網(wǎng)絡(luò)互聯(lián)技術(shù)與實踐第16章：私有局域網(wǎng)接入互聯(lián)網(wǎng)

1、1 16 6.1 .1 任務(wù)描述任務(wù)描述第16章：私有局域網(wǎng)接入互聯(lián)網(wǎng)私有局域網(wǎng)接入互聯(lián)網(wǎng)某單位組建了一個局域網(wǎng)絡(luò)，有微機某單位組建了一個局域網(wǎng)絡(luò)，有微機500臺，臺，5個部門，個部門，通過路由器上聯(lián)到互聯(lián)網(wǎng)。該單位申請了通過路由器上聯(lián)到互聯(lián)網(wǎng)。該單位申請了8個公網(wǎng)地址，個公網(wǎng)地址，單位開發(fā)了自己的單位主頁，要求單位內(nèi)部的局域網(wǎng)用戶單位開發(fā)了自己的單位主頁，要求單位內(nèi)部的局域網(wǎng)用戶能夠訪問互聯(lián)網(wǎng)，單位主頁能夠被世界各地的互聯(lián)網(wǎng)用戶能夠訪問互聯(lián)網(wǎng)，單位主頁能夠被世界各地的互聯(lián)網(wǎng)用戶訪問。訪問。1 16 6.2 .2 相關(guān)知識相關(guān)知識第16章：私有局域網(wǎng)接入互聯(lián)網(wǎng)私有局域網(wǎng)接入互聯(lián)網(wǎng)16.2.1

2、NAT技術(shù)的產(chǎn)生原理技術(shù)的產(chǎn)生原理16.2.2 NAT技術(shù)的術(shù)語技術(shù)的術(shù)語16.2.3 NAT類型類型16.2.4 NAT配置配置16.2.5 查看和刪除查看和刪除NAT配置配置16.2.1 NAT技術(shù)的產(chǎn)生原理技術(shù)的產(chǎn)生原理為了解決局域網(wǎng)用戶訪問因特網(wǎng)的問題，從而誕生了網(wǎng)為了解決局域網(wǎng)用戶訪問因特網(wǎng)的問題，從而誕生了網(wǎng)絡(luò)地址轉(zhuǎn)換絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)技術(shù)，技術(shù)，它是一種將一個它是一種將一個IP地址轉(zhuǎn)換為另一個地址轉(zhuǎn)換為另一個IP地址的技術(shù)。地址的技術(shù)。網(wǎng)絡(luò)地址轉(zhuǎn)換（網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)是一個）技術(shù)是一個IETF（Internet E

3、ngineering Task Force，Internet工程工作組）標(biāo)準(zhǔn)。工程工作組）標(biāo)準(zhǔn)。16.2.1 NAT技術(shù)的產(chǎn)生原理技術(shù)的產(chǎn)生原理源地址 私轉(zhuǎn)公私有地址圖圖16.1 在路由器上使用在路由器上使用NAT技術(shù)實現(xiàn)的功能技術(shù)實現(xiàn)的功能Internet公有地址目的地址 公轉(zhuǎn)私私有地址公有地址16.2.2 NAT技術(shù)的術(shù)語技術(shù)的術(shù)語當(dāng)內(nèi)部網(wǎng)絡(luò)有多臺主機訪問因特網(wǎng)上的多個目的主機的當(dāng)內(nèi)部網(wǎng)絡(luò)有多臺主機訪問因特網(wǎng)上的多個目的主機的時侯，路由器必須記住內(nèi)部網(wǎng)絡(luò)的哪一臺主機訪問因特網(wǎng)時侯，路由器必須記住內(nèi)部網(wǎng)絡(luò)的哪一臺主機訪問因特網(wǎng)上的哪一臺主機，以防止在地址轉(zhuǎn)換時將不同的連接混淆，上的哪一臺主機

4、，以防止在地址轉(zhuǎn)換時將不同的連接混淆，所以路由器會為所以路由器會為NAT的眾多連接建立一個表，即的眾多連接建立一個表，即NAT表，表，如圖如圖16.2所示。所示。16.2.2 NAT技術(shù)的術(shù)語技術(shù)的術(shù)語16.2.2 NAT技術(shù)的術(shù)語技術(shù)的術(shù)語Local圖圖16.3 內(nèi)部地址和外部地址內(nèi)部地址和外部地址InternetGlobalInsideOutside主機位置IP地址的邏輯位置16.2.2 NAT技術(shù)的術(shù)語技術(shù)的術(shù)語InsideOutsideNATInside local address（內(nèi)部本地地址）inside global address（內(nèi)部全局地址）outside local ad

5、dress（外部本地地址）outside global address（外部全局地址）16.2.2 NAT技術(shù)的術(shù)語技術(shù)的術(shù)語3. 私有地址私有地址私有地址（私有地址（Private Address）屬于非注冊地址，專門）屬于非注冊地址，專門為組織機構(gòu)內(nèi)部使用。在為組織機構(gòu)內(nèi)部使用。在IPv4地址中下列地址為私有地址：地址中下列地址為私有地址：A類：類：55B類：類：55C類：類：5516.2.3 NAT類型類型靜態(tài)NAT動態(tài)NATNAT類型類型端口地址轉(zhuǎn)換16.

