（中職）交換機(jī)與路由器配置實(shí)驗(yàn)教程06第6章 路由器高級配置和實(shí)驗(yàn)電子教案

（中職）交換機(jī)與路由器配置實(shí)驗(yàn)教程06第6章路由器高級配置和實(shí)驗(yàn)電子教案（中職）交換機(jī)與路由器配置實(shí)驗(yàn)教程06第6章路由器高級配置和實(shí)驗(yàn)電子教案PAGEPAGE14（中職）交換機(jī)與路由器配置實(shí)驗(yàn)教程06第6章路由器高級配置和實(shí)驗(yàn)電子教案第六章路由器高級配置和實(shí)驗(yàn)路由器的基本功能就是為不同網(wǎng)絡(luò)通信，為了能夠更好的通信，需要通過路由表尋找通往目標(biāo)的路徑。路由表就像地圖，指明到達(dá)各個(gè)網(wǎng)絡(luò)的信息，包括線路，經(jīng)過的路由器，下一臺(tái)轉(zhuǎn)發(fā)的路由器等內(nèi)容。路由表可以是系統(tǒng)管理員設(shè)置好的靜態(tài)路由（包括默認(rèn)路由），也可以是由路由器自動(dòng)調(diào)整、學(xué)習(xí)的動(dòng)態(tài)路由。一些大型網(wǎng)絡(luò)，幾十臺(tái)、上百臺(tái)甚至成千上萬臺(tái)路由器的網(wǎng)絡(luò)環(huán)境中，或者說在Internet環(huán)境中，網(wǎng)絡(luò)設(shè)備經(jīng)常變動(dòng)，拓?fù)浣Y(jié)構(gòu)也可能隨時(shí)改變。在這種復(fù)雜的網(wǎng)絡(luò)環(huán)境中，如果讓管理員手工配置靜態(tài)路由，幾乎是不可能的。因?yàn)榫W(wǎng)絡(luò)結(jié)構(gòu)發(fā)生改變，靜態(tài)路由往往無法及時(shí)更新。在這種情況下產(chǎn)生了動(dòng)態(tài)路由，就是讓路由器之間互相學(xué)習(xí)網(wǎng)絡(luò)分布狀況，自動(dòng)生成路由地址表，并根據(jù)網(wǎng)絡(luò)系統(tǒng)情況自動(dòng)進(jìn)行調(diào)整，自動(dòng)學(xué)習(xí)和記憶網(wǎng)絡(luò)運(yùn)行情況，自動(dòng)計(jì)算數(shù)據(jù)傳輸?shù)淖罴崖酚刹?shí)現(xiàn)容錯(cuò)。實(shí)驗(yàn)一動(dòng)態(tài)路由之RIP協(xié)議動(dòng)態(tài)路由是路由器根據(jù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況自動(dòng)計(jì)算調(diào)整路由。每臺(tái)路由器將自己知道的路由信息，發(fā)給相鄰的路由器，最終每臺(tái)路由器都會(huì)收到網(wǎng)絡(luò)中所有的路由信息。然后通過某種算法，計(jì)算出最終的路由表。動(dòng)態(tài)路由協(xié)議根據(jù)所連接網(wǎng)絡(luò)的規(guī)模大小，又分為距離矢量路由協(xié)議和鏈路狀態(tài)路由協(xié)議。距離矢量路由協(xié)議一般用于小型網(wǎng)絡(luò)，其中“距離”的意思是使用“跳數(shù)”作為度量值，來計(jì)算到達(dá)目的地要經(jīng)過的路由器數(shù)，根據(jù)距離的遠(yuǎn)近（“跳數(shù)”），來決定最好的路徑。距離矢量路由協(xié)議不適用與大型網(wǎng)絡(luò)，“跳數(shù)”過多將出現(xiàn)不可到達(dá)信息。由于每個(gè)路由器都是從鄰居那里得到路由信息來更新自己的路由表，所以相互傳輸路由信息可信度不高。路由信息協(xié)議（RIP）是計(jì)算機(jī)網(wǎng)絡(luò)中歷史悠久的路由協(xié)議，也是較早推出的距離矢量路由協(xié)議，它是一種最簡單的距離矢量路由協(xié)議，非常適用于小型網(wǎng)絡(luò)。