广域网技术
上面聊的内容都是内网的一些配置,但内网终将要访问外网的,我们需要怎么处理呢?一般使用HDLC(高级数据链路控制协议)或者PPP(点对点协议)。
使用PPP安全接入Internet
PPP(Point-to-Point Protocol 的缩写)点到点协议,提供在点到点链路上传输、封装网络层数据包的数据链路层协议。
PPP 协议支持同步、异步线路,能够提供验证,可以验证对端设备的合法性,在一定程度上保证链路的安全;支持网络层地址协调,支持 IP 地址的远程分配,能满足拨号线路的需求,无重传机制,网络开销小,并且易于扩展。
会话建立流程为:
其中PAP和CHAP是两种认证协议
1.PAP:密码认证协议
2.CHAP:竞争握手认证协议
PPP+PAP的配置方案如下:
1.PAP设置用户名、密码和服务类型
1 | [RT1]local-user name |
2.封装PPP协议
1 | [RT1-S1/0]link-protocol PPP |
3.配置认证方式
1 | [RT1-s1/0]ppp authentication-mode { pap | chap } |
4.被认证端详主认证端发送认证信息
1 | [RT2-S1/0]ppp pap local-user name password { cipher | simple } 密码 |
实战
我们先配置一下PC的IP和路由器的接口IP,现在PC1是ping不同PC2的。
1 | [RT1]int g0/0 |
路由器配置OSPF
1 | [RT1]router id 1.1.1.1 |
现在PC1能够Ping通PC2,主要是因为路由表里有数据了。
1 | [RT1]dis ip routing-table |
配置PAP
1 | [RT2]local-user RT1 class network |
配置PPP协议
1 | [RT2-Serial1/0]link-protocol ppp |
被验证方配置
1 | [RT1-Serial1/0]link-protocol ppp |
NAT
概述
NAT是一种将私有地址转换成公有地址的技术,它实现了私有网络中主机可以通过共享少量公有地址访问Internet。
从内部网络到外部网络的实现流程为:
请求从外部网络返回到内部网络的实现流程为:
当然,上面的实现只是其中一种,但核心过程都差不多。NAT的实现方式有
- Basic NAT:一对一转换,一个内部IP对应一个外部IP
- NAPT(网络地址端口转换):一对多转换,一个外部IP可对应多个内部IP
- NAT Server(内部服务器):内部提供服务供外网访问
Basic NAT
Basic NAT实现一对一的转换,同时访问外网的主机数受地址池中共有地址数限制。
假设只允许市场部访问外网。
配置方案一般分为如下几步:
1.配置ACL,哪些私有地址可以访问外网
1 | [RT1]acl number 2000 |
2.配置可使用的公网地址
1 | nat address-group pool-index start-addr end-addr |
3.在出口将ACL与地址池关联
1 | nat outbound acl-number address-group pool-index no-pat |
4.查看效果
1 | display nat session |
NAPT
Basic NAT因为是一对一转换,所以同一时刻访问外网的主机数有限。
而NAPT借助端口复用技术,通过对数据包的 IP 地址、协议类型和传输层端口号同时进行转换,极大地提高了公有 IP 地址的利用效率。
下图比较清晰的展示了NAPT的实现原理,10.0.0.1的请求经过转换后的信息。
在配置上和Basic NAT没有太大区别,出口配置的时候,不填写no-pat
1 | nat outbound acl-number address-group pool-index |
Easy IP - NAPT特例
在实际应用中,常用的拨号接入的上网方式,公网 IP 地址是运营商动态分配的,无法提前获知,又该如何使用 NAPT 进行转换?解决这个问题,要引入 Easy IP 特性。Easy IP 直接使用与公网连接的接口 IP 地址作为转换后的地址。本质上省掉了“配置可使用的公网地址”这步。
1.配置允许NAT转换的内网地址段
1 | [RT1]acl number 2000 |
2.在出接口S0/1/0上做Easy IP
1 | [RT1]interface S0/1/0 |
3.查看
1 | [RT1]display nat bound |
NAT Server
NAT Server是解决外网主机首先发起链接,如何进行地址转换的问题。它能将私有地址和端口静态的映射为公网地址和端口,供公网用户访问服务器。
配置过程
1.接口视图下配置内部服务器
1 | interface interface-type interface-number |
2.查看配置
1 | display nat server |
实战
这次主要配置NAPT,我们在刚配置的架构图上做修改。
1 | [RT2]undo ospf |
查看效果
1 | [RT1-Serial1/0]dis nat session brief |
总结
总算能上网了,但是吧,感觉哪里不太对,还是得真的申请一个固定IP,然后用真机测试一下。后面会把防火墙的配置再学习一下,然后以小公司的网络配置设计一个架构图,用真机进行配置。另外也会把交换机、路由器常用的命令梳理好,方便自己也方便大家查找。