网络专业系列全套课件完整版ppt教学教程最新最全 (1).pptx

《网络专业系列全套课件完整版ppt教学教程最新最全 (1).pptx》由会员分享，可在线阅读，更多相关《网络专业系列全套课件完整版ppt教学教程最新最全 (1).pptx（125页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 1 %ISBN 978-7-5685-0376-1路由和交换技术路由和交换技术 2 绩效概述绩效管理绩效管理实施过程KPI与BSC第 2 页 目录页 CONTENTS PAGE 项目1-5 VLAN间路由项目1-4路由概念 第一部分 交换网络 项目1-6静态路由项目1-2基本的交换概 念和配置项目1-1交换网络简介项目1-3VLAN 3 绩效概述绩效管理绩效管理实施过程KPI与BSC第 3 页 目录页 CONTENTS PAGE 第一部分 交换网络 项目1-8单区域OSPF项目1-7动态路由项目1-9DHCP项目1-11网络地址转换项目1-10访问控制列表项目1-12VPN 4 过渡页TRA

2、NSITION PAGE第 4 页项目1-1 交换网络简介目标导航理解交换网络中数据、语音和视频的融合理解中小型企业中的交换网络掌握交换网络中的帧转发过程掌握冲突域与广播域 5 项目1-1 交换网络简介1.接入接入层层2.分布层分布层3.核心层核心层1.1.1 融合网络1.1 LAN设计 6 项目1-1 交换网络简介1.1.2 交换网络交换LAN提供更多的灵活性、流量管理和其他功能，例如：（1）服务质量(QoS)（2）更高的安全性（3）支持无线网络连接（4）支持新技术，例如IP电话和移动服务1.1 LAN设计 7 项目1-1 交换网络简介1.1.2 交换网络1、固定配置交换机、固定配置交换机

3、固定配置交换机并不支持除交换机出厂配置以外的功能或选件，如下图所示。型号决定了可用的功能和选件。例如，24端口的千兆位固定配置交换机不能支持附加的端口。1.1 LAN设计 8 项目1-1 交换网络简介1.1.2 交换网络2、模块化配置交换机、模块化配置交换机 模块化配置交换机的配置较灵活。模块化配置交换机通常有不同尺寸的机箱，允许安装不同数目的模块化线路卡，如下图所示。线路卡实际上包含端口。线路卡之于交换机机箱犹如扩展卡之于PC。机箱越大，它能支持的模块也就越多。有许多不同的机箱尺寸可供选择。带有24端口线路卡的模块化交换机支持附加的24端口线路卡，使端口总数增加到48个。1.1 LAN设计

4、9 项目1-1 交换网络简介1.1.2 交换网络3、可堆叠配置交换机、可堆叠配置交换机 可堆叠配置交换机可以使用专用电缆进行互连，电缆可在交换机之间提供高带宽的吞吐能力，如下图所示。1.1 LAN设计 10 项目1-1 交换网络简介1.2.1帧转发1.2 交换环境1、作为网络与通信基本概念的交换、作为网络与通信基本概念的交换 交换和转发帧的概念在网络和电信中是通用的。各类交换机将会在LAN、WAN和公共交换电话网(PSTN)中使用。交换的基本概念是指设备根据两个标准进行决策：（1）入口端口（2）目的地址 关于交换机如何转发流量的决策与该流量的传输有关。术语“入口”用于描述帧由何处进入端口上的设

5、备。术语“出口”用于描述帧从特定端口离开设备。当交换机进行决策时，会以入口端口和消息的目的地址为基础。 LAN交换机会维护一个表，用它来确定通过交换机转发流量的方式。 LAN交换机唯一智能化的地方是它能够使用自己的表根据入口端口和消息的目的地址来转发流量。使用LAN交换机时，只有一个主交换表用于描述地址和端口之间的严格对应；因此，已给定目的地址的消息无论从哪个入口端口进入，始终都会从同一出口端口退出。思科LAN交换机根据帧的目的MAC地址转发以太网帧。 11 项目1-1 交换网络简介1.2 交换环境1.2.1帧转发2、动态填充交换机、动态填充交换机MAC地址表地址表 交换机使用MAC地址通过指