RIP路由協(xié)議是以“跳數(shù)”作為度量值來計(jì)算路由的，“跳數(shù)”指的是一個(gè)包，從源到達(dá)目標(biāo)網(wǎng)絡(luò)過程中經(jīng)過的路由器個(gè)數(shù)。每經(jīng)過一臺(tái)路由器，“跳數(shù)”加1?！疤鴶?shù)”越多，路由越長，RIP會(huì)根據(jù)原則，優(yōu)先選擇“跳數(shù)”少的路徑作為最優(yōu)路徑。雖然到達(dá)相同目標(biāo)有不等速或不同帶寬的網(wǎng)絡(luò)，但只要“跳數(shù)”一樣，則RIP認(rèn)為這兩條路由是一樣的。同理，低帶寬“跳數(shù)”少的，優(yōu)于高帶寬“跳數(shù)”多的，這種情況有時(shí)是不合理的。RIP支持最大的“跳數(shù)”是15，超過則被認(rèn)為不可到達(dá)。RIP還經(jīng)過了Version1和Version2兩個(gè)版本，早期的V1版本早已被淘汰，現(xiàn)在網(wǎng)絡(luò)中都是采用V2版本。有時(shí)在實(shí)驗(yàn)時(shí)還要設(shè)置版本為Version2。RIP路由具體配置非常簡單：全局配置模式下，啟用RIP路由協(xié)議。在路由器配置模式下，用Network命令發(fā)布本路由器的直連網(wǎng)絡(luò)網(wǎng)段，子網(wǎng)掩碼可以不輸入。目前絕大多數(shù)路由器和三層交換機(jī)都支持默認(rèn)動(dòng)態(tài)路由，即network命令，發(fā)布本路由器直連的所有網(wǎng)段，減少輸入命令的條數(shù)。相對應(yīng)的命令：1、Router（config）#routerrip！啟用RIP2、Router（config-router）#networkx.x.x.x！發(fā)布直連網(wǎng)段或3、Router（config-router）#network！默認(rèn)路由為使實(shí)驗(yàn)貼近實(shí)際應(yīng)用，我們采用如下圖6-1所示的拓?fù)浣Y(jié)構(gòu)：圖6-1RIP路由實(shí)驗(yàn)拓?fù)鋱D拓?fù)渚幹罚篠W3：F0/0——IP：/24Vlan10——IP：/24PC1——IP：/24，網(wǎng)關(guān)為Vlan10的IPR1：E0/0——IP：/24E0/1——IP：/24R2：E0/1——IP：/24E0/0——IP：/8PC2——IP：/8，網(wǎng)關(guān)為R2上的E0/0的IP順利的實(shí)現(xiàn)了全網(wǎng)互通，在實(shí)驗(yàn)過程中大家可以使用network命令來進(jìn)行實(shí)驗(yàn)，減少輸入命令的條數(shù)。本實(shí)驗(yàn)中路由器全部使用的是快速以太網(wǎng)接口，如果使用Serial串行接口，一定要在電纜DCE端的路由器上配置該串口的時(shí)鐘頻率，一般為64000。Serial串行接口在仿真機(jī)上沒辦法做實(shí)驗(yàn)，其配置方法和普通以太網(wǎng)接口一樣，不過進(jìn)入的命令是：intserial0，配置完IP地址后，要增加一條時(shí)鐘頻率命令：clockrate64000，即可。在線路兩端，只能為其中一個(gè)串行端口配置時(shí)鐘頻率，不能在兩個(gè)端口都配置，否則無法通信。如圖6-9：圖6-9路由器串口連接實(shí)驗(yàn)二動(dòng)態(tài)路由之OSPF協(xié)議上一節(jié)提到的動(dòng)態(tài)路由除了距離矢量路由協(xié)議之外，還有一種鏈路狀態(tài)路由協(xié)議。鏈路狀態(tài)路由協(xié)議比距離矢量路由協(xié)議有更強(qiáng)的處理能力，可以提供更多的控制和提供更快的相應(yīng)速度。鏈路狀態(tài)算法使用更多的方法，如根據(jù)鏈路的帶寬，可靠性和負(fù)載變化，避開擁塞，選擇線路，優(yōu)化線路或提供更高的優(yōu)先級來實(shí)現(xiàn)網(wǎng)絡(luò)連通。