網(wǎng)絡(luò)互聯(lián)技術(shù)與實(shí)訓(xùn)（任務(wù)式微課版） 課件 模塊6-網(wǎng)絡(luò)服務(wù)技術(shù)

《網(wǎng)絡(luò)互聯(lián)技術(shù)與實(shí)訓(xùn)》-任務(wù)式微課版模塊6網(wǎng)絡(luò)服務(wù)技術(shù)隨著互聯(lián)網(wǎng)的日益普及和飛速發(fā)展，接入互聯(lián)網(wǎng)的局域網(wǎng)數(shù)量急劇增長(zhǎng)，造成目前公有IP地址嚴(yán)重短缺，不可能保證每一臺(tái)訪(fǎng)問(wèn)互聯(lián)網(wǎng)的網(wǎng)絡(luò)工作站均被分配到一個(gè)全球唯一的IP全局地址。為了節(jié)省公有IP地址，企業(yè)內(nèi)部通常使用私有IP地址，通過(guò)在企業(yè)分支機(jī)構(gòu)的邊緣路由器上實(shí)現(xiàn)NAT，使大量私有IP地址用戶(hù)可以共享一個(gè)公有IP地址正常訪(fǎng)問(wèn)互聯(lián)網(wǎng)。這樣大型企業(yè)網(wǎng)絡(luò)內(nèi)部就會(huì)有大量的主機(jī)或設(shè)備需要獲取私有IP地址等網(wǎng)絡(luò)參數(shù)問(wèn)題，如果采用手動(dòng)配置，則工作量大且不好管理，如果有用戶(hù)擅自修改網(wǎng)絡(luò)參數(shù)，還有可能會(huì)造成IP地址沖突等問(wèn)題。因此一般使用DHCP來(lái)分配IP地址等網(wǎng)絡(luò)參數(shù)，可以減少管理員的工作量，避免用戶(hù)手動(dòng)配置網(wǎng)絡(luò)參數(shù)時(shí)造成的地址沖突。本模塊主要介紹網(wǎng)絡(luò)服務(wù)技術(shù)，包括NAT服務(wù)器的配置、DHCP的配置等。前言知識(shí)目標(biāo)（1）理解NAT技術(shù)的分類(lèi)及工作流程。（2）了解DHCP的應(yīng)用場(chǎng)景。（3）理解DHCP的報(bào)文類(lèi)型及工作過(guò)程。（4）理解DHCPRelay的原理。學(xué)習(xí)目標(biāo)技能目標(biāo)（1）熟悉常見(jiàn)NAT應(yīng)用與處理常見(jiàn)的NAT問(wèn)題。（2）掌握NAT技術(shù)的靜態(tài)配置與動(dòng)態(tài)配置命令。（3）重點(diǎn)掌握NAPT與EasyIP技術(shù)配置方法，在實(shí)際網(wǎng)絡(luò)中靈活使用NAT技術(shù)。（4）熟練掌握DHCP的具體應(yīng)用和配置方法。（5）掌握DHCP全局地址池的配置方法和端口地址池的配置方法。（6）掌握在交換機(jī)端口上啟用DHCP發(fā)現(xiàn)功能和IP地址分配功能的方法。（7）掌握DHCPRelay的配置過(guò)程。學(xué)習(xí)目標(biāo)素質(zhì)目標(biāo)（1）培養(yǎng)學(xué)生自主探究問(wèn)題的精神。（2）培養(yǎng)學(xué)生具備良好的網(wǎng)絡(luò)工程意識(shí)，以及遵守國(guó)家法律和規(guī)章制度的意識(shí)。

