[其它课程]ip编址090721jsj.ppt

《[其它课程]ip编址090721jsj.ppt》由会员分享，可在线阅读，更多相关《[其它课程]ip编址090721jsj.ppt（72页珍藏版）》请在三一办公上搜索。

1、IP编址服务,IP地址扩展方案,VLSM(可变长子网掩码）CIDR（无类别域间路由）IPv6DHCP私有地址NAT（地址转换）,VLSM,可变长子网掩码VLSM提出供了在一个主类(A、B、C类)网络内包含多个子网掩码的能力，以及对一个子网的再进行子网划分的能力。对IP地址更为有效的使用-如果不采用VLSM，公司将被限制为在一个A、B、C类网络号内只能使用一个子网掩码；路由归纳的能力更强-VLSM允许在编址计划中有更多的体系分层，因此可以在路由表内进行更好的路由归纳。,CIDR,无类别域间路由CIDR的理念是多个C类地址块可以被组合或聚合在一起生成更大的无类别I P地址集（也就是说允许有更多的主

2、机）可以减少由核心路由器运载的路由选择信息的数量。CIDR采用1327位可变网络ID，而不是A-B-C类网络ID所用的固定的8、16和24位。,IPv6,下一代互联网近乎无限的地址空间更简洁的报文头部内置的安全性更好的QoS支持更好的移动性,DHCP,何谓 DHCP？动态主机分配协议,DHCP简介,手工配置IP:网络管理员为路由器、服务器以及物理位置与逻辑位置均不会发生变化的网络设备分配静态的 IP 地址。动态配置IP:网络设备的 物理位置和逻辑位置经常会发生变化，管理员无法及时地为其分配新的 IP 地址。.,DHCP 的运作,手动分配：管理员为客户端指定预分配的 IP 地址，DHCP 只是将

3、该 IP 地址传达给设备。自动分配：DHCP 从可用地址池中选择静态 IP 地址，自动将它永久性地分配给设备。不存在租期问题，地址是永久性地分配给设备。动态分配：DHCP 自动动态地从地址池中分配或出租 IP 地址，使用期限为服务器选择的一段有限时间，或者直到客户端告知 DHCP 服务器其不再需要该地址为止。,DHCP 的运作,DHCP 的运作,客户端广播 DHCPDISCOVER 消息。DHCPDISCOVER 消息找到网络上的 DHCP 服务器。它使用第 2 层和第 3 层广播地址与服务器通信。,DHCPDISCOVER,DHCP 的运作,当 DHCP 服务器会找到一个可供租用的 IP 地

4、址，创建一个包含请求方主机 MAC 地址和所出租的 IP 地址的 ARP 条目，并使用 DHCPOFFER 消息传送绑定提供报文。DHCPOFFER 消息作为单播发送，服务器的第 2 层 MAC 地址为源地址，客户端的第 2 层地址为目的地址。,DHCPOFFER,DHCP 的运作,客户端的 DHCPREQUEST 消息要求在 IP 地址分配后检验其有效性。此消息提供错误检查，确保地址分配仍然有效。DHCPREQUEST 还用作发给选定服务器的绑定接受通知，并隐式拒绝其它服务器提供的绑定提供信息。DHCPREQUEST 消息以广播的形式发送，将绑定提供接受情况告知此 DHCP 服务器和任何其它

5、 DHCP 服务器。,DHCPREQUEST,DHCP 的运作,收到 DHCPREQUEST 消息后，服务器检验租用信息，为客户端租用创建新的 ARP 条目，并用单播 DHCPACK 消息予以回复。,DHCPACK,BOOTP 与 DHCP,BOOTP自举协议用来配置网络上的无盘客户，是DHCP的前身。,BOOTP 与 DHCP,DHCP 消息格式,DHCP 的功能比 BOOTP 丰富，因此增加了 DHCP 选项字段。与旧的 BOOTP 客户端通信时，DHCP 选项字段会被忽略。,BOOTP 与 DHCP,DHCP 的发现方法,BOOTP 与 DHCP,DHCP 的提供方法,配置 DHCP服务

6、器,步骤 1.定义 DHCP 在分配地址时的排除范围。这些地址通常是保留供路由器接口、交换机管理 IP 地址、服务器和本地网络打印机使用的静态地址。,配置 DHCP服务器,步骤 2.使用 ip dhcp pool 命令创建 DHCP 池。,配置 DHCP服务器,步骤 3.配置地址池的具体信息。ip dhcp pool 命令创建具有特定名称的地址池，并使路由器进入 DHCP 配置模式要排除特定地址，请使用 ip dhcp excluded-address 命令。可以使用 dns-server 命令配置 DHCP 客户端可使用的 DNS 服务器 IP 地址。其它参数包括配置 DHCP 租用的期限。

