）配置連接）配置連接Internet的接口的接口在路由器連接在路由器連接Internet的接口（一般是以太網(wǎng)接口或快速以的接口（一般是以太網(wǎng)接口或快速以太網(wǎng)接口）上首先要配置太網(wǎng)接口）上首先要配置IP地址，這個(gè)地址為公用地址，并且地址，這個(gè)地址為公用地址，并且要啟動(dòng)該接口。要啟動(dòng)該接口。 Router(config)#interface type mod/numRouter(config-if)#ip address ip-address subnet-mask

11、然后聲明該接口是然后聲明該接口是NAT轉(zhuǎn)換的外部網(wǎng)絡(luò)接口，命令格式如下：轉(zhuǎn)換的外部網(wǎng)絡(luò)接口，命令格式如下：Router(config-if)#ip nat outside1靜態(tài)靜態(tài)NAT配置基本過程配置基本過程16.2.4 NAT配置配置（3）配置連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口）配置連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口在路由器連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口（一般是路由器的另在路由器連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口（一般是路由器的另一個(gè)以太網(wǎng)接口或快速以太網(wǎng)接口）上也要配置一個(gè)以太網(wǎng)接口或快速以太網(wǎng)接口）上也要配置IP地址，地址，這個(gè)地址應(yīng)該是私有地址，并且要啟動(dòng)該接口。這個(gè)地址應(yīng)該是私有地址，并且要啟動(dòng)該接口。Router(conf

12、ig)#interface type mod/numRouter(config-if)#ip address ip-address subnet-mask 然后聲明該接口是然后聲明該接口是NAT轉(zhuǎn)換的內(nèi)部網(wǎng)絡(luò)接口，命令格式轉(zhuǎn)換的內(nèi)部網(wǎng)絡(luò)接口，命令格式如下：如下：Router(config-if)#ip nat inside （4）顯示活動(dòng)的轉(zhuǎn)換條目）顯示活動(dòng)的轉(zhuǎn)換條目Router#show ip nat translation verbose1靜態(tài)靜態(tài)NAT配置基本過程配置基本過程16.2.4 NAT配置配置（1）定義一個(gè)用于分配地址的全局地址池）定義一個(gè)用于分配地址的全局地址池 在全局配置模

13、式下，通過在路由器上定義一個(gè)分配地址的全局分配地址的全局地址池，可以把用來進(jìn)行NAT轉(zhuǎn)換的公用地址池放在該池中，以供NAT使用。定義公用地址池的命令如下：Router(config)#ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-lengthrotary（2）定義一個(gè)標(biāo)準(zhǔn)訪問控制列表（）定義一個(gè)標(biāo)準(zhǔn)訪問控制列表（ACL），它允許那些需要轉(zhuǎn)換），它允許那些需要轉(zhuǎn)換的地址通過的地址通過 在全局設(shè)置模式下，定義一個(gè)標(biāo)準(zhǔn)訪問控制列表，該列表的作用是用來篩選允許上網(wǎng)企業(yè)內(nèi)部主機(jī)，通過在該列表中使用

14、“允許”語句，能夠指定哪些人可以上網(wǎng)。命令如下：Router(config)#access-list access-list-number permit source source-wildcard2. 動(dòng)態(tài)動(dòng)態(tài)NAT配置基本過程配置基本過程16.2.4 NAT配置配置（3）定義內(nèi)部網(wǎng)絡(luò)私有地址與外部網(wǎng)絡(luò)公用地址之間的映射）定義內(nèi)部網(wǎng)絡(luò)私有地址與外部網(wǎng)絡(luò)公用地址之間的映射 在全局配置模式下，將由access-list指定的內(nèi)部私有地址與指定的公用地址池相映射，從而提供內(nèi)網(wǎng)私有地址和外網(wǎng)公用地址之間的NAT轉(zhuǎn)換。其命令如下：Router(config)#ip nat inside sourcel

