第6章 交換與路由技術(shù)-教材課件

1、目錄目錄: :6 6.1 .1 路由器和多層交換機(jī)概述路由器和多層交換機(jī)概述6 6.2.2 虛擬局域網(wǎng)（虛擬局域網(wǎng)（VLANVLAN） 6 6.3.3 局域網(wǎng)中的冗余鏈路局域網(wǎng)中的冗余鏈路6 6.4.4 端口聚合端口聚合 6 6.5.5 路由技術(shù)路由技術(shù)6 6. .6 6 路由信息安全路由信息安全6 6. .7 7 網(wǎng)絡(luò)地址轉(zhuǎn)換（網(wǎng)絡(luò)地址轉(zhuǎn)換（NATNAT）6 6. .8 8 網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)第第6 6章章 交換與路由技術(shù)交換與路由技術(shù)重點(diǎn)重點(diǎn): :l路由器與交換機(jī)的配置方法路由器與交換機(jī)的配置方法l虛擬局域網(wǎng)（虛擬局域網(wǎng)（VLANVLAN）l端口聚合端口聚合l靜態(tài)路由與靜態(tài)路由與

2、RIPRIP協(xié)議路由協(xié)議路由l網(wǎng)絡(luò)地址轉(zhuǎn)換（網(wǎng)絡(luò)地址轉(zhuǎn)換（NATNAT）難點(diǎn)難點(diǎn): : uOSPFOSPF動(dòng)態(tài)路由協(xié)議動(dòng)態(tài)路由協(xié)議u冗余鏈路（冗余鏈路（STPSTP協(xié)議）協(xié)議）u訪問(wèn)控制列表（訪問(wèn)控制列表（ACLACL）6.1 6.1 路由器和多層交換機(jī)概述路由器和多層交換機(jī)概述 路由器（Router）是一種典型的網(wǎng)絡(luò)層設(shè)備，負(fù)責(zé)在網(wǎng)絡(luò)層間傳輸數(shù)據(jù)分組，并確定網(wǎng)絡(luò)上數(shù)據(jù)傳送的最佳路徑，完成網(wǎng)絡(luò)層間中繼的任務(wù)。一般來(lái)說(shuō)，異種網(wǎng)絡(luò)互聯(lián)與多個(gè)子網(wǎng)互聯(lián)都需用路由器來(lái)完成。 交換機(jī)（Switch）是根據(jù)OSI層次通常可分為二層交換機(jī)和三層交換機(jī)。通常所說(shuō)的交換機(jī)就是指二層交換機(jī)（又叫LAN交換機(jī)），屬數(shù)

3、據(jù)鏈路層設(shè)備，是二層交換技術(shù)在局域網(wǎng)中的典型應(yīng)用，而三層交換機(jī)為多層交換機(jī)，屬網(wǎng)絡(luò)層設(shè)備，是三層交換技術(shù)在網(wǎng)絡(luò)中的典型應(yīng)用。簡(jiǎn)單地說(shuō)，三層交換技術(shù)就是：二層交換技術(shù)三層轉(zhuǎn)發(fā)技術(shù)。 6.1.1 6.1.1 網(wǎng)絡(luò)設(shè)備的配置方法網(wǎng)絡(luò)設(shè)備的配置方法 1、帶外管理利用控制臺(tái)（console）端口配置 對(duì)于新購(gòu)進(jìn)的網(wǎng)絡(luò)設(shè)備（本章多指多層交換機(jī)和路由器）一般都有出廠默認(rèn)設(shè)置，如果用戶想知道其網(wǎng)絡(luò)接口是否啟用和參數(shù)如何，通常用一根配置線（反轉(zhuǎn)線）將計(jì)算機(jī)的串行口（COM）和網(wǎng)絡(luò)設(shè)備的控制臺(tái)（Console）端口相連，通過(guò)使用計(jì)算機(jī)中Windows自帶的“超級(jí)終端”對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行后續(xù)配置和管理。 2帶內(nèi)管理利用

4、telnet命令遠(yuǎn)程登錄配置 用一根直連網(wǎng)線將PC機(jī)的網(wǎng)卡接口（RJ-45）和網(wǎng)絡(luò)設(shè)備的LAN端口相連，在PC機(jī)中打開(kāi)命令提示符窗口，在命令行中輸入命令“telnet 網(wǎng)絡(luò)設(shè)備管理IP地址”，輸入遠(yuǎn)程登錄密碼，就可以進(jìn)入網(wǎng)絡(luò)設(shè)備的各命令配置模式。6.1.2 6.1.2 網(wǎng)絡(luò)設(shè)備的命令操作網(wǎng)絡(luò)設(shè)備的命令操作 1、命令模式 登錄網(wǎng)絡(luò)設(shè)備的命令提示符格式：提示符名 模式 以下是常見(jiàn)的幾種命令模式：n用戶模式Router 可用于查看系統(tǒng)基本信息和進(jìn)行基本測(cè)試n特權(quán)模式Router# 查看、保存系統(tǒng)信息，n全局配置模式Router(config)# 配置設(shè)備的全局參數(shù)n接口配置模式Router(conf

5、ig-if)# 配置設(shè)備的各種接口n線路配置模式Router(config-line)# 配置控制臺(tái)、遠(yuǎn)程登錄等線路n路由配置模式Router(config-router)# 配置路由協(xié)議nVLAN配置模式 Switch(config-vlan)# 配置VLAN參數(shù) 2.命令模式的切換 網(wǎng)絡(luò)設(shè)備的命令模式大體可分為四步：用戶模式特權(quán)模式全局配置模式其它配置模式。要進(jìn)入某模式時(shí)，需要逐步進(jìn)入。配置模式命令舉例說(shuō)明：n登錄后就進(jìn)入用戶模式 Router_n在用戶模式中輸入enable命令進(jìn)入特權(quán)模式 Routerenable Router#n在特權(quán)模式中輸入configure terminal命令

6、進(jìn)入全局配置模式 Router#configure terminal Router(config)#n在全局配置模式中輸入interface命令進(jìn)入接口配置模式 Router(config)#interface f0/1 Router(config-if)#n在全局配置模式中輸入line命令，后可帶不同參數(shù)進(jìn)入線路配置模式 Router(config)#line console 0 Router(config-line)#n在全局配置模式中輸入router命令，后可帶不同參數(shù)進(jìn)入路由配置模式 Router(config)#router rip Router(config-router)#n在全