6、向相应端口的交换机将网络通信转向目的地。交换机为了知道要使用哪个端口来传送帧，它必须首先知道每个端口上存在哪些设备。当交换机获知端口与设备的关系后，就会构建一个MAC地址表。 LAN交换机将通过维护MAC地址表来确定如何处理传入的数据帧。交换机通过记录与其每个端口相连的每个设备的MAC地址来构建其MAC地址表。交换机使用MAC地址表中的信息将指向特定设备的帧从为此设备分配的端口发送出去。 交换机根据源MAC地址填充MAC地址表。当交换机收到一个传入的帧，而其目的MAC地址在MAC地址表中找不到时，交换机会将该帧转发到除作为该帧入口的端口之外的所有端口（泛洪）。当目的设备作出响应时，交换机会将帧

7、的源MAC地址和接收该帧的端口添加到MAC地址表中。在多台交换机互连的网络中，MAC地址表将包含与其他交换机连接的每个端口的多个MAC地址。 12 项目1-1 交换网络简介1.2 交换环境1.2.1帧转发3、交换机转发方法、交换机转发方法 LAN交换机能够将第2层转发决策从软件转移到专用集成电路(ASIC)。ASIC减少了设备中的数据包处理时间，并使设备能够处理更多端口而不会降低性能。这种在第2层转发数据帧的方法称为存储转发交换。除此之外，交换机还有一种转发方法是直通交换。存储转发方法是在收到整个帧并检测完帧中的错误后才作出帧的转发决策。直通方法在确定了传入帧的目的MAC地址和出口端口后就开始

8、转发过程。 13 项目1-1 交换网络简介1.2 交换环境1.2.1帧转发（1）存储转发交换）存储转发交换存储转发交换有两个主要特征使其区别于直通交换：错误检查和自动缓冲。错误检查错误检查自动缓冲自动缓冲（2）直通交换）直通交换直通交换的一个优点就是使交换机开始转发帧的时间比存储转发交换早。直通交换有两个主要特征：快速帧转发和无效帧处理。快速帧转发快速帧转发免免分片分片 14 项目1-1 交换网络简介1.2 交换环境1.2.2交换域1、冲突域、冲突域 在基于集线器的以太网段上，网络设备会竞争介质，因为设备必须依次传输数据。在设备之间共享同一带宽的网段被称为冲突域，因为当该网段中两个或更多设备尝

9、试同时通信时可能会出现冲突。 15 项目1-1 交换网络简介1.2 交换环境1.2.1帧转发2、广播域、广播域虽然交换机基于MAC地址过滤大多数帧，但是它们不过滤广播帧。对于LAN上接收广播帧的其他交换机，交换机必须在所有端口泛洪这些帧。相连交换机的集合构成了一个广播域。 16 项目1-1 交换网络简介1.2 交换环境1.2.1帧转发3、缓解网络拥塞、缓解网络拥塞 LAN交换机具有特殊特征，使其能够有效地缓解网络拥塞。首先，它们可以将LAN细分为多个单独的冲突域。交换机的每个端口都代表一个单独的冲突域，为该端口连接的设备提供完全的带宽。 其次，他们提供设备之间的全双工通信。全双工连接可以同时承

10、载发送和接收的信号。全双工连接显著提高了LAN网络性能，对于1Gb/s或更高的以太网速度是必需的。 17 18 19 %ISBN 978-7-5685-0376-1路由和交换技术路由和交换技术 20 绩效概述绩效管理绩效管理实施过程KPI与BSC第 20 页 目录页 CONTENTS PAGE 项目1-5 VLAN间路由项目1-4路由概念 第一部分 交换网络 项目1-6静态路由项目1-2基本的交换概 念和配置项目1-1交换网络简介项目1-3VLAN 21 绩效概述绩效管理绩效管理实施过程KPI与BSC第 21 页 目录页 CONTENTS PAGE 第一部分 交换网络 项目1-8单区域OSPF