15、ist access-list-number | namepool pool-name overload | static local-ip global-ip（4）配置連接）配置連接Internet的接口的接口Router(config-if)#ip nat outside（5）配置連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口）配置連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口Router(config-if)#ip nat inside （6）定義指向外網(wǎng)的默認(rèn)路由）定義指向外網(wǎng)的默認(rèn)路由做好以上步驟后應(yīng)定義指向外網(wǎng)的默認(rèn)路由，命令格式如下：Router(config)#ip route next-ho

16、p-ip其中：next-hop-ip即專線在ISP端的連接地址。2. 動(dòng)態(tài)動(dòng)態(tài)NAT配置基本過程配置基本過程16.2.4 NAT配置配置（1）定義標(biāo)準(zhǔn)訪問列表，允許那些需要轉(zhuǎn)換的內(nèi)部網(wǎng)絡(luò)地址通過。）定義標(biāo)準(zhǔn)訪問列表，允許那些需要轉(zhuǎn)換的內(nèi)部網(wǎng)絡(luò)地址通過。 Router(config)#access-list access-list-number permit source source-wildcard其中各參數(shù)的含義見項(xiàng)目六訪問控制列表。（2）啟用動(dòng)態(tài)地址轉(zhuǎn)換，使用前面定義的訪問控制列表來指定哪些地址將被轉(zhuǎn)換，并指定其地址將被重載的接口。 Router(config)#ip nat insid

17、e source list acess-list-number interface interface overload （3）配置連接）配置連接Internet的接口的接口Router(config-if)#ip nat outside（4）配置連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口）配置連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口Router(config-if)#ip nat inside 3. Port NAT配置的基本過程配置的基本過程16.2.5 查看和刪除NAT配置命令描述clear ip nat translation 清除NAT轉(zhuǎn)換表中所有的動(dòng)態(tài)地址轉(zhuǎn)換條目clear ip nat translation ins

18、ide global-ip local-ip outside local-ip global-ip清除包含一個(gè)內(nèi)部轉(zhuǎn)換、或者同時(shí)包含內(nèi)部和外部轉(zhuǎn)換的動(dòng)態(tài)轉(zhuǎn)換條目clear ip nat translation outside local-ip global-ip清除包含一個(gè)外部轉(zhuǎn)換的動(dòng)態(tài)轉(zhuǎn)換條目clear ip nat translation protocol inside global-ip global-port local-ip local-port outside local-ip local-port global-ip global-port清除一條擴(kuò)展的動(dòng)態(tài)轉(zhuǎn)換條目表16-2 用

19、于清除NAT轉(zhuǎn)換條目的命令 16.3 方案設(shè)計(jì)方案設(shè)計(jì)該單位內(nèi)部有該單位內(nèi)部有500臺(tái)微機(jī)，臺(tái)微機(jī)，5個(gè)部門，可以組建基于三層個(gè)部門，可以組建基于三層交換技術(shù)的交換網(wǎng)絡(luò)，為了便于管理和維護(hù)，劃分交換技術(shù)的交換網(wǎng)絡(luò)，為了便于管理和維護(hù)，劃分6個(gè)子網(wǎng)，個(gè)子網(wǎng)，其中其中5個(gè)子網(wǎng)分屬個(gè)子網(wǎng)分屬5個(gè)部門，個(gè)部門，1個(gè)子網(wǎng)屬于網(wǎng)絡(luò)服務(wù)器，通過個(gè)子網(wǎng)屬于網(wǎng)絡(luò)服務(wù)器，通過路由器與互聯(lián)網(wǎng)相連。單位主頁通過靜態(tài)路由器與互聯(lián)網(wǎng)相連。單位主頁通過靜態(tài)NAT轉(zhuǎn)換使互聯(lián)網(wǎng)轉(zhuǎn)換使互聯(lián)網(wǎng)用戶能夠訪問，單位局域網(wǎng)內(nèi)用戶通過動(dòng)態(tài)用戶能夠訪問，單位局域網(wǎng)內(nèi)用戶通過動(dòng)態(tài)NAT轉(zhuǎn)換能夠訪轉(zhuǎn)換能夠訪問互聯(lián)網(wǎng)。該單位申請(qǐng)的問互聯(lián)網(wǎng)。該單位

