1

网络管理与维护综合实训

现代教育技术中心

授课教师：黄国庆

2007 年 10 月

模块：大庆职业学院校园网

实训三 : 大庆职业学院校园网的出口设计

2

导入• 背景知识 1. 提问：　　　网络互连通常使用什么网络设备？我校校园网与 Internet 互

连通常使用什么技术？　 2. 问题的提出：　　　我学院现有三个校区 , 校园网已实现互连 ,出口如何设计？ ３ . 引出本次实训：　　　校园网与 Internet 互连设计实现．• 本次实训概述 　　本次实训先讲解互连技术，讲解一般性通用设计方案．• 其它需要说明的　　本次实训以课堂讲解和设备演示相结合来完成．

3

大庆职业学院校园网• 实训目的 1. 掌握一般性的网络互连解决方案。 2. 掌握大庆职业学院校园网与 Internet 的互连方法。

3. 学会 NAT 的设置方法。• 实训任务 1. 掌握一般性的网络互连解决方案。 2. 掌握大庆职业学院校园网与 Internet 的互连方法。

3. 学会 NAT 的设置方法。

4

相关理论与知识 ---- 路由器配置的基本思路

一般情况下配置路由器的基本思路如下：第一步：在配置路由器之前，需要将组网需求具体化、详

细化，包括：组网目的、路由器在网络互连中的角色、子网的划分、广域网类型和传输介质的选择、网络的安全策略和网络可靠性需求等；

第二步：然后根据以上要素绘出一个清晰完整的组网图；第三步：配置路由器的广域网接口，首先根据选择的广域

网传输介质，配置接口的物理工作参数（如串口的同 /异步、波特率和同步时钟等），对于拨号口，还需要配置 DCC 参数；然后根据选择的广域网类型，配置接口封装的链路层协议以及相应的工作参数；

5

第四步：根据子网的划分，配置路由器各接口的IP地址或 IPX 网络号；

第五步：配置路由，如果需要启动动态路由协议，还需配置相关动态路由协议的工作参数；

第六步：如果有特殊的安全需求，则需进行路由器的安全性配置；

第七步：如果有特殊的可靠性需求，则需进行路由器的可靠性配置。

6

相关理论与知识 ---- 路由器 • 路由器可以通过静态路由和动态路由两种方式来获知怎样将数据包送达至非直连的目的端。

• 所谓静态路由就是由网管人员定义的路由，是以人工方式将路由条目添加到路由表中，以指导数据包向目的端的转发；

• 而动态路由则是路由器利用动态路由协议（典型的如 RIP 、 IGRP 、 OSPF 等协议）与相邻路由器进行路由通信，通过这个过程来获知到达目的网络的路径，配置了动态路由协议的各个路由器会将自己知道的网络信息比如网络可达信息、拓扑变化信息通知给彼此。

7

实训相关理论与知识－路由器基本配置

一、路由器命令行操作模式的进入 .

Red-Giant>enable 进入特权模式 Red-Giant#

Red-Giant#configure terminal 进入路由器配置模式 Red-Giant(config)#interface fastethernet 0/1 进入路由器 F1/0 的接口模式 Red-Giant(config-if)

Red-Giant(config-if)#exit 退回到上一级操作模式 Red-Giant(config)#

Red-Giant(config-if)#en 直接退回到特权模式 Red-Giant#

8

二、路由器命令行基本功能 .

Red-Giant >? 显示当前模式下所有可执行的命令 Red-Giant#co? 显示当前模式下所有以 CO开头的命令

Red-Giant#copy ? 显示 copy命令后可执行的参数 【注意事项】 1. 命令行操作进行自动补齐或命令简写时 ,要求所简写

的字母必须能够唯一区别该命令如 Red-Giant# conf可以代表 configure, 但 Red-Giant#co 无法代表 configure, 因为 co 开头的命令有两个 copy和 configure,设备无法区别 .

