广域网技术

上面聊的内容都是内网的一些配置，但内网终将要访问外网的，我们需要怎么处理呢？一般使用HDLC（高级数据链路控制协议）或者PPP（点对点协议）。

使用PPP安全接入Internet

PPP（Point-to-Point Protocol 的缩写）点到点协议，提供在点到点链路上传输、封装网络层数据包的数据链路层协议。

PPP 协议支持同步、异步线路，能够提供验证，可以验证对端设备的合法性，在一定程度上保证链路的安全;支持网络层地址协调，支持 IP 地址的远程分配，能满足拨号线路的需求，无重传机制，网络开销小，并且易于扩展。

会话建立流程为：

其中PAP和CHAP是两种认证协议

1.PAP：密码认证协议

2.CHAP：竞争握手认证协议

PPP+PAP的配置方案如下：

1. PAP设置用户名、密码和服务类型

[RT1]local-user name
[RT1-user-name]password { cipher | simple } 密码
[RT1-user-name]service-type ppp

2. 封装PPP协议

[RT1-S1/0]link-protocol PPP

3. 配置认证方式

[RT1-s1/0]ppp authentication-mode { pap | chap }

4. 被认证端详主认证端发送认证信息

[RT2-S1/0]ppp pap local-user name password { cipher | simple } 密码

实战

我们先配置一下PC的IP和路由器的接口IP，现在PC1是ping不同PC2的。

[RT1]int g0/0
[RT1-GigabitEthernet0/0]ip add 10.110.10.1 24
[RT1-GigabitEthernet0/0]quit
[RT1]int s1/0
[RT1-Serial1/0]ip add 211.16.12.1 24
[RT1-Serial1/0]quit[RT2]int g0/0
[RT2-GigabitEthernet0/0]ip addr 211.16.3.1 24
[RT2-GigabitEthernet0/0]quit
[RT2]int s1/0
[RT2-Serial1/0]ip addr 211.16.12.2 24
[RT2-Serial1/0]quit

路由器配置OSPF

[RT1]router id 1.1.1.1
[RT1]ospf 1
[RT1-ospf-1]area 0
[RT1-ospf-1-area-0.0.0.0]network 10.110.10.0 0.0.0.255
[RT1-ospf-1-area-0.0.0.0]network 211.16.12.0 0.0.0.255
[RT1-ospf-1-area-0.0.0.0]quit[RT2]router id 2.2.2.2
[RT2]ospf 1
[RT2-ospf-1]area 0
[RT2-ospf-1-area-0.0.0.0]network 211.16.12.0 0.0.0.255
[RT2-ospf-1-area-0.0.0.0]%Dec 23 21:18:42:480 2023 RT2 OSPF/5/OSPF_NBR_CHG: OSPF 1 Neighbor 211.16.12.1(Serial1/0) changed from LOADING to FULL.[RT2-ospf-1-area-0.0.0.0]network 211.16.3.0 0.0.0.255
[RT2-ospf-1-area-0.0.0.0]quit

现在PC1能够Ping通PC2，主要是因为路由表里有数据了。

[RT1]dis ip routing-tableDestinations : 15       Routes : 15Destination/Mask   Proto   Pre Cost        NextHop         Interface
0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0
10.110.10.0/24     Direct  0   0           10.110.10.1     GE0/0
10.110.10.1/32     Direct  0   0           127.0.0.1       InLoop0
10.110.10.255/32   Direct  0   0           10.110.10.1     GE0/0
127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0
127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0
127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0
211.16.3.0/24      O_INTRA 10  1563        211.16.12.2     Ser1/0
211.16.12.0/24     Direct  0   0           211.16.12.1     Ser1/0
211.16.12.1/32     Direct  0   0           127.0.0.1       InLoop0
211.16.12.2/32     Direct  0   0           211.16.12.2     Ser1/0
211.16.12.255/32   Direct  0   0           211.16.12.1     Ser1/0
224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0
224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0
255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

配置PAP

[RT2]local-user RT1 class network
New local user added.
[RT2-luser-network-RT1]password simple 1234Abcd1234
[RT2-luser-network-RT1]service-type ppp

配置PPP协议

[RT2-Serial1/0]link-protocol ppp
[RT2-Serial1/0]ppp authentication-mode pap
[RT2-Serial1/0]quit

被验证方配置

[RT1-Serial1/0]link-protocol ppp
[RT1-Serial1/0]ppp pap local-user RT1 password simple 1234Abcd1234

