Module5廣域網技術《網絡互聯(lián)技術》任務5.1

CHAP和PAP認證廣域網概述PPP基本概念PPP報文格式PPP協(xié)商階段PPP鏈路建立過程PPP鏈路認證PPP認證配置流程PPP認證協(xié)議配置命令廣域網通常覆蓋很大的地理范圍，提供遠距離數(shù)據(jù)通信的網絡。PPP（Point-to-PointProtocol，點到點協(xié)議）是一種常見的廣域網數(shù)據(jù)鏈路層協(xié)議，主要用于在全雙工的鏈路上進行點到點的數(shù)據(jù)傳輸封裝。PPP因支持多種網絡層協(xié)議，無重傳機制、支持多種驗證方式等特點得到了廣泛應用。本次任務介紹PPP協(xié)議的工作原理及CHAP、PAP認證配置方法。任務背景準備知識廣域網通常使用因特網服務提供商提供的設備作為信息傳輸平臺，對網絡通信的要求較高。常見的廣域網通信協(xié)議包括點到點協(xié)議（PPP）、高級數(shù)據(jù)鏈路控制協(xié)議（HDLC）等。不同的鏈路可以使用不同的數(shù)據(jù)鏈路層協(xié)議，每種數(shù)據(jù)鏈路層協(xié)議都定義了相應的數(shù)據(jù)鏈路層封裝的幀格式，數(shù)據(jù)包經過不同的鏈路，就要封裝成對應的幀。廣域網協(xié)議對應OSI的三層模型1.廣域網概述2.PPP基本概念PPP是TCP/IP網絡中最重要的點到點數(shù)據(jù)鏈路層協(xié)議，主要用于在全雙工的同/異步鏈路上進行點到點的數(shù)據(jù)傳輸。PPP主要由三類協(xié)議族組成：鏈路控制協(xié)議族LCP（LinkControlProtocol），主要用來建立、拆除和監(jiān)控PPP數(shù)據(jù)鏈路。網絡層控制協(xié)議族NCP（NetworkControlProtocol），用來協(xié)商在該數(shù)據(jù)鏈路上所傳輸?shù)臄?shù)據(jù)包的格式與類型。擴展協(xié)議族CHAP（Challenge-HandshakeAuthenticationProtocol）和PAP（PasswordAuthenticationProtocol），主要用于網絡安全方面的驗證。PPP協(xié)議相對與其它鏈路層協(xié)議有如下優(yōu)點：PPP既支持同步鏈路又支持異步鏈路，而X.25、幀中繼等數(shù)據(jù)鏈路層協(xié)議僅支持同步鏈路，SLIP僅支持異步鏈路。PPP協(xié)議具有良好的擴展性，如在以太網鏈路承載PPP協(xié)議時，可擴展為PPPoE。支持鏈路層、網絡層參數(shù)的協(xié)商。支持認證功能，提升網絡的安全性。無重傳機制，網絡開銷小，速度快。3.PPP報文格式PPP報文封裝格式PPP幀各字段含義字段名稱含義Flag標識一個物理幀的起始和結束，該字節(jié)為0x7EAddress值為全1的廣播地址，對于PPP協(xié)議來說，該字段無實際意義Control該字段默認值為0x03，表明為無序號幀Protocol用來區(qū)分PPP數(shù)據(jù)幀中信息域所承載的數(shù)據(jù)包類型，如0021表示為IP數(shù)據(jù)包，C021表示為LCP報文、C023表示為PAP報文、C223表示為CHAP報文InformationPPP幀的載荷數(shù)據(jù)，包含協(xié)議字段中指定協(xié)議的數(shù)據(jù)包，默認最大長度是1500字節(jié)FCS主要對PPP數(shù)據(jù)幀傳輸?shù)恼_性進行檢測4.PPP協(xié)商階段PPP鏈路的建立存在五個協(xié)商階段Dead階段：物理層不可用階段。當通信雙方的兩端檢測到物理線路激活時，就會從Dead階段躍遷至Establish階段。鏈路被斷開后也同樣會返回到Dead階段。Establish階段：鏈路建立階段。PPP鏈路進行LCP協(xié)商。Authenticate階段：驗證階段。PPP提供密碼驗證協(xié)議PAP（PasswordAuthenticationProtocol）和質詢握手驗證協(xié)議CHAP（Challenge-HandshakeAuthenticationProtocol）兩種驗證方式。