20、申請(qǐng)的8個(gè)公網(wǎng)個(gè)公網(wǎng)IP地址，實(shí)際可用的地址，實(shí)際可用的IP地地址只有址只有6個(gè)，個(gè)，1個(gè)為個(gè)為Web服務(wù)器靜態(tài)服務(wù)器靜態(tài)NAT映射的地址，映射的地址，2個(gè)地個(gè)地址作為地址池，通過地址池進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換訪問因特網(wǎng)，址作為地址池，通過地址池進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換訪問因特網(wǎng)，其余的地址作為備用。網(wǎng)絡(luò)拓?fù)淙鐖D其余的地址作為備用。網(wǎng)絡(luò)拓?fù)淙鐖D16.4所示。所示。16.3 方案設(shè)計(jì)方案設(shè)計(jì)圖圖16.4 局域網(wǎng)接入互聯(lián)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D局域網(wǎng)接入互聯(lián)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱DPC11 PC21 PC31 PC41 PC51 WebISP局端16.4 任務(wù)實(shí)施任務(wù)實(shí)施為了完成本項(xiàng)目，搭建如圖為了完成本項(xiàng)目，搭建如圖16.5所示網(wǎng)絡(luò)拓

21、撲圖。所示網(wǎng)絡(luò)拓?fù)鋱D。（1）采用一臺(tái)三層交換機(jī)作為核心層，）采用一臺(tái)三層交換機(jī)作為核心層，4臺(tái)二層交換機(jī)作為匯聚層臺(tái)二層交換機(jī)作為匯聚層兼接入層交換機(jī)。為了在實(shí)訓(xùn)室模擬本項(xiàng)目，采用一臺(tái)路由器和一臺(tái)主兼接入層交換機(jī)。為了在實(shí)訓(xùn)室模擬本項(xiàng)目，采用一臺(tái)路由器和一臺(tái)主機(jī)模擬互聯(lián)網(wǎng)。該單位申請(qǐng)的機(jī)模擬互聯(lián)網(wǎng)。該單位申請(qǐng)的8個(gè)公網(wǎng)個(gè)公網(wǎng)IP地址為地址為2/29。分。分配給邊界路由器的外網(wǎng)端口的配給邊界路由器的外網(wǎng)端口的IP地址為地址為06/30。（2）在局域網(wǎng)內(nèi)劃分）在局域網(wǎng)內(nèi)劃分7個(gè)個(gè)VLAN：VLAN10分配給部門分配給部門1，VLAN20分配給部門分

22、配給部門2，VLAN30分配給部門分配給部門3，VLAN40分配給部門分配給部門4，VLAN50分配給部門分配給部門5，VLAN100分配給服務(wù)器組，分配給服務(wù)器組，VLAN99分配給管理分配給管理VLAN。（3）為了實(shí)現(xiàn)各部門的主機(jī)能夠相互訪問，三層交換機(jī)上開啟路）為了實(shí)現(xiàn)各部門的主機(jī)能夠相互訪問，三層交換機(jī)上開啟路由功能。由功能。（4）在邊界路由器上配置靜態(tài)）在邊界路由器上配置靜態(tài)NAT，實(shí)現(xiàn)，實(shí)現(xiàn)Web服務(wù)器上網(wǎng)和能夠服務(wù)器上網(wǎng)和能夠讓外網(wǎng)用戶訪問。讓外網(wǎng)用戶訪問。（5）在邊界路由器上配置動(dòng)態(tài)）在邊界路由器上配置動(dòng)態(tài)NAT，實(shí)現(xiàn)局域網(wǎng)內(nèi)用戶能夠訪問，實(shí)現(xiàn)局域網(wǎng)內(nèi)用戶能夠訪問互聯(lián)網(wǎng)。用戶訪

