NAT,PPP及其基本配置

NAT

NAT--network address translation:网络地址转换
IP地址:IPv4地址和IPv6地址
IPv4地址:三点分十进制---三十二位二进制
其中又分为A B C D E 类
目前主要接触到的是A B C 类
其中又分为私有地址(不能直接上网)和公有地址(可以通过申请实现上网)
B:128-191 其中172.16.0.0-172.31.255.255
C:192-223 其中192.168.0.0-192.168.255.255

为什么要使用NAT?
由于网络普及全世界,使得IP地址不够用,所以为了缓解IP地址不够用的问题,提出了NAT,但是无法从本质上解决IP地址不够用的问题,只能通过IPv6来解决。

NAT的使用原理:在边界网关上配置NAT,网关上与外网连接的接口使用共有地址,实现内部的用户使用私有地址来借用外部接口的公有地址来实现上网。

在边界网关部署了NAT之后,内部的用户要实现上网发送数据包的情况描述。
在边界网关部署了NAT之后,内部的用户在访问外网的时候,以本身的私有地址为源地址,能够上网的公有地址为目的地址。数据包到达边界网关路由器之后,会进行NAT转换,同时产生一张NAT转换表(内部的私有地址和路由器外接口的公有地址以及转换端口的映射信息)。此时相当于源地址是网关外接口地址,目的地址是外网地址。
访问到外网之后,外网需要进行回包,此时的目的不是内部的私有地址,而是以本身的公有地址为源,以边界网关路由器的outside接口地址为目的地址。数据包到达边界网关之后,就会根据NAT转换列表中的端口映射信息来将数据包发给具体用户。

NAT地址术语:
①内部本地地址:inside local :转换之前的内部源IP地址(用户的私有地址)
②内部全局地址:inside global:转换之后的源IP地址(外接口的公有地址)

③外部本地地址:outside local:运营商的内部地址
④外部全局地址:outside global:运营商用于对外通信的地址

三种NAT:
端口复用NAT(多对一):也叫PAT,是最常见的一种NAT,家用路由器和企业上网都会使用到,可以将所有的私有地址转换为网关外接口的公有地址进行上网,配置较为简单。
配置:接口 ACL 调用ACL

IOU2(config-if)#ip nat inside--定义内外接口
IOU2(config-if)#ip nat outside
IOU2(config)#access-list 1 permit 192.168.10.0 0.0.0.255 --匹配感兴趣流量  
IOU2(config)#ip nat inside source list 1 int e0/0 overload --做NAT转换的时候调用ACL
IOU2#show ip nat translations --查看nat的转换表

PAT的特性:
1、只允许内部的用户主动访问外网,外部的公有地址不能主动访问内网
2、只有在内部的用户主动访问外网的时候才会产生NAT转换表,该NAT转换表示动态生成的,每隔30s自动清空一次。

静态NAT(一对一):在企业内部的服务器需要被外网的用户主动进行访问,此时PAT技术实现不了,所以需要用静态NAT来实现。
特性:企业需要在申请一个公有地址,专门给服务器使用(不是直接使用在服务器上,而是成为服务器专门的对应地址),该公有地址,运营商必须有路由可达(可以是直连网段随意的一个不冲突地址,或者本身启用一个回环口,与回环口同网段,也可以是路由协议通告的网段),并且不能与边界网管的外接口地址冲突。

IOU2(config-if)# ip nat inside--定义内外接口
IOU2(config-if)# ip nat outside
IOU2(config)# ip nat inside source static 192.168.10.100 10.1.1.100

③地址池NAT(多对多):正常情况下使用PAT做转换,一个公有地址可以有65535个端口,但是在某些大型网络中65535个端口是不够用的,此时需要向运营商申请多个公有地址,然后将这些公有地址创建一个地址池,每隔共有的IP地址都拥有65535个端口。

IOU2(config-if)# ip nat inside--定义内外接口
IOU2(config-if)# ip nat outside
IOU2(config)# access-list 1 permit 192.168.10.0 0.0.0.255 --匹配感兴趣流量  
IOU2(config)# ip nat pool PT 12.12.12.10 12.12.12.12 netmask--创建NAT地址池 255.255.255.0
IOU2(config)# ip nat inside source list 1 pool PT overload --NAT转换的时候通过地址池来转换

特性:使用地址池NAT的时候,如果没有跟上overload,内部的每个私有地址都会占用地址池里面的一个公有地址;如果跟上overload,那么多个私有地址可以同时转换成一个公有地址,除非该公有地址的65535个端口用完,才会继续试用下一个公有地址。


PPP

广域网技术:
局域网--LAN:一个家庭、单位或者高校的通信链路
城域网--MAN:多个单位组合的通信链路
广域网--WAN:跨地理位置的数据通信链路。目前最大的广域网---因特网

广域网的接入方式:
①专线:点到点线路--更加安全、传输快、传输稳定、但是成本高
②分组交换:分组交换设备通过mac地址来选路。

PPP(point-point-protocol)--只在串行链路上运行的协议
PPPoE--PPP over Ethernet

工作在TCP/IP协议的第二层--数据链路层(实际上是介于数据链路层和网络层之间)
PPP里面有两个子层:
NCP:网络控制协议。与网络层相连,用于动态协商和分配IP地址。
LCP:链路控制协议。与数据链路层相连,用于提供认证。

注:思科串行链路封装的协议是HDLC--高级数据链路控制协议,其他产商分装的也是HDLC,但是不同的产商HDLC是不一样的,而社会中不同产商之间往往需要进行通信,所以需要达成统一,因此使用PPP来提供一个模板用于各个产商之间的相互连接。

LCP提供的两种认证方式:PAP和CHAP
PAP:密码认证协议。服务端上面要在接口启用认证,要求客户端把账号和密码发送过来,并且服务端会在本地创建一个数据库(保存账号和密码以及用户的映射信息)。客户端要进行上网就得发送账号和密码给服务端,服务端进行比对,比对通过则可进行上网,否则直接拒绝。

注意:PAP属于明文两次握手认证,是由客户端主动将账号和密码以明文的方式发送给服务端。(明文有可能中途被截获)

配置:
服务端:

IOU1(config-if)#encapsulation ppp 
IOU1(config-if)#ppp authentication pap
IOU1(config-if)#peer default ip address 12.12.12.2 
IOU1(config)#username pt password cisco 

客户端:

IOU2(config-if)#encapsulation ppp 
IOU2(config-if)#ppp pap sent-username pt password cisco 
IOU2(config-if)#ip add negotiated 

CHAP--挑战握手认证
1、由服务器主动发起挑战值a+主机名给客户端;
2、客户端收到之后会使用a+自己的密码运行MD5算法,会得到一个乱码。然后发给服务端;
3、服务端收到之后,提取自己的数据库里面客户端的账号和密码进行MD5算法,也会得到一串的乱码,若两边得到的乱码一样则认证通过。

配置:
服务端:

IOU1(config-if)#encapsulation ppp 
IOU1(config-if)#ppp authentication chap 
IOU1(config-if)#peer default ip address  12.12.12.2 
IOU1(config)#username pt password 123

客户端:

IOU2(config-if)#encapsulation ppp 
IOU2(config-if)#ppp chap hostname pt
IOU2(config-if)#ppp chap password 123 
IOU2(config-if)#ip address negotiated

NAT,PPP及其基本配置

上一篇:Linux作为l2tp client 连接l2tp server


下一篇:TCP/IP协议族各层所含的主要协议——数据链路层