NAT,PPP及其基本配置

NAT

NAT--network address translation：網絡地址轉換
IP地址：IPv4地址和IPv6地址
IPv4地址：三點分十進制---三十二位二進制
其中又分爲A B C D E 類
目前主要接觸到的是A B C 類
其中又分爲私有地址（不能直接上網）和公有地址（可以通過申請實現上網）
B：128-191 其中172.16.0.0-172.31.255.255
C：192-223 其中192.168.0.0-192.168.255.255

爲什麼要使用NAT？
由於網絡普及全世界，使得IP地址不夠用，所以爲了緩解IP地址不夠用的問題，提出了NAT，但是無法從本質上解決IP地址不夠用的問題，只能通過IPv6來解決。

NAT的使用原理：在邊界網關上配置NAT，網關上與外網連接的接口使用共有地址，實現內部的用戶使用私有地址來借用外部接口的公有地址來實現上網。

在邊界網關部署了NAT之後，內部的用戶要實現上網發送數據包的情況描述。
在邊界網關部署了NAT之後，內部的用戶在訪問外網的時候，以本身的私有地址爲源地址，能夠上網的公有地址爲目的地址。數據包到達邊界網關路由器之後，會進行NAT轉換，同時產生一張NAT轉換表（內部的私有地址和路由器外接口的公有地址以及轉換端口的映射信息）。此時相當於源地址是網關外接口地址，目的地址是外網地址。
訪問到外網之後，外網需要進行回包，此時的目的不是內部的私有地址，而是以本身的公有地址爲源，以邊界網關路由器的outside接口地址爲目的地址。數據包到達邊界網關之後，就會根據NAT轉換列表中的端口映射信息來將數據包發給具體用戶。

NAT地址術語：
①內部本地地址：inside local ：轉換之前的內部源IP地址（用戶的私有地址）
②內部全局地址：inside global：轉換之後的源IP地址（外接口的公有地址）

③外部本地地址：outside local：運營商的內部地址
④外部全局地址：outside global：運營商用於對外通信的地址

三種NAT：
①端口複用NAT（多對一）：也叫PAT，是最常見的一種NAT，家用路由器和企業上網都會使用到，可以將所有的私有地址轉換爲網關外接口的公有地址進行上網，配置較爲簡單。
配置：接口 ACL 調用ACL

IOU2(config-if)#ip nat inside--定義內外接口
IOU2(config-if)#ip nat outside
IOU2(config)#access-list 1 permit 192.168.10.0 0.0.0.255 --匹配感興趣流量  
IOU2(config)#ip nat inside source list 1 int e0/0 overload --做NAT轉換的時候調用ACL

IOU2#show ip nat translations --查看nat的轉換表

PAT的特性：
1、只允許內部的用戶主動訪問外網，外部的公有地址不能主動訪問內網
2、只有在內部的用戶主動訪問外網的時候纔會產生NAT轉換表，該NAT轉換表示動態生成的，每隔30s自動清空一次。

②靜態NAT（一對一）：在企業內部的服務器需要被外網的用戶主動進行訪問，此時PAT技術實現不了，所以需要用靜態NAT來實現。
特性：企業需要在申請一個公有地址，專門給服務器使用（不是直接使用在服務器上，而是成爲服務器專門的對應地址），該公有地址，運營商必須有路由可達（可以是直連網段隨意的一個不衝突地址，或者本身啓用一個迴環口，與迴環口同網段，也可以是路由協議通告的網段），並且不能與邊界網管的外接口地址衝突。

IOU2(config-if)# ip nat inside--定義內外接口
IOU2(config-if)# ip nat outside
IOU2(config)# ip nat inside source static 192.168.10.100 10.1.1.100

③地址池NAT（多對多）：正常情況下使用PAT做轉換，一個公有地址可以有65535個端口，但是在某些大型網絡中65535個端口是不夠用的，此時需要向運營商申請多個公有地址，然後將這些公有地址創建一個地址池，每隔共有的IP地址都擁有65535個端口。