7、默认设置是一天，但是可以使用 lease 命令更改此值。,配置 DHCP服务器,在支持 DHCP 服务器的各版本 Cisco IOS 软件上，默认启用 DHCP 服务。要禁用此服务，请使用 no service dhcp 命令。使用 service dhcp 全局配置命令可重新启用 DHCP 服务过程。如果没有配置参数，启用服务将不会有效果。,配置 DHCP服务器,要检验 DHCP 的运作，请使用 show ip dhcp binding 命令。此命令显示 DHCP 服务已提供的全部 IP 地址与 MAC 地址绑定列表。要检验路由器正在接收或发送消息，请使用 show ip dhcp serv

8、er statistics 命令。此命令显示关于已发送和接收的 DHCP 消息数量的计数信息。,检验 DHCP,配置 DHCP服务器,ipconfig/all 命令显示 PC 上的 TCP/IP 配置参数。,检验 DHCP,配置 DHCP服务器,另一个用来查看多地址池的有用命令是 show ip dhcp pool 命令。,检验 DHCP,配置 DHCP 客户端,路由器可以做为DHCP的客户端，要将以太网接口配置为 DHCP 客户端，必须使用 ip address dhcp 命令进行配置。,实验：,路由器启用DHCP功能Pc1 pc2 能通过DHCP自动获取IP地址，实现网络通信,DHCP 中

9、继,PC1 试图从位于 192.168.11.5 的 DHCP 服务器获取 IP 地址。这一情形中，路由器 R1 未被配置成 DHCP 服务器。,DHCP 中继,要将路由器 R1 配置成 DHCP 中继代理，需要使用 ip helper-address 接口配置命令配置离客户端最近的接口。此命令把对关键服务的广播请求转发给所配置的地址。请在接收广播的接口上配置 IP 帮助地址。,使用 SDM 配置 DHCP 服务器,在 Configure 选项卡的 Additional Tasks 中启用 DHCP 服务器功能。在任务列表中，单击 DHCP 文件夹，然后选择 DHCP Pools 以添加新池。

10、单击 Add 以创建新 DHCP 池。,使用 SDM 配置 DHCP 服务器,Add DHCP Pool 窗口包含配置 DHCP IP 地址池的选项。DHCP 服务器分配的 IP 地址取自一个共用池。要配置该池，请指定范围的起始 IP 地址和结束 IP 地址。如需要排除地址范围内的其它 IP 地址，可以通过调整起始和结束 IP 地址来实现。其它可用选项有：DNS Server、WINS Server、Import All DHCP Options into the DHCP Server Database（导入所有 DHCP 选项到 DHCP 服务器数据库）,使用 SDM 配置 DHCP 服务

11、器,此屏幕显示路由器上已配置的地址池总结信息。,DHCP 配置故障排除,故障排除任务 1：解决 IP 地址冲突故障排除任务 2：检验物理连通性故障排除任务 3：使用静态 IP 地址配置客户端工作站以测试网络连通性故障排除任务 4：检验交换机端口配置（STP Portfast 和其它命令）故障排除任务 5：辨别 DHCP 客户端在 DHCP 服务器所处的子网或 VLAN 上是否能获得 IP 地址server?,DHCP 配置故障排除,DHCP 配置故障排除,步骤 1.检验 ip helper-address 命令是配置在正确的接口上。它必须存在于包含 DHCP 客户端工作站的 LAN 的入站接口

12、上，并且必须指向正确的 DHCP 服务器。步骤 2.确认没有配置全局配置命令 no service dhcp。此命令会禁用路由器上的所有 DHCP 服务器和中继功能。,检验路由器 DHCP/BOOTP 中继配置,DHCP 配置故障排除,debug ip packet detail 100debug ip dhcp server events,使用 debug 命令检查路由器是否接收 DHCP 请求,实验：,路由器禁用DHCP功能，启用dhcp中继Pc1 pc2 能通过DHCP服务器自动获取IP地址，实现网络通信,NAT,公用和私有IP编址,所有公有 Internet 地址都必须在所属地域的相应

13、 Internet 注册管理机构(RIR)注册。与公有 IP 地址不同，私有 IP 地址是保留的数值块，任何人均可以使用。,何谓 NAT？,何谓 NAT？,NAT 就像大办公室中的前台接待员。客户拨打您办公室的总机号码，这是客户知道的唯一号码。NAT 有很多用途，但最主要的用途是让网络能使用私有 IP 地址以节省 IP 地址。NAT 将不可路由的私有内部地址转换成可路由的公有地址。NAT 还能在一定程度上增加网络的私密性和安全性，因为它对外部网络隐藏了内部 IP 地址。R2 执行 NAT 过程，将主机的内部私有地址转换为公有、外部、可路由的地址。,代理服务器proxy、ISA、ICS、wing