學(xué)習(xí)目標(biāo)任務(wù)6.1NAT服務(wù)器的配置6.1.1NAT概述

NAT的主要功能是通過(guò)轉(zhuǎn)換報(bào)文中的IP地址，實(shí)現(xiàn)公網(wǎng)和私網(wǎng)的互訪(fǎng)。NAT通常部署在一個(gè)組織的網(wǎng)絡(luò)出口位置，通過(guò)將內(nèi)部網(wǎng)絡(luò)IP地址替換為出口的IP地址提供公網(wǎng)可達(dá)性和上層協(xié)議的連接能力。圖6-1所示為NAT服務(wù)示意。6.1.2私有IP地址和公有IP地址1．私有IP地址私有IP地址是一段保留的IP地址，只使用在局域網(wǎng)中，無(wú)法在Internet上使用。（1）任何組織都可以任意使用私有IP地址空間。（2）私有IP地址在Internet上無(wú)法被識(shí)別。（3）如果采用私有IP地址的網(wǎng)絡(luò)需要訪(fǎng)問(wèn)Internet，則必須在出口處部署NAT網(wǎng)關(guān)。6.1.2私有IP地址和公有IP地址2．公有IP地址公有IP地址由互聯(lián)網(wǎng)絡(luò)信息中心（InternetNetworkInformationCenter，InterNIC）負(fù)責(zé)，分配給注冊(cè)并向InterNIC提出申請(qǐng)的組織，通過(guò)它可直接訪(fǎng)問(wèn)Internet，它是廣域網(wǎng)范疇內(nèi)的。IPv4中公有IP地址的范圍如下。（1）A類(lèi)的公有IP地址：1.0.0.0～9.255.255.255，11.0.0.0～126.255.255.255。（2）B類(lèi)的公有IP地址：128.0.0.0～172.15.255.255，172.32.0.0～191.255.255.255。（3）C類(lèi)的公有IP地址：192.0.0.0～192.168.255.255，192.169.0.0～223.255.255.255。6.1.3NAT工作流程從公網(wǎng)到私網(wǎng)：報(bào)文經(jīng)過(guò)部署了NAT技術(shù)的路由器時(shí)，路由器將報(bào)文中的DIP（目的IP地址）由公有IP地址轉(zhuǎn)換為私有IP地址。在整個(gè)NAT中，關(guān)鍵工作流程如下。（1）網(wǎng)絡(luò)被分為私網(wǎng)和公網(wǎng)兩個(gè)部分，NAT網(wǎng)關(guān)設(shè)置在私網(wǎng)到公網(wǎng)的路由出口位置，雙向流量必須經(jīng)過(guò)NAT網(wǎng)關(guān)。（2）網(wǎng)絡(luò)訪(fǎng)問(wèn)只能先由私網(wǎng)側(cè)發(fā)起，公網(wǎng)無(wú)法主動(dòng)訪(fǎng)問(wèn)私網(wǎng)主機(jī)。（3）NAT網(wǎng)關(guān)在兩個(gè)訪(fǎng)問(wèn)方向上完成兩次地址的轉(zhuǎn)換或翻譯，出方向進(jìn)行源信息替換，入方向進(jìn)行目的信息替換。（4）NAT網(wǎng)關(guān)的存在對(duì)通信雙方是保持透明的。（5）NAT網(wǎng)關(guān)為了實(shí)現(xiàn)雙向轉(zhuǎn)換的功能，需要維護(hù)一張關(guān)聯(lián)表，以將會(huì)話(huà)的信息保存下來(lái)。6.1.4NAT技術(shù)分類(lèi)NAT技術(shù)分為兩大類(lèi)，即源NAT、目的NAT。1．靜態(tài)NAT所謂靜態(tài)NAT，是指公有IP地址和私有IP地址的對(duì)應(yīng)關(guān)系是靜態(tài)的，由管理員手動(dòng)指定后就不再改變。根據(jù)圖6-1可知，靜態(tài)NAT實(shí)現(xiàn)的是一對(duì)一的地址轉(zhuǎn)換，其私有IP地址和公有IP地址的對(duì)應(yīng)關(guān)系如表6-1所示。6.1.4NAT技術(shù)分類(lèi)2．基本NAT基本NAT仍然是一對(duì)一的地址轉(zhuǎn)換，但是私有IP地址和公有IP地址的對(duì)應(yīng)關(guān)系不固定。如表6-2所示。6.1.4NAT技術(shù)分類(lèi)3．網(wǎng)絡(luò)地址端口轉(zhuǎn)換網(wǎng)絡(luò)地址端口轉(zhuǎn)換（NetworkAddressPortTranslation，NAPT）用于實(shí)現(xiàn)多對(duì)一的地址轉(zhuǎn)換，將多個(gè)私有IP地址轉(zhuǎn)換為同一個(gè)公有IP地址，允許多個(gè)私有IP地址映射到同一個(gè)公有IP地址的不同端口。在進(jìn)行地址轉(zhuǎn)換時(shí)，NAPT不僅記錄IP地址的轉(zhuǎn)換關(guān)系，還記錄端口號(hào)的對(duì)應(yīng)關(guān)系，這樣才能區(qū)分不同的私有IP地址。表6-3所示為NAPT方式下私有IP地址和公有IP地址的對(duì)應(yīng)關(guān)系。6.1.4NAT技術(shù)分類(lèi)如表6-3所示，所有私有IP地址只對(duì)應(yīng)一個(gè)公有IP地址198.76.28.11，只需使用一個(gè)公有IP地址，就可將數(shù)千名用戶(hù)連接到Internet。6.1.4NAT技術(shù)分類(lèi)4．EasyIPEasyIP方式中NAT設(shè)備直接使用出口的IP地址作為轉(zhuǎn)換后的源IP地址，不用預(yù)先配置地址池，工作原理與普通NAPT相同，也用于實(shí)現(xiàn)多對(duì)一的地址轉(zhuǎn)換，將多個(gè)私有IP地址轉(zhuǎn)換為同一個(gè)公有IP地址，轉(zhuǎn)換后的公有IP地址為路由器出口的公有IP地址（見(jiàn)表6-3），但轉(zhuǎn)換后的公有IP地址（198.76.28.11轉(zhuǎn)換為198.76.28.1）為路由器出口的公有IP地址，充分利用了路由器出口的公有IP地址的作用。6.1.5NAT基本配置命令