6、2.3 NAT類型類型靜態(tài)NAT動態(tài)NATNAT類型類型在靜態(tài)NAT中，是指內(nèi)部網(wǎng)絡(luò)中的主機IP地址（內(nèi)部本地地址）一對一地永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。靜態(tài)地址轉(zhuǎn)換以一對一的方式將內(nèi)部私有地址映射到公共IP地址，當(dāng)要求外部網(wǎng)絡(luò)能夠訪問內(nèi)部設(shè)備時，靜態(tài)NAT特別有用。如內(nèi)部網(wǎng)絡(luò)有Web服務(wù)器、E-mail服務(wù)器或FTP服務(wù)器等可以為外部用戶提供的服務(wù)，這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換（將一個全球的地址映射到一個內(nèi)部地址，靜態(tài)映射將一直存在于NAT表中，直到被管理員取消），以便外部用戶可以使用這些服務(wù)。16.2.3 NAT類型類型靜態(tài)NAT動態(tài)NATNAT類型類型動態(tài)地址池轉(zhuǎn)換（

7、Pool NAT）動態(tài)端口轉(zhuǎn)換（Port NAT）16.2.3 NAT類型類型（1）Pool NAT轉(zhuǎn)換。轉(zhuǎn)換。Pool NAT執(zhí)行本地地址與全局執(zhí)行本地地址與全局地址的一對一轉(zhuǎn)換，但全局地址與本地地址的對應(yīng)關(guān)系不地址的一對一轉(zhuǎn)換，但全局地址與本地地址的對應(yīng)關(guān)系不是一成不變的，它是從內(nèi)部全局地址池（是一成不變的，它是從內(nèi)部全局地址池（Pool）中動態(tài)地）中動態(tài)地選擇一個末使用的地址對內(nèi)部本地地址進行轉(zhuǎn)換。采用動選擇一個末使用的地址對內(nèi)部本地地址進行轉(zhuǎn)換。采用動態(tài)態(tài)NAT意味著可以在內(nèi)部網(wǎng)絡(luò)中定義很多的內(nèi)部用戶，通意味著可以在內(nèi)部網(wǎng)絡(luò)中定義很多的內(nèi)部用戶，通過動態(tài)分配的方法，共享很少的幾個外部過

8、動態(tài)分配的方法，共享很少的幾個外部IP地址。而靜態(tài)地址。而靜態(tài)NAT則只能形成一對一的固定映射關(guān)系。則只能形成一對一的固定映射關(guān)系。16.2.3 NAT類型類型（2）Port NAT轉(zhuǎn)換。端口地址轉(zhuǎn)換（轉(zhuǎn)換。端口地址轉(zhuǎn)換（Port Address Translation，PAT）又稱復(fù)用動態(tài)地址轉(zhuǎn)換或）又稱復(fù)用動態(tài)地址轉(zhuǎn)換或NAT重載，重載，是把內(nèi)部本地地址映射到外部網(wǎng)絡(luò)的一個是把內(nèi)部本地地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端地址的不同端口上，因一個口上，因一個IP地址的端口數(shù)有地址的端口數(shù)有65535個，即一個全局地個，即一個全局地址可以和最多達址可以和最多達65535個內(nèi)部地址建立映射，

9、因此從理論個內(nèi)部地址建立映射，因此從理論上說一個全局地址可供上說一個全局地址可供65535個內(nèi)部地址通過個內(nèi)部地址通過NAT連接連接Internet。在實際應(yīng)用過程中，僅使用了大于或等于。在實際應(yīng)用過程中，僅使用了大于或等于1024的端口。在只申請到少量的端口。在只申請到少量IP地址卻經(jīng)常同時有多于合法地地址卻經(jīng)常同時有多于合法地址個數(shù)的用戶上外部網(wǎng)絡(luò)的情況下，這種轉(zhuǎn)換極為有用。址個數(shù)的用戶上外部網(wǎng)絡(luò)的情況下，這種轉(zhuǎn)換極為有用。16.2.4 NAT配置（1）配置靜態(tài)）配置靜態(tài)NAT地址映射地址映射在路由器的全局模式下配置靜態(tài)在路由器的全局模式下配置靜態(tài)NAT地址映射的命令如下：地址映射的命令如

