项目四：广域网接入PPT课件

项目四：广域网接入项目四：广域网接入2目 录1路由器的作用2路由表3直连路由4静态路由5NAT7VPN6单臂路由31 路由器的作用（1）路由器功能 路由器是网络组成的中心，主要用于互连局域网和广域网，实现不同网络互相通信。-路由器通常用于两种连接:-WAN 连接(连接到ISP)-LAN 连接41 路由器的作用（1）路由器功能 网关是连接到本地网络的路由器接口。51 路由器的作用（1）路由器功能61 路由器的作用（1）路由器功能 如果数据包目的地址的网络部分与发送主机的网络不同，则必须将该数据包路由到发送网络以外。71 路由器的作用（2）路由器接口 局域网接口被用来连接局域网拥有二层mac地址 可被分配三层IP地址通常由 RJ-45接口组成 广域网接口用于连接外部网络依靠广域网技术，可应用二层地址使用三层地址 82 路由表（1）路由器与网络层 路由，是指网络设备通过网络将信息传送到正确目的地的方式。所有路由器都必须作出路由决策，作出决策的方式是查找其路由表中存储的信息。每个路由器都包含一个路由表，列出所有本地连接的网络及所用的接口。路由表中还包含路由（路径）的有关信息，路由器可使用这些信息到达其它非本地连接的远程网络。92 路由表（1）路由器与网络层 路由器借助目的IP地址转发数据包路由表决定数据包的路径确定最佳路径包被封装成帧帧通过媒介以比特流的形式排列102 路由表（2）路由表 display ip routing-table 用于查看路由表当一个路由器只配置接口而没有配置路由协议：-路由表只包含直连网络-只有直连网络上的设备才可达 112 路由表（2）路由表 如图所示，图中A给B发送的数据在经过R1和R2路由器时，路由器会检查数据包中的目的IP地址，然后查询各自的路由表来决定向哪里转发这个数据包。如果数据包在路由表中匹配多条路由项，那么关于路由优选的顺序掩码越长的路由越优先。如果数据包在路由表中匹配多条路由项，那么关于路由优选的顺序掩码越长的路由越优先。122 路由表（2）路由表 现实中的路由表133 直连路由添加一个直连网络到路由表直连路由出现在路由表的条件直连路由出现在路由表的条件 接口物理应该 up.1.IP 地址通过接口分配。display ip routing-table 143 直连路由现实生活中的直连路由154 静态路由（1）静态路由 从一个网络路由到末节网络时，一般使用静态路由164 静态路由（1）静态路由路由表中的静态路由-包含：网络地址和子网掩码以及路由下一跳IP地址或出接口-在路由表中用“S”标出-在静态被使用之前，路由表中必须包含与远程网络相关的直连路由 何时使用静态路由-路由器较少-唯一外连出口 display ip routing-table 174 静态路由（1）静态路由现实世界的静态路由184 静态路由（1）静态路由配置命令：IP route-static命令 huaweihuawei#ip route-static destination prefix destination prefix mask ip#ip route-static destination prefix destination prefix mask ip address|interface address|interface 194 静态路由（1）静态路由配置案例：组网需求：路由器各接口及主机的IP地址和掩码如下图所示。要求采用静态路由，使图中任意两台主机之间都能互通。204 静态路由（1）静态路由操作步骤：214 静态路由（1）静态路由操作步骤：224 静态路由（1）静态路由操作步骤：234 静态路由（1）静态路由操作步骤：-配置主机 配置VLAN10内主机的缺省网关为10.1.1.1，VLAN20内主机的缺省网关为10.1.3.1，VLAN30内主机的缺省网关为10.1.2.1。-配置交换机 配置各交换机，使得各主机能与其网关路由器互通。-检查配置结果 使用display ip routing-table命令查看路由器的IP路由表。使用Ping命令验证连通性。244 静态路由（1）静态路由配置注意事项：正确配置各路由器各接口的IPv4地址，使网络互通。保证两个路由器互连接口地址配置在同一网段，并且可以正常互通。在各主机上配置IPv4缺省网关。254 静态路由（2）汇总静态路由 汇总路由减小路由表 路由汇总就是将多条路由化为一条264 静态路由（2）汇总静态路由 配置汇总静态路由 Step 1:删除当前静态路由 Step 2:配置汇总静态路由 Step 3:检验 274 静态路由（3）默认静态路由默认静态路由这个路由将匹配所有的包.