11、项目1-7动态路由项目1-9DHCP项目1-11网络地址转换项目1-10访问控制列表 22 过渡页TRANSITION PAGE第 22 页项目1-1 交换网络简介目标导航l 明确ACL的用途及如何使用ACL来过滤流量l 明确标准和扩展IPv4 ACL的特点l 理解ACL如何使用通配符掩码并能计算通配符掩码l 熟悉ACL应用规则l 能配置标准IPv4 ACL过滤流量l 能配置配置标准ACL来保护vty访问l 能使用序列号修改标准IPv4 ACLl 能配置扩展IPv4 ACL过滤流量l 明确IPv4和IPv6 ACL的异同 23 项目1-1 交换网络简介10.1.1 ACL的用途10.1 IP

12、ACL工作原理l ACL（Access Control List） 访问控制列表，一种强大的流量控制技术。 24 项目1-1 交换网络简介10.1.1 ACL的用途10.1 IP ACL工作原理n ACL 使管理员能够使管理员能够控制控制进出网络的进出网络的流量流量n ACL 是一系列 permit 或 deny 语句组成的顺序列表，称为访问控制条目 25 项目1-1 交换网络简介10.1.2 标准和扩展IPv4 ACL1.标准ACL 仅根据源IPv4地址进行流量过滤，不涉及数据包的目的地址和端口。表号范围199或13001999。2.扩展ACL 可以根据协议类型、源IPv4地址、目的IPv4

13、地址、源TCP或UDP端口、目的TCP或UDP端口、可选协议类型信息等多种属性过滤IPv4数据包，表号范围100199或20002999。10.1 IP ACL工作原理u 命名ACL ACL编号不会提供有关ACL作用的信息，从Cisco IOS 11.2开始，可以使用命名ACL。命名ACL也包括标准命名ACL和扩展命名ACL两种。 26 项目1-1 交换网络简介10.1.3 ACL中的通配符掩码 通配符掩码是由32个二进制数字组成的字符串，通常也称为反码。路由器使用它来确定地址的匹配情况。通配符掩码中，0表示匹配地址中对应位的值，而1表示忽略地址中对应位的值。如下表所示10.1 IP ACL工

14、作原理十进制地址十进制地址二进制地址二进制地址要处理的IP192.168.10.011000000.10101000.00001010.00000000通配符掩码 0.0.255.255 00000000.00000000.11111111.11111111结果IP192.168.0.011000000.10101000.00000000.00000000 27 项目1-1 交换网络简介10.1.3 ACL中的通配符掩码10.1 IP ACL工作原理1. 两个特殊的通配符掩码关键字： host等同于0.0.0.0，表示必须匹配所有IPv4地址位，即仅匹配一台主机； any等同于255.255.

15、255.255，表示忽略整个IPv4地址，匹配任何IPv4地址2. 通配符掩码的计算： 一个简便方法是从255.255.255.255减去子网掩码，如192.168.3.0/24的通配符掩码为0.0.0.255 如下面两个蓝色框起的ACL语句与其后面的写法效果是一样的： 28 项目1-1 交换网络简介10.1.4 ACL的应用规则10.1 IP ACL工作原理u 自上而下的处理自上而下的处理方式：方式：从第一个表项开始检查，一旦匹配某一条件，就停止检查。ACL最后一条默认为deny any；u 尾部添加表项尾部添加表项原则：原则：新的表项在不指定序号的情况下，默认被添加到ACL的末尾；u AC