23、問?；ヂ?lián)網(wǎng)。用戶訪問。16.4.1 實(shí)訓(xùn)任務(wù)16.4 任務(wù)實(shí)施任務(wù)實(shí)施圖圖16.5 局域網(wǎng)接入互聯(lián)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D局域網(wǎng)接入互聯(lián)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱DPC11 PC21 PC31 PC41 PC51 WebPc0ISPBJS0/0/0S0/0/0f0/0f0/0Center16.4 任務(wù)實(shí)施任務(wù)實(shí)施為了搭建如圖16.5所示的網(wǎng)絡(luò)環(huán)境，需要如下的設(shè)備：（1）Cisco2811路由器（2臺(tái)）；（2）Cisco3560交換機(jī)（1臺(tái)）；（3）Cisco 2960交換機(jī)（6臺(tái)）（4）PC機(jī)7臺(tái)；（5）雙絞線（若干根）16.4.2 設(shè)備清單16.4 任務(wù)實(shí)施任務(wù)實(shí)施步驟步驟1：規(guī)劃設(shè)計(jì)：規(guī)劃設(shè)計(jì)（1）規(guī)劃各部門子網(wǎng)地址

24、VLAN ID，名稱如表16-3所示。16.4.3 實(shí)施過程實(shí)施過程部門IP子網(wǎng)VLAN IDVLAN 名稱部門1/2410bumen10部門2/2420bumen20部門3/2430bumen30部門4/2440bumen40部門5/2450bumen50服務(wù)器/24100Server100管理/24101Manage101（2）規(guī)劃各部門計(jì)算機(jī)）規(guī)劃各部門計(jì)算機(jī)IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)如表地址、子網(wǎng)掩碼和網(wǎng)關(guān)如表16-4

25、所示。所示。計(jì)算機(jī)IP地址子網(wǎng)掩碼網(wǎng)關(guān)PC110PC210PC310PC410PC510Sever-web0PC00255.25

26、5.255.016.4 任務(wù)實(shí)施任務(wù)實(shí)施16.4.3 實(shí)施過程實(shí)施過程（3）規(guī)劃各交換機(jī)名稱，端口所屬）規(guī)劃各交換機(jī)名稱，端口所屬VLAN以及連接的計(jì)算機(jī)，和以及連接的計(jì)算機(jī)，和各交換機(jī)之間的連接關(guān)系。如表各交換機(jī)之間的連接關(guān)系。如表16-5所示。所示。部門交換機(jī)型號(hào)交換機(jī)名稱遠(yuǎn)程管理地址端口所屬VLAN連接計(jì)算機(jī)部門1Cisco Catalyst 2960bumen1001F0/2-2410PC11部門2Cisco Catalyst 2960bumen2002F0/2-2420PC21部門3Cisco Catalyst

27、2960bumen3003F0/2-2430PC31部門4Cisco Catalyst 2960bumen4004F0/2-2440PC41部門5Cisco Catalyst 2960bumen5005F0/2-2450PC51服務(wù)器Cisco Catalyst 3560Server10010F0/2-24100Server-web16.4 任務(wù)實(shí)施任務(wù)實(shí)施16.4.3 實(shí)施過程實(shí)施過程（4）規(guī)劃網(wǎng)絡(luò)中三層交換機(jī)和路由器相連端口三層）規(guī)劃網(wǎng)絡(luò)中三層交換機(jī)和路由器相連端口三層IP地址、地址、路由器各端

28、口路由器各端口IP地址如表地址如表16-6所示。所示。設(shè)備名稱端口IP地址子網(wǎng)掩碼描述三層交換機(jī)CenterswF0/24Bjrouter-f0/0邊界路由器BjrouterF0/0Centersw-f0/24S0/0/00652Isprouter-s0/0/0ISP路由器IsprouterS0/0/00552bjrouter-s0/0/0F0/0