10、下： Router(config)#ip nat inside source static local-ip global-ip（2）配置連接）配置連接Internet的接口的接口在路由器連接在路由器連接Internet的接口（一般是以太網(wǎng)接口或快速以的接口（一般是以太網(wǎng)接口或快速以太網(wǎng)接口）上首先要配置太網(wǎng)接口）上首先要配置IP地址，這個地址為公用地址，并且地址，這個地址為公用地址，并且要啟動該接口。要啟動該接口。 Router(config)#interface type mod/numRouter(config-if)#ip address ip-address subnet-mask

11、然后聲明該接口是然后聲明該接口是NAT轉(zhuǎn)換的外部網(wǎng)絡(luò)接口，命令格式如下：轉(zhuǎn)換的外部網(wǎng)絡(luò)接口，命令格式如下：Router(config-if)#ip nat outside1靜態(tài)靜態(tài)NAT配置基本過程配置基本過程16.2.4 NAT配置配置（3）配置連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口）配置連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口在路由器連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口（一般是路由器的另在路由器連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口（一般是路由器的另一個以太網(wǎng)接口或快速以太網(wǎng)接口）上也要配置一個以太網(wǎng)接口或快速以太網(wǎng)接口）上也要配置IP地址，地址，這個地址應(yīng)該是私有地址，并且要啟動該接口。這個地址應(yīng)該是私有地址，并且要啟動該接口。Router(conf

12、ig)#interface type mod/numRouter(config-if)#ip address ip-address subnet-mask 然后聲明該接口是然后聲明該接口是NAT轉(zhuǎn)換的內(nèi)部網(wǎng)絡(luò)接口，命令格式轉(zhuǎn)換的內(nèi)部網(wǎng)絡(luò)接口，命令格式如下：如下：Router(config-if)#ip nat inside （4）顯示活動的轉(zhuǎn)換條目）顯示活動的轉(zhuǎn)換條目Router#show ip nat translation verbose1靜態(tài)靜態(tài)NAT配置基本過程配置基本過程16.2.4 NAT配置配置（1）定義一個用于分配地址的全局地址池）定義一個用于分配地址的全局地址池 在全局配置模

13、式下，通過在路由器上定義一個分配地址的全局分配地址的全局地址池，可以把用來進行NAT轉(zhuǎn)換的公用地址池放在該池中，以供NAT使用。定義公用地址池的命令如下：Router(config)#ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-lengthrotary（2）定義一個標(biāo)準(zhǔn)訪問控制列表（）定義一個標(biāo)準(zhǔn)訪問控制列表（ACL），它允許那些需要轉(zhuǎn)換），它允許那些需要轉(zhuǎn)換的地址通過的地址通過 在全局設(shè)置模式下，定義一個標(biāo)準(zhǔn)訪問控制列表，該列表的作用是用來篩選允許上網(wǎng)企業(yè)內(nèi)部主機，通過在該列表中使用

14、“允許”語句，能夠指定哪些人可以上網(wǎng)。命令如下：Router(config)#access-list access-list-number permit source source-wildcard2. 動態(tài)動態(tài)NAT配置基本過程配置基本過程16.2.4 NAT配置配置（3）定義內(nèi)部網(wǎng)絡(luò)私有地址與外部網(wǎng)絡(luò)公用地址之間的映射）定義內(nèi)部網(wǎng)絡(luò)私有地址與外部網(wǎng)絡(luò)公用地址之間的映射 在全局配置模式下，將由access-list指定的內(nèi)部私有地址與指定的公用地址池相映射，從而提供內(nèi)網(wǎng)私有地址和外網(wǎng)公用地址之間的NAT轉(zhuǎn)換。其命令如下：Router(config)#ip nat inside sourcel

15、ist access-list-number | namepool pool-name overload | static local-ip global-ip（4）配置連接）配置連接Internet的接口的接口Router(config-if)#ip nat outside（5）配置連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口）配置連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口Router(config-if)#ip nat inside （6）定義指向外網(wǎng)的默認(rèn)路由）定義指向外網(wǎng)的默認(rèn)路由做好以上步驟后應(yīng)定義指向外網(wǎng)的默認(rèn)路由，命令格式如下：Router(config)#ip route next-ho

