用微課學(xué)數(shù)據(jù)網(wǎng)組建與維護(hù) 課件 項目7、8 安全有效接入互聯(lián)網(wǎng)、與分公司互聯(lián)互通

項目7

安全有效接入互聯(lián)網(wǎng)用微課學(xué)?數(shù)據(jù)網(wǎng)組建與維護(hù)—基于華為eNSP（工作手冊式）2項目7

安全有效接入互聯(lián)網(wǎng)

項目描述：某企業(yè)準(zhǔn)備組建企業(yè)網(wǎng)，企業(yè)有行政區(qū)和生產(chǎn)區(qū)兩個區(qū)域，兩個區(qū)域有研發(fā)部、財務(wù)部、人事部、生產(chǎn)部和銷售部，網(wǎng)絡(luò)拓?fù)淙鐖D7-1所示。企業(yè)網(wǎng)需要滿足以下需求。1）各個部門單獨劃分子網(wǎng)。2）路由設(shè)備上配置靜態(tài)路由實現(xiàn)行政區(qū)和生產(chǎn)區(qū)網(wǎng)絡(luò)互聯(lián)，并接入Internet。3）行政區(qū)路由器XZQ_AR_01上部署ACL，實現(xiàn)財務(wù)部不能訪問Internet，分公司的生產(chǎn)部和銷售部在周一到周五工作時間（8:00-17:00）可以訪問Internet，其它部門可以隨時訪問Internet。4）企業(yè)網(wǎng)內(nèi)網(wǎng)使用私網(wǎng)地址，行政區(qū)路由器XZQ_AR_01上部署NAT，在第3條要求的前提下實現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng)、允許互聯(lián)網(wǎng)終端訪問網(wǎng)內(nèi)服務(wù)器WEB的HTTP功能。圖7-1企業(yè)網(wǎng)網(wǎng)絡(luò)拓?fù)?/p>

任務(wù)1靜態(tài)路由的配置7.1.1IP路由基礎(chǔ)

7.1.2靜態(tài)路由配置7.1.3默認(rèn)路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務(wù)2訪問控制列表（ACL）安全接入互聯(lián)網(wǎng)7.2.1ACL原理與應(yīng)用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）有效接入互聯(lián)網(wǎng)

7.3.1NAT的原理與應(yīng)用7.3.2NAT配置實例

主要內(nèi)容任務(wù)1靜態(tài)路由的配置5知識目標(biāo)：

正確區(qū)分路由和路由表的概念。

正確描述路由表中各部分的具體含義和作用。

可歸納路由的主要來源方式。

可歸納靜態(tài)路由的優(yōu)缺點。

可描述默認(rèn)路由的作用。技能目標(biāo)：

能配置靜態(tài)路由實現(xiàn)網(wǎng)絡(luò)互聯(lián)。

能靈活應(yīng)用默認(rèn)路由簡化路由表。素養(yǎng)目標(biāo)：具備嚴(yán)謹(jǐn)細(xì)致、精益求精的網(wǎng)絡(luò)工匠精神。提高創(chuàng)新思維能力。任務(wù)1靜態(tài)路由的配置學(xué)習(xí)目標(biāo)6本任務(wù)通過學(xué)習(xí)IP路由的基本概念、靜態(tài)路由原理、默認(rèn)路由優(yōu)化路由表、路由匯總方法，帶領(lǐng)大家掌握靜態(tài)路由實現(xiàn)網(wǎng)絡(luò)互聯(lián)、默認(rèn)路由和路由匯總優(yōu)化路由表的方法。任務(wù)分析任務(wù)1靜態(tài)路由的配置

任務(wù)1靜態(tài)路由的配置7.1.1IP路由基礎(chǔ)

7.1.2靜態(tài)路由配置7.1.3默認(rèn)路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務(wù)2訪問控制列表（ACL）安全接入互聯(lián)網(wǎng)7.2.1ACL原理與應(yīng)用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）有效接入互聯(lián)網(wǎng)

7.3.1NAT的原理與應(yīng)用7.3.2NAT配置實例

主要內(nèi)容87.1.1IP路由基礎(chǔ)

路由是指路由器從一個接口上收到數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的目的地址進(jìn)行定向并轉(zhuǎn)發(fā)到另一個接口的過程。

路由通常與橋接來對比，在粗心的人看來，它們似乎完成的是同樣的事。它們的主要區(qū)別在于橋接發(fā)生在OSI參考模型的第二層（數(shù)據(jù)鏈路層），而路由發(fā)生在第三層（網(wǎng)絡(luò)層）。這一區(qū)別使二者在傳遞信息的過程中使用不同的信息，從而以不同的方式來完成其任務(wù)。1、路由的概念方向？選擇？97.1.1IP路由基礎(chǔ)路由器能夠連接不同類型的局域網(wǎng)和廣域網(wǎng)，如以太網(wǎng)、ATM網(wǎng)、FDDI網(wǎng)、令牌環(huán)網(wǎng)等。不同類型的網(wǎng)絡(luò)，其傳送的數(shù)據(jù)單元——包（Packet）的格式和大小是不同的。就像公路運輸是以汽車為單位裝載貨物，而鐵路運輸是以車皮為單位裝載貨物一樣，從汽車運輸改為鐵路運輸，必須把貨物從汽車上放到火車車皮上，網(wǎng)絡(luò)中的數(shù)據(jù)也是如此。數(shù)據(jù)從一種類型的網(wǎng)絡(luò)傳輸至另一種類型的網(wǎng)絡(luò)，必須進(jìn)行幀格式轉(zhuǎn)換。路由器就有這種能力。實際上，我們所說的“互聯(lián)網(wǎng)”，就是指各種路由器將各種不同的網(wǎng)絡(luò)類型互相連接起來。2、路由器的作用10那么路由器是如何進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)的呢？3、網(wǎng)絡(luò)中數(shù)據(jù)包轉(zhuǎn)發(fā)過程其實在每個路由器的內(nèi)部都有一張路由表，就好比出門旅游我們所使用的地圖。在這個路由表中，包含該路由器掌握的所有目的網(wǎng)絡(luò)地址，以及通過此路由器到達(dá)這些網(wǎng)絡(luò)的最佳路徑。正是由于路由表的存在，路由器才可以高效地進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)。7.1.1IP路由基礎(chǔ)11路由器接收到數(shù)據(jù)包后，會讀取目標(biāo)邏輯地址的網(wǎng)絡(luò)部分，而后查找自己內(nèi)部的路由表。如果找到目標(biāo)地址的路由條目，則從相應(yīng)接口進(jìn)行轉(zhuǎn)發(fā)；如果沒有找到，但是能夠匹配默認(rèn)路由，則從對應(yīng)接口轉(zhuǎn)發(fā)；否則，將丟棄數(shù)據(jù)包，返回路由不可達(dá)信息。如圖7-3所示，網(wǎng)絡(luò)中的計算機(jī)A要想實現(xiàn)和計算機(jī)B的通信，由途徑的所有路由器R1、R2和R3逐跳轉(zhuǎn)發(fā)，每臺路由器上必須有到目標(biāo)網(wǎng)絡(luò)/24的路由。若實現(xiàn)雙向通信，計算機(jī)B要給計算機(jī)A返回數(shù)據(jù)包，途經(jīng)的路由器R3、R2和R1必須有到達(dá)/24網(wǎng)段的路由。7.1.1IP路由基礎(chǔ)圖7-3路由器轉(zhuǎn)發(fā)數(shù)據(jù)包示意圖12

以上可以看出，數(shù)據(jù)包在從源到目的地的傳輸是通過逐級跳的方式完成的，而且數(shù)據(jù)包能去能回才能網(wǎng)絡(luò)暢通的條件，這也是我們排除網(wǎng)絡(luò)故障的理論依據(jù)。