29、Lan-pc016.4 任務(wù)實(shí)施任務(wù)實(shí)施16.4.3 實(shí)施過程實(shí)施過程（5）NAT轉(zhuǎn)換使用公網(wǎng)轉(zhuǎn)換使用公網(wǎng)IP地址地址Web服務(wù)器靜態(tài)映射使用公網(wǎng)IP地址7，5和6為動(dòng)態(tài)地址池地址使用。步驟步驟2：實(shí)訓(xùn)環(huán)境準(zhǔn)備：實(shí)訓(xùn)環(huán)境準(zhǔn)備（1）硬件連接。）硬件連接。在交換機(jī)和計(jì)算機(jī)斷電的狀態(tài)下，按照?qǐng)D16.5和表16-8所示連接硬件。16.4 任務(wù)實(shí)施任務(wù)實(shí)施16.4.3 實(shí)施過程實(shí)施過程計(jì)算機(jī)部門交換機(jī)名稱端口跳線類型備注PC11部門1bumen10F0/2直通線F0/2-24中任意PC21部門2bumen20F0/2F0/2-24中

30、任意PC31部門3bumen30F0/2 F0/2-24中任意PC41部門4bumen40F0/2F0/2-24中任意PC51部門5bumen50F0/2F0/2-24中任意Sever-web服務(wù)器Server100F0/2F0/2-24中任意PC0ISP路由器F0/016.4 任務(wù)實(shí)施任務(wù)實(shí)施16.4.3 實(shí)施過程實(shí)施過程上聯(lián)端口下聯(lián)端口跳線類型設(shè)備名稱接口描述設(shè)備名稱接口描述CenterswF0/1bumen10-f0/1bumen10F0/1Centersw-f0/1交叉線F0/2Bumen20-f0/1bumen20F0/1Centersw-f0/2F0/3Bumen30-f0/1bu

31、men30F0/1Centersw-f0/3F0/4Bumen40-f0/1bumen40F0/1Centersw-f0/4F0/5Bumen50-f0/1bumen50F0/1Centersw-f0/5F0/6Server100-f0/1Server100F0/1Centersw-f0/6ISProuteS0/0/0Bjrouter-s0/0/0bjrouterS0/0/0Isprouter-S0/0/0F0/24Centersw-f0/24直通線16.4 任務(wù)實(shí)施任務(wù)實(shí)施16.4.3 實(shí)施過程實(shí)施過程（2）分別打開設(shè)備，給設(shè)備加電。）分別打開設(shè)備，給設(shè)備加電。步驟步驟3：按照表：按照表16

32、-1所列設(shè)置各計(jì)算機(jī)的所列設(shè)置各計(jì)算機(jī)的IP地址、子網(wǎng)掩地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)。把分別測(cè)試碼、默認(rèn)網(wǎng)關(guān)。把分別測(cè)試PC11、PC21、PC31、PC41、PC51、Sever-web之間的網(wǎng)絡(luò)連通性。之間的網(wǎng)絡(luò)連通性。步驟步驟4：清除各網(wǎng)絡(luò)設(shè)備的配置。：清除各網(wǎng)絡(luò)設(shè)備的配置。步驟步驟5：使用：使用ping命令分別測(cè)試命令分別測(cè)試PC11、PC21、PC31、PC41、PC51、Sever-web之間的網(wǎng)絡(luò)連通性。步驟步驟6：配置單位內(nèi)部局域網(wǎng)各部門用戶互聯(lián)互通：配置單位內(nèi)部局域網(wǎng)各部門用戶互聯(lián)互通在單位內(nèi)部局域網(wǎng)內(nèi)通過配置在單位內(nèi)部局域網(wǎng)內(nèi)通過配置VTP來實(shí)現(xiàn)各部門來實(shí)現(xiàn)各部門VLAN劃分。