14、ate、sysgate等NAT/PAT(网络地址转换/网络地址端口转换)路由器、防火墙、核心交换机、服务器,常见实现方式,何谓 NAT？,内部本地地址 通常不是 RIR 或服务器提供商分配的 IP 地址，极有可能是 RFC 1918 私有地址。图中，IP 地址 192.168.10.10 被分配给内部网络上的主机 PC1。内部全局地址 当内部主机流量流出 NAT 路由器时分配给内部主机的有效公有地址。当来自 PC1 的流量发往 Web 服务器 209.165.201.1 时，路由器 R2 必须进行地址转换。本例中，PC1 的内部全局地址使用 IP 地址 209.165.200.226。外部全局

15、地址 分配给 Internet 上主机的可达 IP 地址。例如，Web 服务器的可达 IP 地址为 209.165.201.1。外部本地地址 分配给外部网络上主机的本地 IP 地址。大多数情况下，此地址与外部设备的外部全局地址相同。,NAT 如何工作？,何谓 NAT？,内部主机(192.168.10.10)希望与外部 Web 服务器(209.165.201.1)通信。它发送数据包给配置了 NAT 的网络边界网关 R2。R2 读取数据包的目的 IP 地址，并检查数据包是否符合规定的转换标准。,NAT 如何工作？,何谓 NAT？,R2 有一个 ACL，它确定内部网络中可进行转换的有效主机。因此，R

16、2 将内部本地 IP 地址转换成内部全局 IP 地址，本例中为 209.165.200.226。它将此本地与全局地址映射关系存储在 NAT 表中。,NAT 如何工作？,何谓 NAT？,路由器将数据包发送到目的地。,NAT 如何工作？,何谓 NAT？,当 Web 服务器回应时，数据包回到 R2 的全局地址(209.165.200.226)。,NAT 如何工作？,何谓 NAT？,R2 参考 NAT 表，发现这是原先转换的 IP 地址。因此，它将内部全局地址转换成内部本地地址，然后将数据包转发给 IP 地址为 192.168.10.10 的 PC1。如果它没有找到映射关系，数据包将被丢弃。,NAT

17、转换有两种类型,何谓 NAT？,动态 NAT：使用公有地址池，并以先到先得的原则分配这些地址。当具有私有 IP 地址的主机请求访问 Internet 时，动态 NAT 从地址池中选择一个未被其它主机占用的 IP 地址。这就是到目前为止所介绍的映射。静态 NAT：使用本地地址与全局地址的一对一映射，这些映射保持不变。静态 NAT 对于必须具有一致的地址、可从 Internet 访问的 Web 服务器或主机特别有用。这些内部主机可能是企业服务器或网络设备。,NAT 过载,何谓 NAT？,NAT 过载（有时称为端口地址转换或 PAT）将多个私有 IP 地址映射到一个或少数几个公有 IP 地址。因为每

18、个私有地址也会用端口号加以跟踪。大多数家用路由器就是这样工作的。,NAT 过载,何谓 NAT？,当 NAT 处理各数据包时，它使用端口号（本例中为 1331 和 1555）来识别发起数据包的客户端。NAT 过载将 SA 变成客户端的内部全局 IP 地址，同样会附加端口号。,下一可用端口,何谓 NAT？,NAT 过载会尝试保留源端口号。,下一可用端口,何谓 NAT？,但是，如果此源端口已被使用，NAT 过载会从适当的端口组 0-511、512-1023 或 1024-65535 开始分配第一个可用端口号。当没有端口可用时，如果配置了一个以上的外部 IP 地址，则 NAT 过载将会使用下一 IP

19、地址，再次尝试分配原先的源端口。,NAT 与 NAT 过载之间的区别,何谓 NAT？,NAT 一般只按公有 IP 地址与私有 IP 地址之间的一对一对应关系转换 IP 地址。NAT 过载则会同时修改发送者的私有 IP 地址和端口号。NAT 过载选择对公有网络上主机可见的端口号。NAT 将传入的数据包路由给其内部目的地时，将以公有网络上主机给出的传入源 IP 地址为依据。利用 NAT 过载，一般只需一个或极少的几个公有 IP 地址。,使用 NAT 的利弊,受到NAT影响的应用程序,一些高层协议（比如FTP，Quake，SIP）是在IP包的有效数据内发送网络层（第三层）信息的。如主动模式的FTP，