如果網(wǎng)絡(luò)不通，先檢查兩端的計算機(jī)是否配置了正確的IP地址、子網(wǎng)掩碼以及網(wǎng)關(guān)；再逐一檢查沿途路由器上的路由表，查看是否有到達(dá)目標(biāo)網(wǎng)絡(luò)的路由；然后逐一檢查返回路徑的沿途路由器上的路由表，檢查是否有數(shù)據(jù)包返回所需的路由。7.1.1IP路由基礎(chǔ)13路由器用兩種方式構(gòu)建路由表：一種方式是，管理員在路由器上通過命令添加到各個網(wǎng)絡(luò)的路由，這就是靜態(tài)路由，適合規(guī)模較小的網(wǎng)絡(luò)或網(wǎng)絡(luò)不怎么變化的情況；另一種方式就是，配置路由器使用路由協(xié)議（RIP或OSPF等）自動構(gòu)建路由表，這就是動態(tài)路由，動態(tài)路由適合規(guī)模較大的網(wǎng)絡(luò)，能夠針對網(wǎng)絡(luò)的變化自動選擇最佳路徑。4、路由表的構(gòu)成7.1.1IP路由基礎(chǔ)圖7-4路由表的構(gòu)成路由表表項的關(guān)鍵信息是什么？14主題討論：根據(jù)安安問路記視頻中，你覺得找到目的地的關(guān)鍵信息是什么？7.1.1IP路由基礎(chǔ)15路由表中最關(guān)鍵的信息為：目的網(wǎng)絡(luò)地址和下一跳地址。7.1.1IP路由基礎(chǔ)16根據(jù)路由信息產(chǎn)生的方式和特點，路由可以分為直連路由、靜態(tài)路由、默認(rèn)路由和動態(tài)路由幾種。5、路由的分類7.1.1IP路由基礎(chǔ)1）直連路由是指路由器接口直接相連的網(wǎng)段的路由。圖7-5路由表中的直連路由2）靜態(tài)路由是由管理員手工配置的路由信息。圖7-6路由表中的靜態(tài)路由175、路由的分類7.1.1IP路由基礎(chǔ)3）默認(rèn)路由是一種特殊的靜態(tài)路由，指的是當(dāng)路由表中與IP包的目的地址之間沒有匹配的表項時路由器能夠做出的選擇。在路由設(shè)備上只能配置一條默認(rèn)路由，以到網(wǎng)絡(luò)（掩碼為）的路由形式出現(xiàn)。4）動態(tài)路由是與靜態(tài)路由相對的一個概念，指路由器能夠根據(jù)路由器之間的交換的特定路由信息自動地建立自己的路由表，并且能夠根據(jù)鏈路和節(jié)點的變化適時地進(jìn)行自動調(diào)整。常見的動態(tài)路由協(xié)議有：RIP、OSPF、IS-IS、BGP、IGRP/EIGRP。圖7-7路由表中的默認(rèn)路由圖7-8路由表中的動態(tài)路由185、路由規(guī)則7.1.1IP路由基礎(chǔ)IP路由選路遵循3個原則，分別是最長匹配原則、優(yōu)先級原則和開銷原則。（1）最長匹配原則所謂最長匹配原則是指在進(jìn)行路由查找時，使用路由表中到達(dá)同一目的地的子網(wǎng)掩碼最長的路由。

圖7-9最長匹配原則應(yīng)用示意圖195、路由規(guī)則7.1.1IP路由基礎(chǔ)（2）優(yōu)先級原則當(dāng)有多個路由信息時，選擇最高優(yōu)先級的路由作為最佳路由。圖7-10優(yōu)先級原則應(yīng)用示意圖205、路由規(guī)則7.1.1IP路由基礎(chǔ)（3）開銷原則開銷（Cost）值越小，路由越優(yōu)先。圖7-11開銷原則應(yīng)用示意圖21任務(wù)訓(xùn)練1.說一說路由器的作用。2.請簡述靜態(tài)路由和默認(rèn)路由的區(qū)別。3.在進(jìn)行IP包轉(zhuǎn)發(fā)的時候，如果路由表中有多條路由都匹配，這時路由器如何進(jìn)行轉(zhuǎn)發(fā)？7.1.1IP路由基礎(chǔ)

任務(wù)1靜態(tài)路由的配置7.1.1IP路由基礎(chǔ)

7.1.2靜態(tài)路由配置7.1.3默認(rèn)路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務(wù)2訪問控制列表（ACL）安全接入互聯(lián)網(wǎng)7.2.1ACL原理與應(yīng)用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）有效接入互聯(lián)網(wǎng)

7.3.1NAT的原理與應(yīng)用7.3.2NAT配置實例

主要內(nèi)容23要想實現(xiàn)全網(wǎng)通信，也就是網(wǎng)絡(luò)中的任意兩個節(jié)點都能通信，這就要求每個路由器的路由表中必須有到所有網(wǎng)段的路由。對于路由器來說，它只知道自己直連的網(wǎng)段，對于沒有直連的網(wǎng)段，需要管理員人工添加到這些網(wǎng)段的路由。靜態(tài)路由：管理員人工添加到某個網(wǎng)段如何轉(zhuǎn)發(fā)。后面還會講到配置網(wǎng)絡(luò)中的路由器使用動態(tài)路由協(xié)議（RIP、OSPF）自動構(gòu)建路由表，就是動態(tài)路由。1.靜態(tài)路由的概念7.1.2靜態(tài)路由配置24[AR1]iproute-static24

[AR1]iproute-static24[AR2]iproute-static24[AR2]iproute-static24[AR3]iproute-static24[AR3]iproute-static24AR1路由器直連A、B兩個網(wǎng)段，C、D網(wǎng)段沒有直連，你需要添加到C、D網(wǎng)段的路由。AR2路由器直連B、C兩個網(wǎng)段，A、D網(wǎng)段沒有直連，你需要添加到A、D網(wǎng)段的路由。AR3路由器直連C、D兩個網(wǎng)段，A、B網(wǎng)段沒有直連，你需要添加到A、B網(wǎng)段的路由。2.靜態(tài)路由的配置方法7.1.2靜態(tài)路由配置25添加靜態(tài)路由[AR1]iproute-static24[AR1]iproute-static顯示全部路由[AR1]displayiprouting-table只顯示靜態(tài)路由[AR1]displayiprouting-tableprotocolstatic刪除靜態(tài)路由[AR1]undoiproute-static243.靜態(tài)路由的配置命令7.1.2靜態(tài)路由配置267.1.2靜態(tài)路由配置靜態(tài)路由案例：如圖7-12所示，網(wǎng)絡(luò)中有A、B、C共3個網(wǎng)段，A網(wǎng)段地址是/24，B網(wǎng)段地址是/24，C網(wǎng)段地址是/24，路由器的接口IP地址的主機(jī)地址部分已在圖中標(biāo)出，例如RTA的Ethernet0/0/0接口地址是/24，網(wǎng)絡(luò)中的2個路由器RTA和RTB如何添加路由才能使得全網(wǎng)通暢呢？圖7-12

靜態(tài)路由配置示例277.1.2靜態(tài)路由配置操作步驟：（1）在eNSP模擬器中部署拓?fù)?，路由器型號采用Router，如圖7-13圖所示。

圖7-13

靜態(tài)路由網(wǎng)絡(luò)拓?fù)洌?）RTA的接口配置。[RTA]intSerial0/0/0[RTA-Serial0/0/0]ipaddress24[RTA-Serial0/0/0]q[RTA]intEthernet0/0/0[RTA-Ethernet0/0/0]ipaddress24[RTA-Ethernet0/0/0]q（3）RTB的接口配置。[RTB]intSerial0/0/0[RTB-Serial0/0/0]ipaddress24[RTB-Serial0/0/0]q[RTB]intEthernet0/0/0[RTB-Ethernet0/0/0]ipaddress24[RTB-Ethernet0/0/0]q（4）RTA上添加靜態(tài)路由。[RTA]iproute-static24（5）RTB上添加靜態(tài)路由。[RTB]iproute-static24（6）查看路由表。[RTA]disiprouting-table28課堂練習(xí)：配置靜態(tài)路由，實現(xiàn)PC1和PC2之間通信。7.1.2靜態(tài)路由配置29任務(wù)訓(xùn)練如圖7-16所示，路由器R1、R2和R3互聯(lián)，需要在三臺路由器上添加靜態(tài)路由，讓PC1、PC2和PC3能夠互相訪問。7.1.1IP路由基礎(chǔ)圖7-16

靜態(tài)路由示例網(wǎng)絡(luò)

任務(wù)1靜態(tài)路由的配置7.1.1IP路由基礎(chǔ)

7.1.2靜態(tài)路由配置7.1.3默認(rèn)路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務(wù)2訪問控制列表（ACL）安全接入互聯(lián)網(wǎng)7.2.1ACL原理與應(yīng)用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）有效接入互聯(lián)網(wǎng)

7.3.1NAT的原理與應(yīng)用7.3.2NAT配置實例

主要內(nèi)容317.1.3默認(rèn)路由優(yōu)化路由表下面我們在路由器上添加以下四條路由。[RTA]iproute-static8

--第1條路由[RTA]iproute-static16

--第2條路由[RTA]iproute-static24

--第3條路由[RTA]iproute-static

0

--第4條路由

1.默認(rèn)路由哪條路由最優(yōu)，最先被選擇？“最長前綴匹配”算法

默認(rèn)路由是一種特殊的靜態(tài)路由，其命令格式和靜態(tài)路由一樣，只是把目的網(wǎng)絡(luò)和子網(wǎng)掩碼改成和。327.1.3默認(rèn)路由優(yōu)化路由表1.默認(rèn)路由