-像汇总路由一样能帮助你减少路由条目配置一条默认静态路由和静态路由相似，但IP地址和子网掩码全部是零例如：ip route-static 0.0.0.0 exit-interface|ip-address 284 静态路由（3）默认静态路由子网掩码 代表匹配所有网络，路由表中以“S*”显示。R1#ip route-static 0.0.0.0 0.0.0.0 serial 0/0/0294 静态路由（4）静态路由的负载分担与备份例如：ip route-static 0.0.0.0 0.0.0.0 x.x.x.x preference 60ip route-static 0.0.0.0 0.0.0.0 y.y.y.y preference 60两条相同优先级的不同路由实现了双线接入的负载分担。ip route-static 0.0.0.0 0.0.0.0 x.x.x.x preference 60ip route-static 0.0.0.0 0.0.0.0 y.y.y.y preference 80两条不同优先级的不同路由实现了双线接入的路由备份。304 静态路由（5）静态路由的管理与故障排查 静态路由与包转发 以下例子是静态路由包转发过程.PC1 发送包给 PC3:1.数据包到达 R1 的 FastEthernet 0/0 接口。2.R1 没有一条具体的路由通往目的网络；因此 R1 使用默认静态路由。3.R1 将数据包封装成新的帧。因为到 R2 的链路为点到点链路，所以 R1 添加了“全 1”的地址作为第 2 层目的地址。4.帧从 serial 0/0/0 接口转发出去。数据包到达 R2 的 Serial 0/0/0 接口。314 静态路由 静态路由与包转发5.R2 将帧解封并查找通往目的地的路由。R2 有一条静态路由可以通过 Serial0/0/1 到达 192.168.2.0/24。6.R2 将数据包封装成新的帧。因为到 R3 的链路为点到点链路，所以 R2 添加了“全 1”的地址作为第 2 层目的地址。7.帧从 Serial0/0/1 接口转发出去。数据包到达 R3 的 Serial0/0/1 接口。8.R3 将帧解封并查找通往目的地的路由。R3 有一条直连路由可以通过 FastEthernet 0/1 到达 192.168.2.0/24。324 静态路由 静态路由与包转发9.R3 在 ARP 表中查找与 192.168.2.10 匹配的条目，目的是找出 PC3 的第 2 层 MAC 地址。a.如果相应条目不存在，则 R3 从 FastEthernet 0/0 发出 ARP 请求。b.PC3 发送 ARP 应答，其中包含 PC3 的 MAC 地址。10.R3 将数据包封装成新的帧。在该帧中，接口 FastEthernet 0/0 的 MAC 地址为第 2 层源地址，PC3 的 MAC 地址为目的 MAC 地址。11.帧从 FastEthernet 0/0 接口转发出去。数据包到达 PC3 的网卡接口。334 静态路由 故障排查-路由不可达可以用到的命令：-Ping 测试连通性（ping-a:指定ping 操作时发送的报文的源地址）-Tracert 追踪两段中的每一跳-display ip routing-table 用于显示路由表 解决路由不可达 合理正确使用工具-先使用 PING.如果ping 不通，可以使用 tracert 来确定包是在哪里丢得 display ip routing-table 检测路由表-若有问题需从新配置静态路由345 单臂路由 路由器实现VLAN间路由（1）配置子接口实现VLAN间通信路由器与每个VLAN建立一条物理连接，浪费大量的端口。355 单臂路由 路由器实现VLAN间路由（1）配置子接口实现VLAN间通信组网需求：换机通过Trunk类型接口和Router的Eth1/0/0相连，通过Access类型接口和PC相连，PC1加入VLAN 10，PC2加入VLAN 20。路由器的Eth1/0/0上创建两个子接口，分别配置IP作为两个VLAN的网关地址，封装采用802.1Q方式，实现VLAN间互通。365 单臂路由 路由器实现VLAN间路由（1）配置子接口实现VLAN间通信操作步骤：Router的配置#sysname Router#interface Ethernet1/0/0.1 control-vid 1 dot1q-termination /标识终结子接口，终结类型为dot1q，dot1q termination vid 10 /处理VLAN ID为10的报文 ip address 10.10.10.1 255.255.255.0 /VLAN 10的网关地址 arp broadcast enable /接口可以处理ARP广播报文#interface Ethernet1/0/0.2 control-vid 2 dot1q-termination