16、p-ip其中：next-hop-ip即專線在ISP端的連接地址。2. 動態(tài)動態(tài)NAT配置基本過程配置基本過程16.2.4 NAT配置配置（1）定義標(biāo)準(zhǔn)訪問列表，允許那些需要轉(zhuǎn)換的內(nèi)部網(wǎng)絡(luò)地址通過。）定義標(biāo)準(zhǔn)訪問列表，允許那些需要轉(zhuǎn)換的內(nèi)部網(wǎng)絡(luò)地址通過。 Router(config)#access-list access-list-number permit source source-wildcard其中各參數(shù)的含義見項目六訪問控制列表。（2）啟用動態(tài)地址轉(zhuǎn)換，使用前面定義的訪問控制列表來指定哪些地址將被轉(zhuǎn)換，并指定其地址將被重載的接口。 Router(config)#ip nat insid

17、e source list acess-list-number interface interface overload （3）配置連接）配置連接Internet的接口的接口Router(config-if)#ip nat outside（4）配置連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口）配置連接企業(yè)內(nèi)部網(wǎng)絡(luò)的接口Router(config-if)#ip nat inside 3. Port NAT配置的基本過程配置的基本過程16.2.5 查看和刪除NAT配置命令描述clear ip nat translation 清除NAT轉(zhuǎn)換表中所有的動態(tài)地址轉(zhuǎn)換條目clear ip nat translation ins

18、ide global-ip local-ip outside local-ip global-ip清除包含一個內(nèi)部轉(zhuǎn)換、或者同時包含內(nèi)部和外部轉(zhuǎn)換的動態(tài)轉(zhuǎn)換條目clear ip nat translation outside local-ip global-ip清除包含一個外部轉(zhuǎn)換的動態(tài)轉(zhuǎn)換條目clear ip nat translation protocol inside global-ip global-port local-ip local-port outside local-ip local-port global-ip global-port清除一條擴展的動態(tài)轉(zhuǎn)換條目表16-2 用

19、于清除NAT轉(zhuǎn)換條目的命令 16.3 方案設(shè)計方案設(shè)計該單位內(nèi)部有該單位內(nèi)部有500臺微機，臺微機，5個部門，可以組建基于三層個部門，可以組建基于三層交換技術(shù)的交換網(wǎng)絡(luò)，為了便于管理和維護，劃分交換技術(shù)的交換網(wǎng)絡(luò)，為了便于管理和維護，劃分6個子網(wǎng)，個子網(wǎng)，其中其中5個子網(wǎng)分屬個子網(wǎng)分屬5個部門，個部門，1個子網(wǎng)屬于網(wǎng)絡(luò)服務(wù)器，通過個子網(wǎng)屬于網(wǎng)絡(luò)服務(wù)器，通過路由器與互聯(lián)網(wǎng)相連。單位主頁通過靜態(tài)路由器與互聯(lián)網(wǎng)相連。單位主頁通過靜態(tài)NAT轉(zhuǎn)換使互聯(lián)網(wǎng)轉(zhuǎn)換使互聯(lián)網(wǎng)用戶能夠訪問，單位局域網(wǎng)內(nèi)用戶通過動態(tài)用戶能夠訪問，單位局域網(wǎng)內(nèi)用戶通過動態(tài)NAT轉(zhuǎn)換能夠訪轉(zhuǎn)換能夠訪問互聯(lián)網(wǎng)。該單位申請的問互聯(lián)網(wǎng)。該單位

20、申請的8個公網(wǎng)個公網(wǎng)IP地址，實際可用的地址，實際可用的IP地地址只有址只有6個，個，1個為個為Web服務(wù)器靜態(tài)服務(wù)器靜態(tài)NAT映射的地址，映射的地址，2個地個地址作為地址池，通過地址池進行網(wǎng)絡(luò)地址轉(zhuǎn)換訪問因特網(wǎng)，址作為地址池，通過地址池進行網(wǎng)絡(luò)地址轉(zhuǎn)換訪問因特網(wǎng)，其余的地址作為備用。網(wǎng)絡(luò)拓?fù)淙鐖D其余的地址作為備用。網(wǎng)絡(luò)拓?fù)淙鐖D16.4所示。所示。16.3 方案設(shè)計方案設(shè)計圖圖16.4 局域網(wǎng)接入互聯(lián)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D局域網(wǎng)接入互聯(lián)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱DPC11 PC21 PC31 PC41 PC51 WebISP局端16.4 任務(wù)實施任務(wù)實施為了完成本項目，搭建如圖為了完成本項目，搭建如圖16.5所示網(wǎng)絡(luò)拓

21、撲圖。所示網(wǎng)絡(luò)拓?fù)鋱D。（1）采用一臺三層交換機作為核心層，）采用一臺三層交換機作為核心層，4臺二層交換機作為匯聚層臺二層交換機作為匯聚層兼接入層交換機。為了在實訓(xùn)室模擬本項目，采用一臺路由器和一臺主兼接入層交換機。為了在實訓(xùn)室模擬本項目，采用一臺路由器和一臺主機模擬互聯(lián)網(wǎng)。該單位申請的機模擬互聯(lián)網(wǎng)。該單位申請的8個公網(wǎng)個公網(wǎng)IP地址為地址為2/29。分。分配給邊界路由器的外網(wǎng)端口的配給邊界路由器的外網(wǎng)端口的IP地址為地址為06/30。（2）在局域網(wǎng)內(nèi)劃分）在局域網(wǎng)內(nèi)劃分7個個VLAN：VLAN10分配給部門分配給部門1，VLAN20分配給部門分