鏈路狀態(tài)路由協(xié)議適合大型網(wǎng)絡(luò)，它能在更短的時(shí)間發(fā)現(xiàn)新加入的路由器或中斷，使得路由表更新時(shí)間更短。不過由于它的復(fù)雜性，要求路由器CPU更快，內(nèi)存更大。OSPF協(xié)議，又稱“開放最短路徑優(yōu)先”協(xié)議，該協(xié)議是開放的，因此，它可以在幾乎所有路由器和三層交換機(jī)上使用。OSPF協(xié)議的實(shí)現(xiàn)原理是：處于同一個(gè)OSPF中的路由器選出這個(gè)區(qū)域內(nèi)的一臺(tái)主路由器，每臺(tái)路由器根據(jù)自己的網(wǎng)絡(luò)結(jié)構(gòu)生成自己的鏈路狀態(tài)，告知主路由器，而不是像RIP那樣向鄰居發(fā)送。所有鏈路信息放在一起組成一個(gè)完整的鏈路情況數(shù)據(jù)庫，每臺(tái)路由器都得到這個(gè)數(shù)據(jù)庫，每臺(tái)路由器根據(jù)這個(gè)數(shù)據(jù)庫，利用一定算法（SPF算法，由Dijkstra艾茲格·迪科斯徹發(fā)明，又叫最短路徑算法），計(jì)算出以自己為根的最短路徑，形成路由表。因此OSPF協(xié)議不是通過鄰居之間廣播學(xué)習(xí)路由信息的，在同一個(gè)區(qū)域內(nèi)擁有一個(gè)相同的路由信息數(shù)據(jù)庫，OSPF協(xié)議關(guān)注的是鏈路的狀態(tài)，它比RIP協(xié)議更可靠。OSPF協(xié)議是一種典型的鏈路狀態(tài)協(xié)議，它的適應(yīng)范圍比較廣泛，支持各種規(guī)模的網(wǎng)絡(luò)，反應(yīng)速度更快，允許將大的網(wǎng)絡(luò)劃分為小的區(qū)域來管理，區(qū)域內(nèi)部和區(qū)域間分別傳送路由，從而減少占用網(wǎng)絡(luò)帶寬，減少對其他設(shè)備的干擾。如圖6-10：圖6-10OSPF路由中的區(qū)域所有的OSPF路由協(xié)議中都存在一個(gè)骨干區(qū)域Area0，要求其余區(qū)域必須與骨干區(qū)域直接相連，骨干區(qū)域一般為0號(hào)區(qū)域。每個(gè)區(qū)域內(nèi)的路由器保持一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫，不同區(qū)域內(nèi)的路由器的鏈路狀態(tài)數(shù)據(jù)庫不同。骨干區(qū)域是非常重要的，當(dāng)一個(gè)區(qū)域的路由信息對外廣播時(shí)，其路由信息先傳遞至骨干區(qū)域，再由骨干區(qū)域?qū)⒃撀酚尚畔⑾蚱溆鄥^(qū)域廣播。本實(shí)驗(yàn)主要用于實(shí)現(xiàn)OSPF協(xié)議在單區(qū)域內(nèi)的網(wǎng)絡(luò)配置，OSPF協(xié)議配置命令為:1、在全局配置模式下啟動(dòng)OSPF，進(jìn)入OSPF路由協(xié)議配置模式：Router（config）#Routerospfprocess-id其中process-id是用來在這個(gè)路由器接口上啟動(dòng)的OSPF的唯一標(biāo)識(shí)。Process-id可以作為識(shí)別一臺(tái)路由器上是否運(yùn)行著多個(gè)OSPF進(jìn)程的依據(jù)。Process-id的取值范圍為1——65535。一個(gè)路由器的每個(gè)接口都可以選擇不同的id，但一般來說不推薦在路由器上運(yùn)行多個(gè)OSPF，因?yàn)槎鄠€(gè)id會(huì)有多個(gè)拓?fù)鋽?shù)據(jù)庫，給路由器造成額外負(fù)擔(dān)。