Network階段：網絡層協(xié)商階段。PPP通過NCP協(xié)商來選擇和配置一個網絡層協(xié)議并進行網絡層參數(shù)協(xié)商。Terminate階段：網絡終止階段。PPP運行過程中，物理鏈路斷開、認證失敗、超時定時器時間到、管理員通過配置關閉連接等動作都可能導致鏈路進入Terminate階段。5.PPP鏈路建立過程建立過程：通信雙方開始建立PPP鏈路時，由Dead階段進入到Establish階段。然后開始進行LCP協(xié)商，協(xié)商成功后鏈路處于Opened狀態(tài)，表示底層鏈路已經建立。若協(xié)商失敗則退回Dead階段。LCP協(xié)商過程中，若不存在認證，鏈路直接進入Network階段。若存在認證，鏈路進入Authenticate認證階段。驗證成功，進入Network階段；驗證失敗，進入Terminate階段，拆除鏈路，LCP狀態(tài)轉為Down。在Network階段雙方進行NCP協(xié)商，協(xié)商成功后，便可通過這條PPP鏈路發(fā)送報文。PPP鏈路建立的流程6.PPP鏈路認證PAP認證過程PAP認證PAP認證為兩次握手方式，口令以明文方式在鏈路上發(fā)送。PAP認證過程被認證方將攜帶本端用戶名及密碼的Authenticate-Request報文發(fā)給認證方；認證方收到被認證方發(fā)送的用戶名和密碼信息后，根據(jù)本地配置的用戶名和密碼數(shù)據(jù)庫檢查用戶名和密碼信息是否匹配。如果匹配，則返回Authenticate-Ack報文，表示認證成功；否則，返回Authenticate-Nak報文，表示認證失敗。6.PPP鏈路認證CHAP認證過程CHAP認證CHAP認證過程為三次握手機制，在鏈路上不傳輸用戶密碼。CHAP認證過程：認證方主動發(fā)起認證請求，向被認證方發(fā)送Challenge報文，報文包含認證方的用戶名、隨機數(shù)（Random）和ID字段（認證序列號）。被認證方收到此Challenge報文之后，根據(jù)報文中的用戶名查找對應的密碼，并結合隨機數(shù)和ID字段進行哈希運算，然后將生成的HASH值和本端的用戶名封裝在Response報文中發(fā)回認證方。認證方接收到被認證方發(fā)送的Response報文之后，按照報文中的用戶名在本地查找對應的密碼，然后結合隨機數(shù)和ID字段進行哈希運算，最后將運算得到的HASH值和Response報文中封裝的HASH值做比較，相同則認證成功，返回Success報文；不相同則認證失敗，返回Failure報文。7.PPP認證配置流程PAP認證配置流程如下：設置接口封裝協(xié)議為PPP，華為設備默認串口封裝模式為PPP，此步可忽略；認證方配置本地用戶，該用戶即為被認證方的用戶信息；認證方配置鏈路認證方式為PAP；被認證方配置向認證方發(fā)送用于認證的自身用戶信息。CHAP認證配置流程（認證方配置用戶名）如下：設置接口封裝協(xié)議為PPP，華為設備默認串口封裝模式為PPP，此步可忽略；認證方配置本地用戶數(shù)據(jù)庫，創(chuàng)建被認證方的用戶信息；認證方配置鏈路認證方式CHAP；認證方配置用戶名，該用戶名將被封裝在Challenge報文中發(fā)送給被認證方；被認證方創(chuàng)建認證方的用戶信息；被認證方配置用于認證的自身用戶名。（1）配置接口封裝的鏈路層協(xié)議命令：link-protocol{PPP|HDLC}說明：缺省情況下，接口封裝的鏈路層協(xié)議為PPP視圖：接口視圖舉例：配置路由器R1接口S1/0/0的鏈路層封裝協(xié)議為PPP。[R1]interfaceSerial1/0/0[R1-Serial1/0/0]link-protocolPPP8.PPP認證協(xié)議配置命令（2）創(chuàng)建本地用戶創(chuàng)建AAA本地用戶命令：local-userusernamepasswordcipherpassword