16、L放置位置放置位置：尽量将扩展ACL放在靠近数据包源的位置，而将标准ACL放在靠近目的的位置；u 先具体后一般先具体后一般原则：原则：IP协议ICMP、TCP和UDP等多个协议，所以在包含多个表项的ACL中，应将更为具体的表项（如ICMP、TCP或UDP）放在一般性（如IP）的表项前面；u 3P原则：原则：可以为每种协议（如IPv4和IPv6）、每个方向（In和Out）、每个接口配置一个ACL；u 入站入站ACL和出站和出站ACL：入站ACL在数据包被允许后，路由器才进行路由工作，如果数据包被丢弃，则节省了执行路由查找的开销；出站ACL在传入数据包被路由到出站接口后，才由出站ACL进行处理。

17、29 项目1-1 交换网络简介10.1.4 ACL的应用规则-应用范例110.1 IP ACL工作原理u 管理员希望阻止源自管理员希望阻止源自192.168.10.0/24网络的流量到达网络的流量到达192.168.30.0/24网络。网络。分析：分析： 若使用标准ACL，则应将ACL应用在R3的G0/0接口的out方向上，而不能将其应用在R3的s0/0/1接口的in方向。 否则会影响192.168.10.0/24到192.168.31.0/24的正常流量。 30 项目1-1 交换网络简介10.1.4 ACL的应用规则-应用范例210.1 IP ACL工作原理u 管理员希望拒绝来自公司管理员希

18、望拒绝来自公司A的的192.168.11.0/24网络的网络的Telnet和和FTP流量发送到公司流量发送到公司B的的192.168.30.0/24网络中。同时允许来自网络中。同时允许来自.11网网络的所有其他流量无限制地传出公司络的所有其他流量无限制地传出公司A分析：分析： 一个比较好的解决方案是，在靠近源的位置即R1的的G0/1接口的接口的in方向方向上放置扩展ACL，并执行规则“来自.11网络的Telnet和FTP流量不允许发往.30网络。” 如果在R1的S0/0/0接口的out方向放置扩展ACL，所有通过S0/0/0的流量都必须经过ACL的处理，包括来自192.168.10.0/24的

19、数据。 31 项目1-1 交换网络简介10.2.1 配置标准IPv4 ACL10.2 标准IPv4 ACL1. 配置标准编号配置标准编号ACL（1）创建标准编号）创建标准编号ACL 语法格式为：access-list access-list-number deny|permit source source-wildcard log（2）将标准将标准ACL应用于接口应用于接口 语法格式为：ip access-group access-list-number in | out 32 项目1-1 交换网络简介10.2.1 配置标准IPv4 ACL10.2 标准IPv4 ACL1. 配置标准编号配置标

20、准编号ACL 示例：示例： 配置ACL，以允许主机192.168.10.10和网络192.168.11.0/24访问R1串口所连外网。图10.3 配置标准编号ACL（1）定义ACLR1(config)#access-list 10 remark Permit access from PC1 and 192.168.11.0 LANR1(config)#access-list 10 permit host 192.168.10.10R1(config)#access-list 10 permit 192.168.11.0 0.0.0.255（2）将ACL应用于接口R1(config)#inter

21、face s0/0/0R1(config-if)#ip access-group 10 out注意： 有两种方法可用于编辑标准编号ACL，使用文本编辑器或使用序列号。 33 项目1-1 交换网络简介10.2.1 配置标准IPv4 ACL10.2 标准IPv4 ACL2.创建标准命名创建标准命名ACL 命名ACL让人更容易理解其作用。 （1）配置过程 全局配置命令ip access-list创建命名ACLip access-list standard | extended name ACL名称可由字母数字组成，区分大小写，并且必须是唯一的。standard创建标准命名ACL，而extended

22、创建扩展访问列表。 在命名ACL配置模式下，使用permit或deny语句定义ACL规则 permit | deny |remark source-wildcard log 使用ip access-group命令将ACL应用于接口。 ip access-group name in|out 34 项目1-1 交换网络简介10.2.1 配置标准IPv4 ACL10.2 标准IPv4 ACL2.创建标准命名创建标准命名ACL 示例：示例：配置标准命名ACL ，以实现拒绝主机192.168.11.10访问192.168.10.0网络的功能。将ACL命名为NO_ACCESS。R1(config)#ip