2、發(fā)布OSPF的網(wǎng)絡(luò)號(hào)和指定端口所在區(qū)域號(hào)：Router（config-router）#networkaddresswildcardareaarea-idAddresswildcard：表示運(yùn)行OSPF端口所在網(wǎng)絡(luò)網(wǎng)段地址以及相應(yīng)的子網(wǎng)掩碼的反碼。例如/24，網(wǎng)段是：，子網(wǎng)掩碼是：，子網(wǎng)掩碼的反碼是：55。反碼就是按位變反，1變0,0變1。如：的反碼是：55。那么55表示——55這個(gè)地址范圍，這個(gè)55表示通配符。通配符為0的位，IP地址不能更改，通配符為1的位，IP地址可以變化。255表示8位的變化范圍是：00000000——11111111（0——255），所以55表示——55這個(gè)地址范圍。area-id：表示OSPF路由器接口的區(qū)域號(hào)。骨干區(qū)域?yàn)?。設(shè)計(jì)本實(shí)驗(yàn)的拓?fù)鋱D如下圖6-11：圖6-11OSPF路由實(shí)驗(yàn)拓?fù)鋱D拓?fù)渚幹罚篠W3：Vlan10——IP：/24Vlan20——IP：/24PC1——IP：/24，網(wǎng)關(guān)為Vlan20的IPR1：E0/1——IP：/24E0/0——IP：/24R2：E0/0——IP：/24E0/1——IP：/8PC2——IP：/8，網(wǎng)關(guān)為R2上的E0/1的IP驗(yàn)證某設(shè)備的端口配置情況，可以在其中一臺(tái)設(shè)備上運(yùn)行：“showipintbrief”命令來查看所配置的端口運(yùn)行情況，下圖6-12是R1的顯示結(jié)果：圖6-12查看R1的OSPF動(dòng)態(tài)路由使用“showiproute”命令查看三層交換機(jī)SW3的路由配置情況如下圖6-13：圖6-13查看交換機(jī)的OSPF動(dòng)態(tài)路由圖中“C”表示直連路由，有兩條：網(wǎng)段和網(wǎng)段?！埃稀北硎綩SPF路由，有兩條：和網(wǎng)段。在虛擬PC上做最終檢驗(yàn)，PC1和PC2之間是可以Ping通的。如圖6-14：圖6-14驗(yàn)證連通性實(shí)驗(yàn)三靜態(tài)NATNAT（NetworkAddressTranslation）網(wǎng)絡(luò)地址翻譯，指的是將一個(gè)內(nèi)網(wǎng)私有IP地址轉(zhuǎn)換成外網(wǎng)（公網(wǎng)）IP地址。NAT可以將多個(gè)內(nèi)部網(wǎng)絡(luò)地址翻譯（映射）成幾個(gè)外網(wǎng)（公網(wǎng)）IP地址，讓內(nèi)部網(wǎng)絡(luò)中的私有IP“偽造”成公網(wǎng)IP訪問互聯(lián)網(wǎng)，為網(wǎng)絡(luò)帶來了相對的安全。在NAT技術(shù)中有一種特殊的方法，可以將一段私有IP轉(zhuǎn)換成一個(gè)或少數(shù)幾個(gè)公網(wǎng)IP地址，從而節(jié)省了公網(wǎng)IP地址資源，這種技術(shù)稱為PAT（PortAddressTranslation端口地址翻譯）。有的地方稱為NAPT（NetworkAddressPortTranslation網(wǎng)絡(luò)地址端口轉(zhuǎn)換），意思是一樣的。靜態(tài)NAT的工作原理很簡單。NAT將網(wǎng)絡(luò)分為內(nèi)部網(wǎng)絡(luò)（inside）和外部網(wǎng)絡(luò)（outside），內(nèi)部網(wǎng)絡(luò)指的是單位內(nèi)部局域網(wǎng)，外部網(wǎng)絡(luò)指的是公共網(wǎng)絡(luò)，一般是指Internet。如圖6-15，PC4假設(shè)是公共網(wǎng)絡(luò)，是內(nèi)部網(wǎng)絡(luò)需要訪問的外網(wǎng)，假設(shè)它的IP地址是：/24。