22、配給部門2，VLAN30分配給部門分配給部門3，VLAN40分配給部門分配給部門4，VLAN50分配給部門分配給部門5，VLAN100分配給服務(wù)器組，分配給服務(wù)器組，VLAN99分配給管理分配給管理VLAN。（3）為了實現(xiàn)各部門的主機能夠相互訪問，三層交換機上開啟路）為了實現(xiàn)各部門的主機能夠相互訪問，三層交換機上開啟路由功能。由功能。（4）在邊界路由器上配置靜態(tài)）在邊界路由器上配置靜態(tài)NAT，實現(xiàn)，實現(xiàn)Web服務(wù)器上網(wǎng)和能夠服務(wù)器上網(wǎng)和能夠讓外網(wǎng)用戶訪問。讓外網(wǎng)用戶訪問。（5）在邊界路由器上配置動態(tài)）在邊界路由器上配置動態(tài)NAT，實現(xiàn)局域網(wǎng)內(nèi)用戶能夠訪問，實現(xiàn)局域網(wǎng)內(nèi)用戶能夠訪問互聯(lián)網(wǎng)。用戶訪

23、問?；ヂ?lián)網(wǎng)。用戶訪問。16.4.1 實訓(xùn)任務(wù)16.4 任務(wù)實施任務(wù)實施圖圖16.5 局域網(wǎng)接入互聯(lián)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D局域網(wǎng)接入互聯(lián)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱DPC11 PC21 PC31 PC41 PC51 WebPc0ISPBJS0/0/0S0/0/0f0/0f0/0Center16.4 任務(wù)實施任務(wù)實施為了搭建如圖16.5所示的網(wǎng)絡(luò)環(huán)境，需要如下的設(shè)備：（1）Cisco2811路由器（2臺）；（2）Cisco3560交換機（1臺）；（3）Cisco 2960交換機（6臺）（4）PC機7臺；（5）雙絞線（若干根）16.4.2 設(shè)備清單16.4 任務(wù)實施任務(wù)實施步驟步驟1：規(guī)劃設(shè)計：規(guī)劃設(shè)計（1）規(guī)劃各部門子網(wǎng)地址

24、VLAN ID，名稱如表16-3所示。16.4.3 實施過程實施過程部門IP子網(wǎng)VLAN IDVLAN 名稱部門1/2410bumen10部門2/2420bumen20部門3/2430bumen30部門4/2440bumen40部門5/2450bumen50服務(wù)器/24100Server100管理/24101Manage101（2）規(guī)劃各部門計算機）規(guī)劃各部門計算機IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)如表地址、子網(wǎng)掩碼和網(wǎng)關(guān)如表16-4

25、所示。所示。計算機IP地址子網(wǎng)掩碼網(wǎng)關(guān)PC110PC210PC310PC410PC510Sever-web0PC00255.25

26、5.255.016.4 任務(wù)實施任務(wù)實施16.4.3 實施過程實施過程（3）規(guī)劃各交換機名稱，端口所屬）規(guī)劃各交換機名稱，端口所屬VLAN以及連接的計算機，和以及連接的計算機，和各交換機之間的連接關(guān)系。如表各交換機之間的連接關(guān)系。如表16-5所示。所示。部門交換機型號交換機名稱遠(yuǎn)程管理地址端口所屬VLAN連接計算機部門1Cisco Catalyst 2960bumen1001F0/2-2410PC11部門2Cisco Catalyst 2960bumen2002F0/2-2420PC21部門3Cisco Catalyst

27、2960bumen3003F0/2-2430PC31部門4Cisco Catalyst 2960bumen4004F0/2-2440PC41部門5Cisco Catalyst 2960bumen5005F0/2-2450PC51服務(wù)器Cisco Catalyst 3560Server10010F0/2-24100Server-web16.4 任務(wù)實施任務(wù)實施16.4.3 實施過程實施過程（4）規(guī)劃網(wǎng)絡(luò)中三層交換機和路由器相連端口三層）規(guī)劃網(wǎng)絡(luò)中三層交換機和路由器相連端口三層IP地址、地址、路由器各端