說明：PAP認證方式下，在認證方創(chuàng)建本地用戶，該用戶為被認證方的用戶信息；CHAP認證方式下，認證方和被認證方都需要創(chuàng)建對端的用戶信息，且兩端密碼要一致視圖：AAA視圖配置AAA用戶的服務類型為PPP命令：local-useruser-nameservice-typePPP說明：缺省情況下，本地用戶關閉所有的服務類型視圖：AAA視圖舉例：R1配置本地AAA用戶（huawei，huawei@123），服務類型為PPP。[R1]aaa[R1-aaa]local-userhuaweipasswordcipherhuawei@123

[R1-aaa]local-userhuaweiservice-typeppp8.PPP認證協(xié)議配置命令（3）配置PPP認證類型命令：pppauthentication-mode{PAP|CHAP}說明：缺省情況下，PPP協(xié)議不進行認證視圖：接口視圖舉例1：配置路由器R1接口S1/0/0的認證方式為PAP。舉例2：配置路由器R1接口S1/0/1的認證方式為CHAP。[R1-Serial1/0/0]pppauthentication-modepap[R1-Serial1/0/1]pppauthentication-modechap8.PPP認證協(xié)議配置命令（4）配置PAP認證下，被認證方配置用于認證方驗證的PAP用戶名及密碼命令：ppppaplocal-userusernamepasswordcipherpassword

說明：被認證方發(fā)送的PAP用戶信息要與認證方創(chuàng)建的本地用戶一致才能認證成功視圖：接口視圖舉例：被認證方R2接口S1/0/0配置發(fā)送用于PAP認證的用戶信息，用戶名為huawei，密碼為huawei@123。[R2-Serial1/0/0]ppppaplocal-userhuaweipasswordcipherhuawei@1238.PPP認證協(xié)議配置命令（5）配置CHAP認證下的認證用戶名命令：pppchapuserusername

說明：該命令配置在認證方，用戶名將被封裝在Challenge報文中發(fā)送給被認證方，且被認證方要存在與該用戶名一致的本地用戶。該命令配置在被認證方，認證方將對此用戶進行認證，認證方要存在與該用戶名一致的本地用戶視圖：接口視圖舉例：認證方R1接口S1/0/0上配置的CHAP用戶名huawei。[R1-Serial1/0/0]ppppaplocal-userhuaweipasswordcipherhuawei@1238.PPP認證協(xié)議配置命令9.任務實施：CHAP和PAP認證配置（1）掌握PPP協(xié)議的工作原理；（2）掌握PAP、CHAP認證的配置方法。（一）任務目的

某公司總部與分支機構通過PPP鏈路連接，出于安全的考慮，分支機構在接入總部網絡時需進行PPP認證，認證通過后，總、分支網絡之間才能正常通信。（二）任務描述（1）拓撲圖（2）操作流程總分支路由器配置網絡參數(shù)；公司總部路由器R1作為PPP認證方，對分支接入設備（被認證方）進行單向認證：分支1接入時采用PAP認證；分支2接入時采用CHAP認證。具體認證信息如下：（三）實施規(guī)劃認證方式R1配置本地用戶名/密碼R2R3配置本地用戶名/密碼PAPbranch1/huawei@123————————CHAPbranch2/huawei@456——core/huawei@4569.任務實施：CHAP和PAP認證配置（四）操作步驟配置網絡參數(shù)[R1]interfaceSerial1/0/0[R1-Serial1/0/0]ipadd30[R1-Serial1/0/0]ints1/0/1[R1-Serial1/0/1]ipadd30R1配置接口IP地址：