PC1有一個(gè)私有IP：/24，當(dāng)它需要訪問Internet時(shí)，它先向路由器發(fā)出請求，路由器會(huì)根據(jù)靜態(tài)NAT的設(shè)置，把私有IP（）轉(zhuǎn)換為公網(wǎng)IP（），然后把數(shù)據(jù)包發(fā)送出去。Internet需要返回?cái)?shù)據(jù)時(shí)，返回的數(shù)據(jù)是發(fā)送給，然后由路由器根據(jù)對應(yīng)關(guān)系，把這個(gè)數(shù)據(jù)包發(fā)送到。可以看出，靜態(tài)NAT實(shí)現(xiàn)的是一對一的轉(zhuǎn)換，將內(nèi)部私有IP固定的轉(zhuǎn)換為外網(wǎng)合法IP，這是不可能節(jié)省IP地址資源的。它的好處是，內(nèi)網(wǎng)中建立了服務(wù)器，比如Web，F(xiàn)tp，E-mail等服務(wù)器，這些服務(wù)器往往同時(shí)為內(nèi)網(wǎng)和外網(wǎng)提供服務(wù)，對于這樣的服務(wù)，就必須建立靜態(tài)NAT進(jìn)行轉(zhuǎn)換。配置命令如下：端口模式下：Ipnatinside!將某端口指定為內(nèi)部端口Ipnatoutside！將端口指定為外部端口全局模式下：Ipnatinsidesourcestaticinside_ipoutside_ipInside_ip，指的是內(nèi)部IP地址Outside_ip，指的是翻譯成的外部IP地址假設(shè)某單位在單位內(nèi)部創(chuàng)建了Web服務(wù)器和Ftp服務(wù)器，它們的內(nèi)部IP地址分別為：/24、/24，允許內(nèi)部網(wǎng)絡(luò)訪問。要想讓外部網(wǎng)絡(luò)也可以訪問這兩臺(tái)服務(wù)器，該單位準(zhǔn)備采用靜態(tài)NAT，這時(shí)該單位又申請了兩個(gè)公網(wǎng)IP地址：/24和/24與這兩個(gè)內(nèi)網(wǎng)IP相對應(yīng)來實(shí)現(xiàn)靜態(tài)NAT。那么，內(nèi)網(wǎng)用戶訪問服務(wù)器時(shí)用內(nèi)網(wǎng)IP，外網(wǎng)用戶訪問服務(wù)器時(shí)用外網(wǎng)IP，其訪問效果是一樣的。如圖6-15：圖6-15靜態(tài)NAT實(shí)驗(yàn)拓?fù)鋱D拓?fù)渚幹罚篠W1：沒有Vlan，沒有IP地址，不用設(shè)置PC1——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC2——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC3——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC4——IP：/24，網(wǎng)關(guān)為R1上E0/1的IPR1：E0/1——IP：/24E0/0——IP：/24外網(wǎng)對應(yīng)IP：————實(shí)驗(yàn)的想法是PC1和PC2分別對應(yīng)有NAT轉(zhuǎn)換的外網(wǎng)IP，PC3沒有，PC4假設(shè)為外網(wǎng)Internet，設(shè)定好路由器端口IP后，因?yàn)槭沁B在一個(gè)路由器上，屬于直連路由，所以全網(wǎng)互通。在R1上設(shè)置靜態(tài)NAT后，外網(wǎng)訪問和可以訪問。但不能訪問內(nèi)網(wǎng)IP，如：等。注意：這個(gè)實(shí)驗(yàn)中，假設(shè)PC4是Internet，又因?yàn)樵谝慌_(tái)路由器上，是直連路由，所以實(shí)現(xiàn)了連通。但是Internet上的IP地址可是千差萬別，各不相同的。這樣就不行了，必須在R1上配置一條默認(rèn)路由，就是說凡是從E0/1出去的訪問，訪問任何IP都允許。