1．靜態(tài)NAT配置命令（1）啟用靜態(tài)NAT（命令為natstaticenable)。（2）綁定公有、私有IP地址（命令為natstaticglobal公有IP地址inside私有IP地址）。其中，global參數(shù)用于配置公有IP地址，inside參數(shù)用于配置私有IP地址。建立公有IP地址與私有IP地址映射，如圖6-4所示。6.1.5NAT基本配置命令

（3）靜態(tài)NAT驗(yàn)證（命令為displaynatstatic）。如圖6-5所示，GlobalIP/Port表示公有IP地址和服務(wù)端口號(hào)，InsideIP/Port表示私有IP地址和服務(wù)端口號(hào)。6.1.5NAT基本配置命令

2．基本NAT配置命令基本NAT配置命令如圖6-6所示，具體描述如下。（1）配置ACL，用于判斷哪些數(shù)據(jù)包的地址應(yīng)被轉(zhuǎn)換，被ACL允許（permit）的報(bào)文將被進(jìn)行NAT轉(zhuǎn)換，被拒絕（deny）的報(bào)文將不會(huì)被轉(zhuǎn)換。（2）配置地址池（命令為nataddress-group），格式如下。nataddress-groupgroup-numberstart-addrend-addr（3）ACL綁定地址池（命令為natoutbound），用來(lái)將一個(gè)ACL和一個(gè)地址池關(guān)聯(lián)起來(lái)，表示ACL中規(guī)定的地址可以使用地址池進(jìn)行地址轉(zhuǎn)換，no-pat表示只轉(zhuǎn)換數(shù)據(jù)報(bào)文的地址而不轉(zhuǎn)換端口信息，格式如下。natoutboundacl-numberaddress-groupgroup-numberno-pat6.1.5NAT基本配置命令

2．基本NAT配置命令基本NAT配置命令如圖6-6所示，具體描述如下。（1）配置ACL，用于判斷哪些數(shù)據(jù)包的地址應(yīng)被轉(zhuǎn)換，被ACL允許（permit）的報(bào)文將被進(jìn)行NAT轉(zhuǎn)換，被拒絕（deny）的報(bào)文將不會(huì)被轉(zhuǎn)換。（2）配置地址池（命令為nataddress-group），格式如下。nataddress-groupgroup-numberstart-addrend-addr（3）ACL綁定地址池（命令為natoutbound），用來(lái)將一個(gè)ACL和一個(gè)地址池關(guān)聯(lián)起來(lái)，表示ACL中規(guī)定的地址可以使用地址池進(jìn)行地址轉(zhuǎn)換，no-pat表示只轉(zhuǎn)換數(shù)據(jù)報(bào)文的地址而不轉(zhuǎn)換端口信息，格式如下。natoutboundacl-numberaddress-groupgroup-numberno-pat（4）查看基本NAT配置信息（命令為displaynataddress-group）。6.1.5NAT基本配置命令