28、口路由器各端口IP地址如表地址如表16-6所示。所示。設(shè)備名稱端口IP地址子網(wǎng)掩碼描述三層交換機CenterswF0/24Bjrouter-f0/0邊界路由器BjrouterF0/0Centersw-f0/24S0/0/00652Isprouter-s0/0/0ISP路由器IsprouterS0/0/00552bjrouter-s0/0/0F0/0

29、Lan-pc016.4 任務(wù)實施任務(wù)實施16.4.3 實施過程實施過程（5）NAT轉(zhuǎn)換使用公網(wǎng)轉(zhuǎn)換使用公網(wǎng)IP地址地址Web服務(wù)器靜態(tài)映射使用公網(wǎng)IP地址7，5和6為動態(tài)地址池地址使用。步驟步驟2：實訓(xùn)環(huán)境準(zhǔn)備：實訓(xùn)環(huán)境準(zhǔn)備（1）硬件連接。）硬件連接。在交換機和計算機斷電的狀態(tài)下，按照圖16.5和表16-8所示連接硬件。16.4 任務(wù)實施任務(wù)實施16.4.3 實施過程實施過程計算機部門交換機名稱端口跳線類型備注PC11部門1bumen10F0/2直通線F0/2-24中任意PC21部門2bumen20F0/2F0/2-24中

30、任意PC31部門3bumen30F0/2 F0/2-24中任意PC41部門4bumen40F0/2F0/2-24中任意PC51部門5bumen50F0/2F0/2-24中任意Sever-web服務(wù)器Server100F0/2F0/2-24中任意PC0ISP路由器F0/016.4 任務(wù)實施任務(wù)實施16.4.3 實施過程實施過程上聯(lián)端口下聯(lián)端口跳線類型設(shè)備名稱接口描述設(shè)備名稱接口描述CenterswF0/1bumen10-f0/1bumen10F0/1Centersw-f0/1交叉線F0/2Bumen20-f0/1bumen20F0/1Centersw-f0/2F0/3Bumen30-f0/1bu

31、men30F0/1Centersw-f0/3F0/4Bumen40-f0/1bumen40F0/1Centersw-f0/4F0/5Bumen50-f0/1bumen50F0/1Centersw-f0/5F0/6Server100-f0/1Server100F0/1Centersw-f0/6ISProuteS0/0/0Bjrouter-s0/0/0bjrouterS0/0/0Isprouter-S0/0/0F0/24Centersw-f0/24直通線16.4 任務(wù)實施任務(wù)實施16.4.3 實施過程實施過程（2）分別打開設(shè)備，給設(shè)備加電。）分別打開設(shè)備，給設(shè)備加電。步驟步驟3：按照表：按照表16

32、-1所列設(shè)置各計算機的所列設(shè)置各計算機的IP地址、子網(wǎng)掩地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)。把分別測試碼、默認(rèn)網(wǎng)關(guān)。把分別測試PC11、PC21、PC31、PC41、PC51、Sever-web之間的網(wǎng)絡(luò)連通性。之間的網(wǎng)絡(luò)連通性。步驟步驟4：清除各網(wǎng)絡(luò)設(shè)備的配置。：清除各網(wǎng)絡(luò)設(shè)備的配置。步驟步驟5：使用：使用ping命令分別測試命令分別測試PC11、PC21、PC31、PC41、PC51、Sever-web之間的網(wǎng)絡(luò)連通性。步驟步驟6：配置單位內(nèi)部局域網(wǎng)各部門用戶互聯(lián)互通：配置單位內(nèi)部局域網(wǎng)各部門用戶互聯(lián)互通在單位內(nèi)部局域網(wǎng)內(nèi)通過配置在單位內(nèi)部局域網(wǎng)內(nèi)通過配置VTP來實現(xiàn)各部門來實現(xiàn)各部門VLAN劃分。

33、劃分。16.4 任務(wù)實施任務(wù)實施16.4.3 實施過程實施過程1. 配置核心交換機配置核心交換機（1）配置核心交換機的主機名、密碼。（略）配置核心交換機的主機名、密碼。（略）（2）配置核心交換機為）配置核心交換機為VTP服務(wù)器端。（略）服務(wù)器端。（略）（3）在核心交換機上劃分）在核心交換機上劃分VLAN。（略）。（略）（4）配置三層交換機的三層端口centersw#config terminalcentersw(config-if)#interface fastethernet0/24centersw(config-if)#description link to bjrouter-f0/0ce

34、ntersw(config-if)#no switchport centersw(config-if)# ip address centersw(config-if)#no shutdowncentersw(config-if)#16.4 任務(wù)實施任務(wù)實施2. 配置其他交換機的名稱及配置其他交換機的名稱及VTP下面以部門1的交換機為例進行Switch#config terminalSwitch(config)#hostname bumen1bumen1(config)#vtp domain natbumen1(config)#vtp versi

