資源描述:
《大型企業(yè)網(wǎng)絡(luò)配置系列課程詳解(七)》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)��。
1�、大型企業(yè)網(wǎng)絡(luò)配置系列課程詳解(七)--NAT的配置與相關(guān)概念的理解實(shí)驗(yàn)背景:隨著接入因特網(wǎng)的計(jì)算機(jī)數(shù)量不斷猛增,IPv4版本地址資源也就愈加顯得捉襟見(jiàn)肘��。好多企業(yè)申請(qǐng)的IP地址都是經(jīng)過(guò)子網(wǎng)不斷劃分得到的。A類(lèi)���,B類(lèi)地址基本已用完����,而一般的用戶(hù)根本就申請(qǐng)不到整段的公網(wǎng)C類(lèi)地址��。如果��,要想讓每一個(gè)連入互聯(lián)網(wǎng)的主機(jī)擁有公網(wǎng)的IP地址�����,在IPv4的年代是根本不可能的事情�����,而IPv6正在不斷發(fā)展中�����,IPv4到IPv6的過(guò)度還是需要一段時(shí)間的�。為了解決這一問(wèn)題���,A類(lèi)�,B類(lèi),C類(lèi)地址里便規(guī)劃出了一部分私有地址(A類(lèi):10.0.0.0~10.255.255
2����、.255,B類(lèi):172.16.0.0~172.31.255.255���,C類(lèi):192.168.1.0~192.168.255.255)作為企業(yè)內(nèi)部使用����,而內(nèi)網(wǎng)與外網(wǎng)之間的轉(zhuǎn)換便用到了現(xiàn)在主流的NAT(NetworkAdderssTranslation)技術(shù)����。NAT技術(shù)允許使用私有IP地址的企業(yè)局域網(wǎng)可以透明地連接到像因特網(wǎng)這樣的公網(wǎng)網(wǎng)絡(luò)上。NAT不僅解決了IP地址不足的問(wèn)題�����,而且還能夠隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)�,避免來(lái)自網(wǎng)絡(luò)外部的攻擊,起到一定的安全作用���。當(dāng)然����,任何事物,當(dāng)你提高它其中一部分性能的時(shí)候�,其它與之關(guān)聯(lián)的性能必然會(huì)有所降低。而企業(yè)內(nèi)部啟用了
3��、NAT之后��,做NAT轉(zhuǎn)換的路由器必須對(duì)每一個(gè)數(shù)據(jù)包進(jìn)行IP地址處理���,從而造成了一定的網(wǎng)絡(luò)延遲����。?實(shí)驗(yàn)?zāi)康模?�、通過(guò)試驗(yàn)了解NAT的基本原理2、靜態(tài)NAT的實(shí)現(xiàn)與原理3��、動(dòng)態(tài)NAT的實(shí)現(xiàn)與原理4���、端口多路復(fù)用NAT(PAT)的實(shí)現(xiàn)與原理5���、TCP負(fù)載均衡配置?實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?實(shí)驗(yàn)步驟:一、配置模擬公網(wǎng)的基本參數(shù)(由于不是重點(diǎn)�,點(diǎn)到為止)為了增加試驗(yàn)的真實(shí)性�,選用R6和R7互聯(lián)來(lái)模擬公網(wǎng)��,并且啟用RIPv2(如果��,中間路由器多了���,還可以啟用OSPF路由協(xié)議),而兩邊的網(wǎng)絡(luò)相當(dāng)于兩個(gè)不同的企業(yè)��。(R6和R7配置完成之后�,配置內(nèi)網(wǎng)的交換路由設(shè)備時(shí),