3．NAPT配置命令NAPT的配置方式和基本NAT的類(lèi)似，只是在最后調(diào)用公有和私有IP地址池時(shí)不加no-pat參數(shù)。NAPT配置命令如圖6-7所示，具體如下。（1）配置ACL，用于判斷哪些數(shù)據(jù)包的地址應(yīng)被轉(zhuǎn)換，被ACL允許的報(bào)文將被進(jìn)行NAT轉(zhuǎn)換，被拒絕的報(bào)文將不會(huì)被轉(zhuǎn)換。（2）配置地址池，格式如下。nataddress-groupgroup-numberstart-addrend-addr（3）配置地址轉(zhuǎn)換，格式如下。natoutboundacl-numberaddress-groupgroup-number6.1.5NAT基本配置命令

4．EasyIP配置命令EasyIP的配置與NAPT的配置類(lèi)似。在EasyIP的配置中，NAT設(shè)備直接使用出口的IP地址作為轉(zhuǎn)換后的源IP地址，用戶(hù)不用預(yù)先配置地址池，只需要定義ACL和natoutbound命令，是NAPT的一種特例，適用于撥號(hào)接入Internet或動(dòng)態(tài)獲得IP地址的場(chǎng)合。兩者的主要區(qū)別是EasyIP不需要配置地址池，所以natoutbound命令中不需要配置參數(shù)address-group，如圖6-8所示。（1）配置ACL，用于判斷哪些數(shù)據(jù)包的地址應(yīng)被轉(zhuǎn)換，被ACL允許的報(bào)文將被進(jìn)行NAT轉(zhuǎn)換，被拒絕的報(bào)文將不會(huì)被轉(zhuǎn)換。（2）配置地址轉(zhuǎn)換，格式如下。natoutboundacl-number6.1.5NAT基本配置命令

5．NATServer配置命令NATServer用于解決公網(wǎng)用戶(hù)訪(fǎng)問(wèn)私網(wǎng)服務(wù)器的目的地址轉(zhuǎn)換問(wèn)題，如圖6-9所示。當(dāng)客戶(hù)端想訪(fǎng)問(wèn)私網(wǎng)服務(wù)器或者私網(wǎng)服務(wù)器想訪(fǎng)問(wèn)客戶(hù)端時(shí)，可以使用NATServer實(shí)現(xiàn)，NATServer會(huì)將公有IP地址映射為私有IP地址。NATServer配置命令如下。natserverprotocolpro-typeglobalglobal-addr[global-port]insidehost-addr[host-port]6.1.5NAT基本配置命令

NATServer配置命令如圖6-10所示?！救蝿?wù)實(shí)施】實(shí)驗(yàn)1雙絞線(xiàn)的制作

（1）理解NAT的應(yīng)用場(chǎng)景。（2）理解NAT技術(shù)原理。（3）熟悉NAT技術(shù)如何轉(zhuǎn)換報(bào)文中的IP地址及NAT技術(shù)的類(lèi)型。（4）掌握NAT技術(shù)的靜態(tài)與動(dòng)態(tài)地址配置方法。（5）掌握NAPT與EasyIP技術(shù)端口地址轉(zhuǎn)換配置方法。實(shí)驗(yàn)6-1配置NATServer

任務(wù)6.2DHCP的配置6.2.1DHCP概述

DHCP是一種客戶(hù)端/服務(wù)器（Client/Server，C/S）架構(gòu)的協(xié)議，通過(guò)DHCP可以使DHCP的客戶(hù)端從服務(wù)器獲取到IP地址等網(wǎng)絡(luò)信息，如圖6-23所示。6.2.2DHCP的報(bào)文類(lèi)型和工作過(guò)程

1．DHCP的報(bào)文類(lèi)型DHCP的報(bào)文主要有以下幾種類(lèi)型。（1）Discover報(bào)文（2）Offer報(bào)文（3）Request報(bào)文（4）ACK報(bào)文（5）Nak報(bào)文（6）Release報(bào)文（7）Decline報(bào)文（8）Inform報(bào)文6.2.2DHCP的報(bào)文類(lèi)型和工作過(guò)程