35、on 2bumen1(config)#vtp password natbumen1(config)#vtp mode client bumen1(config)#exitbumen1#show vlan16.4 任務(wù)實施任務(wù)實施3. 配置核心交換機和部門配置核心交換機和部門1交換機之間的鏈路中繼交換機之間的鏈路中繼（1）配置核心交換機centersw#config terminalcentersw(config)#interface fastethernet0/1centersw(config-if)#description link to bumen10-f0/1centersw(confi

36、g-if)#switchport mode trunk centersw(config-if)#switchport trunk encapsulation dot1q 16.4 任務(wù)實施任務(wù)實施3. 配置核心交換機和部門配置核心交換機和部門1交換機之間的鏈路中繼交換機之間的鏈路中繼（2）配置部門交換機bumen1#config terminalbumen1(config)#interface fastethernet0/1bumen1 (config-if)#description link to centersw-f0/1bumen1(config-if)#switchport mode

37、trunk bumen1(config)#interface range fastethernet0/2 24bumen1(config-if-range)#switchport mode accessbumen1(config-if-range)#switchport access vlan 10bumen1(config-if-range)#endbumen1#show vlanbumen1#16.4 任務(wù)實施任務(wù)實施4. 配置其他部門交換機（略）配置其他部門交換機（略）5. 查看核心交換機的端口查看核心交換機的端口trunk等信息。等信息。6. 測試連通性測試連通性使用使用ping命令分

38、別測試命令分別測試PC11、PC21、PC31、PC41、PC51、Sever-web之間的網(wǎng)絡(luò)連通性。7. 啟動三層核心交換機的路由功能啟動三層核心交換機的路由功能centersw (config)#ip routingcentersw(config)#ip route centersw(config)#exit再次使用ping命令分別測試PC11、PC21、PC31、PC41、PC51、Sever-web之間的網(wǎng)絡(luò)連通性。此時各計算機之間是連通的。16.4 任務(wù)實施任務(wù)實施步驟步驟7：配置邊界路由器：配置邊界路由器1. 配置邊界路由器的

39、接口地址配置邊界路由器的接口地址Router(config)#hostname bjrouterbjrouter(config-if)#interface fastethernet0/24bjrouter (config-if)#description link to centersw-f0/0bjrouter(config-if)#ip address bjrouter(config-if)#no shutdownbjrouter(config)#interface serial0/0/0bjrouter (config-if)#descri

40、ption link to isprouter-s0/0/0bjrouter(config-if)#ip address 06 52bjrouter(config-if)#clock rate 6400016.4 任務(wù)實施任務(wù)實施2. 配置邊界路由器的默認(rèn)路由配置邊界路由器的默認(rèn)路由bjrouter#config terminalbjrouter(config)#ip route 05bjrouter(config)#3. 配置邊界路由器到三層交換機的路由配置邊界路由器到三層交換機的路

41、由bjrouter(config)#ip route bjrouter(config)#ip route bjrouter(config)#ip route bjrouter(config)#ip route bjrouter(config)#ip route 255.

42、255.255.0 bjrouter(config)#ip route 16.4 任務(wù)實施任務(wù)實施4. 配置配置NAT轉(zhuǎn)換轉(zhuǎn)換（1）配置配置Web服務(wù)器的靜態(tài)服務(wù)器的靜態(tài)NAT轉(zhuǎn)換轉(zhuǎn)換bjrouter(config)#ip nat inside source static 1 7（2）配置動態(tài)）配置動態(tài)NAT轉(zhuǎn)換轉(zhuǎn)換bjrouter(config)#ip nat pool mypool 5 6 ne

43、tmask 48bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 permit 1

44、 5516.4 任務(wù)實施任務(wù)實施16.4.3 實施過程實施過程bjrouter(config)#ip nat inside source list 1 pool mypool bjrouter(config)#interface FastEthernet 0/0bjrouter(config-if)#ip nat inside bjrouter(config-if)#exitbjrouter(config)#interface serial0/0/0bjrouter(config-if)#ip nat outside bjrouter(config-if)#

45、exit16.4 任務(wù)實施任務(wù)實施16.4.3 實施過程實施過程步驟步驟8：配置：配置ISP路由器路由器（1）配置）配置ISP路由器的端口地址路由器的端口地址（2）配置到邊界路由器的路由）配置到邊界路由器的路由isprouter(config)#ip route 2 24 06步驟步驟9：測試及檢查：測試及檢查（1）在）在Web服務(wù)器的計算機上服務(wù)器的計算機上ping ISP路由器的端口及路由器的端口及PC0的連通性，如測試連通，表示靜態(tài)的連通性，如測試連通，表示靜態(tài)NAT配置正確。配置正確。（2）在其它計算機上）在其