7、局配置模式中輸入vlan命令，后可帶不同參數(shù)進(jìn)入VLAN配置模式 Switch(config)#vlan 10 Switch(config-vlan)#n在任一配置模式中，用exit命令可退回到上一模式 Router(config-if)#exit Router(config)#n在任一配置模式中，輸入end命令或按快捷鍵Ctrl+Z，可直接退回到特 權(quán)模式 Router(config-if)#end Router#n從特權(quán)模式退回到用戶模式 Router#disable Router 3.命令行的編輯技巧 （1）命令不區(qū)分大小寫(xiě)。 （2）可以使用簡(jiǎn)寫(xiě)。 命令的每個(gè)單詞只需要輸入前幾個(gè)字母，能

8、與其它命令相區(qū)分開(kāi)，即可。 （3）用 Tab 鍵可補(bǔ)全簡(jiǎn)化的命令。 （4）可以調(diào)出歷史命令來(lái)簡(jiǎn)化命令的輸入。 可用“”鍵（Ctrl+P）或“”鍵(Ctrl+N)調(diào)出歷史命令，按回車就即可執(zhí)行此命令。 （5）編輯快捷鍵： Ctrl+A光標(biāo)移到行首，Ctrl+E光標(biāo)移到行尾，Ctrl+F下移一個(gè)字符。 （6）用“?”可幫助輸入命令和參數(shù)。 在提示符下輸入“?”可查看該提示符下的所有命令，在命令后加“?”，可查看該命令后的所有參數(shù)，在該參數(shù)后再加“?”，可查看該參數(shù)后跟的所有參數(shù)，以此類推，直至遇到提示“”，說(shuō)明命令結(jié)束。 4. 常見(jiàn)命令行錯(cuò)誤提示 （1）% Ambiguous command。 用

9、戶沒(méi)有輸入足夠的字符，設(shè)備無(wú)法識(shí)別唯一的命令。 （2）% Invomplete command。 命令缺少必需的關(guān)鍵字或參數(shù)。 （3）% Invalid input detected at marker。 符號(hào) 指明了輸入錯(cuò)誤命令單詞的位置。 5no和 default 選項(xiàng) （1）no 選項(xiàng)的用法是在命令前加 no前綴，可用來(lái)禁止某個(gè)功能，或者刪除某項(xiàng)配置。如：no shutdown ，no ip address （2）default 選項(xiàng)的用法是在命令前加default前綴，用來(lái)將設(shè)置恢復(fù)為缺省值。如：default hostname6.1.3 6.1.3 網(wǎng)絡(luò)設(shè)備的基本配置網(wǎng)絡(luò)設(shè)備的基本配

10、置 1.配置主機(jī)名 默認(rèn)情況下，交換機(jī)的主機(jī)名通常為“Switch”，路由器的的主機(jī)名通常為“Router”。 在全局模式下通過(guò)“hostname”命令來(lái)實(shí)現(xiàn)，其配置命令為：nRouter(config)#hostname R1nR1(config)# 2.口令設(shè)置 （1）控制臺(tái)口令： Router(config)#line console 0 Router(config-line)#password abc123 Router(config-line)#login （2）遠(yuǎn)程登錄口令： Router(config)#line vty 0 4 Router(config-line)#passw

11、ord abc123 Router(config-line)#login （3）特權(quán)口令： Router(config)#enable password abc123 Router(config)#enable secret abc123 兩者的區(qū)別:enable secret定義的口令優(yōu)先級(jí)比enable password定義的口令大。 3.文件的查看、保存與刪除 （1）查看當(dāng)前運(yùn)行配置 Router#show running-config （2）查看啟動(dòng)配置 Router#show startup-config （3）保存當(dāng)前配置 Router#copy running-config st

12、artup-config 或Router#write （4）刪除配置 Router#delete flash:config.text 4.端口配置 （1）端口的選擇n網(wǎng)絡(luò)設(shè)備的端口分為Ethernet（10Mbps）、FastEthernet（10/100Mbps）、Gigabit Ethernet（10/100/1000Mbps）、Serial幾種類型。n若一次指定多個(gè)范圍段的物理端口，可以使用“range”關(guān)鍵字。每個(gè)端口范圍段之間用逗號(hào)（,）分開(kāi)，范圍段內(nèi)的連續(xù)接口用（）連接起止編號(hào)。 例如：若選擇交換機(jī)1、3、5、1115快速以太網(wǎng)端口，則配置命令為：Switch(config)#in

13、terface range fastethernet 0/1,0/3,0/11-15 (2)配置端口的IP地址和子網(wǎng)掩碼 例如：配置路由器端口serial 0/1的IP地址為/24，則配置命令為： Router(config)#interface serial 0/1 Router(config-if)#ip address （3）禁用/啟用端口 Switch(config-if)#shutdown Router(config-if)#no shutdown （4）查看端口信息 在特權(quán)模式下，通?？梢允褂谩皊how”命令

14、查看網(wǎng)絡(luò)設(shè)備端口的具體信息。 例如：查看路由器端口serial 0/1的信息，則配置命令為： Router(config)#show interface serial 0/1 6.2 6.2 虛擬局域網(wǎng)（虛擬局域網(wǎng)（VLANVLAN） 6.2.1 VLAN 6.2.1 VLAN概述概述 VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）是一種將局域網(wǎng)物理設(shè)備從邏輯上劃分為多個(gè)網(wǎng)段，每個(gè)網(wǎng)段對(duì)應(yīng)著一個(gè)VLAN,也就是原來(lái)單個(gè)廣播域虛擬分割成多個(gè)廣播域，每個(gè)廣播域就是一個(gè)VLAN，若沒(méi)有路由的話，一個(gè)VLAN內(nèi)部的單播幀、廣播幀可以在一個(gè)VLAN內(nèi)轉(zhuǎn)發(fā)、廣播和擴(kuò)散，而不會(huì)