33、劃分。16.4 任務(wù)實(shí)施任務(wù)實(shí)施16.4.3 實(shí)施過程實(shí)施過程1. 配置核心交換機(jī)配置核心交換機(jī)（1）配置核心交換機(jī)的主機(jī)名、密碼。（略）配置核心交換機(jī)的主機(jī)名、密碼。（略）（2）配置核心交換機(jī)為）配置核心交換機(jī)為VTP服務(wù)器端。（略）服務(wù)器端。（略）（3）在核心交換機(jī)上劃分）在核心交換機(jī)上劃分VLAN。（略）。（略）（4）配置三層交換機(jī)的三層端口centersw#config terminalcentersw(config-if)#interface fastethernet0/24centersw(config-if)#description link to bjrouter-f0/0ce

34、ntersw(config-if)#no switchport centersw(config-if)# ip address centersw(config-if)#no shutdowncentersw(config-if)#16.4 任務(wù)實(shí)施任務(wù)實(shí)施2. 配置其他交換機(jī)的名稱及配置其他交換機(jī)的名稱及VTP下面以部門1的交換機(jī)為例進(jìn)行Switch#config terminalSwitch(config)#hostname bumen1bumen1(config)#vtp domain natbumen1(config)#vtp versi

35、on 2bumen1(config)#vtp password natbumen1(config)#vtp mode client bumen1(config)#exitbumen1#show vlan16.4 任務(wù)實(shí)施任務(wù)實(shí)施3. 配置核心交換機(jī)和部門配置核心交換機(jī)和部門1交換機(jī)之間的鏈路中繼交換機(jī)之間的鏈路中繼（1）配置核心交換機(jī)centersw#config terminalcentersw(config)#interface fastethernet0/1centersw(config-if)#description link to bumen10-f0/1centersw(confi

36、g-if)#switchport mode trunk centersw(config-if)#switchport trunk encapsulation dot1q 16.4 任務(wù)實(shí)施任務(wù)實(shí)施3. 配置核心交換機(jī)和部門配置核心交換機(jī)和部門1交換機(jī)之間的鏈路中繼交換機(jī)之間的鏈路中繼（2）配置部門交換機(jī)bumen1#config terminalbumen1(config)#interface fastethernet0/1bumen1 (config-if)#description link to centersw-f0/1bumen1(config-if)#switchport mode

37、trunk bumen1(config)#interface range fastethernet0/2 24bumen1(config-if-range)#switchport mode accessbumen1(config-if-range)#switchport access vlan 10bumen1(config-if-range)#endbumen1#show vlanbumen1#16.4 任務(wù)實(shí)施任務(wù)實(shí)施4. 配置其他部門交換機(jī)（略）配置其他部門交換機(jī)（略）5. 查看核心交換機(jī)的端口查看核心交換機(jī)的端口trunk等信息。等信息。6. 測(cè)試連通性測(cè)試連通性使用使用ping命令分

38、別測(cè)試命令分別測(cè)試PC11、PC21、PC31、PC41、PC51、Sever-web之間的網(wǎng)絡(luò)連通性。7. 啟動(dòng)三層核心交換機(jī)的路由功能啟動(dòng)三層核心交換機(jī)的路由功能centersw (config)#ip routingcentersw(config)#ip route centersw(config)#exit再次使用ping命令分別測(cè)試PC11、PC21、PC31、PC41、PC51、Sever-web之間的網(wǎng)絡(luò)連通性。此時(shí)各計(jì)算機(jī)之間是連通的。16.4 任務(wù)實(shí)施任務(wù)實(shí)施步驟步驟7：配置邊界路由器：配置邊界路由器1. 配置邊界路由器的