NAT

概述

NAT是一种将私有地址转换成公有地址的技术，它实现了私有网络中主机可以通过共享少量公有地址访问Internet。

从内部网络到外部网络的实现流程为：

请求从外部网络返回到内部网络的实现流程为：

当然，上面的实现只是其中一种，但核心过程都差不多。NAT的实现方式有

• Basic NAT：一对一转换，一个内部IP对应一个外部IP
• NAPT（网络地址端口转换）：一对多转换，一个外部IP可对应多个内部IP

• NAT Server（内部服务器）：内部提供服务供外网访问

Basic NAT

Basic NAT实现一对一的转换，同时访问外网的主机数受地址池中共有地址数限制。

假设只允许市场部访问外网。

配置方案一般分为如下几步：

1.配置ACL，哪些私有地址可以访问外网

[RT1]acl number 2000
[RT1-acl-basic-2000]rule permit source 10.110.10.0 0.0.0.255
[RT1-acl-basic-2000]rule deny source any

2.配置可使用的公网地址

nat address-group pool-index start-addr end-addr[RT1]nat address-group pool1 211.35.77.1 211.35.77.5

3.在出口将ACL与地址池关联

nat outbound acl-number address-group pool-index no-pat[RT1]interface S0/1/0
[RT1-Serial0/1/0]nat outbound 2000 address-group pool1 no-pat

4.查看效果

display nat session

NAPT

Basic NAT因为是一对一转换，所以同一时刻访问外网的主机数有限。

而NAPT借助端口复用技术，通过对数据包的 IP 地址、协议类型和传输层端口号同时进行转换，极大地提高了公有 IP 地址的利用效率。

下图比较清晰的展示了NAPT的实现原理，10.0.0.1的请求经过转换后的信息。

在配置上和Basic NAT没有太大区别，出口配置的时候，不填写no-pat

nat outbound acl-number address-group pool-index [RT1]interface S0/1/0
[RT1-Serial0/1/0]nat outbound 2000 address-group pool1

Easy IP - NAPT特例

在实际应用中，常用的拨号接入的上网方式，公网 IP 地址是运营商动态分配的，无法提前获知，又该如何使用 NAPT 进行转换？解决这个问题，要引入 Easy IP 特性。Easy IP 直接使用与公网连接的接口 IP 地址作为转换后的地址。本质上省掉了“配置可使用的公网地址”这步。

1.配置允许NAT转换的内网地址段

[RT1]acl number 2000
[RT1-acl-basic-2000]rule permit source 10.110.10.0 0.0.0.255

2.在出接口S0/1/0上做Easy IP

[RT1]interface S0/1/0
[RT1-Serial0/1/0]ip address 211.35.77.1 255.255.255.0
[RT1-Serial0/1/0]nat outbound 2000

3.查看

[RT1]display nat bound

NAT Server

NAT Server是解决外网主机首先发起链接，如何进行地址转换的问题。它能将私有地址和端口静态的映射为公网地址和端口，供公网用户访问服务器。

配置过程

1.接口视图下配置内部服务器

interface interface-type interface-number
nat server protocol pro-type global golbal-address [global-port] inside local-address [local-port]//举例,202.38.1.1为对外提供服务的IP地址
nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 www

2.查看配置

display nat server

实战

这次主要配置NAPT，我们在刚配置的架构图上做修改。

[RT2]undo ospf
[RT1]undo ospf
[RT1]ip route-static 0.0.0.0 0.0.0.0 s1/0[RT1]acl number 2000
[RT1-acl-ipv4-basic-2000]rule permit source 10.110.10.0 0.0.0.255
[RT1-acl-ipv4-basic-2000]quit[RT1]nat address-group 1
[RT1-address-group-1]address 211.16.12.10 211.16.12.20
[RT1-address-group-1]quit[RT1]int s1/0
[RT1-Serial1/0]nat outbou
[RT1-Serial1/0]nat outbound 2000 address-group 1
[RT1-Serial1/0]quit

查看效果

[RT1-Serial1/0]dis nat session brief
Slot 0:
Protocol   Source IP/port         Destination IP/port    Global IP/port
ICMP       10.110.10.2/207        211.16.3.2/2048        211.16.12.11/0Total sessions found: 1

总结

总算能上网了，但是吧，感觉哪里不太对，还是得真的申请一个固定IP，然后用真机测试一下。后面会把防火墙的配置再学习一下，然后以小公司的网络配置设计一个架构图，用真机进行配置。另外也会把交换机、路由器常用的命令梳理好，方便自己也方便大家查找。

最后

大家如果喜欢我的文章，可以关注我的公众号（程序员麻辣烫）

我的个人博客为：https://shidawuhen.github.io/

往期文章回顾：

0. 设计模式
1. 招聘
2. 思考
3. 存储
4. 算法系列
5. 读书笔记
6. 小工具
7. 架构
8. 网络
9. Go语言