15、直接進(jìn)入到其他的VLAN中。 從實(shí)現(xiàn)的機(jī)制或策略看，VLAN分為靜態(tài)VLAN和動(dòng)態(tài)VLAN兩種。靜態(tài)VLAN主要是根據(jù)交換機(jī)的端口來(lái)劃分的，動(dòng)態(tài)VLAN的劃分方法有很多種，常用的主要是根據(jù)MAC地址劃分VLAN和根據(jù)網(wǎng)絡(luò)層協(xié)議劃分VLAN。 6.2.2 6.2.2 基于端口的基于端口的VLANVLAN劃分方法劃分方法 (1)創(chuàng)建VLAN 配置命令： Switch(config)#vlan 編號(hào) Switch(config-vlan)#name 名稱 (2)向VLAN中添加網(wǎng)絡(luò)接口 配置命令： Switch(config)#interface 端口號(hào) Switch(config)#interfa

16、ce range 端口號(hào)范圍段 Switch(config-if-range)#switchport access vlan 編號(hào) (3)刪除VLAN 配置命令： Switch(config)#no vlan 編號(hào) (4)查看VLAN 配置命令： Switch#show vlan 6.2.3 6.2.3 交換機(jī)接口的類型交換機(jī)接口的類型 交換機(jī)的接口類型一般可分為兩大類：二層接口和三層接口，具體如表所示。 6.2.4 6.2.4 跨交換機(jī)跨交換機(jī)VLAN TrunkVLAN Trunk的配置的配置 VLAN Trunk (虛擬局域網(wǎng)中繼技術(shù))的作用是讓連接在不同交換機(jī)上的相同VLAN中的主機(jī)間

17、互通。在跨交換機(jī)相同VLAN中的主機(jī)相互通信，則交換機(jī)與交換機(jī)之間的連接接口一般配置為Trunk模式（即干道模式）。干道就是指兩臺(tái)交換機(jī)端口之間的一條點(diǎn)對(duì)點(diǎn)連接鏈路，可以承載多個(gè)VLAN信息，即Trunk端口上可以傳送來(lái)自不同VLAN中發(fā)出的數(shù)據(jù)幀，該端口屬于多個(gè)VLAN。配置實(shí)例：如圖所示，某公司有兩層樓，其中一樓的交換機(jī)Switch1的FastEthernet 0/24和二樓的交換機(jī)Switch2的FastEthernet 0/24級(jí)聯(lián)，在Switch1 和Switch2中分別劃分了VLAN2。為了讓一樓和二樓相同的VLAN的主機(jī)可以互訪，需分別配置這兩個(gè)級(jí)聯(lián)口為Trunk端口。 提示：

18、Switch1(config)#interface 0/24 /選擇交換機(jī)端口 Switch1(config-if)#switchport mode trunk /配置交換機(jī)端口模式設(shè)置為“Trunk” 同理，Switch2的Trunk端口配置步驟與Switch1一樣。說(shuō)明： 兩交換機(jī)的端口FastEthernet 0/24未配置前默認(rèn)工作模式都為“access”，都屬于VLAN1，且只能都傳輸默認(rèn)VLAN1中的數(shù)據(jù)，即兩樓層相同VLAN1中的主機(jī)是可以互訪的，也就是PC1、PC2、PC3、PC4同處于一個(gè)廣播域，是可以互訪的。然而，PC11、PC12和PC13、PC14是不可以互訪的，因?yàn)檫@

19、幾臺(tái)PC機(jī)連接的端口都為默認(rèn)工作模式都為“access”， 且都屬于VLAN2，而只有配置了這兩個(gè)級(jí)聯(lián)口工作模式都為“trunk”， 才能在此鏈路上傳輸VLAN2中的數(shù)據(jù)，即兩樓層相同VLAN2中的主機(jī)才能互訪，也就是PC11、PC12、PC13、PC14同處于一個(gè)廣播域，才可以互訪了。因此，在默認(rèn)情況下，交換機(jī)的Trunk鏈路是允許所有VLAN使用的。 6.2.5 6.2.5 不同不同VLAN VLAN 間的通信間的通信 交換機(jī)虛擬接口（Switch Virtual Interface，SVI）代表一個(gè)由交換端口構(gòu)成的VLAN（其實(shí)就是VLAN接口），也就是一個(gè)SVI接口對(duì)應(yīng)一個(gè)VLAN。要

20、實(shí)現(xiàn)不同VLAN之間的通信，就需要借助三層交換機(jī)不同的SVI接口IP地址路由通信功能。那么，首先需要為相應(yīng)的VLAN配置相應(yīng)的SVI接口，其實(shí)SVI就是指通常所說(shuō)的VLAN接口，只不過(guò)它是虛擬的，用于連接整個(gè)VLAN，所以通常也把這種接口稱為邏輯三層接口。 (1)SVI接口的創(chuàng)建 配置命令： Switch(config)#interface vlan 編號(hào) Switch(config-if)#ip address IP地址 子網(wǎng)掩碼 Switch(config-if)#no shutdown (2)啟用三層IP路由功能 配置命令： Switch(config)#ip routing (3)查看

21、三層交換機(jī)的路由 配置命令： Switch#show ip route配置舉例：如圖所示，在交換機(jī)劃分vlan 10和vlan 20，其中vlan 10的SVI接口IP地址為/24，包含F(xiàn)astEthernet0/1和FastEthernet0/2兩個(gè)接口；vlan 20的SVI接口IP地址為/24，包含F(xiàn)astEthernet0/11和FastEthernet0/12兩個(gè)接口?，F(xiàn)在利用交換機(jī)的3層功能使VLAN 10和VLAN 20中的主機(jī)能夠互訪。提示： Switch(config)#interface vlan 10 /進(jìn)入vlan10的SV

22、I接口配置模式 Switch(config-if)#ip address /配置vlan10的SVI接口IP地址和子網(wǎng)掩碼 Switch(config)#interface vlan 20 /進(jìn)入vlan20的SVI接口配置模式 Switch(config-if)#ip address /配置vlan20的SVI接口IP地址和子網(wǎng)掩碼 Switch(config)#ip routing /啟用三層路由功能 Switch#show ip route /查看路由表6.3 6.3 局域網(wǎng)中的冗