配置PAP單向認證

配置CHAP單向認證[R2]intSerial1/0/0[R2-Serial1/0/0]ipadd30R2配置接口IP地址：[R3]intSerial1/0/0[R3-Serial1/0/0]ipadd30R3配置接口IP地址：9.任務實施：CHAP和PAP認證配置（四）操作步驟[R1]aaa[R1-aaa]local-userbranch1passwordcipherhuawei@123//創(chuàng)建本地用戶信息，與被認證方的用戶信息一致。[R1-aaa]local-userbranch1service-typeppp//用戶可使用的服務為PPP[R1-aaa]ints1/0/0[R1-Serial1/0/0]pppauthentication-modepap

//指定認證方式為PAP，此時該設備為PAP認證方R1配置PAP認證方：[R2]ints1/0/0[R2-Serial1/0/0]ppppaplocal-userbranch1passwordcipherhuawei@123

//配置被認證方發(fā)送的PAP認證用戶信息R2配置PAP被認證方：配置網絡參數(shù)配置PAP單向認證

配置CHAP單向認證9.任務實施：CHAP和PAP認證配置（四）操作步驟[R1]aaa[R1-aaa]local-userbranch2passwordcipherhuawei@456[R1-aaa]local-userbranch2service-typeppp[R1-aaa]ints1/0/1[R1-Serial1/0/1]pppchapusercore

//配置CHAP認證用戶名，與被認證方的本地用戶信息一致[R1-Serial1/0/1]pppauthentication-modechap

//指定認證方式為CHAP，此時該設備為CHAP認證方R1配置CHAP認證方：[R3]aaa[R3-aaa]local-usercorepasswordcipherhuawei@456[R3-aaa]local-usercoreservice-typeppp[R3-aaa]ints1/0/0[R3-Serial1/0/0]pppchapuserbranch2R3配置CHAP被認證方：配置網絡參數(shù)配置PAP單向認證配置CHAP單向認證9.任務實施：CHAP和PAP認證配置（五）實驗測試查看接口狀態(tài)信息R1查看接口S1/0/0信息：[R1]disints1/0/0Serial1/0/0currentstate:UPLineprotocolcurrentstate:UPLastlineprotocoluptime:2021-05-0312:21:28UTC-08:00Description:HUAWEI,ARSeries,Serial1/0/0InterfaceRoutePort,TheMaximumTransmitUnitis1500,Holdtimeris10(sec)InternetAddressis/30LinklayerprotocolisPPPLCPopened,IPCPopenedLastphysicaluptime:2021-05-0312:21:22UTC-08:00Lastphysicaldowntime:2021-05-0312:21:21UTC-08:00Currentsystemtime:2021-05-0313:56:57-08:00Physicallayerissynchronous,Virtualbaudrateis64000bpsInterfaceisDTE,CabletypeisV11,ClockmodeisTCLast300secondsinputrate6bytes/sec48bits/sec0packets/secLast300secondsoutputrate2bytes/sec16bits/sec0packets/sec......9.任務實施：CHAP和PAP認證配置（五）實驗測試查看接口信息R1查看接口S1/0/1信息：[R1]disints1/0/1Serial1/0/1currentstate:UPLineprotocolcurrentstate:UPLastlineprotocoluptime:2021-05-0313:54:10UTC-08:00Description:HUAWEI,ARSeries,Serial1/0/1InterfaceRoutePort,TheMaximumTransmitUnitis1500,Holdtimeris10(sec)InternetAddressis/30LinklayerprotocolisPPPLCPopened,IPCPopenedLastphysicaluptime:2021-05-0313:44:54UTC-08:00Lastphysicaldowntime:2021-05-0313:44:49UTC-08:00Currentsystemtime:2021-05-0314:00:20-08:00Physicallayerissynchronous,Virtualbaudrateis64000bpsInterfaceisDTE,CabletypeisV11,ClockmodeisTCLast300secondsinputrate6bytes/sec48bits/sec0packets/secLast300secondsoutputrate2bytes/sec16bits/sec0packets/sec......9.任務實施：CHAP和PAP認證配置在PPP鏈路建立過程中，R1作為認證方，分別對分支R2、R3進行了認證。結果顯示R1接口S1/0/0和S1/0/1的物理層和鏈路層狀態(tài)都是Up，并且PPP的LCP和IPCP都是opened狀態(tài)，說明鏈路的PPP協(xié)商已經成功。（六）結果分析CHAP認證分為兩種方式：認證方配置了用戶名（pppchapuserusername）和認證方沒有配置用戶名。本例采用第一種方式，認證方和被認證方都需要創(chuàng)建對端的用戶信息，且密碼必須一致。推薦使用第一種的方式，這樣可以對認證方的用戶名進行確認；配置PPP認證后，可以在接口視圖下執(zhí)行shutdown和undoshutdown，使認證立即生效。（七）注意事項9.任務實施：CHAP和PAP認證配置Module5廣域網技術《網絡互聯(lián)技術》任務5.2