默認(rèn)路由是一種特殊的靜態(tài)路由，其命令格式和靜態(tài)路由一樣，只是把目的網(wǎng)絡(luò)和子網(wǎng)掩碼改成和。

如果想讓一個網(wǎng)段包括全部的IP地址，這就要求子網(wǎng)掩碼短到極限，最短就是0，子網(wǎng)掩碼變成了，這就意味著該網(wǎng)段的32位二進(jìn)制的IP地址都是主機(jī)位，任何一個地址都屬于該網(wǎng)段。

因此

子網(wǎng)掩碼網(wǎng)段包括了全球所有IPv4地址，也就是全球最大的網(wǎng)段，換一種寫法就是/0。337.1.3默認(rèn)路由優(yōu)化路由表下面我們在路由器上添加以下四條路由。[RTA]iproute-static8

--第1條路由[RTA]iproute-static16--第2條路由[RTA]iproute-static24

--第3條路由[RTA]iproute-static

0

--第4條路由

1.默認(rèn)路由哪條路由最優(yōu)，最先被選擇？根據(jù)前面所學(xué)習(xí)的“最長匹配原則”，第3條路由是掩碼長度最長的、最精確的匹配項。第4條路由，即默認(rèn)路由，掩碼長度最短，是在路由器沒有為數(shù)據(jù)包找到更為精確匹配的路由時最后匹配的一條路由。如果沒有默認(rèn)路由器，其目的地址在路由表中沒有匹配條目的數(shù)據(jù)包將被丟棄。

默認(rèn)路由是一種特殊的靜態(tài)路由，其命令格式和靜態(tài)路由一樣，只是把目的網(wǎng)絡(luò)和子網(wǎng)掩碼改成和。34默認(rèn)路由在某些時候非常有效，當(dāng)存在末梢網(wǎng)絡(luò)時，默認(rèn)路由會大簡化路由器的配置，減輕管理員的工作負(fù)擔(dān)，提高網(wǎng)絡(luò)性能。2.使用默認(rèn)路由簡化路由表7.1.3默認(rèn)路由優(yōu)化路由表末梢網(wǎng)絡(luò)末梢網(wǎng)絡(luò)357.1.3默認(rèn)路由優(yōu)化路由表如圖7-17所示的網(wǎng)絡(luò)結(jié)構(gòu)，通過默認(rèn)路由簡化路由表，默認(rèn)路由與靜態(tài)路由配合實現(xiàn)全網(wǎng)互聯(lián)互通。

圖7-17簡化路由表的配置示例配置分析：對于路由器RTA和路由器RTD都是屬于末梢網(wǎng)絡(luò)的路由器，除了直連網(wǎng)段之外，到達(dá)其他網(wǎng)段的下一跳地址都是同一個地址，所以可以分別配置一條默認(rèn)路由；對于路由器RTB和路由器RTC，到達(dá)其他網(wǎng)段存在兩個下一跳地址，所以可以配置靜態(tài)路由和默認(rèn)路由的組合。367.1.3默認(rèn)路由優(yōu)化路由表

圖7-17簡化路由表的配置示例主要配置：（1）RTA的路由配置。[RTA]iproute-static0（2）RTB的路由配置。[RTB]iproute-static24[RTB]iproute-static0（3）RTC的路由配置。[RTC]iproute-static24[RTC]iproute-static0（4）RTD的路由配置。[RTD]iproute-static037

默認(rèn)路由還經(jīng)常應(yīng)用在企業(yè)的外網(wǎng)（Internet）出口，外網(wǎng)訪問的網(wǎng)段較多，不方便指定明細(xì)的網(wǎng)段。直接使用默認(rèn)路由，IP報文可以轉(zhuǎn)發(fā)訪問任意的地址。3.使用默認(rèn)路由作為指向Internet的路由7.1.3默認(rèn)路由優(yōu)化路由表圖7-18

指向Internet的默認(rèn)路由配置示例配置分析：路由器RTC位于Internet，路由器RTA和PC1屬于內(nèi)部網(wǎng)絡(luò)，路由器RTB是出口路由器，若使內(nèi)網(wǎng)和Internet之間互訪，可在出口路由器RTB上使用默認(rèn)路由。387.1.3默認(rèn)路由優(yōu)化路由表圖7-18

指向Internet的默認(rèn)路由配置示例主要配置：（1）RTA的路由配置。[RTA]iproute-static0（2）RTB的路由配置。[RTB]iproute-static24[RTB]iproute-static0--指向Internet的路由（3）RTC的路由配置。[RTC]iproute-static039思考與討論：小王完成客戶的網(wǎng)絡(luò)工程配置后，業(yè)務(wù)主管在產(chǎn)品測試發(fā)現(xiàn)網(wǎng)絡(luò)功能已完全實現(xiàn)，但仍要求小王用默認(rèn)路由優(yōu)化路由器配置，小王表示非常不理解，你是怎么理解業(yè)務(wù)主管的要求的？7.1.3默認(rèn)路由優(yōu)化路由表40課堂練習(xí)：基于優(yōu)化路由表的角度，通過配置靜態(tài)路由和默認(rèn)路由來實現(xiàn)PC1和PC2之間的通信。7.1.3默認(rèn)路由優(yōu)化路由表41任務(wù)訓(xùn)練公司內(nèi)網(wǎng)有A、B和C共3個路由器，并接入到互聯(lián)網(wǎng)運營商路由器ISP上，網(wǎng)絡(luò)拓?fù)浜偷刂芬?guī)劃如圖7-19所示，請在各個路由器上添加靜態(tài)路由和默認(rèn)路由，使得各網(wǎng)段之間能夠相互通信。圖7-19

默認(rèn)路由應(yīng)用示例7.1.3默認(rèn)路由優(yōu)化路由表

任務(wù)1靜態(tài)路由的配置7.1.1IP路由基礎(chǔ)

7.1.2靜態(tài)路由配置7.1.3默認(rèn)路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務(wù)2訪問控制列表（ACL）安全接入互聯(lián)網(wǎng)7.2.1ACL原理與應(yīng)用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）有效接入互聯(lián)網(wǎng)

7.3.1NAT的原理與應(yīng)用7.3.2NAT配置實例

主要內(nèi)容437.1.4路由匯總簡化路由表Internet是全球最大的互聯(lián)網(wǎng)，如果Internet上的路由器把全球所有的網(wǎng)段都添加到路由表，那將是一個非常龐大的路由表。路由器每轉(zhuǎn)發(fā)一個數(shù)據(jù)包，都要檢查路由表為該數(shù)據(jù)包選擇轉(zhuǎn)發(fā)接口，龐大的路由表勢必會增加處理時延。通過合理的地址規(guī)劃，可以通過路由匯總簡化路由表。將物理位置連續(xù)的網(wǎng)絡(luò)分配地址連續(xù)的網(wǎng)段，在邊界路由器外的路由器就可以將遠(yuǎn)程的網(wǎng)絡(luò)合并成一條路由，這就是路由匯總。447.1.4路由匯總簡化路由表在圖7-20所示的網(wǎng)絡(luò)中，對R1而言，如果要到達(dá)R2右側(cè)的/24~/24網(wǎng)絡(luò)，自然要配置路由，若手工為每個網(wǎng)段配置靜態(tài)路由，那意味著需要配置255條，不僅工作量極大，也使得R1的路由表極為臃腫。圖7-20

路由匯總配置457.1.4路由匯總簡化路由表通過創(chuàng)建一條匯總路由iproute-static24，則大大簡化路由配置。當(dāng)然，也可以通過配置默認(rèn)路由來說實現(xiàn)，但默認(rèn)路由無法實現(xiàn)對路由更為細(xì)致地控制。圖7-20

路由匯總配置46不匯總時路由表R2/24/24/24/24/24/24/24/24/24/24R1[R1]iproute-static[R1]iproute-static[R1]iproute-static[R1]iproute-static[R1]iproute-static[R2]iproute-static[R2]iproute-static[R2]iproute-static[R2]iproute-static[R2]iproute-static邊界線北京市石家莊市7.1.4路由匯總簡化路由表47匯總后的路由表R2/24/24/24/24/24/24/24/24/24/24R1[R1]iproute-static[R2]iproute-static邊界線北京市石家莊市到石家莊市的網(wǎng)絡(luò)匯總成一條路由將全部以172.16開頭網(wǎng)絡(luò)進(jìn)行了合并，匯總成一條路由到北京市的網(wǎng)絡(luò)匯總成一條路由將全部以192.168開頭網(wǎng)絡(luò)進(jìn)行了合并，匯總成一條路由7.1.4路由匯總簡化路由表48任務(wù)訓(xùn)練如圖7-21所示，公司A區(qū)和B區(qū)的網(wǎng)絡(luò)由路由器R1和路由器R2互聯(lián)，請使用路由匯總技術(shù)，在路由器R1上配置一條到B區(qū)的匯總路由，在路由器R2上配置一條到A區(qū)的匯總路由，使得各網(wǎng)段之間能夠相互通信。7.1.4路由匯總簡化路由表圖7-21