23、余鏈路局域網(wǎng)中的冗余鏈路 6.3.1 6.3.1 生成樹(shù)協(xié)議原理生成樹(shù)協(xié)議原理 生成樹(shù)協(xié)議STP（Spanning-Tree Protocol）由IEEE 802.1d標(biāo)準(zhǔn)定義的，工作方式如同生成一棵樹(shù)，即建立無(wú)環(huán)路連接。其作用是為了解決交換機(jī)冗余環(huán)路產(chǎn)生“廣播風(fēng)暴”等新問(wèn)題，而需要在交換機(jī)上啟動(dòng)生成樹(shù)協(xié)議來(lái)避免此類現(xiàn)象的發(fā)生。生成樹(shù)協(xié)議STP通過(guò)是SPA（生成樹(shù)算法）使冗余端口置于“阻塞狀態(tài)”，讓網(wǎng)絡(luò)中的計(jì)算機(jī)在通信時(shí)只有一條鏈路生效，也就是生成一個(gè)無(wú)環(huán)路的網(wǎng)絡(luò)，而且當(dāng)主要鏈路出現(xiàn)故障時(shí)，該協(xié)議又會(huì)重新計(jì)算出網(wǎng)絡(luò)的最優(yōu)鏈路，將處于“阻塞狀態(tài)”的端口重新打開(kāi)，從而達(dá)到管理冗余鏈路的目的，保證了

24、網(wǎng)絡(luò)的正常通信。 生成樹(shù)協(xié)議的工作過(guò)程可以歸納為四個(gè)步驟：選擇根網(wǎng)橋、選擇根端口、選擇指定端口和阻塞非根、非指定端口。6.3.2 6.3.2 生成樹(shù)協(xié)議的配置生成樹(shù)協(xié)議的配置 配置命令： Switch(config)#spanning-tree /開(kāi)啟生成樹(shù)協(xié)議 Switch(config)#no spanning-tree /關(guān)閉生成樹(shù)協(xié)議 Switch(config)#spanning-tree mode stp |rstp| mstp /指定生成樹(shù)協(xié)議的類型 Switch(config)#spanning-tree priority /配置交換機(jī)的優(yōu)先級(jí) Switch(config-if

25、)#spanning-tree port-priority /配置交換機(jī)端口的優(yōu)先級(jí) Switch(config-if)#spanning-tree cost /配置交換機(jī)端口的路徑成本 Switch#show spanning-tree /查看生成樹(shù)配置 Switch#show spanning-tree interface Port-ID /查看交換機(jī)某個(gè)具體端口的生成樹(shù)信息6.4 端口聚合 6.4.1 端口聚合的概述 端口聚合（也稱鏈路聚合）是將交換機(jī)的多個(gè)同類型、低帶寬的交換端口捆綁成一條高帶寬的復(fù)合主干鏈路，實(shí)現(xiàn)了主干鏈路均衡負(fù)載，避免了單條鏈路出現(xiàn)的擁塞現(xiàn)象。打比喻來(lái)說(shuō)，端口聚合就

26、如同超市設(shè)置多個(gè)收銀臺(tái)以防止收銀臺(tái)過(guò)少而出現(xiàn)消費(fèi)者排隊(duì)等候過(guò)長(zhǎng)的現(xiàn)象。一般來(lái)說(shuō)，兩個(gè)普通交換機(jī)連接的最大帶寬取決于媒介的連接速度（100BAST-TX雙絞線為200M），而使用Trunk技術(shù)可以將4個(gè)200M的端口捆綁后成為一個(gè)高達(dá)800M的連接。這一技術(shù)的優(yōu)點(diǎn)是以較低的成本通過(guò)捆綁多端口提高帶寬，而其增加的開(kāi)銷只是連接用的普通五類網(wǎng)線和多占用的端口，它可以有效地提高子網(wǎng)的上行速度，從而消除網(wǎng)絡(luò)訪問(wèn)中的瓶頸。另外，如果使用多個(gè)端口組成的多條鏈路，其中的一條鏈路出現(xiàn)故障，網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流可以動(dòng)態(tài)地快速轉(zhuǎn)向其他工作正常的端口組成的鏈路中而進(jìn)行傳輸，對(duì)數(shù)據(jù)起了冗余備份的作用，同時(shí)提高了網(wǎng)絡(luò)的安全性和

27、可靠性。因此，端口聚合技術(shù)是可將多物理連接當(dāng)作一個(gè)單一的邏輯連接來(lái)處理，它允許兩個(gè)交換機(jī)之間通過(guò)多個(gè)端口并行連接就如同一條高帶寬的鏈路來(lái)傳輸數(shù)據(jù)，提供了更高的帶寬、更大的吞吐量，增加了冗余、可恢復(fù)性。6.4.2 6.4.2 端口聚合的配置端口聚合的配置 配置舉例：如圖所示，分別連接交換機(jī)Switch1的FastEthernet0/23和交換機(jī)Switch2 的FastEthernet0/23、交換機(jī)Switch1的FastEthernet0/24和交換機(jī)Switch2 的FastEthernet0/24。為了提高兩交換機(jī)端口連接的帶寬，需要分別把交換機(jī)Switch1的FastEthernet0

28、/23、FastEthernet0/24和Switch2的FastEthernet0/23、 FastEthernet 0/24定義為AP端口。提示： Switch1(config)#interface aggregateport 10 /在交換機(jī)上創(chuàng)建一個(gè)AP10端口 Switch1(config)#interface range fa 0/23,0/24 /選擇交換機(jī)以太網(wǎng)端口fa 0/23,0/24 Switch1(config-if-range)#port-group 10 /把選擇的以太網(wǎng)端口fa 0/23,0/24加入到創(chuàng)建的AP10端口中6.5 6.5 路由技術(shù)路由技術(shù) 路由是指

29、路由器從一個(gè)接口上收到數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的目的地址進(jìn)行定向并轉(zhuǎn)發(fā)到另一個(gè)接口的過(guò)程。當(dāng)路由器的某一個(gè)接口接收到一個(gè)數(shù)據(jù)包時(shí)，會(huì)查看包中的目標(biāo)網(wǎng)絡(luò)地址以判斷該包的目的地址在當(dāng)前的路由表中是否存在（即路由器是否知道到達(dá)目標(biāo)網(wǎng)絡(luò)的路徑）。如果發(fā)現(xiàn)包的目標(biāo)地址與本路由器的某個(gè)接口所連接的網(wǎng)絡(luò)地址相同，那么馬上數(shù)據(jù)轉(zhuǎn)發(fā)到相應(yīng)接口；如果發(fā)現(xiàn)包的目標(biāo)地址不是自己的直連網(wǎng)段，路由器會(huì)查看自己的路由表，查找包的目的網(wǎng)絡(luò)所對(duì)應(yīng)的接口，并從相應(yīng)的接口轉(zhuǎn)發(fā)出去；如果路由表中記錄的網(wǎng)絡(luò)地址與包的目標(biāo)地址不匹配，則根據(jù)路由器配置轉(zhuǎn)發(fā)到默認(rèn)接口，在沒(méi)有配置默認(rèn)接口的情況下會(huì)給用戶返回目標(biāo)地址不可達(dá)的 ICMP 信息并將數(shù)據(jù)