動態(tài)NAPT及靜態(tài)

NAT配置NAT技術基本概念NAT技術分類NAPT配置流程NAT配置命令連接到互聯(lián)網的設備都需要一個唯一的、合法的IP地址來標識，但隨著互聯(lián)網的發(fā)展，終端數(shù)量的增多，以及IPv4地址空間本身的限制，IPv4地址無法實現(xiàn)一對一的分配。NAT技術有效緩解了IP地址緊張的局面。通過將多個私有地址轉化為一個或多個公有地址，解決內網用戶數(shù)量多而公有IP地址數(shù)量少的情況。本次任務介紹NAT技術的分類、工作原理及配置方法。任務背景準備知識內網主機訪問互聯(lián)網時，必須要有一個公網地址身份標識。NAT（NetworkAddressTranslation）技術可以實現(xiàn)IP數(shù)據(jù)報文頭中的IP地址的轉換，當內部網絡訪問外部網絡時，將IP數(shù)據(jù)包頭中的私有地址（源IP地址）轉化為公網地址。通過NAT技術部署，可以實現(xiàn)公網地址和私有地址的“一對多”的映射關系，以此緩解IPv4地址緊張的局面。1.NAT技術基本概念地址類型私有地址范圍A～55B～55C～55私有地址是從A、B、C三類地址中各劃取一段作為私有地址空間。私有地址不能被互聯(lián)網識別，僅供局域網內部通信使用，并且在不同的局域網中可以復用。2.NAT技術分類靜態(tài)NAT將內網中的一個私有IP固定地轉換為一個公網IP（固定轉換）。通常應用在允許外網主機訪問內網服務器的環(huán)境中，外網主機可通過其所映射的公網地址來訪問內網服務器。靜態(tài)NAT工作過程示意圖2.NAT技術分類動態(tài)NAT將內網中的一個私有IP轉換為公網IP地址池中的一個地址（臨時轉換）。內網主機訪問外網時，若地址池有可用地址，轉換使用；若無可用地址，主機將無法訪問外網，直到其它主機通信結束，映射關系解除，公網地址重新釋放地址池中才可轉化使用。動態(tài)NAT實現(xiàn)“一對一”的地址轉換，并不能起到節(jié)約公網地址的作用，并且公網IP地址池中的地址個數(shù)限制了同時訪問外部網絡的內網用戶數(shù)量，因此不適應于目前網絡部署。動態(tài)NAT工作過程示意圖2.NAT技術分類NAPTNAPT基于“IP地址+端口號”的轉換方式，實現(xiàn)一個公網地址可以同時與多個私有地址形成映射關系，不同的映射關系通過端口號來區(qū)分。NAPT分為：動態(tài)NAPT：動態(tài)NAPT的映射關系是臨時的，主要應用于為內網主機提供外網訪問服務的環(huán)境中。靜態(tài)NAPT：靜態(tài)NAT映射關系是固定的，應用于外網用戶訪問內部服務器指定服務的環(huán)境中。端口號分類端口號分類端口范圍描述公認端口0～1023這些端口明確地表明了某種服務的協(xié)議。如FTP服務端口為20、21，HTTP通信端口為80注冊端口1024～49151這些端口大多數(shù)沒有明確定義的服務對象,應用程序會根據(jù)自己的實際需要進行定義動態(tài)/私有端口49152～65535理論上不為服務分配這些端口，機器通常從1024起分配動態(tài)端口2.NAT技術分類NAPTNAPT基于“IP地址+端口號”的轉換方式，實現(xiàn)一個公網地址可以同時與多個私有地址形成映射關系，不同的映射關系通過端口號來區(qū)分。NAPT分為：動態(tài)NAPT：動態(tài)NAPT的映射關系是臨時的，主要應用于為內網主機提供外網訪問服務的環(huán)境中。靜態(tài)NAPT：靜態(tài)NAT映射關系是固定的，應用于外網用戶訪問內部服務器指定服務的環(huán)境中。動態(tài)NAPT工作過程示意圖2.NAT技術分類NAPTNAPT基于“IP地址+端口號”的轉換方式，實現(xiàn)一個公網地址可以同時與多個私有地址形成映射關系，不同的映射關系通過端口號來區(qū)分。NAPT分為：動態(tài)NAPT：動態(tài)NAPT的映射關系是臨時的，主要應用于為內網主機提供外網訪問服務的環(huán)境中。靜態(tài)NAPT：靜態(tài)NAT映射關系是固定的，應用于外網用戶訪問內部服務器指定服務的環(huán)境中。靜態(tài)NAPT工作過程示意圖3.NAPT配置流程NAPT配置流程如下：創(chuàng)建公網地址池；配置ACL，定義允許進行NAT轉換的內網私有地址范圍；外網出接口上配置ACL匹配的內網地址與公網地址池的轉換關系。（1）配置靜態(tài)NAT命令：natstaticglobalglobal-addressinsidehost-address