路由匯總應(yīng)用示例49R1R2/24/24A區(qū)B區(qū)/24/24/24/24[R1]iproute-static

[R2]iproute-static

練一練7.1.4路由匯總簡化路由表任務(wù)2訪問控制列表ACL安全接入互聯(lián)網(wǎng)51知識目標(biāo)：可說出訪問控制列表的應(yīng)用場合。

可描述訪問控制列表的基本原理和作用。

可描述訪問控制列表的分類和基本規(guī)則。技能目標(biāo)：能熟練進(jìn)行ACL配置。能運用ACL解決實際問題。能夠使用基于時間段的訪問控制列表進(jìn)行訪問控制。素養(yǎng)目標(biāo)：提高網(wǎng)絡(luò)安全防護(hù)意識。培養(yǎng)規(guī)范操作的網(wǎng)絡(luò)工匠精神。學(xué)習(xí)目標(biāo)任務(wù)2訪問控制列表（ACL）安全接入互聯(lián)網(wǎng)52本任務(wù)通過學(xué)習(xí)訪問控制列表（ACL）的概念、作用、分類和應(yīng)用，帶領(lǐng)大家掌握基本ACL和高級ACL的配置，并能運用ACL解決網(wǎng)絡(luò)中的實際問題。任務(wù)分析任務(wù)2訪問控制列表（ACL）安全接入互聯(lián)網(wǎng)

任務(wù)1靜態(tài)路由的配置7.1.1IP路由基礎(chǔ)

7.1.2靜態(tài)路由配置7.1.3默認(rèn)路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務(wù)2訪問控制列表（ACL）安全接入互聯(lián)網(wǎng)7.2.1ACL原理與應(yīng)用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）有效接入互聯(lián)網(wǎng)

7.3.1NAT的原理與應(yīng)用7.3.2NAT配置實例

主要內(nèi)容54數(shù)據(jù)網(wǎng)絡(luò)是否安全？2018，美國Facebook信息泄露事件在全球引起了軒然大波。一家名為“劍橋分析”的大數(shù)據(jù)公司利用Facebook搜集了超過8700萬用戶資料，并通過數(shù)據(jù)分析預(yù)測和影響了美國總統(tǒng)選舉。用戶的行為分析是基于數(shù)據(jù)的，它利用了用戶在網(wǎng)站上發(fā)生的所有行為,如搜索、瀏覽、打分、點評、加入購物車等從而獲取到用戶的行為。新聞、熱點、廣告等個性化推送服務(wù)。55數(shù)據(jù)網(wǎng)絡(luò)是否安全？北京公司利用爬蟲技術(shù)竊取2.1億條簡歷數(shù)據(jù)2月8日，北京某科技公司因爬蟲竊密案被判處罰金人民幣四千萬元，被告人王某某被判處有期徒刑七年，罰金人民幣一千萬元，其他被告人均被判處相應(yīng)刑罰。該公司在2015年至2019年間組建爬蟲技術(shù)團(tuán)隊，在未取得求職者和平臺直接授權(quán)的情況下，秘密爬取國內(nèi)主流招聘平臺上的求職者簡歷數(shù)據(jù)，涉及2.1億余條個人信息。上海企業(yè)通過掃碼點餐、人臉識別等非法收集個人信息3月13日，上海多家家企業(yè)因侵害消費者合法權(quán)益被市場監(jiān)管局曝光，其中，上海九翊餐飲管理有限公司通過“掃碼點餐”非法收集消費者個人信息，且未向消費者明示收集、使用的目的、方式和范圍；上海悅筑房地產(chǎn)有限公司非法收集消費者人臉信息，用于甄別客戶是自行前往售樓處還是由分銷商帶往，據(jù)此向分銷商結(jié)算傭金。虛假冬奧知識競賽平臺致350余萬學(xué)生信息遭泄露1月-2月，李某輝伙同湯某峰等人在沒有取得冬奧組委會授權(quán)的情況下，開發(fā)一“冬奧知識競賽平臺”，非法獲取全國大中專院校在校學(xué)生的個人信息350余萬條，騙取部分參與者繳納證書工本費總計1000萬余元。56思考與討論：面對數(shù)據(jù)安全問題，你可選擇從個人、企業(yè)或技術(shù)的角度，探討一下解決方案。數(shù)據(jù)網(wǎng)絡(luò)是否安全？577.2.1ACL原理與應(yīng)用1.什么是ACL？訪問控制列表（AccessControlList，ACL）可以定義一系列不同的訪問控制規(guī)則，路由器設(shè)備根據(jù)這些規(guī)則對數(shù)據(jù)包進(jìn)行區(qū)分，哪些是合法的流量，哪些是非法的流量，通過這種區(qū)分來對數(shù)據(jù)包進(jìn)行過濾并達(dá)到有效控制的目的。圖7-22

部署ACL對數(shù)據(jù)流量進(jìn)行控制587.2.1ACL原理與應(yīng)用2.ACL的作用常見的ACL的應(yīng)用是將ACL應(yīng)用到接口上。其主要作用是根據(jù)數(shù)據(jù)包與數(shù)據(jù)段的特征來進(jìn)行判斷，決定是否允許數(shù)據(jù)包通過路由器轉(zhuǎn)發(fā)，其主要目的是對數(shù)據(jù)流量進(jìn)行管理和控制。ACL作為一個通用的數(shù)據(jù)流量的判別標(biāo)準(zhǔn)還可以和其他技術(shù)配合，應(yīng)用在不同的場合：網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、防火墻、QOS與隊列技術(shù)、策略路由、數(shù)據(jù)速率限制等。597.2.1ACL原理與應(yīng)用3.ACL的分類根據(jù)不同的劃分規(guī)則，ACL可以有不同的分類。最常見的兩種分類是基本ACL和高級ACL。（1）基本ACL?；続CL只針對數(shù)據(jù)包的源地址信息作為過濾的標(biāo)準(zhǔn)，過濾標(biāo)準(zhǔn)比較粗，其編號取值范圍是2000-2999。（2）高級ACL。高級ACL可以針對數(shù)據(jù)包的源地址、目的地址、協(xié)議類型及應(yīng)用類型（端口號）等信息作為過濾的標(biāo)準(zhǔn)，即可以根據(jù)數(shù)據(jù)包是從哪里來、到哪里去、何種協(xié)議、什么樣的應(yīng)用等特征來進(jìn)行精確地控制。其編號取值范圍是3000-3999。表

7-1

基本ACL和高級ACL的比較分類編號范圍參數(shù)基本ACL2000-2999源IP地址等高級ACL3000-3999源IP地址、目的IP地址、源端口、目的端口等607.2.1ACL原理與應(yīng)用4.ACL規(guī)則如果未匹配如果未匹配/24/24RTARTBrule15denysource55每個ACL可以包含多個規(guī)則，RTA根據(jù)規(guī)則來對數(shù)據(jù)流量進(jìn)行過濾。rule10denysource55acl2000rule5denysource55617.2.1ACL原理與應(yīng)用5.如何安排ACL規(guī)則順序1）ACL匹配順序是至上而下，具體的判別條目應(yīng)放置在前面2）每張ACL中都有一條隱含Deny3）ACL配置完成后需要調(diào)用才能生效，可以直接在接口下例如：你要控制一個網(wǎng)段/24的訪問，rule5permit，表示允許網(wǎng)段，除此以外全部拒絕rule10deny表示拒絕網(wǎng)段，除此以外全部拒絕。實際上等于拒絕所有網(wǎng)段(包括)等同于denyany的效果627.2.1ACL原理與應(yīng)用6.在什么地方部署ACL訪問控制列表ACL必須部署在路由器的某個接口的某個方向上。因此，對于路由器來說存在入口（Inbound）和出口（Outbound）兩個方向。圖7-24路由器接口的出口和入口方向標(biāo)準(zhǔn)ACL應(yīng)放在離目的地近的地方；擴(kuò)展ACL放在離源近的地方63任務(wù)訓(xùn)練1.說一說，ACL的作用是什么？2.歸納一下，ACL可以分為哪幾種類別？它們的區(qū)別是什么？3.想一想，你該如何安排訪問列表中的規(guī)則條目順序？7.2.1ACL原理與應(yīng)用