23、access-list standard NO_ACCESSR1(config-std-nacl)#deny host 192.168.11.10R1(config-std-nacl)#permit anyR1(config-std-nacl)#exitR1(config)#interface g0/0R1(config-if)#ip access-group NO_ACCESS out 35 项目1-1 交换网络简介10.2.1 配置标准IPv4 ACL10.2 标准IPv4 ACL2.创建标准命名创建标准命名ACL （2）编辑标准命名ACL 通过引入语句序列号，可以很容易地在标准命名ACL

24、中插入或删除单条语句。如下所示，在命名ACL中插入了一条序列号为15的语句： 可以使用no sequence-number命令删除单条语句。 R1#show access-lists Standard IP access list NO_ACCESS 10 deny host 192.168.11.10 20 permit anyR1#config tR1(config)#ip access-list standard NO_ACCESSR1(config-std-nacl)#15 deny host 192.168.11.11R1(config-std-nacl)#endR1#show ac

25、cess-lists Standard IP access list NO_ACCESS 10 deny host 192.168.11.10 15 deny host 192.168.11.11 20 permit anyR1# 36 项目1-1 交换网络简介10.2.2 使用标准IPv4 ACL保护VTY端口10.2 标准IPv4 ACL通过限制VTY访问，可以定义哪些IP地址能够通过Telnet或SSH访问路由器EXEC进程。图10.6 使用标准ACL保护VYT 示例示例：配置ACL，以允许网络192.168.10.0访问VTY线路0到4，但拒绝所有其他网络访问。R1(config)#l

26、ine vty 0 4R1(config-line)#login local R1(config-line)#transport input sshR1(config-line)#access-class 21 inR1(config-line)#exitR1(config)#access-list 21 permit 192.168.10.0 0.0.0.255R1(config)#access-list 21 deny any提醒注意：提醒注意： 只有编号访问列表可以应用到VTY； 应该在所有VTY上设置相同的限制，因为用户可以尝试连接到任意VTY 37 项目1-1 交换网络简介【课堂实验

27、1】配置标准编号ACL10.2 标准IPv4 ACL【课堂实验2】配置标准命名ACL【课堂实验3】在VTY线路上配置ACL 38 项目1-1 交换网络简介10.3.1 扩展IPv4 ACL的结构10.3 扩展IPv4 ACL 扩展IPv4 ACL可以更精确地控制流量过滤，其编号在100199和20002699两个区间。 39 项目1-1 交换网络简介10.3 扩展IPv4 ACL （1）扩展编号式）扩展编号式ACL定义与应用定义与应用 定义：access-list acl-number deny | permit protocol source source-wildcard destinat

28、ion destination-wildcard operator operand established10.3.2 配置扩展IPv4 ACL 扩展ACL的配置步骤与标准ACL相同：首先定义扩展ACL，然后在接口上应用。扩展IPv4 ACL，也可以定义编号式的或者命名式的。参数参数参数说明参数说明access-list-number扩展ACL编号，100199或20002699deny如果条件符合就拒绝通信流量permit如果条件符合就允许通信流量protocol用来指定协议类型，如IP、ICMP、TCP或UDP等source和destination数据包的源地址和目的地址，可以是网络地址或

29、是主机IP地址source-wildcard应用于源地址的通配符掩码destination-wildcard应用于目的地址的通配符掩码位operator操作符：lt、gt、eq、neq(小于、大于、等于、不等于)operandTCP或UDP端口的端口号数字或名字established仅用于TCP协议，指示已建立的连接 40 项目1-1 交换网络简介10.3 扩展IPv4 ACL （1）扩展编号式）扩展编号式ACL定义与应用定义与应用 常见的网络应用的端口号及服务名如下表：10.3.2 配置扩展IPv4 ACL端端 口口 号号关关 键键 字字描描 述述7ECHO回显20FTP-DATA文件传输协