30、包丟棄。 一般來(lái)說(shuō)，根據(jù)路由器對(duì)路由信息學(xué)習(xí)、生成并維護(hù)路由表的方法，可包括直連路由和非直連路由。 6.5.1 6.5.1 靜態(tài)路由和默認(rèn)路由靜態(tài)路由和默認(rèn)路由 1.靜態(tài)路由概念 靜態(tài)路由是由網(wǎng)絡(luò)規(guī)劃者根據(jù)網(wǎng)絡(luò)拓?fù)洌褂妹钍止ぴ诼酚善魃吓渲玫姆侵边B路由信息，這些靜態(tài)路由信息指導(dǎo)報(bào)文發(fā)送，靜態(tài)路由方式也不需要路由器進(jìn)行計(jì)算，不占用路由器的帶寬，但是它完全依賴于網(wǎng)絡(luò)規(guī)劃者配置。當(dāng)網(wǎng)絡(luò)規(guī)模較大或網(wǎng)絡(luò)拓?fù)浣?jīng)常發(fā)生改變時(shí)，由于靜態(tài)路由不能對(duì)網(wǎng)絡(luò)的改變作出及時(shí)反映，所以一般用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中。在所有的路由中，靜態(tài)路由優(yōu)先級(jí)最高。當(dāng)動(dòng)態(tài)路由與靜態(tài)路由發(fā)生沖突時(shí)，以靜態(tài)路由為準(zhǔn)。因此，靜

31、態(tài)路由的最大優(yōu)點(diǎn)就是簡(jiǎn)單、高效、可靠。 2.靜態(tài)路由的配置 配置命令: Router(config)#ip route 目的網(wǎng)絡(luò) 子網(wǎng)掩碼 出口端口號(hào)下跳一級(jí)端口的IP地址 3.默認(rèn)路由的配置 配置命令: Router(config)#ip route 出口端口號(hào)下跳一級(jí)端口的IP地址 6.5.2 6.5.2 動(dòng)態(tài)路由協(xié)議動(dòng)態(tài)路由協(xié)議 動(dòng)態(tài)路由是網(wǎng)絡(luò)中的路由器之間根據(jù)實(shí)時(shí)網(wǎng)絡(luò)拓?fù)渥兓?，相互通信傳遞路由信息，利用收到的路由信息通過(guò)路由選擇協(xié)議計(jì)算，更新路由表的過(guò)程 。因此，動(dòng)態(tài)路由減少了許多管理任務(wù)。根據(jù)是否在一個(gè)自治域（指一個(gè)具有統(tǒng)一管理機(jī)構(gòu)、統(tǒng)一路由策略的網(wǎng)絡(luò)

32、）內(nèi)部使用，動(dòng)態(tài)路由協(xié)議分為內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）和外部網(wǎng)關(guān)協(xié)議（EGP）。自治域內(nèi)部采用的路由選擇協(xié)議稱為內(nèi)部網(wǎng)關(guān)協(xié)議，常用的有路由信息協(xié)議RIP（Routing Information Protocol）、開(kāi)放式最短路徑優(yōu)先OSPF（Open Shortest Path First）協(xié)議；外部網(wǎng)關(guān)協(xié)議主要用于多個(gè)自治域之間的路由選擇，常用的是BGP和BGP-4。其中，IGP又分為距離矢量路由協(xié)議和鏈路狀態(tài)路由協(xié)議(如：OSPF)。6.5.3 RIP6.5.3 RIP協(xié)議協(xié)議 1.RIP協(xié)議概念 路由信息協(xié)議（Routing Information Protocol, RIP）是應(yīng)用較早、使

33、用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議，是典型的距離向量路由選擇協(xié)議。當(dāng)網(wǎng)絡(luò)中每臺(tái)路由器啟動(dòng)后，會(huì)把自己直連的網(wǎng)絡(luò)寫(xiě)到路由表中，同時(shí)每隔30秒會(huì)將自己生成的路由表廣播或者組播給相鄰路由器，并偵聽(tīng)相鄰路由器發(fā)來(lái)的路由表，經(jīng)過(guò)層層相互交換學(xué)習(xí)，每個(gè)路由器最終會(huì)學(xué)習(xí)到所有網(wǎng)絡(luò)的信息，并根據(jù)距離矢量算法會(huì)得到一條到達(dá)每一個(gè)目標(biāo)網(wǎng)絡(luò)的最佳路徑。RIP采用距離矢量算法，即路由器根據(jù)它跳過(guò)的路由器的數(shù)目最少（即“距離最短”）來(lái)作為度量標(biāo)準(zhǔn)來(lái)確定到達(dá)目的地的最佳路由。RIP協(xié)議允許一條路徑最大跳數(shù)是15，因此，距離為16時(shí)即為不可到達(dá)。由此可見(jiàn)，RIP協(xié)議的缺點(diǎn)就是，一方面，周期性地發(fā)布路由表，帶來(lái)不必要的流量；另一方面，路

34、由器不清楚整個(gè)網(wǎng)絡(luò)的拓?fù)?，只知道和自己直連的網(wǎng)絡(luò)情況，對(duì)網(wǎng)絡(luò)變化收斂速度慢，且存在路由環(huán)路的問(wèn)題，不適用于大型的復(fù)雜網(wǎng)絡(luò)。 2.RIP協(xié)議配置配置實(shí)例：如圖所示，分別配置R1和R2的RIP路由協(xié)議，使PC1和PC2能夠互通。 提示： R1(config)#router rip /啟用R1的RIP協(xié)議，并進(jìn)入RIP路由配置模式 R1(config-router)#network /指定R1中直接參與RIP路由協(xié)議的網(wǎng)絡(luò)地址 R1(config-router)#network /指定R1中直接參與RIP路由協(xié)議的網(wǎng)絡(luò)地址 R2(config)#r