dot1q termination vid 20 /处理VLAN ID为20的报文 ip address 10.10.20.1 255.255.255.0 /VLAN 20的网关地址 arp broadcast enable#return375 单臂路由 路由器实现VLAN间路由（1）配置子接口实现VLAN间通信配置注意事项：交换机的下行接口连接终端，为Access类型；交换机的上行接口连接设备为Trunk类型 PC上配置网关地址，网关地址为相应子接口的IP地址 子接口使能ARP广播功能 子接口封装的VLAN ID，和PC终端所在VLAN保持一致386 NAT（1）NAT技术的引入n所有公有 Internet 地址都必须在所属地域的相应 Internet 注册管理机构(RIR)注册。n与公有 IP 地址不同，私有 IP 地址是保留的数值块，任何人均可以使用。396 NAT（2）何谓 NAT？nNAT 就像大办公室中的前台接待员。客户拨打您办公室的总机号码，这是客户知道的唯一号码。nNAT 有很多用途，但最主要的用途是让网络能使用私有 IP 地址以节省 IP 地址。NAT 将不可路由的私有内部地址转换成可路由的公有地址。NAT 还能在一定程度上增加网络的私密性和安全性，因为它对外部网络隐藏了内部 IP 地址。nR2 执行 NAT 过程，将主机的内部私有地址转换为公有、外部、可路由的地址。406 NAT（2）何谓 NAT？n内部本地地址 私有地址。图中，IP 地址 192.168.10.10 被分配给内部网络上的主机 PC1。n内部全局地址 当内部主机流量流出 NAT 路由器时分配给内部主机的有效公有地址。当来自 PC1 的流量发往 Web 服务器 209.165.201.1 时，路由器 R2 必须进行地址转换。本例中，PC1 的内部全局地址使用 IP 地址。n外部全局地址 ISP分配给 Internet 上主机的可达 IP 地址。例如，Web 服务器的可达 IP 地址为。n外部本地地址 公有地址，分配给外部网络上主机的本地 IP 地址。大多数情况下，此地址与外部设备的外部全局地址相同。416 NAT（3）NAT如何工作的？n内部主机(192.168.10.10)希望与外部 Web 服务器(209.165.201.1)通信。它发送数据包给配置了 NAT 的网络边界网关 R2。nR2 读取数据包的目的 IP 地址，并检查数据包是否符合规定的转换标准。426 NAT（3）NAT如何工作的？nR2 有一个 ACL，它确定内部网络中可进行转换的有效主机。因此，R2 将内部本地 IP 地址转换成内部全局 IP 地址，本例中为 209.165.200.226。它将此本地与全局地址映射关系存储在 NAT 表中。436 NAT（3）NAT如何工作的？n路由器将数据包发送到目的地。446 NAT（3）NAT如何工作的？当 Web 服务器回应时，数据包回到 R2 的全局地址(209.165.200.226)。456 NAT（3）NAT如何工作的？nR2 参考 NAT 表，发现这是原先转换的 IP 地址。因此，它将内部全局地址转换成内部本地地址，然后将数据包转发给 IP 地址为 192.168.10.10 的 PC1。n如果它没有找到映射关系，数据包将被丢弃。466 NAT（4）NAT的类型n静态 NAT：使用本地地址与全局地址的一对一映射，这些映射保持不变。nNAT地址池：使用公有地址池，并以先到先得的原则分配这些地址。当具有私有 IP 地址的主机请求访问 Internet 时，动态 NAT 从地址池中选择一个未被其它主机占用的 IP 地址。基于“IP地址端口号”的形式进行转换。476 NAT（4）NAT的类型nEasy IP（NAPT一种特例）可以实现自动根据路由器上WAN接口的公网IP地址实现与私网IP地址之间的映射（无需创建公网地址池）。486 NAT（4）NAT的类型Easy IP主要应用于通过路由器WAN接口IP地址作为要被映射的公网IP地址的情形，特别适合小型局域网接入Internet的情况。这里的小型局域网主要指中小型网吧、小型办公室等环境，一般具有以下特点：内部主机较少、出接口通过拨号方式获得临时（或固定）公网IP地址以供内部主机访问Internet。下图描述Easy IP方式的实现原理，具体过程如下：496 NAT（4）NAT的类型假设私网中的Host A主机要访问公网的Server服务器，首先向Router发送一个请求报文（即Outbound方向），此时报文中的源地址是10.1.1.100，端口号1540。Router在收到请求报文后自动利用公网侧WAN接口临时或者固定的“公网IP地址:端口号”（162.10.2.8:5480），建立与内网侧报文“源IP地址:源端口号”间的Easy IP转换表项（也包括正、反两个方向），并依据正向Easy IP表项的查找结果将报文转换后向公网侧发送。