模块四任务2(企业网接入互联网)教案详解.ppt

任务引入 公司网络内所有计算机目前都能相互通信，现需要将所有计算机接入互联网。但随着近几年，计算机产业的高速发展，互联网中可被分配的IP地址也开始日益短缺，申请一个专线接入互联网也只能得到一个或几个公网IP地址。按照传统的接入互联网技术来看，5个IP地址只能同时有1到5个用户访问互联网。如果有更多的计算机需要接入互联网，网络管理员应该如何解决？而且为了确保财务处的网络安全，还必须设置网络不允许财务处所在的网段（）接入互联网。  任务分析 相关知识 当NAT路由器接收到企业网传入的分组时，它会创建地址转换表的记录，记录下分组的源地址和即将转换公网IP地址的对应关系，并将转换后的分组转入互联网（见下图所示）；当NAT路由器接收到互联网的回应分组时，NAT路由器会根据回应分组中的目的地址查找地址转换表中的记录，根据地址转换表中的记录，NAT路由器会将此分组中的目的地址转换为记录对应的源地址，并将转换 分组转入企业网同时删除地址转换表中的此记录。 二、PAT 技术 PAT（端口地址转换）也称为过载NAT，用于多个内部私有地址映射到同一个公网IP地址上，利用不同的端口号区分不同的内部私有地址的请求，如下图所示，当没有可利用的端口号时，PAT将会丢弃请求包。 任务实施 一、确定NAT路由器连接内网端口和外网端口 步骤2：确定fa0/1接口为连接内网端口 二、除财务处以外将其他所有计算机接入互联网 步骤2：启用PAT功能，并引用access-list 1访问控制列表 三、向所有运行OSPF动态路由协议的三层设备发布默认路由，使企业网内所有接入互联网分组转发给NAT路由器 任务小结 课堂练习 COMPANYL O G O 模块四 网络服务 任务2 企业网接入互联网 任务引入 1 任务分析 2 任务实施 3 小结与练习 4 互联网服务提供商（如中国电信、中国联通、中国移动）分配5个公网IP地址给该公司，IP地址分别是：78/29、79/29、80/29、81/29、82/29；网关地址：77；首选DNS：6；备选DNS：7。网络管理员可以通过NAT（网络地址转换）技术，通过这五个公网IP地址提供整个企业网的互联网接入服务。通过配置访问控制列表可以阻止财务处网段接入互联网。 一、NAT技术 NAT(Network Address Translation)网络地址转换是将一个IP地址映射到另一个IP地址的技术。它允许企业网中使用的私有地址映射为公网IP地址联入互联网，如下图所示。 根据公司的要求设计企业网接入互联网方案，如下图所示，路由器 R1运行NAT。 步骤1：配置连接外网端口（FA0/0） R1enable R1#configure terminal ！进入配置模式 R1(config)#interface fa0/0 ！进入Fa0/0接口，Fa0/0连接着互联网 R1(config-if)#ip nat outside ！配置f0/0接口为外部端口 R1(config-if)#ip address 78 48 ！配置公网IP地址 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface fa0/1 ！进入Fa0/1接口，Fa0/1连接着企业网 R1(config-if)#ip nat inside ！配置fa0/1接口为内部端口 R1(config-if)#ip address 0 52 ！配置公网IP地址 R1(config-if)#no shutdown R1(config-if)#exit 步骤1：配置访问控制列表，实现只禁止财务处联入互联网。 R1(config)#access-list 1 deny 55 ！建立标准ACL，阻止来自的网络数据包 R1(config)#access-list 1 permit any ！允许所有的网络通信 即使企业网不需要禁止某一部门接入互联网，NAT服务器也需要有ACL， 允许所有的网络通信（如：R1(config)#access-list 1 permit any）。 R1(config)#ip nat inside source list 1 interface fa0/0 overload ! 启用过载NAT功能。此命令将内部源地址转换为外部接口上配置的IP地址（78/29），并且引用access-list 1访问控制列表。 ◇能力链接◇ 分析过载NAT命令：ip nat：表示启用NAT功能；inside：表示转换内部IP地址；source：表示转换源IP地址；list 1：表示引用访问控制列表，访问控制列表号为1；interface fa0/0：表示转换后的数