35、outer rip /啟用R2的RIP協(xié)議，并進(jìn)入RIP路由配置模式 R2(config-router)#network /指定R2中直接參與RIP路由協(xié)議的網(wǎng)絡(luò)地址 R2(config-router)#network /指定R2中直接參與RIP路由協(xié)議的網(wǎng)絡(luò)地址6.5.4 OSPF6.5.4 OSPF協(xié)議協(xié)議 1.OSPF協(xié)議概念 OSPF是一種鏈路狀態(tài)的路由協(xié)議，需要每個(gè)路由器向其同一管理域的所有其它路由器發(fā)送鏈路狀態(tài)廣播信息。在OSPF的鏈路狀態(tài)廣播中包括所有接口信息、所有的量度和其它一些變量。利用OSPF的路由器首先必須收集有關(guān)的鏈路

36、狀態(tài)信息，并根據(jù)一定的算法計(jì)算出到每個(gè)節(jié)點(diǎn)的最短路徑。 與RIP不同，OSPF將一個(gè)自治域再劃分為區(qū)，相應(yīng)地即有兩種類型的路由選擇方式：當(dāng)源和目的地在同一區(qū)時(shí)，采用區(qū)內(nèi)路由選擇；當(dāng)源和目的地在不同區(qū)時(shí)，則采用區(qū)間路由選擇。這就大大減少了網(wǎng)絡(luò)開(kāi)銷，并增加了網(wǎng)絡(luò)的穩(wěn)定性。當(dāng)一個(gè)區(qū)內(nèi)的路由器出了故障時(shí)并不影響自治域內(nèi)其它區(qū)路由器的正常工作，這也給網(wǎng)絡(luò)的管理、維護(hù)帶來(lái)方便。由此可見(jiàn)，OSPF協(xié)議是用鏈路狀態(tài)來(lái)評(píng)估路由，可用于規(guī)模較大的網(wǎng)絡(luò)。 2.OSPF協(xié)議配置配置實(shí)例：如圖所示，分別配置R1和R2的OSPF路由協(xié)議，使PC1與PC2能夠互通。 提示： R1(config)#router ospf 1

37、 /啟用OSPF協(xié)議，并進(jìn)入OSPF路由配置模式 R1(config-router)#network 55 area 0 /在區(qū)域內(nèi)指定直接參與該路由器OSPF路由的網(wǎng)絡(luò)地址及其通配符掩碼 R1(config-router)#network 55 area 0 R2(config)#router ospf 1 /啟用OSPF協(xié)議，并進(jìn)入OSPF路由配置模式 R2(config-router)#network 55 area 0 /在區(qū)域內(nèi)指定直接參與該路由器OSPF路由的網(wǎng)絡(luò)

38、地址及其通配符掩碼 R2(config-router)#network 55 area 06.6 6.6 網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息安全 6.6.1 6.6.1 交換機(jī)端口安全交換機(jī)端口安全 1.端口安全概述 端口安全是一種基于MAC地址的安全機(jī)制。其主要功能是通過(guò)定義各種端口安全模式，讓設(shè)備學(xué)習(xí)到合法的源MAC地址，以達(dá)到相應(yīng)的網(wǎng)絡(luò)管理效果。它主要有以下幾個(gè)功能： （1）允許特定MAC地址的網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)，從而防止用戶將非法或未授權(quán)的設(shè)備接入網(wǎng)絡(luò)。 （2）限制端口接入的設(shè)備數(shù)量，防止用戶將過(guò)多的設(shè)備接入到網(wǎng)絡(luò)中。 2端口安全的配置 交換機(jī)端口安全配置思路大

39、概分為三步：一是配置端口的安全策略；二是指定授權(quán)訪問(wèn)的設(shè)備的 MAC地址；三是配置端口安全違例后的處理。 （3）端口的三種違例處理方式配置命令： Switch(config-if)#switchport port-security violationprotect|restrict|shutdown /指定端口違例處理的三種方式說(shuō)明：交換機(jī)端口的三種違例處理方式，即為基于上述情況（1）和（2）違規(guī)發(fā)生后的動(dòng)作：nProtect為保護(hù)方式，直接丟棄違例主機(jī)的數(shù)據(jù)包，不發(fā)出警告。nRestrict為限制方式，不轉(zhuǎn)發(fā)主機(jī)的數(shù)據(jù)包，向網(wǎng)絡(luò)管理主機(jī)發(fā)出通知。nShutdown禁用端口方式，當(dāng)違例產(chǎn)生時(shí)，

40、馬上關(guān)閉端口并發(fā)出一個(gè)通知。 6.6.2 6.6.2 訪問(wèn)控制列表（訪問(wèn)控制列表（ACLACL） 1、ACL概述 訪問(wèn)控制列表（Access Control List，ACL） 是由permit或deny語(yǔ)句組成的一系統(tǒng)有順序的規(guī)則列表，這些規(guī)則根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、端口號(hào)等來(lái)描述，ACL通過(guò)這些規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類，并將規(guī)則應(yīng)用到路由器的某個(gè)接口上，這樣路由器就可以根據(jù)這些規(guī)則來(lái)判斷哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕，從而實(shí)現(xiàn)網(wǎng)絡(luò)的安全性。 ACL安全控制技術(shù)根據(jù)其控制網(wǎng)絡(luò)范圍的精細(xì)程度不同，主要分為:標(biāo)準(zhǔn)IP ACL（Standard IP ACL）和擴(kuò)展IP ACL（Exte

41、nded IP ACL）兩種類型。ACL安全控制的主要執(zhí)行的兩個(gè)動(dòng)作為允許（Permit）和拒絕（Deny）,應(yīng)用在路由器上主要是在端口的輸入（In）和輸出（Out）兩個(gè)方向上的應(yīng)用。 2.定義IP ACL （1）標(biāo)準(zhǔn)IP ACL配置命令： Router(config)#access-list 列表號(hào) permit|deny定義過(guò)濾源主機(jī)范圍 說(shuō)明:n標(biāo)準(zhǔn)IP ACL列表號(hào)取值范圍：199n關(guān)鍵字permit表示允許從該端口通過(guò)流量，deny表示拒絕從該端口通過(guò)流量。n過(guò)濾源主機(jī)范圍可以是源主機(jī)的IP地址（host ip地址），也可以是源網(wǎng)絡(luò)地址（源網(wǎng)絡(luò)地址 通配符掩碼）。n若過(guò)濾源主機(jī)范圍為