說明：該命令用于將內網IP地址映射成為公網IP地址視圖：接口視圖舉例：路由器R1將內網映射成。[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natstaticglobalinside4.NAT配置命令（2）創(chuàng)建公網IP地址池命令：nataddress-groupgroup-index

start-address

end-address

說明：group-index為NAT地址池索引號，在定義NAT映射關系時被調用；地址池內IP不可與設備已有IP重復視圖：系統(tǒng)視圖舉例：路由器R1創(chuàng)建地址池，索引號為1，起始地址為，終止地址為。[R1]nataddress-group14.NAT配置命令（3）配置動態(tài)NAT/動態(tài)NAPT命令：natoutboundacl-numberaddress-groupgroup-index[no-pat]說明：acl-number為通過ACL定義的允許進行NAT轉化的內網私有地址范圍；攜帶no-pat參數(shù)為動態(tài)NAT轉換，不攜帶no-pat為NAPT模式視圖：接口視圖舉例：在路由器R1出接口G0/0/1上配置ACL2000與索引號為1的NAT地址池的映射關系。[R1-GigabitEthernet0/0/1]natoutbound2000address-group14.NAT配置命令（4）配置靜態(tài)NAPT命令：natstaticprotocol{tcp|udp}global{

global-address

|

current-interface

}global-portinsidehost-address

host-port

說明：將“私有地址+端口”映射成為“公網地址+指定端口”視圖：接口視圖舉例：R1配置靜態(tài)NAPT，外網用戶可通過訪問到內網的WEB服務器（）。[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natstaticprotocoltcpglobal80inside804.NAT配置命令5.任務實施：動態(tài)NAPT及靜態(tài)NAT配置（1）掌握動態(tài)NAPT及靜態(tài)NAT的工作原理；（2）掌握NAT技術的配置方法。（一）任務目的