這就是默認(rèn)路由的最大用處，當(dāng)存在末梢網(wǎng)絡(luò)時(shí)，這種網(wǎng)絡(luò)只有一個(gè)唯一的路徑可以到達(dá)其他網(wǎng)絡(luò)，而Internet的IP又不可能預(yù)知，所以只有唯一的選擇，配置一條默認(rèn)路由。表示內(nèi)網(wǎng)無論訪問Internet哪個(gè)網(wǎng)段，都允許，都從這個(gè)端口默認(rèn)轉(zhuǎn)發(fā)。R1(config)#IProuteE0/1擴(kuò)展實(shí)驗(yàn)：我們增加一臺(tái)路由器R2，同時(shí)重新設(shè)置一下IP地址，如圖6-22：圖6-22靜態(tài)NAT擴(kuò)展實(shí)驗(yàn)拓?fù)鋱D再做這個(gè)實(shí)驗(yàn)時(shí)，在R1上設(shè)置默認(rèn)路由，更好的理解靜態(tài)NAT。實(shí)驗(yàn)四動(dòng)態(tài)NAT靜態(tài)NAT是實(shí)現(xiàn)私有IP地址和公網(wǎng)IP地址之間的一一對應(yīng)的轉(zhuǎn)換，如果內(nèi)網(wǎng)有服務(wù)器，需要同時(shí)為內(nèi)網(wǎng)和外網(wǎng)提供服務(wù)，這是最好的一種方法，因?yàn)樗接蠭P和公網(wǎng)IP是固定的對應(yīng)關(guān)系，不會(huì)改變。而動(dòng)態(tài)NAT則不是這樣。動(dòng)態(tài)NAT也是實(shí)現(xiàn)私有IP和公網(wǎng)IP之間的一一對應(yīng)轉(zhuǎn)換，但是它們的關(guān)系是不固定的，就是說私有IP訪問外網(wǎng)時(shí)也要進(jìn)行轉(zhuǎn)換，轉(zhuǎn)換成公網(wǎng)IP，但是轉(zhuǎn)換時(shí)不是固定轉(zhuǎn)換成某一IP，而是隨機(jī)的。動(dòng)態(tài)NAT的原理是這樣的：首先還是要地址轉(zhuǎn)換，內(nèi)網(wǎng)轉(zhuǎn)換成外網(wǎng)。和靜態(tài)的不同，是動(dòng)態(tài)的轉(zhuǎn)換。動(dòng)態(tài)NAT是定義了一個(gè)地址池（pool），其中地址池中的地址是一組連續(xù)的外網(wǎng)IP地址，所有內(nèi)網(wǎng)中允許的IP都可以使用地址池中的任意一個(gè)進(jìn)行轉(zhuǎn)換。所謂允許的IP是指可以在路由器上使用訪問控制列表來定義，允許哪一部分內(nèi)網(wǎng)IP使用這個(gè)地址池進(jìn)行轉(zhuǎn)換。（訪問控制列表在第七章，可以提前看一下）根據(jù)訪問控制列表的命令要求，允許的IP一般是某一個(gè)網(wǎng)段，如/24等。動(dòng)態(tài)NAT的外網(wǎng)轉(zhuǎn)換IP是動(dòng)態(tài)的，不固定，當(dāng)需要時(shí)從地址池隨機(jī)選擇。用完后（通信結(jié)束）就需要把這個(gè)地址放回地址池，供其他主機(jī)使用。這樣就可以部分緩解外網(wǎng)IP地址壓力。比如需要訪問外網(wǎng)的內(nèi)部主機(jī)有100臺(tái)，私有IP地址當(dāng)然也是100個(gè)，訪問控制列表允許這100臺(tái)訪問外網(wǎng)。但是只能申請到50個(gè)公網(wǎng)IP，也就是說只能最多同時(shí)有50臺(tái)內(nèi)部電腦可以轉(zhuǎn)換成公網(wǎng)IP訪問外網(wǎng)?？墒菃挝焕锊⒉皇敲颗_(tái)電腦都需要同時(shí)訪問外網(wǎng)的。這樣就保證了能訪問外網(wǎng)，又不像靜態(tài)NAT那樣完全一對一固定關(guān)系，節(jié)約了部分公網(wǎng)IP。注意，靜態(tài)NAT和動(dòng)態(tài)NAT可以共存。如果有需要內(nèi)外網(wǎng)都訪問的服務(wù)器，可以采用靜態(tài)NAT，別的可以采用動(dòng)態(tài)NAT。