任務(wù)1靜態(tài)路由的配置7.1.1IP路由基礎(chǔ)

7.1.2靜態(tài)路由配置7.1.3默認(rèn)路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務(wù)2任務(wù)2訪問控制列表（ACL）安全接入互聯(lián)網(wǎng)7.2.1ACL原理與應(yīng)用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）有效接入互聯(lián)網(wǎng)

7.3.1NAT的原理與應(yīng)用7.3.2NAT配置實例

主要內(nèi)容657.2.2基本ACL配置實例如圖7-25所示，某企業(yè)內(nèi)網(wǎng)有2個網(wǎng)段，研發(fā)部在VLAN1，網(wǎng)絡(luò)地址為/24，服務(wù)器區(qū)在VLAN2，網(wǎng)絡(luò)地址為/24，路由器AR1連接這2個VLAN。路由器AR2為互聯(lián)網(wǎng)路由器，所在網(wǎng)絡(luò)地址為/24。要求：①研發(fā)部網(wǎng)段可以訪問Internet。②服務(wù)器區(qū)網(wǎng)段不允許訪問Internet。圖7-25基本ACL的應(yīng)用配置分析：若完成配置要求，需要控制內(nèi)網(wǎng)訪問Internet的流量，這些訪問流量都要經(jīng)過路由器AR1的GE0/0/0端口發(fā)送出去，因此可以在此端口的出口（Outbound）方向進(jìn)行數(shù)據(jù)包過濾。由于數(shù)據(jù)包過濾的條件都基于源地址，故使用基本ACL就可以實現(xiàn)。667.2.2基本ACL配置實例圖7-25基本ACL的應(yīng)用操作步驟：（1）AR1的接口配置。[AR1]vlan2[AR1-vlan2]intvlan2[AR1-Vlanif2]ipaddress24[AR1-Vlanif2]inte0/0/4[AR1-Ethernet0/0/4]portlinkaccess[AR1-Ethernet0/0/4]portdefaultvlan2[AR1-Ethernet0/0/4]inte0/0/5[AR1-Ethernet0/0/5]portlinkaccess[AR1-Ethernet0/0/5]portdefaultvlan2[AR1]intvlan1[AR1-Vlanif1]ipaddress24[AR1]intg0/0/0[AR1-GigabitEthernet0/0/0]ipaddress24（2）AR2的接口配置。[AR2]intg0/0/0[AR2-GigabitEthernet0/0/0]ipadd24[AR2-GigabitEthernet0/0/0]intvlan1[AR2-Vlanif1]ipadd24（3）AR1和AR2的路由配置。[AR1]iproute-static[AR2]iproute-static此時，主機(jī)之間互ping，能夠ping通。677.2.2基本ACL配置實例圖7-25基本ACL的應(yīng)用（4）ACL配置。[AR1]acl2000--創(chuàng)建基本ACL2000[AR1-acl-basic-2000]rule10denysource55

--創(chuàng)建規(guī)則10，拒絕網(wǎng)段源地址為的主機(jī)的訪問Internet[AR1-acl-basic-2000]rule20permitsource55

--創(chuàng)建規(guī)則20，允許網(wǎng)段源地址為的主機(jī)可以訪問Internet[AR1-acl-basic-2000]rule30deny--最后拒絕所有，默認(rèn)允許所有[AR1]disaclall--查看當(dāng)前ACL（5）將ACL綁定到GE0/0/0的出站方向。[AR1]intg0/0/0[AR1-GigabitEthernet0/0/0]traffic-filteroutboundacl2000--綁定到出站方向

任務(wù)1靜態(tài)路由的配置7.1.1IP路由基礎(chǔ)

7.1.2靜態(tài)路由配置7.1.3默認(rèn)路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務(wù)2任務(wù)2訪問控制列表（ACL）安全接入互聯(lián)網(wǎng)7.2.1ACL原理與應(yīng)用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）有效接入互聯(lián)網(wǎng)

7.3.1NAT的原理與應(yīng)用7.3.2NAT配置實例

主要內(nèi)容697.2.3高級ACL配置實例如圖7-26所示，某企業(yè)網(wǎng)絡(luò)AR1為內(nèi)網(wǎng)出口路由器，連接工程部、財務(wù)部、財務(wù)部服務(wù)器這3個VLAN。路由器AR2為互聯(lián)網(wǎng)路由器，Server2為互聯(lián)網(wǎng)中的服務(wù)器，提供DNS和HTTP服務(wù)。在AR1路由器上創(chuàng)建高級ACL，以實現(xiàn)下列要求。①允許工程部在工作時間（周一到周五的8:00~17:00）能夠訪問Internet。②允許財務(wù)部能夠訪問Internet，但只允許訪問網(wǎng)站。③禁止財務(wù)部服務(wù)器訪問Internet。圖7-26高級ACL的應(yīng)用配置分析：在AR1上創(chuàng)建一個高級ACL，將該ACL綁定到AR1的GE0/0/0接口的出向。允許財務(wù)部訪問Internet網(wǎng)站，訪問網(wǎng)站需要域名解析，域名解析使用的協(xié)議是DNS，DNS協(xié)議使用的是UDP的53端口，訪問網(wǎng)站使用的協(xié)議是HTTP協(xié)議和HTTPS協(xié)議，HTTP協(xié)議使用的是TCP的80端口，HTTPS協(xié)議使用的是TCP的443端口。707.2.3高級ACL配置實例圖7-26高級ACL的應(yīng)用ACL配置：[AR1]acl3000--創(chuàng)建高級ACL[AR1]time-rangeworking-time08:00to17:00working-day[AR1-acl-adv-3000]rule5permitipsource55destinationanytime-rangeworking-time[AR1-acl-adv-3000]rule10permitudpsource55destinationanydestination-porteqdns[AR1-acl-adv-3000]rule15permittcpsource55destination-porteqwww[AR1-acl-adv-3000]rule20permittcpsource55destination-porteq443[AR1-acl-adv-3000]rule25denyip將ACL綁定到接口。[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]traffic-filteroutboundacl3000①允許工程部在工作時間（周一到周五的8:00~17:00）能夠訪問Internet。②允許財務(wù)部能夠訪問Internet，但只允許訪問網(wǎng)站。③禁止財務(wù)部服務(wù)器訪問Internet。717.2.3高級ACL配置實例①

驗證工程部是否實現(xiàn)在工作時間（周一到周五的8:00~17:00）能夠訪問Internet。<AR1>displayclock--查看當(dāng)前時間<AR1>clockdatetime06:00:002021-01-04

--更改路由器時間和日期，此時間為非工作時間使用工程部中的PC1pingInternet上的Server2，發(fā)現(xiàn)ping不通。再在AR1上查看ACL，可以看到rule5變成Inactive（不活躍）狀態(tài)。若改變路由器時間在工作時間段，PC1可以ping通Internet上的Server2，rule5變成Aactive（活躍）狀態(tài)。727.2.3高級ACL配置實例②驗證財務(wù)部是否能夠訪問Internet的網(wǎng)站。如圖7-27所示，設(shè)置DNS服務(wù)器域名為“”，IP地址為，并啟動DNS服務(wù)。如圖7-28所示，設(shè)置Http服務(wù)器文件根目錄為“D:\”，并啟動Http服務(wù)。

圖7-27DNS服務(wù)器設(shè)置圖7-28Http服務(wù)器設(shè)置737.2.3高級ACL配置實例②如圖7-29所示，設(shè)置財務(wù)處Clinet1的域名服務(wù)器地址為，并在客戶端的地址欄輸入域名“”獲取Http服務(wù)。圖7-29Client客戶端設(shè)置③驗證是否禁止財務(wù)部服務(wù)器訪問Internet。在Serve1的接觸配置界面，pingServer2的IP地址，結(jié)果不能ping通。74任務(wù)訓(xùn)練圖7-30所示的網(wǎng)絡(luò)中，在路由器AR1上創(chuàng)建ACL，禁止PC1、PC2和PC3之間相互通信，禁止PC1、PC2訪問Server2的web，但運行PC3訪問Server2的web。7.2.3高級ACL配置實例圖7-30ACL配置網(wǎng)絡(luò)拓?fù)淙蝿?wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）有效接入互聯(lián)網(wǎng)76知識目標(biāo)：可說出NAT產(chǎn)生的背景。正確描述NAT的工作原理和工作過程?？蓺w納NAT的類型。技能目標(biāo)：能熟練進(jìn)行MAT配置。能運用NAT解決實際問題。素養(yǎng)目標(biāo)：培養(yǎng)資源節(jié)約的工程理念。培養(yǎng)規(guī)范操作的網(wǎng)絡(luò)工匠精神。學(xué)習(xí)目標(biāo)任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）有效接入互聯(lián)網(wǎng)77本任務(wù)通過學(xué)習(xí)NAT技術(shù)的產(chǎn)生背景、NAT工作原理、NAT的分類、NAT的配置和應(yīng)用，帶領(lǐng)大家掌握Easy-IP、NATServer的配置，并能運用NAT技術(shù)解決網(wǎng)絡(luò)中的實際問題。任務(wù)分析任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）有效接入互聯(lián)網(wǎng)