IOU2(config-if)# ip nat inside--定義內外接口
IOU2(config-if)# ip nat outside
IOU2(config)# access-list 1 permit 192.168.10.0 0.0.0.255 --匹配感興趣流量  
IOU2(config)# ip nat pool PT 12.12.12.10 12.12.12.12 netmask--創建NAT地址池 255.255.255.0
IOU2(config)# ip nat inside source list 1 pool PT overload --NAT轉換的時候通過地址池來轉換

特性：使用地址池NAT的時候，如果沒有跟上overload，內部的每個私有地址都會佔用地址池裏面的一個公有地址；如果跟上overload，那麼多個私有地址可以同時轉換成一個公有地址，除非該公有地址的65535個端口用完，纔會繼續試用下一個公有地址。

---

PPP

廣域網技術：
局域網--LAN：一個家庭、單位或者高校的通信鏈路
城域網--MAN：多個單位組合的通信鏈路
廣域網--WAN：跨地理位置的數據通信鏈路。目前最大的廣域網---因特網

廣域網的接入方式：
①專線：點到點線路--更加安全、傳輸快、傳輸穩定、但是成本高
②分組交換：分組交換設備通過mac地址來選路。

PPP（point-point-protocol）--只在串行鏈路上運行的協議
PPPoE--PPP over Ethernet
工作在TCP/IP協議的第二層--數據鏈路層（實際上是介於數據鏈路層和網絡層之間）
PPP裏面有兩個子層：
NCP：網絡控制協議。與網絡層相連，用於動態協商和分配IP地址。
LCP：鏈路控制協議。與數據鏈路層相連，用於提供認證。

注：思科串行鏈路封裝的協議是HDLC--高級數據鏈路控制協議，其他產商分裝的也是HDLC，但是不同的產商HDLC是不一樣的，而社會中不同產商之間往往需要進行通信，所以需要達成統一，因此使用PPP來提供一個模板用於各個產商之間的相互連接。

LCP提供的兩種認證方式：PAP和CHAP
PAP：密碼認證協議。服務端上面要在接口啓用認證，要求客戶端把賬號和密碼發送過來，並且服務端會在本地創建一個數據庫（保存賬號和密碼以及用戶的映射信息）。客戶端要進行上網就得發送賬號和密碼給服務端，服務端進行比對，比對通過則可進行上網，否則直接拒絕。

注意：PAP屬於明文兩次握手認證，是由客戶端主動將賬號和密碼以明文的方式發送給服務端。（明文有可能中途被截獲）

配置：
服務端：

IOU1(config-if)#encapsulation ppp 
IOU1(config-if)#ppp authentication pap
IOU1(config-if)#peer default ip address 12.12.12.2 
IOU1(config)#username pt password cisco 

客戶端：

IOU2(config-if)#encapsulation ppp 
IOU2(config-if)#ppp pap sent-username pt password cisco 
IOU2(config-if)#ip add negotiated 

CHAP--挑戰握手認證
1、由服務器主動發起挑戰值a+主機名給客戶端；
2、客戶端收到之後會使用a+自己的密碼運行MD5算法，會得到一個亂碼。然後發給服務端；
3、服務端收到之後，提取自己的數據庫裏面客戶端的賬號和密碼進行MD5算法，也會得到一串的亂碼，若兩邊得到的亂碼一樣則認證通過。

配置：
服務端：

IOU1(config-if)#encapsulation ppp 
IOU1(config-if)#ppp authentication chap 
IOU1(config-if)#peer default ip address  12.12.12.2 
IOU1(config)#username pt password 123

客戶端：

IOU2(config-if)#encapsulation ppp 
IOU2(config-if)#ppp chap hostname pt
IOU2(config-if)#ppp chap password 123 
IOU2(config-if)#ip address negotiated