39、接口地址配置邊界路由器的接口地址Router(config)#hostname bjrouterbjrouter(config-if)#interface fastethernet0/24bjrouter (config-if)#description link to centersw-f0/0bjrouter(config-if)#ip address bjrouter(config-if)#no shutdownbjrouter(config)#interface serial0/0/0bjrouter (config-if)#descri

40、ption link to isprouter-s0/0/0bjrouter(config-if)#ip address 06 52bjrouter(config-if)#clock rate 6400016.4 任務(wù)實(shí)施任務(wù)實(shí)施2. 配置邊界路由器的默認(rèn)路由配置邊界路由器的默認(rèn)路由bjrouter#config terminalbjrouter(config)#ip route 05bjrouter(config)#3. 配置邊界路由器到三層交換機(jī)的路由配置邊界路由器到三層交換機(jī)的路

41、由bjrouter(config)#ip route bjrouter(config)#ip route bjrouter(config)#ip route bjrouter(config)#ip route bjrouter(config)#ip route 255.

42、255.255.0 bjrouter(config)#ip route 16.4 任務(wù)實(shí)施任務(wù)實(shí)施4. 配置配置NAT轉(zhuǎn)換轉(zhuǎn)換（1）配置配置Web服務(wù)器的靜態(tài)服務(wù)器的靜態(tài)NAT轉(zhuǎn)換轉(zhuǎn)換bjrouter(config)#ip nat inside source static 1 7（2）配置動(dòng)態(tài)）配置動(dòng)態(tài)NAT轉(zhuǎn)換轉(zhuǎn)換bjrouter(config)#ip nat pool mypool 5 6 ne

43、tmask 48bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 permit 1

44、 5516.4 任務(wù)實(shí)施任務(wù)實(shí)施16.4.3 實(shí)施過程實(shí)施過程bjrouter(config)#ip nat inside source list 1 pool mypool bjrouter(config)#interface FastEthernet 0/0bjrouter(config-if)#ip nat inside bjrouter(config-if)#exitbjrouter(config)#interface serial0/0/0bjrouter(config-if)#ip nat outside bjrouter(config-if)#

45、exit16.4 任務(wù)實(shí)施任務(wù)實(shí)施16.4.3 實(shí)施過程實(shí)施過程步驟步驟8：配置：配置ISP路由器路由器（1）配置）配置ISP路由器的端口地址路由器的端口地址（2）配置到邊界路由器的路由）配置到邊界路由器的路由isprouter(config)#ip route 2 24 06步驟步驟9：測(cè)試及檢查：測(cè)試及檢查（1）在）在Web服務(wù)器的計(jì)算機(jī)上服務(wù)器的計(jì)算機(jī)上ping ISP路由器的端口及路由器的端口及PC0的連通性，如測(cè)試連通，表示靜態(tài)的連通性，如測(cè)試連通，表示靜態(tài)NAT配置正確。配置正確。（2）在其它計(jì)算機(jī)上）在其

46、它計(jì)算機(jī)上ping ISP路由器的端口及路由器的端口及PC0的連通性，的連通性，如測(cè)試連通，表示動(dòng)態(tài)如測(cè)試連通，表示動(dòng)態(tài)NAT配置正確。配置正確。（3）在邊界上路由器查看）在邊界上路由器查看NAT轉(zhuǎn)換轉(zhuǎn)換bjrouter#show ip nat statistics 16.4 任務(wù)實(shí)施任務(wù)實(shí)施16.4 任務(wù)實(shí)施任務(wù)實(shí)施步驟10：配置各網(wǎng)絡(luò)設(shè)備口令，然后進(jìn)行遠(yuǎn)程登錄。步驟11：保存各網(wǎng)絡(luò)設(shè)備配置文件。步驟12：清除各網(wǎng)絡(luò)設(shè)備配置。16.4.3 實(shí)施過程實(shí)施過程16.5 拓展訓(xùn)練拓展訓(xùn)練該單位在開通專線上網(wǎng)后，隨機(jī)帶來了很多員工在上班時(shí)間瀏覽網(wǎng)頁，聊QQ。工作效率在下降，在這種情況下，決定只允許單