還有一個(gè)好處，因?yàn)閮?nèi)網(wǎng)主機(jī)訪問出去的IP經(jīng)常隨機(jī)變化，增加了網(wǎng)絡(luò)安全性。命令格式：端口模式下：Ipnatinside!將某端口指定為內(nèi)部端口Ipnatoutside！將端口指定為外部端口全局模式下：1、Ipnatpoolnamestart_ipend_ipnetmasknetmask或：Ipnatpoolnamestart_ipend_ipprefix_length子網(wǎng)掩碼位數(shù)其中：name指的是地址池的名稱start_ip和end_ip指的是地址池的開始IP和結(jié)束IPnetmask指的是地址池的IP地址的子網(wǎng)掩碼子網(wǎng)掩碼位數(shù)指的是如果不用子網(wǎng)掩碼表示，可以用位數(shù)表示如：24表示。2、access_listnumberpermitsourcewildcard其中：number指的是訪問控制列表的號(hào)碼，1——99sourcewildcard指的是允許地址轉(zhuǎn)換的地址段和對應(yīng)的通配符，和OSPF路由的那個(gè)意思一樣。3、ipnatinsidesourcelistnumberpoolname其中：number還是那個(gè)2號(hào)命令中的那個(gè)訪問控制列表號(hào)name還是那個(gè)1號(hào)命令中地址池的名字單看命令格式介紹，容易看不懂，結(jié)合下面的實(shí)驗(yàn)，很容易就可以理解了。某學(xué)校內(nèi)部局域網(wǎng)使用的IP網(wǎng)段是/24，現(xiàn)在它們申請了一段公網(wǎng)IP：——00/24，使用動(dòng)態(tài)NAT訪問互聯(lián)網(wǎng)。注意，這個(gè)實(shí)驗(yàn)中和用在路由器上了，如圖6-23：圖6-23動(dòng)態(tài)NAT實(shí)驗(yàn)拓?fù)鋱D拓?fù)渚幹罚篠W1：沒有Vlan，沒有IP地址，不用設(shè)置PC1——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC2——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC3——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC4——IP：/24，網(wǎng)關(guān)為R2上E0/0的IPR1：E0/1——IP：/24E0/0——IP：/24R2：E0/1——IP：/24E0/0——IP：/24進(jìn)行地址轉(zhuǎn)換時(shí)，/24網(wǎng)段的主機(jī)可以動(dòng)態(tài)轉(zhuǎn)換成——00之間的IP訪問外網(wǎng)，外網(wǎng)則不能訪問內(nèi)網(wǎng)。用了兩個(gè)路由器，我們在R1上用默認(rèn)路由指向外網(wǎng)。PC4模擬為Internet。實(shí)驗(yàn)五PAT靜態(tài)NAT主要用于企業(yè)網(wǎng)內(nèi)部有服務(wù)器，并且服務(wù)器需要同時(shí)為內(nèi)網(wǎng)和外網(wǎng)服務(wù)的情況。動(dòng)態(tài)NAT可以實(shí)現(xiàn)企業(yè)內(nèi)部私有地址對外網(wǎng)的訪問，但是不能完全解決公網(wǎng)IP地址不足的問題。但是這兩種NAT都是可以實(shí)現(xiàn)私有IP地址和公網(wǎng)IP地址之間的轉(zhuǎn)換的，靜態(tài)NAT轉(zhuǎn)換成一對一的靜態(tài)公網(wǎng)IP。動(dòng)態(tài)NAT，在某一確定的時(shí)間，也是一對一的轉(zhuǎn)換成公網(wǎng)IP。只不過在下一次連接時(shí)，可能會(huì)換另外一個(gè)公網(wǎng)IP，但它總是要占用一個(gè)公網(wǎng)IP的。