42、“ 55”,可以用關(guān)鍵字“any”來(lái)代替。n若過(guò)濾源主機(jī)范圍為“IP地址 ”， 可以用關(guān)鍵字“host ip地址”來(lái)代替。 （2）擴(kuò)展IP ACL配置命令： Router(config)#access-list 列表號(hào) permit|deny 協(xié)議定義過(guò)濾源主機(jī)范圍定義過(guò)濾源端口定義過(guò)濾目的主機(jī)訪問(wèn)定義過(guò)濾目的端口說(shuō)明：n擴(kuò)展IP ACL列表號(hào)取值范圍：100199n關(guān)鍵字permit表示允許從該端口通過(guò)流量，deny表示拒絕從該端口通過(guò)流量。n協(xié)議定義了需要被過(guò)濾的協(xié)議，如IP、TCP。n過(guò)濾源主機(jī)范圍可以是源主機(jī)的IP地址（host i

43、p地址），也可以是源網(wǎng)絡(luò)地址（源網(wǎng)絡(luò)地址 通配符掩碼）。n在ACL中規(guī)定通配符掩碼用反向掩瑪來(lái)表示子網(wǎng)掩碼。n若過(guò)濾源主機(jī)范圍為“ 55”,可以用關(guān)鍵字“any”來(lái)代替。n若過(guò)濾源主機(jī)范圍為“IP地址 ”， 可以用關(guān)鍵字“host ip地址”來(lái)代替。 n定義過(guò)濾目的主機(jī)范圍與過(guò)濾源主機(jī)范圍的結(jié)構(gòu)相同。n定義過(guò)濾端口可以使用數(shù)字或可識(shí)別的助記符表示各種條件。 3. IP ACL應(yīng)用到端口上配置命令： Router(config)#interface 端口號(hào) Router(config-if)#ip access-group 列表號(hào) in|ou

44、t說(shuō)明：ninterface 命令用于指定IP ACL應(yīng)用的端口。n“端口號(hào)”是端口名稱，一般表示方法：“端口類型 插槽號(hào)/接口號(hào)”。n in|out用來(lái)指定該ACL是被應(yīng)用到流入端口（in）,還是流出端口（out）。網(wǎng)絡(luò)環(huán)境： 如圖所示，路由器R1連接了二個(gè)網(wǎng)段，分別為/24和/24。在/24網(wǎng)段中有一臺(tái)服務(wù)器Server提供WWW服務(wù)，IP地址為2。配置實(shí)例1： 如上圖所示，禁止/24網(wǎng)段中除Server這臺(tái)服務(wù)器訪問(wèn)/24的計(jì)算機(jī)。2可以正常訪172

45、.16.1.0/24。提示： R1(config)# access-list 1 permit host 2 /配置ACL1，允許2的數(shù)據(jù)包通過(guò)。 R1(config)#access-list 1 deny any /配置ACL1，拒絕其他一切IP地址進(jìn)行通信。 R1(config)#int fa 0/1 /進(jìn)入fa 0/1端口。 R1(config-if)#ip access-group 1 in /將ACL1應(yīng)用在此端口上。 說(shuō)明：經(jīng)過(guò)設(shè)置后E1端口就只容許來(lái)自2這個(gè)IP地址的數(shù)據(jù)包傳輸出去了。來(lái)自其他IP地址的數(shù)據(jù)包都無(wú)法通過(guò)E

46、1傳輸。配置實(shí)例2： 如上圖所示，禁止Server這臺(tái)服務(wù)器對(duì)/24網(wǎng)段的訪問(wèn)，而/24中的其他計(jì)算機(jī)可以正常訪問(wèn)。提示： R1(config)#access-list 1 deny host 2 /設(shè)置ACL1，禁止2的數(shù)據(jù)包通過(guò) R1(config)#access-list 1 permit any /設(shè)置ACL1，允許其他地址的計(jì)算機(jī)進(jìn)行通信 R1(config)#int fa 0/1 /進(jìn)入fa 0/1端口 R1(config-if)#ip access-group 1 in /將ACL1應(yīng)用在fa 0/1

47、端口上，同理可以進(jìn)入fa 0/0端口后使用ip access-group 1 out來(lái)完成宣告。說(shuō)明：配置完畢后除了2其他IP地址都可以通過(guò)路由器正常通信。配置實(shí)例3： 如上圖所示，禁止的計(jì)算機(jī)訪問(wèn)的計(jì)算機(jī)，包括Server這臺(tái)服務(wù)器，不過(guò)唯獨(dú)可以訪問(wèn)Server上的WWW服務(wù)，而其他服務(wù)不能訪問(wèn)。提示： R1(config)#access-list 101 permit tcp any 2 eq www /設(shè)置ACL101，允許源地址為任意IP，目的地址為服務(wù)器Server的80端口即WWW服務(wù)。

48、由于路由器默認(rèn)添加deny any的命令，所以ACL只寫(xiě)此一句即可。 R1(config)#int fa 0/1 /進(jìn)入fa 0/1端口 R1(config-if)#ip access-group 101 out /將ACL101應(yīng)用到fa 0/1出口上說(shuō)明：設(shè)置完畢后的計(jì)算機(jī)就無(wú)法訪問(wèn)的計(jì)算機(jī)了，就算是服務(wù)器2開(kāi)啟了FTP服務(wù)也無(wú)法訪問(wèn)，唯獨(dú)可以訪問(wèn)的就是Server的WWW服務(wù),而網(wǎng)段中的計(jì)算機(jī)是可以訪問(wèn)網(wǎng)段中的計(jì)算機(jī)。 6.7 6.7 網(wǎng)絡(luò)地址轉(zhuǎn)換（網(wǎng)絡(luò)地址轉(zhuǎn)換（NATNAT）6.7.1