2.注意区别每个操作模式下可执行的命令种类 .不可以跨模式执行命令 .

9

三、路由器设备名称的配置 .

Red-Giant>enable

Red-giant# configure terminal

Red-giant(config)#hostname RouterA

RouterA(config)#

10

四、 路由器 A 端口参数的配置 .

• Red-Giant>enable • Red-giant #configure terminal • Red-giant(config)#hostname Ra • Ra(config)#interface serial 1/2 进行 s1/2 的端口模

式 • Ra(config-if)#ip address 1.1.1.1 255.255.255.0

配置端口的 IP 地址 • Ra(config-if)clock rate 64000 有 64000 • Ra(config-if)#bandwidth 512 配置端口的带宽速率

为 512KB • Ra(config-if)#no shutdown 开启该端口 , 使端口转以

数据配置带宽时 , 以 K 为单位

11

五、 路由器 B 端口参数的配置 .

• Red-Giant # configure terminal • Red-giant(config)#hostname Rb • Rb(config)#interface serial 1/2 进行 S1/2 的

端口的模式 • Rb(config-if)#ip address 1.1.1.2 255.255.255.

0 配置端口的 IP 地址 • Rb(config-if)#bandwidth 512 配置端口

的带宽速率为 512KB • Rb(config-if)#no shutdown 开启该端

口 , 使端口转发数据

12

六、 查看交换机各项信息 .

• RouterA#show version 查看路由器的版本信息 • RouterA#show ip route 查看路由器路由表信息 • RouterA#show running-config 查看交换机当前生效的配置信息

【注意事项】 1.show running-config 是查看当前生效的配置信息 .show startup-config 是查看保存在 NVRAM 里的配置文件信息 .

2. 路由器的配置信息全部加载在 RAM 里生效 . 路由器在启动过程中是将 NVRAM 里的配置文件加载到 RAM 里生效 .

13

路由器 NAT 的应用环境及其配置简介

• 随着 Internet 的网络迅速发展， IP地址短缺已成为一个十分突出的问题。为了解决这个问题，出现了多种解决方案。下面几绍一种在目前网络环境中比较有效的方法即地址转换 (NAT) 功能。一、 NAT简介NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的 IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的 IP地址进行通讯。而当内部的计算机要与外部 internet 网络进行通讯时，具有 NAT功能的设备（比如：路由器）负责将其内部的 IP地址转换为合法的 IP地址（即经过申请的 IP地址）进行通信。

14

二、 NAT 的应用环境：• 情况 1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过 NAT 将内部网络与外部 Internet 隔离开，则外部用户根本不知道通过 NAT 设置的内部 IP 地址。

• 情况 2：一个企业申请的合法 Internet IP 地址很少，而内部网络用户很多。可以通过 NAT功能实现多个用户同时公用一个合法 IP与外部 Internet 进行通信。

15

三、设置 NAT 所需路由器的硬件配置和软件配置：

• 设置 NAT 功能的路由器至少要有一个内部端口（ Inside ），一个外部端口（ Outside ）。

• 内部端口连接的网络用户使用的是内部 IP 地址。内部端口可以为任意一个路由器端口。

• 外部端口连接的是外部的网络，如 Internet 。外部端口可以为路由器上的任意端口。

• 设置 NAT 功能的路由器的 IOS 应支持 NAT功能

16

四、关于 NAT 的几个概念：

• 内部本地地址（ Inside local address ）：分配给内部网络中的计算机的内部 IP 地址。

• 内部合法地址（ Inside global address ）：对外进入 IP 通信时，代表一个或多个内部本地地址的合法 IP 地址。需要申请才可取得的 IP 地址。

17

五、 NAT 的设置方法：• NAT 设置可以分为静态地址转换、动态地址转换、复用动态地址转换。1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有 E-mail 服务器或 FTP服务器等可以为外部用户提供的服务，这些服务器的 IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。

18

静态地址转换基本配置步骤：

• （ 1 ）、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入：Ip nat inside source static 内部本地地址 内部合法地址