47、位內(nèi)部部門1、2、3和Web服務(wù)器等人員上網(wǎng)，其他人員不能上網(wǎng)。網(wǎng)絡(luò)拓?fù)淙鐖D16.5所示。bjrouter(config)#ip nat inside source static 1 7bjrouter(config)#ip nat pool mypool 5 6 netmask 48 bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 per

48、mit 55bjrouter(config)#access-list 1 permit 5516.5.1 拓展訓(xùn)練拓展訓(xùn)練1：通過靜態(tài)：通過靜態(tài)NAT技術(shù)提供企業(yè)內(nèi)指定子網(wǎng)上網(wǎng)技術(shù)提供企業(yè)內(nèi)指定子網(wǎng)上網(wǎng)16.5 拓展訓(xùn)練拓展訓(xùn)練bjrouter(config)#ip nat inside source list 1 pool mypool overload bjrouter(config)#exitbjrouter#config terminalbjrouter(config)#interface FastEthe

49、rnet 0/0bjrouter(config-if)#ip nat inside bjrouter(config-if)#exitbjrouter(config)#interface serial0/0/0bjrouter(config-if)#ip nat outside 。16.5.1 拓展訓(xùn)練拓展訓(xùn)練1：通過靜態(tài)：通過靜態(tài)NAT技術(shù)提供企業(yè)內(nèi)指定子網(wǎng)上網(wǎng)技術(shù)提供企業(yè)內(nèi)指定子網(wǎng)上網(wǎng)16.5 拓展訓(xùn)練拓展訓(xùn)練在本項(xiàng)目中，假設(shè)該單位只申請(qǐng)了2個(gè)公網(wǎng)IP地址，邊界路由器的外網(wǎng)接口和ISP路由器的接口各占用1個(gè)。在這種情況下，可以直接使用路由器的外網(wǎng)接口地址進(jìn)行NAT轉(zhuǎn)換，但如果單位內(nèi)網(wǎng)建立了自

50、己的Web服務(wù)器和Ftp服務(wù)器，可又沒有剩余的公網(wǎng)IP地址，若要實(shí)現(xiàn)因特網(wǎng)中的用戶能訪問內(nèi)網(wǎng)中的Web服務(wù)器和FTP服務(wù)器。該如何實(shí)現(xiàn)呢？路由器的外網(wǎng)接口地址進(jìn)行NAT轉(zhuǎn)換時(shí)，僅使用了大于或等于1024的端口，而Web服務(wù)器使用的TCP 80端口和FTP服務(wù)器使用的TCP 20、21端口沒有被使用，因此，可將路由器外網(wǎng)接口的TCP 80端口映射到內(nèi)網(wǎng)Web服務(wù)器的TCP80端口，將20、21端口映射到內(nèi)網(wǎng)FTP服務(wù)器的TCP 20、21端口。16.5.2 拓展訓(xùn)練2：通過Port NAT提供企業(yè)內(nèi)多臺(tái)主機(jī)上網(wǎng)16.5 拓展訓(xùn)練拓展訓(xùn)練bjrouter(config)#access-list 1

51、 permit 55bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 permit 5516.5.2 拓展訓(xùn)練2：通過Port NAT提供企業(yè)內(nèi)多臺(tái)

52、主機(jī)上網(wǎng)16.5 拓展訓(xùn)練拓展訓(xùn)練bjrouter(config)#ip nat inside source list 1interface serial0/0/0 overload !bjrouter(config)#ip nat inside source static tcp 0 80 06 80bjrouter(config)#ip nat inside source static tcp 0 20 06 20bjrouter(config)#ip nat inside source static tcp 0 21 06 21bjrouter(config)#interface FastEthernet 0/0bjrouter(config-if)#ip nat inside bjrouter(con