20、若客户端是在一个简单的NAT防火墙后发送的请求，同时也通知对方自己想要在哪个端口接受数据。一个应用层网关（Application Layer Gateway或ALG）可以修正这个问题。运行在NAT防火墙设备上的ALG软件模块可以更新任何由地址转换而导致无效的信息。,配置静态 NAT,静态 NAT 为内部地址与外部地址的一对一映射。静态 NAT 允许外部设备发起与内部设备的连接。首先需要定义要转换的地址，然后在适当的接口上配置 NAT。,配置静态 NAT,实验,Router0配置静态路由，router1不配置路由配置静态 192.168.1.1-202.115.1.2，192.168.1.2-2

21、02.115.1.3,配置动态 NAT,动态 NAT 则是将私有 IP 地址映射到公有地址。这些公有 IP 地址源自 NAT 池。动态 NAT 不是创建到单一 IP 地址的静态映射，而是使用内部全局地址池。,配置动态 NAT,实验,Router0配置静态路由，router1不配置路由配置动态NAT 192.168.1.0/24-202.115.1.100 202.115.1.200,配置 NAT过载,仅有一个公有 IP 地址时，过载配置通常把该公有地址分配给连接到 ISP 的外部接口。所有内部地址离开该外部接口时，均被转换为该地址。使用 interface 关键字来标识外部 IP 地址，因此没

22、有定义 NAT 池。利用 overload 关键字，可以将端口号添加到转换中。,为单一公有 IP 地址配置 NAT 过载,配置 NAT过载,为单一公有 IP 地址配置 NAT 过载,实验,Router0配置静态路由，router1不配置路由配置动态NAT 192.168.1.0/24-202.115.1.1,配置 NAT过载,当 ISP 提供了一个以上公有 IP 地址时，NAT 过载将使用地址池。这种配置与动态、一对一 NAT 配置的主要区别是前者使用了 overload 关键字。overload 关键字允许进行端口地址转换。,为公有 IP 地址池配置 NAT 过载,配置 NAT过载,为公有

23、IP 地址池配置 NAT 过载,配置 NAT过载,端口转发（有时也称为隧道）是将网络端口从一个网络节点转发到另一个网络节点的操作。这种技术允许外部用户从外部网络通过启用 NAT 的路由器到达私有 IP 地址（LAN 内部）上的端口。,配置端口转发,利用端口转发，Internet 上的用户能够使用 WAN 端口地址和相匹配的外部端口号来访问内部服务器。当用户通过 Internet 发送这些类型的请求到您的 WAN 端口 IP 地址时，路由器将这些请求转发到您的 LAN 上适当的服务器。,检验 NAT 和 NAT 过载,以上是测试的例子。.,检验 NAT 和 NAT 过载,检验 NAT 和 NAT

24、 过载,show ip nat translations 命令的输出显示NAT 分配的详细情况。在该命令中增加 verbose 可显示关于每个转换的附加信息，包括创建和使用条目的时间长短。该命令显示所有已配置的静态转换和所有由流量创建的动态转换。,检验 NAT 和 NAT 过载,检验 NAT 和 NAT 过载,show ip nat statistics 命令显示以下信息：活动转换总数、NAT 配置参数、池中的地址数量以及已分配的地址数量。转换条目默认超时时间为 24 小时，在全局配置模式下使用 ip nat translation timeouttimeout_ seconds 命令可重新配

25、置超时时间。,检验 NAT 和 NAT 过载,检验 NAT 和 NAT 过载,要在超时之前清除动态条目，请使用 clear ip nat translation 全局命令。可以具体指定删除哪一转换，也可以使用 clear ip nat translation*全局命令清除表中的全部转换，如本例所示。,检验 NAT 和 NAT 过载,检验 NAT 和 NAT 过载,NAT 和 NAT 过载配置的故障排除,检验 NAT 和 NAT 过载,NAT 和 NAT 过载配置的故障排除,步骤 1.根据配置，清楚地确定应该实现什么样的 NAT。这可能会揭示出配置问题。步骤 2.使用 show ip nat translations 命令检验转换表中转换条目是否正确。步骤 3.使用 clear 和 debug 命令检验 NAT 是否如预期一样工作。检查动态条目被清除后，是否又被重新创建出来。步骤 4.详细审查数据包传送情况，确认路由器具有移动数据包所需的正确路由信息。使用 debug ip nat 命令显示关于被路由器转换的每个数据包的信息，检验 NAT 功能的运作。,实验,Router0配置静态路由，router1不配置路由配置NAT过载 192.168.1.0/24-202.115.1.1 202.115.1.2（公有 IP 地址池),