49、6.7.1 私有地址私有地址 Internet上有成千上萬(wàn)臺(tái)主機(jī)，為了區(qū)分這些主機(jī)，人們給每臺(tái)主機(jī)分配了專門的地址，稱為IP地址。通過(guò)IP地址可以訪問(wèn)到網(wǎng)絡(luò)上的每一臺(tái)主機(jī)。IP地址分為公有地址和私有地址兩種，但只有公有地址才能在Internet上進(jìn)行通信，私有地址不能直接在公網(wǎng)上使用，只能內(nèi)部私有網(wǎng)絡(luò)中使用。因此，私有(保留)地址是當(dāng)時(shí)國(guó)際組織分配IP地址時(shí)保留（不需要經(jīng)過(guò)申請(qǐng)注冊(cè)）下來(lái)的一部分地址，用于給一個(gè)組織網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)使用。根據(jù)IP網(wǎng)絡(luò)協(xié)議，在前三類IP地址中都有一個(gè)網(wǎng)絡(luò)號(hào)是保留的IP地址, 不需要申請(qǐng)注冊(cè)，只能在內(nèi)部私有網(wǎng)絡(luò)中使用。具體分布如下：nA類：/8 nB

50、類：/16 nC類：/246.7.2 NAT6.7.2 NAT概念概念 網(wǎng)絡(luò)地址轉(zhuǎn)換，即NAT(Network Address Translation)功能，就是指在一個(gè)組織網(wǎng)絡(luò)內(nèi)部，各計(jì)算機(jī)間通過(guò)私有IP地址進(jìn)行通信，而當(dāng)組織內(nèi)部的計(jì)算機(jī)要與外部Internet網(wǎng)絡(luò)進(jìn)行通訊時(shí)，具有NAT功能的設(shè)備（這里路由器）負(fù)責(zé)將其私有IP地址轉(zhuǎn)換為真的IP地址，即該組織申請(qǐng)的合法IP地址才能進(jìn)行通信。 簡(jiǎn)單地說(shuō)，NAT就是一種將私有(保留)地址轉(zhuǎn)換為合法IP地址的接入廣域網(wǎng)技術(shù)。這種技術(shù)不僅解決了IP地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并

51、保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)，提高了網(wǎng)絡(luò)的安全性。6.7.3 NAT6.7.3 NAT原理原理 一般路由器會(huì)為NAT的眾多連接建立一個(gè)表，即NAT表.NAT在做地址轉(zhuǎn)換時(shí)，依靠在NAT表中記錄內(nèi)部私有地址和外部公有地址的映射關(guān)系來(lái)保存地址轉(zhuǎn)換的依據(jù)。當(dāng)執(zhí)行NAT操作時(shí)，路由器在做某一數(shù)據(jù)連接操作時(shí)只需要查詢?cè)摫?，就可以得知?yīng)該如何轉(zhuǎn)換地址，而不會(huì)發(fā)生數(shù)據(jù)連接的混淆。 在運(yùn)行NAT的路由器中，當(dāng)數(shù)據(jù)包被傳送時(shí)，NAT可以轉(zhuǎn)換數(shù)據(jù)包的IP地址和TCP/UDP數(shù)據(jù)包的端口號(hào)。設(shè)置NAT功能的路由器至少要有一個(gè)Inside（內(nèi)部）端口和一個(gè)Outside（外部）端口。內(nèi)部端口連接內(nèi)網(wǎng)的用戶，外部端口一般連接到

52、Internet。當(dāng)IP數(shù)據(jù)包離開(kāi)內(nèi)部網(wǎng)絡(luò)時(shí)，NAT負(fù)責(zé)將內(nèi)網(wǎng)IP源地址（通常是專用地址）轉(zhuǎn)換為合法的公共IP地址。當(dāng)IP數(shù)據(jù)包進(jìn)入內(nèi)網(wǎng)時(shí)，NAT將合法的公共IP目的地址轉(zhuǎn)換為內(nèi)網(wǎng)的IP源地址，如圖6-17所示：6.7.4 NAT6.7.4 NAT的配置的配置 1.靜態(tài)NAT 靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（Static Nat）是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問(wèn)。n配置實(shí)例1：某公司想讓外部用戶訪問(wèn)一臺(tái)內(nèi)部網(wǎng)絡(luò)的WEB服務(wù)器，管理員可以在路由

53、器Router中使用靜態(tài)NAT，將一個(gè)外網(wǎng)全球地址（）映射到一個(gè)內(nèi)部地址（0），假設(shè)該路由器Router 的Fa0/0端口連接內(nèi)網(wǎng),Fa 0/1端口連接外網(wǎng)。提示:（1）定義內(nèi)部接口：連接內(nèi)部網(wǎng)絡(luò)： Router(config)#int fa 0/0 Router(config-if)#ip address Router(config-if)#ip nat inside /定義該端口連接內(nèi)網(wǎng)（2）定義外部接口：連接外部網(wǎng)絡(luò)： Router(config-if)#int fa 0/1 Router(config-if)#ip a

54、ddress Router(config-if)#ip nat outside（3）在內(nèi)部本地地址與外部全局地址之間建立靜態(tài)地址轉(zhuǎn)換： Router(config)#ip nat inside source static 0 2.動(dòng)態(tài)NAT 動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（Dynamic Nat）是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問(wèn)上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說(shuō)，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)

55、行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。 配置實(shí)例2：某公司想讓外部用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)的主機(jī)，管理員可以在路由器Router中使用動(dòng)態(tài)NAT，將一個(gè)外網(wǎng)全球地址（）映射到內(nèi)部網(wǎng)絡(luò)地址（）上，假設(shè)路由器Router 的Fa0/0端口接內(nèi)網(wǎng),Fa 0/1端口接外網(wǎng)。 提示：（1）定義內(nèi)部端口，連接內(nèi)部網(wǎng)絡(luò)： Router(config)#int fa 0/0 Router(config-if)#ip address Router(c

56、onfig-if)#ip nat inside（2）定義外部端口，連接外部網(wǎng)絡(luò)： Router(config-if)#int fa 0/1 Router(config-if)#ip address Router(config-if)#ip nat outside（3）定義合法IP地址池： Router(config)#ip nat pool mynatpool netmask （4）定義一個(gè)標(biāo)準(zhǔn)ACL，允許哪些內(nèi)部地址可以進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換 ： Router(config)#access-list 1

57、permit 55（5）實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換：將由access-list指定的內(nèi)部本地地址與指定的外部合法地址進(jìn)行地址轉(zhuǎn)換。 Router(config)#ip nat inside source list 1 pool myanatpool 3. 端口復(fù)用動(dòng)態(tài)NAT 端口多路復(fù)用(端口多路復(fù)用Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，Port Address Translation)，采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問(wèn)，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來(lái)自Internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。配置實(shí)例3：某公司想讓外部用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)的主機(jī)，管