任務(wù)1靜態(tài)路由的配置7.1.1IP路由基礎(chǔ)

7.1.2靜態(tài)路由配置7.1.3默認(rèn)路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務(wù)2訪問控制列表（ACL）安全接入互聯(lián)網(wǎng)7.2.1ACL原理與應(yīng)用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）有效接入互聯(lián)網(wǎng)

7.3.1NAT的原理與應(yīng)用7.3.2NAT配置實例

主要內(nèi)容79引

入IPV4地址不夠用怎么辦？我國已積極推進(jìn)IPV6網(wǎng)絡(luò)的部署實現(xiàn)網(wǎng)絡(luò)規(guī)模、用戶規(guī)模和流量規(guī)模三個世界第一，PV4和IPV6共存階段，節(jié)省使用IPV4地址仍是近期存在的問題802021年7月，近千萬中國網(wǎng)民聯(lián)署呼吁徹查美國德堡時，服務(wù)器遭美國IP網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全問題是未來中國發(fā)展建設(shè)的重點工作：在我國“十四五”規(guī)劃中，網(wǎng)絡(luò)安全已經(jīng)確定成為未來中國發(fā)展建設(shè)工作的重點之一?！丁笆奈濉币?guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》里共提及“網(wǎng)絡(luò)安全”14次，涉及數(shù)字經(jīng)濟(jì)、數(shù)字生態(tài)、國家安全、能源資源安全四大領(lǐng)域。沒有網(wǎng)絡(luò)安全就沒有國家安全--習(xí)近平引

入81國內(nèi)數(shù)一數(shù)二的主流服務(wù)器被攻擊癱瘓攻擊服務(wù)器的方式(DDOS)：分布式拒絕服務(wù)攻擊(英文意思是DistributedDenialofService，簡稱DDoS)是指處于不同位置的多個攻擊者同時向一個或數(shù)個目標(biāo)發(fā)動攻擊，或者一個攻擊者控制了位于不同位置的多臺機(jī)器并利用這些機(jī)器對受害者同時實施攻擊。由于攻擊的發(fā)出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務(wù)攻擊。DDoS是DoS的升級

引

入82主題討論：1.你知道網(wǎng)絡(luò)攻擊的方式有哪些？2.你覺得黑客網(wǎng)絡(luò)攻擊的目的是什么？3.如何維護(hù)網(wǎng)絡(luò)安全？維護(hù)網(wǎng)絡(luò)安全是全社會共同責(zé)任引

入831.NAT定義。NAT是NetworkAddressTranslation的簡寫，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個IETF（國際互聯(lián)網(wǎng)工程任務(wù)組，一個公開性質(zhì)的大型民間國際團(tuán)體）標(biāo)準(zhǔn)，它可以把私網(wǎng)地址和公網(wǎng)地址做轉(zhuǎn)換，一方面可隱藏內(nèi)部網(wǎng)絡(luò)的真實IP地址，使內(nèi)部網(wǎng)絡(luò)免受黑客的直接攻擊，另一方面由于內(nèi)部網(wǎng)絡(luò)使用了私有IP地址，從而有效解決了公網(wǎng)IP地址不足的問題。7.3.1NAT的原理與應(yīng)用842.NAT應(yīng)用場景7.3.1NAT的原理與應(yīng)用圖7-31NAT的應(yīng)用場景企業(yè)或家庭所使用的網(wǎng)絡(luò)為私有網(wǎng)絡(luò)，使用的是私有地址；運營商維護(hù)的網(wǎng)絡(luò)為公共網(wǎng)絡(luò)，使用的是公有地址。私有地址不能在公網(wǎng)中路由。NAT一般部署在連接內(nèi)網(wǎng)和外網(wǎng)的網(wǎng)關(guān)設(shè)備上。853.NAT的類型7.3.1NAT的原理與應(yīng)用

常見的NAT技術(shù)有三種類型：靜態(tài)轉(zhuǎn)換NAT（StaticNAT）、動態(tài)轉(zhuǎn)換NAT（PooledNAT）、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（PAT）。（1）靜態(tài)轉(zhuǎn)換NAT

將每個擁有內(nèi)部私有地址的計算機(jī)都映射成外部網(wǎng)絡(luò)中的一個合法的公有IP地址，其中的IP地址是一對一的一成不變的。S:D:D:S:S:D:SWASWARTAS:D:主機(jī)A主機(jī)BD:S:D:S:S:D:S:D:/24/24/24主機(jī)C圖7-32

靜態(tài)NAT應(yīng)用場景867.3.1NAT的原理與應(yīng)用（2）動態(tài)地址NAT

在外部網(wǎng)絡(luò)中定義了一些合法地址，它們是采用動態(tài)分配的方法將地址映射到內(nèi)部網(wǎng)絡(luò)，IP地址是隨機(jī)的，不是一一對應(yīng)的。/24……S:D:S:D:D:S:SWASWARTAS:D:主機(jī)A主機(jī)B/24/24/24主機(jī)C圖7-33動態(tài)NAT應(yīng)用場景877.3.1NAT的原理與應(yīng)用（3）網(wǎng)絡(luò)地址端口NAT網(wǎng)絡(luò)地址端口NAT，也稱NAPT，它使用一個合法公有地址，以不同的協(xié)議端口號與不同的內(nèi)部地址相對應(yīng)。圖7-34動態(tài)NAPT應(yīng)用場景/24：2843：2844……SWASWARTA主機(jī)A主機(jī)B/24/24S::1028D::80S::1025D::80S::2844D::80S::2843D::80/24主機(jī)C88任務(wù)訓(xùn)練1.描述NAT的應(yīng)用場景。2.簡述NAT的工作原理。3.NAT按技術(shù)類型可以分為哪三種轉(zhuǎn)換方式？7.3.1NAT的原理與應(yīng)用

任務(wù)1靜態(tài)路由的配置7.1.1IP路由基礎(chǔ)

7.1.2靜態(tài)路由配置7.1.3默認(rèn)路由優(yōu)化路由表7.1.4路由匯總簡化路由表

任務(wù)2訪問控制列表（ACL）安全接入互聯(lián)網(wǎng)7.2.1ACL原理與應(yīng)用

7.2.2基本ACL配置實例7.2.3高級ACL配置實例任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）有效接入互聯(lián)網(wǎng)

7.3.1NAT的原理與應(yīng)用7.3.2NAT配置實例

主要內(nèi)容907.3.2NAT配置實例[AR1]intg0/0/1[AR1-GigabitEthernet0/0/1]natstaticglobalinsidenetmask55[AR1-GigabitEthernet0/0/1]natstaticglobalinsidenetmask55[AR1-GigabitEthernet0/0/1]natstaticglobalinsidenetmask55<R1>displaynatstatic1.靜態(tài)NAT配置案例需求：在AR1上做靜態(tài)NAT私有地址用公網(wǎng)地址替換、私有地址用公網(wǎng)地址替換、私有地址用公網(wǎng)地址替換。

注意：基礎(chǔ)配置包含接口地址以及AR1上配置一條默認(rèn)路由，AR2是互聯(lián)網(wǎng)路由器不需配置路由此實訓(xùn)注意事項：eNSP的Router不支持NAT，需選擇AR類型91測試完成后，刪除靜態(tài)NAT設(shè)置，初始化環(huán)境，為接下來的實訓(xùn)做好準(zhǔn)備[AR1]intg0/0/1[AR1-GigabitEthernet0/0/1]undonatstaticglobalinsidenetmask55[AR1-GigabitEthernet0/0/1]undonatstaticglobalinsidenetmask55[AR1-GigabitEthernet0/0/1]undonatstaticglobalinsidenetmask55--刪除靜態(tài)NAT設(shè)置，初始化網(wǎng)絡(luò)環(huán)境。7.3.2NAT配置實例927.3.2NAT配置實例2.動態(tài)NAT配置（地址池方式）案例需求：在AR1上做動態(tài)NATISP給企業(yè)分配了、、、共4個公網(wǎng)地址，其中指定給AR1的GE0/0/1端口。（1）創(chuàng)建ACL，定義NAT數(shù)據(jù)流。[AR1]acl2000[AR1-acl-basic-2000]rule5permitsource55[AR1-acl-basic-2000]rule10deny[AR1-acl-basic-2000]quit（2）創(chuàng)建公網(wǎng)地址池。[AR1]nataddress-group1