此时转换后的报文源地址和源端口号由原来的（10.1.1.100:1540）转换成了（162.10.2.8:5480）。Server服务器在收到请求报文后需要向Router发送响应报文（即Inbound方向），此时只需要将收到的请求报文中的源IP地址、源端口号和目的IP地址、目的端口号对调即可，即此时的响应报文中的目的IP地址、目的端口号为（162.10.2.8:5480）。Router在收到公网侧Server的回应报文后，根据其“目的IP地址:目的端口号”查找反向Easy IP表项，并依据查找结果将报文转换后向内网侧发送。即转换后的报文中的目的IP地址为10.1.1.100，目的端口号为1540，与Host A发送请求报文中的源IP地址和源端口完全一样。如果私网中的Host B也要访问公网，则它所利用的公网IP地址与Host A一样，都是路由器WAN口的公网IP地址，但转换时所用的端口号一定要与Host A转换时所用的端口不一样。506 NAT（5）NAT的配置思路 地址池方式与 Easy IP方式的配置思路：配置控制地址转换的ACL规划 配置ACL规则与公网地址关联 516 NAT（6）配置案例内网用户通过Easy IP方式访问Internet外网如图所示，Router的出接口GE0/0/1的IP地址为200.100.1.2/24，接口Eth0/0/1的IP地址为192.168.0.1/24。连接Router出接口GE0/0/1的对端IP地址为200.100.1.1/24。526 NAT（6）配置案例内网用户通过Easy IP方式访问Internet外网#sysname Router /修改设备名称#rule 5 permit source 192.168.0.0 0.0.0.255#interface Ethernet0/0/1 ip address 192.168.0.1 255.255.255.0 /配置内网网关地址#interface GigabitEthernet0/0/1 ip address 200.100.1.2 255.255.255.0 nat outbound 2000 /在出接口GE0/0/1上做Easy IP 方式的NAT#ip route-static 0.0.0.0 0.0.0.0 200.100.1.1 /配置默认路由，保证出接口到对端路由可达#536 NAT（6）配置案例内网用户通过Easy IP方式访问Internet外网检查配置结果：在Router上执行display nat outbound命令查看出接口的Easy IP配置信息。配置注意事项：配置ACL，确定对哪些网段进行NAT转换。在出接口视图下配置NAT转换，注意转换方向。546 NAT（6）配置案例内网用户通过NAT地址池方式访问Internet外网如图所示，内网用户通过路由器的NAT地址池方式来访问Internet。556 NAT（6）配置案例内网用户通过NAT地址池方式访问Internet外网#acl number 2000 /配置允许进行NAT转换的内网地址段 rule 5 permit source 192.168.20.0 0.0.0.255#nat address-group 1 202.169.10.100 202.169.10.200 /配置NAT地址池#interface vlanif100 /配置内网网关的IP地址 ip address 192.168.20.1 255.255.255.0#interface GigabitEthernet3/0/0 ip address 202.169.10.1 255.255.255.0 nat outbound 2000 address-group 1 /在出接口上配置NAT Outbound#ip route-static 0.0.0.0 0.0.0.0 202.169.10.2 /配置默认路由566 NAT（6）配置案例内网用户通过NAT地址池方式访问Internet外网验证配置结果。#执行命令display nat session，查看设备上的NAT映射表项。#内网用户可以通过路由器的NAT地址池方式来访问Internet576 NAT（6）配置案例通过NAT访问Internet外网，并对外提供www服务 如图所示，内网用户通过路由器的NAT地址转换功能来访问Internet，并且向外网用户提供www服务。