30、议(数据)21FTP文件传输协议(控制)23TELNET终端连接25SMTP简单邮件传输协议53DNS域名服务器(DNS)69TFTP简单文件传输协议80HTTP超文本传输协议(WWW) 41 项目1-1 交换网络简介10.3 扩展IPv4 ACL（1）扩展编号）扩展编号IPv4 ACL定义与应用定义与应用 示例：示例：为下图中的网络配置扩展为下图中的网络配置扩展IPv4 ACL，以实现以下功能：，以实现以下功能：u 通过扩展编号ACL拒绝来自子网 192.168.11.0 的 FTP 流量进入子网 192.168.10.0，但允许所有其他流量；u 通过扩展命名ACL允许 192.168.10

31、.0/24 LAN 上的用户访问网站。R1(config)#access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 21R1(config)#access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 20R1(config)#access-list 101 permit ip any anyR1(config)#interface g0/1R1(config-if)#ip access-group 101 in 4

32、2 项目1-1 交换网络简介10.3 扩展IPv4 ACL（1）扩展编号）扩展编号IPv4 ACL定义与应用定义与应用R1(config)#access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 21R1(config)#access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 20R1(config)#access-list 101 permit ip any anyR1(config)#interface g0

33、/1R1(config-if)#ip access-group 101 in端端 口口 号号关关 键键 字字描描 述述7ECHO回显20FTP-DATA文件传输协议(数据)21FTP文件传输协议(控制)23TELNET终端连接25SMTP简单邮件传输协议53DNS域名服务器(DNS)69TFTP简单文件传输协议80HTTP超文本传输协议(WWW)常见网络应用协议端口号常见网络应用协议端口号 43 项目1-1 交换网络简介10.3 扩展IPv4 ACL（2）扩展命名）扩展命名IPv4 ACL定义与应用定义与应用常见网络应用协议端口号常见网络应用协议端口号R1(config)#ip access-

34、list extended SURFINGR1(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.255 any eq 80R1(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.255 any eq 443R1(config-ext-nacl)#exitR1(config)#ip access-list extended BROWSINGR1(config-ext-nacl)#permit tcp any 192.168.10.0 0.0.0.255 established R1(config-ext-n

35、acl)#exitR1(config)#int g0/0R1(config-if)#ip access-group SURFING inR1(config-if)#ip access-group BROWSING outR1(config-if)#（3）检验扩展）检验扩展 ACLshow access-lists命令用于显示所有已配置ACL的内容；show ip interface g0/0 命令显示路由器 R1的G0/0接口上ACL的应用情况。 44 项目1-1 交换网络简介【课堂实验4】配置扩展 ACL-场景110.3 扩展IPv4 ACL1.实验背景实验背景 两名员工需要访问服务器提供的

36、服务。PC1 只需要 FTP 访问，但 PC2 只需要 Web 访问。两台计算机均能 ping 通服务器，但无法相互 ping 通。请通过扩展ACL实现要求。 2.2.实验拓扑实验拓扑 45 项目1-1 交换网络简介【课堂实验5】配置扩展 ACL-场景210.3 扩展IPv4 ACL1.实验背景实验背景 在此场景中，LAN 中的特定设备允许访问互联网上的服务器上的各种服务。 2.2.实验拓扑实验拓扑 46 项目1-1 交换网络简介10.4 IPv6 ACLu IPv6 只有一种命名式的ACL ，与IPv4扩展命名ACL相似；IPv6中没有编号ACL，IPv4 ACL和IPv6 ACL不能共享同