--指定公網(wǎng)地址池編號1和開始地址和結(jié)束地址（3）為AR1上連接Internet的端口GE0/0/1配置NAT。[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]natoutbound2000address-group1（4）測試。網(wǎng)內(nèi)主機(jī)可以ping通Internet主機(jī)和服務(wù)器。93測試完成后，動態(tài)地址池NAT設(shè)置，初始化環(huán)境，為接下來的實訓(xùn)做好準(zhǔn)備[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]undonatoutbound2000address-group1[AR1-GigabitEthernet0/0/1]quit[AR1]undonataddress-group1--刪除動態(tài)地址池NAT設(shè)置，初始化網(wǎng)絡(luò)環(huán)境。7.3.2NAT配置實例943.使用外網(wǎng)端口做NAPT(Easy-IP)7.3.2NAT配置實例案例需求：在AR1上配置Easy-IP，允許內(nèi)網(wǎng)主機(jī)使用AR1路由器上GE0/0/0端口的公網(wǎng)地址做地址轉(zhuǎn)換以訪問Internet。要求在AR1上做動態(tài)NATISP只給企業(yè)分配了一個公網(wǎng)地址，并把這個地址指定給AR1的GE0/0/1端口。（1）創(chuàng)建ACL，定義NAT數(shù)據(jù)流。[AR1]acl2000[AR1-acl-basic-2000]rule5permitsource55[AR1-acl-basic-2000]rule10deny[AR1-acl-basic-2000]quit（2）為AR1上連接Internet的端口GE0/0/1配置Easy-IP。[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]natoutbound2000

--指定允許網(wǎng)絡(luò)地址端口轉(zhuǎn)換的ACL（3）測試。網(wǎng)內(nèi)主機(jī)可以ping通Internet主機(jī)和服務(wù)器。（4）刪除AR1上端口GigabitEthernet/0/1的NAT配置[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]undonatoutbound2000

95AR154InternetAR2WebFTPServer1PC3PC5PC6目標(biāo)地址

TCP目標(biāo)端口21目標(biāo)地址

TCP目標(biāo)端口80目標(biāo)地址TCP目標(biāo)端口21目標(biāo)地址

TCP目標(biāo)端口80GE0/0/1背景：Internet上的計算機(jī)是沒辦法直接訪問企業(yè)內(nèi)網(wǎng)（私網(wǎng)IP地址）中的計算機(jī)和服務(wù)器的。如果打算讓Internet上的計算機(jī)訪問企業(yè)內(nèi)網(wǎng)中的服務(wù)器，那么需要在企業(yè)連接Internet的路由器上配置端口映射，且該路由器必須有公網(wǎng)地址。NATServer（服務(wù)器映射）就是應(yīng)用于實現(xiàn)私網(wǎng)服務(wù)器以公網(wǎng)IP地址對外提供服務(wù)的技術(shù)。當(dāng)外部網(wǎng)絡(luò)的用戶訪問內(nèi)部服務(wù)器時，NAT將請求報文的目的地址轉(zhuǎn)換成內(nèi)部服務(wù)器的私有地址。對內(nèi)部服務(wù)器回應(yīng)報文而言，NAT還會自動將回應(yīng)報文的源地址（私網(wǎng)地址）轉(zhuǎn)換成公網(wǎng)地址。7.3.2NAT配置實例4.使用外網(wǎng)端口做NAPT(Easy-IP)967.3.2NAT配置實例4.使用外網(wǎng)端口做NAPT(Easy-IP)案例需求：在AR1上定義NATServer，實現(xiàn)以下功能：①Internet上的用戶可以正常訪問企業(yè)內(nèi)網(wǎng)中的Web服務(wù)器。②該公司員工下班回家后，可以用遠(yuǎn)程連接企業(yè)內(nèi)網(wǎng)的FTP服務(wù)器。AR1的GE0/0/1端口地址為公網(wǎng)地址，還有一個公網(wǎng)地址是。（1）AR1上部署Easy-IP，保證內(nèi)網(wǎng)訪問外網(wǎng)。[AR1]acl2000[AR1-acl-basic-2000]rule5permitsource55[AR1-acl-basic-2000]rule10deny[AR1-acl-basic-2000]quit[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]natoutbound2000（2）允許互聯(lián)網(wǎng)終端訪問網(wǎng)內(nèi)服務(wù)器web的http功能。[AR1-GigabitEthernet0/0/1]natserverprotocoltcpglobalcurrent-interfacewwwinsidewww（3）允許互聯(lián)網(wǎng)終端訪問網(wǎng)內(nèi)FTP服務(wù)器的FTP功能。[AR1-GigabitEthernet0/0/1]natserverprotocoltcpglobalftpinsideftp977.3.2NAT配置實例（4）測試。①驗證Internet上的用戶是否可以正常訪問企業(yè)內(nèi)網(wǎng)中的Web服務(wù)器的http功能。在Web服務(wù)器上啟動Http服務(wù)，如圖7-36所示。在Clinet1的客戶端輸入地址，并獲取網(wǎng)內(nèi)Web服務(wù)器上的Http服務(wù)，如圖7-37所示。圖

7-36Web服務(wù)器上啟動Http服務(wù)圖7-37Clinet1的客戶端獲取Http服務(wù)

987.3.2NAT配置實例②驗證互聯(lián)網(wǎng)用戶是否可以用遠(yuǎn)程連接企業(yè)內(nèi)網(wǎng)的FTP服務(wù)器。在FTP服務(wù)器上啟動Ftp服務(wù)，如圖7-38所示。在Clinet1的客戶端通過這個公網(wǎng)地址登錄FTP服務(wù)器，并獲取網(wǎng)內(nèi)FTP服務(wù)器上的文件內(nèi)容，如圖7-39所示。圖

7-38

FTP服務(wù)器上啟動Ftp服務(wù)圖

7-39

Clinet1的客戶端獲取Ftp服務(wù)99

歸納總結(jié)

1.靜態(tài)NAT：可以一對一轉(zhuǎn)換公網(wǎng)和私網(wǎng)地址[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natstaticglobalinsidenetmask55[R1-GigabitEthernet0/0/1]natstaticglobalinsidenetmask552.使用外端口地址實現(xiàn)NAPT，也叫Easy-NAT[AR1]acl2000[AR1-acl-basic-2000]rule5permitsource55[AR1-acl-basic-2000]ruledeny[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]natoutbound2000--指定允許NAPT的ACL3.使用地址池實現(xiàn)NAPT，屬于動態(tài)NAT1）創(chuàng)建ACL2）創(chuàng)建公網(wǎng)地址池[AR1]nataddress-group1--指定公網(wǎng)地址池編號1和開始地址和結(jié)束地址3）為AR1上連接Internet的端口GigabitEthernet0/0/1配置NAPT[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]natoutbound2000address-group1--指定ACL2000使用的公網(wǎng)地址池4.NAT的server功能：實現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)服務(wù)器

[AR1-GigabitEthernet0/0/1]natserverprotocoltcpglobalcurrent-interfacewwwinsidewwwNAPT有個特點：內(nèi)網(wǎng)的計算機(jī)能夠主動發(fā)起對公網(wǎng)的訪問，公網(wǎng)的計算機(jī)卻不能主動發(fā)起對內(nèi)網(wǎng)的訪問?？梢哉J(rèn)為是單向訪問。100

項目描述：某企業(yè)準(zhǔn)備組建企業(yè)網(wǎng)，企業(yè)有行政區(qū)和生產(chǎn)區(qū)兩個區(qū)域，兩個區(qū)域有研發(fā)部、財務(wù)部、人事部、生產(chǎn)部和銷售部，網(wǎng)絡(luò)拓?fù)淙鐖D7-1所示。企業(yè)網(wǎng)需要滿足以下需求。1）各個部門單獨劃分子網(wǎng)。2）路由設(shè)備上配置靜態(tài)路由實現(xiàn)行政區(qū)和生產(chǎn)區(qū)網(wǎng)絡(luò)互聯(lián)，并接入Internet。3）行政區(qū)路由器XZQ_AR_01上部署ACL，實現(xiàn)財務(wù)部不能訪問Internet，分公司的生產(chǎn)部和銷售部在周一到周五工作時間（8:00-17:00）可以訪問Internet，其它部門可以隨時訪問Internet。4）企業(yè)網(wǎng)內(nèi)網(wǎng)使用私網(wǎng)地址，行政區(qū)路由器XZQ_AR_01上部署NAT，在第3條要求的前提下實現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng)、允許互聯(lián)網(wǎng)終端訪問網(wǎng)內(nèi)服務(wù)器WEB的HTTP功能。圖7-1企業(yè)網(wǎng)網(wǎng)絡(luò)拓?fù)漤?/p>