某公司網絡用戶數(shù)量較多，通過路由器接入運營商，申請了公網地址段/29用于內網用戶訪問互聯(lián)網。同時公司內部部署了一臺WWW服務器，能夠對外提供訪問服務。（二）任務描述（1）拓撲圖（2）操作流程終端及服務器配置網絡參數(shù)；路由器配置網絡參數(shù)，網絡出口配置IP地址/29，運營商側配置IP地址/29；R1配置默認路由，下一跳指向運營商；R1配置NAT：配置公網地址池：/29-/29；配置ACL2000，定義允許轉換的內網地址；定義轉化過程，采用NAPT方式，實現(xiàn)公網地址一對多的轉化；配置靜態(tài)NAT，將WWW服務器映射至。（三）實施規(guī)劃5.任務實施：動態(tài)NAPT及靜態(tài)NAT配置（四）操作步驟路由器配置網絡參數(shù)終端配置網絡參數(shù)[R1]intg0/0/0[R1-GigabitEthernet0/0/0]ipadd29[R1-GigabitEthernet0/0/0]intg0/0/1[R1-GigabitEthernet0/0/1]ipadd5424[R1-GigabitEthernet0/0/1]quitR1配置接口IP地址：R1配置默認路由R1配置NAT[R2]intg0/0/0[R2-GigabitEthernet0/0/0]ipadd29[R2-GigabitEthernet0/0/0]intg0/0/1[R2-GigabitEthernet0/0/1]ipadd5424[R2-GigabitEthernet0/0/1]intg0/0/2[R2-GigabitEthernet0/0/2]ipadd5424[R2-GigabitEthernet0/0/2]quitR2配置接口IP地址：5.任務實施：動態(tài)NAPT及靜態(tài)NAT配置（四）操作步驟路由器配置網絡參數(shù)終端配置網絡參數(shù)[R1]iproute-staticR1配置默認路由：R1配置默認路由R1配置NAT5.任務實施：動態(tài)NAPT及靜態(tài)NAT配置（四）操作步驟路由器配置網絡參數(shù)終端配置網絡參數(shù)[R1]nataddress-group1//指定公網地址池[R1]acl2000//定義允許轉換的內網地址[R1-acl-basic-2000]rulepermitsource55[R1-acl-basic-2000]intg0/0/0[R1-GigabitEthernet0/0/0]natoutbound2000address-group1

//配置轉換過程，采用NAPT方式[R1-GigabitEthernet0/0/0]natstaticglobalinside0

//配置一對一靜態(tài)映射R1配置NAT：R1配置默認路由R1配置NAT5.任務實施：動態(tài)NAPT及靜態(tài)NAT配置（五）實驗測試訪問測試PC1訪問互聯(lián)網ISP-WWW服務器：R1查看NAT映射表項5.任務實施：動態(tài)NAPT及靜態(tài)NAT配置（五）實驗測試訪問測試PC2訪問企業(yè)網WWW服務器：R1查看NAT映射表項5.任務實施：動態(tài)NAPT及靜態(tài)NAT配置（五）實驗測試訪問測試R1查看NAT映射表項R1查看動態(tài)映射表項：[R1]disnatsessionallNATSessionTableInformation:Protocol:TCP(6)SrcAddrPortVpn:1544DestAddrPortVpn:020480NAT-InfoNewSrcAddr:NewSrcPort:10254NewDestAddr:----NewDestPort:----Total:15.任務實施：動態(tài)NAPT及靜態(tài)NAT配置（五）實驗測試訪問測試R1查看NAT映射表項R1查看靜態(tài)映射表項：[R1]disnatstaticStaticNatInformation:Interface:GigabitEthernet0/0/0GlobalIP/Port:/----InsideIP/Port:0/----Protocol:----VPNinstance-name:----Aclnumber:----Netmask:55Description:----Total:15.任務實施：動態(tài)NAPT及靜態(tài)NAT配置從NAT動態(tài)映射表項可以看出，內網用戶訪問Internet上的WEB服務器時，其私有地址轉換為公網地址池中的地址。從靜態(tài)映射表項可以看出，內網WEB服務器地址0映射到了公網地址。外網主機可以通過訪問來實現(xiàn)對內網WEB服務器的訪問。（六）結果分析動態(tài)NAPT可實現(xiàn)公網地址一對多的映射關系。如果用戶在配置了NAT設備出接口的IP和其他應用之后，還有空閑公網IP地址，可以選擇此方式；地址池是一些連續(xù)的IP地址集合，且地址池的起始地址必須小于等于結束地址。（七）注意事項5.任務實施：動態(tài)NAPT及靜態(tài)NAT配置Module5廣域網技術《網絡互聯(lián)技術》任務5.3