37、一名称；u IPv4和IPv6 ACL之间有三个主要差异： （1）将ACL应用于接口时使用的命令不同。IPv4使用ip access-group命令将IPv4 ACL应用到IPv4接口，IPv6使用ipv6 traffic-filter命令对IPv6接口执行相同功能； （2）IPv6 ACL不使用通配符掩码。它使用前缀长度来表示应匹配的IPv6源地址或目的地址数量； （3）每个IPv6 ACL的末尾都默认包含permit icmp any any nd-na和permit icmp any any nd-ns语句以允许路由器参与与IPv4 ARP类似的过程。 47 项目1-1 交换网络简介总结

38、u ACL是一系列permit或deny语句组成的顺序列表，用来控制网络流量。分为标准编号ACL、扩展编号ACL、标准命名ACL和扩展命名ACL。u 通配符掩码通常也称为反码，用来确定检查地址的匹配情况：0表示匹配地址中对应位的值，而1表示忽略地址中对应位的值。u 应用ACL的一些重要规则包括：自上而下处理原则、尾部添加表项原则、扩展ACL尽量放在靠近数据包源的位置而使标准ACL放在靠近目的位置原则、先具体后一般原则、3P原则。u 配置ACL要先定义ACL，再将其应用于接口。u IPv6 ACL是应用在IPv6网络中的ACL，与IPv4命名ACL基本相似。 48 项目1-1 交换网络简介【综合

39、练习】配置ACL综合练习1. 1. 实验背景实验背景 本练习需要完成编址方案、配置路由并实施命名访问控制列表等任务。2. 2. 实验拓扑实验拓扑 49 50 %ISBN 978-7-5685-0376-1路由和交换技术路由和交换技术 51 绩效概述绩效管理绩效管理实施过程KPI与BSC第 51 页 目录页 CONTENTS PAGE 项目1-5 VLAN间路由项目1-4路由概念 第一部分 交换网络 项目1-6静态路由项目1-2基本的交换概 念和配置项目1-1交换网络简介项目1-3VLAN 52 绩效概述绩效管理绩效管理实施过程KPI与BSC第 52 页 目录页 CONTENTS PAGE 第一

40、部分 交换网络 项目1-8单区域OSPF项目1-7动态路由项目1-9DHCP项目1-11网络地址转换项目1-10访问控制列表 53 过渡页TRANSITION PAGE第 53 页项目1-1 交换网络简介目标导航l 明确NAT的特征和类型l 明确NAT的优点和缺点l 能够使用CLI配置静态NATl 能够使用CLI配置动态NATl 能够使用CLI配置PATl 理解NAT工作过程l 明确IPv6 NAT的用途和特点l 理解IPv6唯一本地地址 54 项目1-1 交换网络简介11.1.1 NAT的特征- NAT 是什么11.1 NAT工作原理 NAT可以节省公有 IPv4 地址；还能在一定程度上增加

41、网络的私密性和安全性； NAT 路由器通常工作在末节网络边界 NAT是一种将一个IP地址域（如Intranet）转换到另一个IP地址域（如Internet）的技术 55 项目1-1 交换网络简介11.1.1 NAT的特征- NAT术语1.内部网络与外部网络内部网络与外部网络2.NAT四类地址四类地址l 内部本地地址l 内部全局地址l 外部本地地址l 外部全局地址11.1 NAT工作原理 56 项目1-1 交换网络简介11.1.2 NAT类型1. 静态 NAT 使用本地地址和全局地址的一对一映射。这些映射由网络管理员进行配置，并保持不变。2. 动态 NAT 使用本地地址和全局地址之间的多对多地址

42、映射。它使用公有地址池，并以先到先得的原则分配这些地址3. 端口地址转换PAT 使用本地地址和全局地址之间的多对一地址映射，此方法也称为NAT 过载。11.1 NAT工作原理 57 项目1-1 交换网络简介11.1.3 NAT的优缺点1.优点 允许对内部网实行私有寻址，从而维护合法注册的公有寻址方案，并节省IPv4地址； NAT增强了与公有网络连接的灵活性； NAT为内部网络寻址方案提供了一致性； NAT也在一定程度上提供了网络安全性。2. 缺点 参与NAT功能的设备的性能被降低，尤其是对实时协议（如VoIP）的影响，NAT会增加交换延迟；NAT使端到端IPv4可追溯性也会丧失。11.1 NA