2．DHCP的工作過(guò)程DHCP的工作過(guò)程如圖6-24所示。6.2.2DHCP的報(bào)文類(lèi)型和工作過(guò)程

向DHCP服務(wù)器發(fā)送單播Request報(bào)文續(xù)延租期6.2.2DHCP的報(bào)文類(lèi)型和工作過(guò)程

向DHCP服務(wù)器發(fā)送廣播Request報(bào)文續(xù)延租期6.2.2DHCP的報(bào)文類(lèi)型和工作過(guò)程

DHCP客戶(hù)端主動(dòng)向DHCP服務(wù)器發(fā)送Release報(bào)文，請(qǐng)求釋放IP地址6.2.3DHCP基本配置命令A(yù)RG3系列路由器支持兩種地址池，即全局地址池和端口地址池，如圖6-26所示。6.2.3DHCP基本配置命令1．DHCP端口地址池配置DHCP端口地址池配置命令如圖6-27所示。（1）dhcpenable：用來(lái)啟用DHCP服務(wù)。（2）dhcpselectinterface：用來(lái)關(guān)聯(lián)端口和端口地址池，為連接到端口的主機(jī)提供配置信息。（3）dhcpserverdns-list：用來(lái)指定端口地址池下的DNS服務(wù)器地址。（4）dhcpserverexcluded-ip-address：用來(lái)配置端口地址池中不參與自動(dòng)分配的IP地址范圍。（5）dhcpserverlease：用來(lái)配置租期。6.2.3DHCP基本配置命令DHCP端口地址池配置命令6.2.3DHCP基本配置命令查看地址池的代碼如下。[Huawei]displayippoolPool-name:GigabitEthernet0/0/0Pool-No:0Position:InterfaceStatus:UnlockedGateway-0:10.1.1.1Mask:255.255.255.0VPNinstance:--IPaddressStatisticTotal:253Used:1Idle:252Expired:0Conflict:0Disable:16.2.3DHCP基本配置命令2．DHCP全局地址池配置DHCP全局地址池配置命令如圖6-28所示。（1）ippool：用來(lái)創(chuàng)建全局地址池。（2）network：用來(lái)配置全局地址池下可分配的網(wǎng)段地址。（3）gateway-list：用來(lái)配置DHCP服務(wù)器全局地址池的出口網(wǎng)關(guān)地址。（4）dhcpselectglobal：用來(lái)使能端口的DHCP服務(wù)。6.2.3DHCP基本配置命令DHCP全局地址池配置命令6.2.3DHCP基本配置命令查看地址池的代碼如下。[Huawei]displayippool-------------------------------------------------------------Pool-name:pool2Pool-No:0Position:LocalStatus:UnlockedGateway-0:1.1.1.1Mask:255.255.255.0VPNinstance:--IPaddressStatisticTotal:253Used:1Idle:252Expired:0Conflict:0Disable:06.2.4DHCPRelay1．應(yīng)用場(chǎng)景當(dāng)網(wǎng)絡(luò)內(nèi)有多個(gè)網(wǎng)段需要使用DHCP服務(wù)時(shí)，因?yàn)樵贗P地址動(dòng)態(tài)獲取過(guò)程中，客戶(hù)端采取廣播方式發(fā)送請(qǐng)求報(bào)文，而廣播報(bào)文不能跨網(wǎng)段傳送，所以DHCP只適用于客戶(hù)端和服務(wù)器處于同一網(wǎng)段內(nèi)的情況，當(dāng)多個(gè)網(wǎng)段需要進(jìn)行動(dòng)態(tài)IP地址分配時(shí)，就需要在所有網(wǎng)段上設(shè)置一臺(tái)DHCP服務(wù)器，這顯然不易于管理和維護(hù)。這時(shí)可以通過(guò)DHCPRelay（DHCP中繼）技術(shù)實(shí)現(xiàn)集中管理，方便IP地址分配。6.2.4DHCPRelay2．配置DHCPRelayDHCPRelay配置如圖6-29所示，先配置DHCP服務(wù)器，在DHCP服務(wù)器上配置客戶(hù)端對(duì)應(yīng)的DHCP地址池[網(wǎng)絡(luò)號(hào)（network）為10.1.1.0/24，網(wǎng)關(guān)（gateway）為10.1.1.1，域名服務(wù)器（dns-server）地址為10.1.1.1，租期（lease）為2天]，再在DHCP服務(wù)器的GE0/0/2端口上調(diào)用該地址池，最后配置DHCPRelay，在DHCPRelay連接客戶(hù)端的端口上啟用DHCPRelay功能，并指定DHCP服務(wù)器的