上公网-从内网到公网

上公网-从内网到公网

Internet 接入技术

Internet接入方式

什么是Internet接入网？

ChinaNet网络架构

• 国干网（骨干网）

  • 9大核心节点
  • 每省1-2个D节点

• 城域网

• 接入网

宽带接入模型和基本概念

• 宽带接入技术通常应用在“最后一公里接入”（First Mile Access），即从CPN（CPE）到CO这一段线路的接入。

宽带接入的传输介质和技术

常见的宽带接入技术

主要的宽带接入技术

ADSL技术

主要的光纤接入模式

• FTTH

Fiber To The Home，光纤到户

• FTTB

Fiber To The Building，光纤到大楼

• FTTC

Fiber To The Curb，光纤到路边

Internet接入认证方式

• PPPoE

1. PC向BAS发起PPPoE连接建立请求，并提交用户名和密码信息 (PAP / CHAP)。
2. BAS向AAA发起用户认证。
3. 认证通过，PPPoE连接建立成功。
4. PC使用PPPoE获取的IP导致访问Internet

PPPoE协议原理

• PPPoE协议栈

• PPPoE两个阶段:
  

• PPPoE报文格式

• PPP会话建立与终止

• PPPoE Server基本配置

• PPPoE Client基本配置（路由器）

• PPPoE Client基本配置（Windows）
  • 开始→设置→网络连接→新建连接向导→连接到Internet****→用要求用户名和密码的宽带连接来连接**
  • PPPoE连接新建成功后，可以修改认证方式

Internet接入认证方式

• Protal

NAT的概念及应用场景

Internet接入带来的组网需求

• 公网地址需求

  • 企业网采用私有IP，Internet采用公有IP，私有IP的路由不允许通告到Internet，企业网接入Internet需要向运营商申请公有IP。
  • IPv4公有IP比较稀缺，申请也需要较高的费用，普通企业只能申请少量的IPv4公有IP。
  • IPv6公有IP比较充裕，企业可以按需申请。

• 公网路由需求

  • 企业向运营商申请了一小段公有IP，怎样与Internet路由对接？
  • 企业网内部路由怎样部署，才能让所有用户都能访问Internet？

IPv4企业网接入Internet

• IPv4公网地址稀缺的解决方法
  • 向运营商申请一小段或1个公有IP，在边界设备上做网络地址转换，将私有IP转换成公有IP，然后再访问Internet。

NAT概述

• NAT

  • Network Address Translation,把数据包中的IP地址转换为另一个IP地址

• 主要用于解决校园网使用私有地址上公网的问题

  • 大多数应用基于IPv4
  • IPv4地址短缺
  • 使用私有地址（RFC1918）和NAT技术缓解IPv4公网地址短缺的问题
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 192.168.0.0/16

NAT的分类及作用

NAT转换类型

• NAT:一对一转换

• PAT：多对一转换

  • 带端口转换

通过端口让一变多。

• 静态NAT与动态NAT

• NAT基本配置

NAT的工作原理

NAT数据转发原理

• 10.1.6.3访问186.1.8.6网站的数据转发过程
  • 整个路径上都必须要有去往186.1.8.6的路由。
  • 从10.1.6.3去往186.1.8.6的数据包，经路由转发到达边界设备的出接口E2时，执行NAT，进行源地址和源端口的转换。

• NAT数据转发原理
  • 10.1.6.3访问186.1.8.6网站的数据转发过程
    • 数据包到达边界设备，先查路由表，转发至出接口，当出接口为NAT outside接口时，匹配NAT ACL，匹配上permit条目的执行NAT，匹配上deny条目的不执行NAT（NAT ACL不过滤数据包）。
    • 第1个包会触发NAT表项的形成，后续数据包查NAT表转换。
    • 转换后的数据包发送至Internet，经路由转发最终到达186.1.8.6。

• NAT数据转发原理
  • 10.1.6.3访问186.1.8.6网站的数据转发过程（返回数据包）
    • 返回数据包的目标IP为189.7.3.2，是边界设备的外网接口IP地址，经过Internet的路由转发，最终到达边界设备的外网接口，外网接口会接收该数据包，然后查NAT表，进行NAT还原处理。

• NAT数据转发原理
  • 10.1.6.3访问186.1.8.6网站的数据转发过程（返回数据包）
    • 经过NAT还原处理的数据包，边界设备再查找路由表转发，然后经过企业网内部的路由转发，最终返回10.1.6.3。

外网访问内网的需求与实现

• 访问需求
  • Internet用户需要访问10.1.6.138主机；10.1.6.139需要向Internet提供Web服务，10.1.6.140也需要向Internet提供Web服务。
• 需求实现
  • 使用外网IP对外提供服务，即Internet访问企业的公网IP，然后在边界设备上，将这些公网IP转换到内部服务器上去。
  • 需要预先配置好NAT表项。

• 外网访问内网的需求与实现
  • 静态NAT与端口映射配置

• 外网访问内网的需求与实现
  • 应用层协议内嵌地址识别与转换
    • 转换需求举例
      • 10.1.6.141需要向Internet提供FTP服务。FTP在控制连接上协商数据连接的IP地址与端口号，服务器在私网，协商出来必定是私网IP，需要干预协商过程，将私网IP转换成公网IP。
    • 需求转化实现
      • 需要NAT设备对应用层协议进行识别，并将应用层数据的内嵌私网IP转换成公网IP，一般默认未开启这项功能，需要手工开启。
      • 不同的设备或版本对应用层协议的识别能力不同。

NAT ALG

思科路由器NAT转发流程

• 出处理执行NAT转换
• 入处理查找NAT表做NAT还原

华为华三NAT转发流程

• 入处理与思科一样，先做入方向ACL包过滤，再做NAT还原
• 出处理与思科相反，华为华三先做出方向ACL包过滤再做NAT