46、它計算機上ping ISP路由器的端口及路由器的端口及PC0的連通性，的連通性，如測試連通，表示動態(tài)如測試連通，表示動態(tài)NAT配置正確。配置正確。（3）在邊界上路由器查看）在邊界上路由器查看NAT轉(zhuǎn)換轉(zhuǎn)換bjrouter#show ip nat statistics 16.4 任務(wù)實施任務(wù)實施16.4 任務(wù)實施任務(wù)實施步驟10：配置各網(wǎng)絡(luò)設(shè)備口令，然后進行遠(yuǎn)程登錄。步驟11：保存各網(wǎng)絡(luò)設(shè)備配置文件。步驟12：清除各網(wǎng)絡(luò)設(shè)備配置。16.4.3 實施過程實施過程16.5 拓展訓(xùn)練拓展訓(xùn)練該單位在開通專線上網(wǎng)后，隨機帶來了很多員工在上班時間瀏覽網(wǎng)頁，聊QQ。工作效率在下降，在這種情況下，決定只允許單

47、位內(nèi)部部門1、2、3和Web服務(wù)器等人員上網(wǎng)，其他人員不能上網(wǎng)。網(wǎng)絡(luò)拓?fù)淙鐖D16.5所示。bjrouter(config)#ip nat inside source static 1 7bjrouter(config)#ip nat pool mypool 5 6 netmask 48 bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 per

48、mit 55bjrouter(config)#access-list 1 permit 5516.5.1 拓展訓(xùn)練拓展訓(xùn)練1：通過靜態(tài)：通過靜態(tài)NAT技術(shù)提供企業(yè)內(nèi)指定子網(wǎng)上網(wǎng)技術(shù)提供企業(yè)內(nèi)指定子網(wǎng)上網(wǎng)16.5 拓展訓(xùn)練拓展訓(xùn)練bjrouter(config)#ip nat inside source list 1 pool mypool overload bjrouter(config)#exitbjrouter#config terminalbjrouter(config)#interface FastEthe

49、rnet 0/0bjrouter(config-if)#ip nat inside bjrouter(config-if)#exitbjrouter(config)#interface serial0/0/0bjrouter(config-if)#ip nat outside 。16.5.1 拓展訓(xùn)練拓展訓(xùn)練1：通過靜態(tài)：通過靜態(tài)NAT技術(shù)提供企業(yè)內(nèi)指定子網(wǎng)上網(wǎng)技術(shù)提供企業(yè)內(nèi)指定子網(wǎng)上網(wǎng)16.5 拓展訓(xùn)練拓展訓(xùn)練在本項目中，假設(shè)該單位只申請了2個公網(wǎng)IP地址，邊界路由器的外網(wǎng)接口和ISP路由器的接口各占用1個。在這種情況下，可以直接使用路由器的外網(wǎng)接口地址進行NAT轉(zhuǎn)換，但如果單位內(nèi)網(wǎng)建立了自

50、己的Web服務(wù)器和Ftp服務(wù)器，可又沒有剩余的公網(wǎng)IP地址，若要實現(xiàn)因特網(wǎng)中的用戶能訪問內(nèi)網(wǎng)中的Web服務(wù)器和FTP服務(wù)器。該如何實現(xiàn)呢？路由器的外網(wǎng)接口地址進行NAT轉(zhuǎn)換時，僅使用了大于或等于1024的端口，而Web服務(wù)器使用的TCP 80端口和FTP服務(wù)器使用的TCP 20、21端口沒有被使用，因此，可將路由器外網(wǎng)接口的TCP 80端口映射到內(nèi)網(wǎng)Web服務(wù)器的TCP80端口，將20、21端口映射到內(nèi)網(wǎng)FTP服務(wù)器的TCP 20、21端口。16.5.2 拓展訓(xùn)練2：通過Port NAT提供企業(yè)內(nèi)多臺主機上網(wǎng)16.5 拓展訓(xùn)練拓展訓(xùn)練bjrouter(config)#access-list 1

51、 permit 55bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 permit 55bjrouter(config)#access-list 1 permit 5516.5.2 拓展訓(xùn)練2：通過Port NAT提供企業(yè)內(nèi)多臺

52、主機上網(wǎng)16.5 拓展訓(xùn)練拓展訓(xùn)練bjrouter(config)#ip nat inside source list 1interface serial0/0/0 overload !bjrouter(config)#ip nat inside source static tcp 0 80 06 80bjrouter(config)#ip nat inside source static tcp 0 20 06 20bjrouter(config)#ip nat inside source static tcp 0 21 06 21bjrouter(config)#interface FastEthernet 0/0bjrouter(config-if)#ip nat inside bjrouter(con