586 NAT（5）配置案例 vlan batch 100#acl number 2000 /配置允许进行NAT转换的内网地址段 rule 5 permit source 192.168.20.0 0.0.0.255#interface vlanif100 /配置内网网关的IP地址 ip address 192.168.20.1 255.255.255.0#interface Ethernet2/0/0 port link-type access port default vlan 100 596 NAT（6）配置案例#interface GigabitEthernet3/0/0 ip address 202.169.10.1 255.255.255.0 nat outbound 2000 address-group 1 /在出接口上配置NAT Outbound nat server protocol tcp global 202.169.10.103 www inside 192.168.20.2 8080 /在出接口上配置内网服务器192.168.20.2的www服务#nat address-group 1 202.169.10.100 202.169.10.200 /配置NAT地址池#ip route-static 0.0.0.0 0.0.0.0 202.169.10.2 /配置默认路由606 NAT（6）配置案例内网用户通过NAT访问Internet外网，对外提供Web服务，且内网用户实现域名方式访问内网Web服务器 某公司的网络通过Router的地址转换功能连接到广域网。该公司通过公司内部的Web服务器对外网用户提供Web服务，同时公司的内网用户还可以访问外网，而且内网用户也可以通过外网的DNS服务器使用域名访问公司内部Web服务器。其中，Web服务器的内部IP地址为192.168.0.100/24，采用8080端口提供Web服务。对外公布的公网IP地址为202.10.1.3/24，域名为www.TestN。Router出接口GE2/0/0的IP地址为202.10.1.2/24，LAN侧网关地址为192.168.0.1。除此之外该公司没有其他公网IP地址。对端运营商侧地址为202.10.1.1/24。616 NAT（6）配置案例 内网用户通过NAT访问Internet外网，对外提供Web服务，且内网用户实现域名方式访问内网Web服务器。626 NAT（6）配置案例内网用户通过NAT访问Internet外网，对外提供Web服务，且内网用户实现域名方式访问内网Web服务器。sysname Router#acl number 2000 rule 5 permit source 192.168.0.0 0.0.0.255#nat alg dns enable /使能DNS协议的NAT ALG功能#nat dns-map 202.10.1.3 80 tcp /配置DNS的DNS Mapping#interface Ethernet0/0/0 ip address 192.168.0.1 255.255.255.0 636 NAT（6）配置案例内网用户通过NAT访问Internet外网，对外提供Web服务，且内网用户实现域名方式访问内网Web服务器。#interface GigabitEthernet2/0/0 ip address 202.10.1.2 255.255.255.0 nat server protocol tcp global 202.10.1.3 www inside 192.168.0.100 8080 /配置NAT Server nat outbound 2000#ip route-static 0.0.0.0 0.0.0.0 202.10.1.1 /配置缺省路由，指定下一跳地址为202.10.1.1#return 646 NAT（6）配置案例内网用户通过NAT访问Internet外网，对外提供Web服务，且内网用户实现域名方式访问内网Web服务器。检查配置结果：656 NAT（6）配置案例内网用户通过NAT访问Internet外网，对外提供Web服务，且内网用户实现域名方式访问内网Web服务器。检查配置结果：666 NAT（6）配置案例内网用户通过NAT访问Internet外网，对外提供Web服务，且内网用户实现域名方式访问内网Web服务器。检查配置结果：677 VPN（1）何为VPN？即虚拟专用网（Virtual Private Network），就是利用开放的因特网络建立专用数据传输通道。可以将远程的分支机构、移动办公人员等连接起来。（2）VPN应用背景687 VPN（3）VPN原理隧道机制 通过隧道技术在公众网络上仿真一条点到点的专线。隧道是利用一种协议来传输另外一种协议的技术，共涉及三种协议，包括：乘客协议/载荷协议、隧道协议/封装协议和承载协议。697 VPN（3）VPN原理隧道机制 隧道协议：如IPSec协议。