• （ 2 ）、指定连接网络的内部端口 在端口设置状态下输入：　 ip nat inside

• （ 3 ）、指定连接外部网络的外部端口 在端口设置状态下输入：　 ip nat outside注：可以根据实际需要定义多个内部端口及多个外部端口。

19

实例 1 ：• 本实例实现静态 NAT 地址转换功能。将 2501 的以太

口作为内部端口，同步端口０作为外部端口。其中 10.1.1.2 ， 10.1.1.3 ， 10.1.1.4 的内部本地地址采用静态地址转换。其内部合法地址分别对应为 192.1.1.2 ，192.1.1.3 ， 192.1.1.4 。路由器 2501 的配置：Current configuration ：version 11.3no service password-encryptionhostname 2501

20

• ip nat inside source static 10.1.1.2 192.1.1.2ip nat inside source static 10.1.1.3 192.1.1.3ip nat inside source static 10.1.1.4 192.1.1.4interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat insideinterface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideno ip mroute-cachebandwidth 2000no fair-queueclockrate 2000000

21

• interface Serial1no ip addressshutdownno ip classlessip route 0.0.0.0 0.0.0.0 Serial0line con 0line aux 0line vty 0 4password ciscoend

22

• 配置完成后可以用以下语句进行查看：show ip nat statistcsshow ip nat translations 2 、动态地址转换适用的环境：动态地址转换也是将本地地址与内部合法地址一对一的转换，但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。

23

• 动态地址转换基本配置步骤：（ 1 ）、在全局设置模式下，定义内部合法地址池　 ip nat pool 地址池名称 起始 IP 地址 终止 IP 地址 子网掩码　其中地址池名称可以任意设定。（ 2 ）、在全局设置模式下，定义一个标准的access-list 规则以允许哪些内部地址可以进行动态地址转换。　 Access-list 标号 permit 源地址 通配符　其中标号为 1-99 之间的整数。

24

• （ 3 ）、在全局设置模式下，将由 access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。　 ip nat inside source list 访问列表标号 pool 内部合法地址池名字

• （ 4 ）、指定与内部网络相连的内部端口在端口设置状态下：　 ip nat inside

• （ 5 ）、指定与外部网络相连的外部端口　 Ip nat outside

25

动态内部源地址转换示例在以下配置中 , 本地全局地址从 NAT 地址池 net200 中分配 , 该地

址池定义了地址范围为 200.168.12.2~200.168.12.100. 只有内部源地址匹配访问列表 1 的数据包才会建立 NAT 转换记录 . ! interface FastEthernet 0/0 ip address 192.168.12.1 255.255.255.0 ip nat inside ! interface FastEthernet 1/0 ip address 200.168.12.1 255.255.255.0 ip nat outside ! ip nat pool net200 200.168.12.2 200.168.12.100 netmask 255.255.255.0 ip nat inside source list 1 pool net200 ! access-list 1 permit 192.168.12.0 0.0.0.255

26

interface fastethernet 0ip address 192.168.0.1 255.255.255.0no shoudownip nat insideexitinterface fastethernet 1ip address xxx.xxx.xxx.xxx 255.255.255.0 ( 这个 ip 是电信分配的 , 也就是接到公网的 )no shoudownip nat outsideexitip nat inside source list 1 interface fastethernet 1 overloadaccess-list 1 permit 192.168.0.0 0.0.0.255配置了 NAT 转换后，还有就是要配置一条静态路由：ip route 0.0.0.0 0.0.0.0 XX.XX.XX.XX ( 这个 IP 地址为网关地址 )

27

我院防火墙基本配置

28

29

30

31

32

33

34

35

实训总结

• 实训完成情况• 实训中出现的问题

36

实训作业

• 考查其它单位组网情况，画出拓扑图。• 考察网络设备，想想连接等细节问题。

37

实训报告要求• 根据实训情况提出要求。