靜態(tài)NAPT及Easy

IP配置EasyIP基本概念EasyIP配置流程EasyIP配置命令對于小型網絡而言，通常只有一個公網地址配置在網絡出口設備的外網接口上，這個公網地址可能是靜態(tài)地址，也可以實通過撥號方式獲取的動態(tài)地址。EasyIP可以將外網接口的公網地址和內網用戶的私有地址進行一對多映射，滿足用戶的外網訪問需求。本次任務介紹EasyIP的工作原理及配置方法。任務背景準備知識EasyIP是NAPT的一種簡化情況。公網地址不再由公網地址池提供，而是使用連接公網的接口IP作為轉化的公網地址。EasyIP同樣基于“IP地址+端口號”的映射方式，內網主機映射為“出接口IP+隨機端口”訪問外網。同時還可以將內網服務器映射為“出接口IP+指定端口”，對外提供訪問服務。1.EasyIP

基本概念EasyIP

工作過程示意圖2.EasyIP

配置流程EasyIP配置流程如下：配置ACL：定義允許進行NAT轉換的內網私有地址范圍；配置EasyIP地址轉換：ACL匹配的內網地址轉換為出接口公網地址。

配置

EasyIP命令：natoutboundacl-number說明：EasyIP無需創(chuàng)建公有地址池，將ACL匹配內網地址直接轉化為出接口地址視圖：接口視圖舉例：內網用戶訪問外網時（ACL2000定義），轉化為R1出接口Gi0/0/1地址。[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natoutbound20003.NAT配置命令4.任務實施：靜態(tài)NAPT及EasyIP配置（1）掌握靜態(tài)NAPT及EasyIP的工作原理；（2）掌握靜態(tài)NAPT及EasyIP的配置方法。（一）任務目的

某公司網絡通過路由器接入運營商，只申請了一個公網地址/30用于內網用戶訪問互聯(lián)網。同時公司內部部署了一臺WWW服務器，要對外提供訪問服務。（二）任務描述（1）拓撲圖（2）操作流程終端及服務器配置網絡參數(shù)；路由器配置網絡參數(shù)，網絡出口配置/30，運營商側配置/30；R1配置默認路由，下一跳指向運營商；R1配置NAT：配置ACL2000，定義允許轉換的內網地址；定義轉化過程，采用EasyIP方式，實現(xiàn)公網地址一對多轉化；配置靜態(tài)NAPT，將WWW服務器0:80映射至:80。（三）實施規(guī)劃4.任務實施：靜態(tài)NAPT及EasyIP配置（四）操作步驟路由器配置網絡參數(shù)終端配置網絡參數(shù)[R1]intg0/0/0[R1-GigabitEthernet0/0/0]ipadd30[R1-GigabitEthernet0/0/0]intg0/0/1[R1-GigabitEthernet0/0/1]ipadd5424[R1-GigabitEthernet0/0/1]quitR1配置接口IP地址：R1配置默認路由R1配置NAT[R2]intg0/0/0[R2-GigabitEthernet0/0/0]ipadd30[R2-GigabitEthernet0/0/0]intg0/0/1[R2-GigabitEthernet0/0/1]ipadd5424[R2-GigabitEthernet0/0/1]intg0/0/2[R2-GigabitEthernet0/0/2]ipadd5424[R2-GigabitEthernet0/0/2]quitR2配置接口IP地址：4.任務實施：靜態(tài)NAPT及EasyIP配置（四）操作步驟路由器配置網絡參數(shù)終端配置網絡參數(shù)[R1]iproute-staticR1配置默認路由：R1配置默認路由R1配置NAT4.任務實施：靜態(tài)NAPT及EasyIP配置（四）操作步驟路由器配置網絡參數(shù)終端配置網絡參數(shù)[R1]acl2000//定義允許轉換的內網地址[R1-acl-basic-2000]rulepermitsourc