43、T工作原理 58 项目1-1 交换网络简介【课堂实验1】研究 NAT 操作11.1 NAT工作原理在本课堂实验中将研究 IP 地址在 NAT 过程中的变化。 59 项目1-1 交换网络简介11.2.1 配置静态NAT配置静态 NAT 转换时，有两个基本任务：（1）使用全局NAT主命令在内部本地地址和外部本地地址之间创建映射： ip nat inside source static local-ip global-ip （2）指定内部接口和外部接口，方法是进入接口配置模式下，执行命令： ip nat inside | outside 11.2 配置NAT 60 项目1-1 交换网络简介11.2.

44、1 配置静态NAT11.2 配置NAT检验 NAT 运行:R2#show ip nat translations Pro Inside global Inside local Outside local Outside global- 209.165.201.5 192.168.10.254 - -R2#示例：示例：为图中网络配置静态NAT，使外部网络用户能够访问内网中的Web服务器。R2(config)#ip nat inside source static 192.168.10.254 209.165.201.5R2(config)#interface s0/0/0R2(config-if

45、)#ip address 10.1.1.2 255.255.255.252R2(config-if)#ip nat inside R2(config-if)#exitR2(config)#int s0/1/0R2(config-if)#ip address 209.165.200.225 255.255.255.224R2(config-if)#ip nat outside 61 项目1-1 交换网络简介11.2.2配置动态NAT11.2 配置NAT动态动态NAT配置步骤配置步骤第1步定义转换中使用的全局地址池ip nat pool name start-ip end-ip netmask n

46、etmask| prefix-length prefix-length第2步配置标准访问列表指定允许转换的地址Access-list acl-number permit source source-wildcard第3步建立动态源转换，指定前面步骤中定义的访问列表和地址池Ip nat inside source list acl-number pool name第4步定义内部接口Interface type numberIp nat inside第5步定义外部接口Interface type numberIp nat outside 62 项目1-1 交换网络简介11.2.2配置动态NAT11

47、.2 配置NAT示例：示例： 在边界路由器R2上配置动态NAT，利用209.165.200.226到209.165.200.240的公有IPv4地址，使内部网络中的LAN 192.168.10.0/24和192.168.11.0/24可以访问外网。R2(config)#ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224 R2(config)#access-list 1 permit 192.168.0.0 0.0.255.255 R2(config)#ip nat inside source

48、 list 1 pool NAT-POOL1 R2(config)#interface s0/0/0R2(config-if)#ip nat inside R2(config)#int s0/1/0R2(config-if)#ip nat outside 63 项目1-1 交换网络简介11.2.3 配置PAT11.2 配置NAT（1） 配置 PAT地址池 这种配置 PAT的方法与动态NAT配置基本相同，唯一区别是PAT使用overload关键字。R2(config)#ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 25

49、5.255.255.224 R2(config)#access-list 1 permit 192.168.0.0 0.0.255.255 R2(config)#ip nat inside source list 1 pool NAT-POOL1 overload overload R2(config)#interface s0/0/0R2(config-if)#ip nat inside R2(config)#int s0/1/0R2(config-if)#ip nat outside 64 项目1-1 交换网络简介11.2.3 配置PAT11.2 配置NAT（2） 配置 PAT单个地址 此

50、情形适用于只有边界路由器外部接口的地址可用时的PAT。配置单个外部地址的PAT时，地址池用外部接口代替即可。R2(config)#access-list 1 permit 192.168.0.0 0.0.255.255 R2(config)#ip nat inside source list 1 interface s0/1/0interface s0/1/0 overload overload R2(config)#interface s0/0/0R2(config-if)#ip nat inside R2(config)#int s0/1/0R2(config-if)#ip nat out