目

實

施101項

目

實

施

網(wǎng)絡(luò)拓?fù)洌?02項

目

實

施2.數(shù)據(jù)規(guī)劃

（1）VLAN及端口成員分配。根據(jù)項目方案的要求，各子網(wǎng)對應(yīng)的VLAN及VLAN的端口成員分配如表

7-2所示。設(shè)備節(jié)點子網(wǎng)名稱VLAN號對應(yīng)端口LSW1與AR1互聯(lián)子網(wǎng)VLAN10GE0/0/1研發(fā)部VLAN20GE0/0/2財務(wù)部VLAN30GE0/0/3人事部VLAN40GE0/0/4LSW2生產(chǎn)部VLAN60GE0/0/2銷售部VLAN70GE0/0/3與AR2互聯(lián)子網(wǎng)VLAN80GE0/0/1表

7-2

VLAN及端口分配表感謝觀看THANKSDataCommunicationNetwork用微課學(xué)?數(shù)據(jù)網(wǎng)組建與維護(hù)——基于華為eNSP（工作手冊式）項目8

與分公司互聯(lián)互通用微課學(xué)?數(shù)據(jù)網(wǎng)組建與維護(hù)—基于華為eNSP（工作手冊式）105項目8與分公司互聯(lián)互通

項目描述：某工業(yè)互聯(lián)網(wǎng)企業(yè)有總公司和分公司兩個區(qū)域，總公司的核心層設(shè)計為冗余架構(gòu)，企業(yè)網(wǎng)終端連接人事部、財務(wù)部、研發(fā)部、維護(hù)部、生產(chǎn)部、測試部等部門，網(wǎng)絡(luò)拓?fù)淙鐖D8-1所示，網(wǎng)絡(luò)功能需要滿足以下需求。1）各個部門單獨劃分子網(wǎng)。2）三層設(shè)備上配置OSPF動態(tài)路由實現(xiàn)網(wǎng)絡(luò)互聯(lián)。3）總公司和分公司通過廣域網(wǎng)專線互聯(lián)連接，為了安全，分公司路由器作為被認(rèn)證方，總公司路由器作為認(rèn)證方，采用PPP的挑戰(zhàn)握手身份認(rèn)證協(xié)議（CHAP）認(rèn)證。圖8-1工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)拓?fù)?/p>

任務(wù)1動態(tài)路由協(xié)議OSPF實現(xiàn)網(wǎng)絡(luò)互聯(lián)8.1.1OSPF協(xié)議原理與應(yīng)用

8.1.2單域OSPF配置8.1.3多域OSPF配置

任務(wù)2與分公司互聯(lián)中的PPP認(rèn)證8.2.1HDLC協(xié)議原理與配置

8.2.2PPP協(xié)議原理與配置

主要內(nèi)容任務(wù)1動態(tài)路由協(xié)議OSPF實現(xiàn)網(wǎng)絡(luò)互聯(lián)108知識目標(biāo)：正確描述OSPF協(xié)議的基本術(shù)語。能描述DR、BDR、Router-id的作用和選取原則?？蓺w納鏈路狀態(tài)路由協(xié)議的工作過程?？擅枋鯫SPF區(qū)域劃分的作用。技能目標(biāo)：能配置OSPF協(xié)議實現(xiàn)網(wǎng)絡(luò)互聯(lián)。能合理地進(jìn)行OSPF網(wǎng)絡(luò)的區(qū)域劃分。能靈活應(yīng)用OSPF協(xié)議解決實際應(yīng)用問題。素養(yǎng)目標(biāo)：提高創(chuàng)新思維意識。

具備嚴(yán)謹(jǐn)細(xì)致、精益求精的網(wǎng)絡(luò)工匠精神。任務(wù)1動態(tài)路由協(xié)議OSPF實現(xiàn)網(wǎng)絡(luò)互聯(lián)學(xué)習(xí)目標(biāo)109本任務(wù)通過學(xué)習(xí)OSPF協(xié)議的定義、相關(guān)概念、工作過程、網(wǎng)絡(luò)類型、區(qū)域劃分及OSPF配置案例，帶領(lǐng)大家配置OSPF協(xié)議、合理劃分OSPF網(wǎng)絡(luò)區(qū)域，實現(xiàn)網(wǎng)絡(luò)互聯(lián)。任務(wù)分析任務(wù)1動態(tài)路由協(xié)議OSPF實現(xiàn)網(wǎng)絡(luò)互聯(lián)

任務(wù)1動態(tài)路由協(xié)議OSPF實現(xiàn)網(wǎng)絡(luò)互聯(lián)8.1.1OSPF協(xié)議原理與應(yīng)用

8.1.2單域OSPF配置8.1.3多域OSPF配置

任務(wù)2與分公司互聯(lián)中的PPP認(rèn)證8.2.1HDLC協(xié)議原理與配置

8.2.2PPP協(xié)議原理與配置

主要內(nèi)容111

8.1.1OSPF協(xié)議原理與應(yīng)用開放最短路徑優(yōu)先協(xié)議（OpenShortestPathFirst，OSPF）用于單一自治系統(tǒng)AS內(nèi)的決策路由。在IP網(wǎng)絡(luò)上，它通過收集和傳遞自治系統(tǒng)的鏈路狀態(tài)來動態(tài)地發(fā)現(xiàn)最短優(yōu)先路徑并傳播路由。最短路徑意思是指出發(fā)點和終點之間長度最短（邊權(quán)和最小）的路徑。圖8-3所示的最短路徑優(yōu)先算法示意圖中，1->3->2->5是該例圖的一條最短路徑。1、OSPF協(xié)議的概念圖8-3最短優(yōu)先路徑優(yōu)先算法示意圖112

8.1.1OSPF協(xié)議原理與應(yīng)用2、OSPF協(xié)議的特點SiteBSiteASiteCOSPFRTBRTARTCRIPOSPF無環(huán)路收斂快擴(kuò)展性好支持認(rèn)證113

8.1.1OSPF協(xié)議原理與應(yīng)用3、OSPF工作過程目的網(wǎng)絡(luò)下一跳開銷.................................................................LSA泛洪LSDBLSAofRTALSAofRTBLSAofRTCSPF算法路由計算最短路徑樹路由表SiteAOSPFRTBRTARTCOSPF工作過程總體示意圖鏈路狀態(tài)表如何產(chǎn)生？114

8.1.1OSPF協(xié)議原理與應(yīng)用4、OSPF工作過程目的網(wǎng)絡(luò)下一跳開銷.................................................................LSA泛洪LSDBLSAofRTALSAofRTBLSAofRTCSPF算法路由計算最短路徑樹路由表SiteAOSPFRTBRTARTCOSPF工作過程總體示意圖鄰居表拓?fù)浔砺酚杀?15

8.1.1OSPF協(xié)議原理與應(yīng)用OSPF工作過程3建立鏈路狀態(tài)（拓?fù)浔恚┙⑧徑雨P(guān)系（鄰居表）21選舉DR/BDR4計算路由（路由表）Router-ID網(wǎng)絡(luò)中運行OSPF協(xié)議的路由器都要有一個唯一的標(biāo)識，這就是Router-ID。一般建議手工配置RouterID。如果沒有配置RouterID，則選擇最大的Loopback地址作為RouterID，如果沒有配置Loopback地址，那么在OPSF接口地址中選擇最大的IP地址作為RouterID。。Hello包最常用的一種報文，2s為周期發(fā)送給本路由器的鄰居。內(nèi)容包括一些定時器的數(shù)值、DR、BDR以及自己已知的鄰居。。指定路由器（DR）和備份指定路由器（BDR）為減小多路訪問網(wǎng)絡(luò)中OSPF流量，OSPF會選擇一個指定路由器（DR）和一個備份指定路由器（BDR）。同一廣播域內(nèi)的路由器都與DR通告鏈路狀態(tài)LSA，并由DR進(jìn)行中轉(zhuǎn)通告給廣播域內(nèi)別的路由器；BDR會監(jiān)控DR的狀態(tài)，并在當(dāng)前DR發(fā)生故障時接替其角色。116

8.1.1OSPF協(xié)議原理與應(yīng)用Hello包的交換是通過組播實現(xiàn)的。擁有最高優(yōu)先級的Router將成為DR（BDR），同優(yōu)先級則RouterID大當(dāng)選。HelloDRBDROS