4�����、要想著R6和R7之間的連接就是公網(wǎng)����,而我們根本就不知道它是如何相連的,我們只需要在企業(yè)內(nèi)部出外網(wǎng)的路由器接口上啟用虛擬撥號(hào)功能進(jìn)行IP地址協(xié)商動(dòng)態(tài)獲得IP地址就可以了�,考慮到試驗(yàn)局限性的原因,這里就當(dāng)出外網(wǎng)的路由器接口已經(jīng)通過(guò)了虛擬撥號(hào)驗(yàn)證并分配的公網(wǎng)IP地址�����。因此,接下來(lái)只需要配置默認(rèn)路由和NAT就可以連入互聯(lián)網(wǎng)(實(shí)際上是R6和R7之間的互聯(lián))?R6的具體配置:?R7的具體配置:?檢查公網(wǎng)R6和R7是否連接正常:??二���、配置內(nèi)網(wǎng)路由器的基本參數(shù)���,并啟用默認(rèn)路由(不是重點(diǎn),點(diǎn)到為止)����。R5的具體配置:注意:配置默認(rèn)路由的時(shí)候,由于根本就不知
5��、道公網(wǎng)的存在����,所以,下一跳應(yīng)該寫(xiě)出外網(wǎng)的端口號(hào)����。?R10的具體配置:???******************NAT技術(shù)的實(shí)施****************其實(shí)NAT技術(shù)是可以借助于某些代理服務(wù)器來(lái)實(shí)現(xiàn),但企業(yè)考慮到運(yùn)算成本和網(wǎng)絡(luò)性能���,很多時(shí)候���,都是在路由器上實(shí)現(xiàn)的���。當(dāng)內(nèi)網(wǎng)數(shù)據(jù)發(fā)送連接外網(wǎng)的路由器上時(shí)(R5和R10),NAT將自動(dòng)修改IP包頭中的源IP包頭中的源IP地址和目的IP地址,IP地址校驗(yàn)則在NAT處理過(guò)程中自動(dòng)完成�����。NAT支持的業(yè)務(wù)類(lèi)型和應(yīng)用有HTTP���,TFTP,Telnet��,NTP���,NFS以及任何應(yīng)用數(shù)據(jù)流中不承載源/目的IP
6�、地址的TCP/IP業(yè)務(wù)��;支持在數(shù)據(jù)流中有IP地址的業(yè)務(wù)類(lèi)型有ICMP�,F(xiàn)TP(包括PORT和PASV),TCP/IP上的NetBIOS(數(shù)據(jù)報(bào)���、名稱(chēng)和會(huì)話服務(wù))��,DNS�,H.323/NetMeeting,IP多播(只轉(zhuǎn)換源地址)��;不支持的業(yè)務(wù)類(lèi)型有路由表更新��,DNS區(qū)域傳送�,BOOTP,talk��、ntalk�����,SNMP����,Netshow,VPN����。?三、靜態(tài)NAT的配置:靜態(tài)NAT轉(zhuǎn)換就是將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換成公有合法的IP地址���,IP地址的對(duì)應(yīng)關(guān)系是一對(duì)一的�����,是不變的��,即某個(gè)私有IP地址只能轉(zhuǎn)換成某個(gè)固定的公有IP地址����。這種轉(zhuǎn)換一般擁有公
7、司里某些特定的設(shè)備(如服務(wù)器)的訪問(wèn)����,是不能節(jié)省公網(wǎng)IP地址的,但是可以隱藏企業(yè)內(nèi)部服務(wù)器的IP地址�����,降低外網(wǎng)的攻擊���,從而增強(qiáng)內(nèi)部設(shè)備的安全性����。在內(nèi)部局部(內(nèi)網(wǎng)局域網(wǎng)配置的私有地址)和內(nèi)部全局地址(出外網(wǎng)路由器接口的公網(wǎng)地址)之間建立靜態(tài)地址轉(zhuǎn)換�����,將內(nèi)部局部地址172.16.0.1轉(zhuǎn)換為內(nèi)部全局地址100.100.100.1設(shè)置NAT功能的路由器需要由一個(gè)內(nèi)部端口(Inside)和一個(gè)外部端口(Outside)�。內(nèi)部端口連接的網(wǎng)絡(luò)用戶(hù)使用的是內(nèi)部IP地址(私有地址)�,外部端口連接的外部的網(wǎng)絡(luò)使用的是外部IP地址(公有地址��,具有全球唯一性)�����,
8��、如因特網(wǎng)����。要NAT功能發(fā)揮作用,必須在這兩個(gè)端口上啟用NAT����。R5的端口F0/0應(yīng)設(shè)置為Inside,F(xiàn)0/1應(yīng)設(shè)置為Outside����;R10的E0/0應(yīng)設(shè)置為Outside,E0