隨著Internet的飛速發(fā)展，上國際互聯(lián)網(wǎng)的人越來越多，不可能為每個(gè)人，每臺(tái)主機(jī)都分配IP地址。IP地址短缺已經(jīng)非常嚴(yán)重，而靜態(tài)NAT根本不能解決這個(gè)問題，動(dòng)態(tài)NAT也只是部分解決，仍需要大量的公網(wǎng)IP。很多單位根本申請不到那么多，往往只能申請一個(gè)公網(wǎng)IP。使用PAT（PortAddressTranslations，端口地址翻譯），允許將多個(gè)內(nèi)網(wǎng)私有IP地址映射到同一個(gè)公網(wǎng)IP上。實(shí)際上PAT和動(dòng)態(tài)NAT幾乎是一樣的，只不過在地址轉(zhuǎn)換的時(shí)候沒有地址池，或說地址池內(nèi)只有一個(gè)地址，所有的私有地址都轉(zhuǎn)換成同一個(gè)公網(wǎng)IP地址，轉(zhuǎn)換時(shí)對網(wǎng)關(guān)路由器的外網(wǎng)接口IP地址進(jìn)行復(fù)用（overload）。復(fù)用技術(shù)是通過利用對話的端口號(hào)來實(shí)現(xiàn)的。如圖6-25（和6-23一樣）：圖6-25PAT實(shí)驗(yàn)拓?fù)鋱DPC1、PC2等需要訪問Internet，它們的私有地址段位/24，只申請到了一個(gè)公網(wǎng)IP：，配置在R1的E0/1接口上。在進(jìn)行地址轉(zhuǎn)換時(shí)，轉(zhuǎn)換的映射中包括兩項(xiàng)（IP地址和端口號(hào)）。如PC1地址為：|1001，那么轉(zhuǎn)換成公網(wǎng)IP就是：|1001?；貞?yīng)包會(huì)根據(jù)端口號(hào)1001判斷出應(yīng)該發(fā)給哪個(gè)主機(jī)，不至于混亂。配置命令和動(dòng)態(tài)NAT幾乎一樣：端口模式下：Ipnatinside!將某端口指定為內(nèi)部端口Ipnatoutside！將端口指定為外部端口全局模式下：1、Ipnatpoolnamestart_ipend_ipnetmasknetmask或：Ipnatpoolnamestart_ipend_ipprefix_length子網(wǎng)掩碼位數(shù)其中：name指的是地址池的名稱start_ip和end_ip指的是地址池的開始IP和結(jié)束IP,在PAT時(shí)，這兩個(gè)IP地址是一樣的，但要寫兩個(gè)，不能省略。如netmask指的是地址池的IP地址的子網(wǎng)掩碼子網(wǎng)掩碼位數(shù)指的是如果不用子網(wǎng)掩碼表示，可以用位數(shù)表示如：24表示。2、access_listnumberpermitsourcewildcard其中：number指的是訪問控制列表的號(hào)碼，1——99sourcewildcard指的是允許地址轉(zhuǎn)換的地址段和對應(yīng)的通配符，和OSPF路由的那個(gè)意思一樣。3、ipnatinsidesourcelistnumberpoolnameoverload其中：number還是那個(gè)2號(hào)命令中的那個(gè)訪問控制列表號(hào)name還是那個(gè)1號(hào)命令中地址池的名字overload是實(shí)現(xiàn)PAT的關(guān)鍵字，不能省略和動(dòng)態(tài)NAT對照比較可以看出，有兩處不同：在IP地址池的地方換成一個(gè)IP地址和最后增加overload。PAT還有一種不設(shè)置地址池的命令格式：1、不定義地址池，那個(gè)第一條命令就省略了。2、此條命令不變：R1(config)#access-list10permit55！定義訪問控制列表，10為訪問控制列表號(hào)，，表示允許的IP地址段，55表示這個(gè)地址段的每一個(gè)IP地址都被允許。3、此條命令發(fā)生改變，因?yàn)闆]有定義地址池，pool關(guān)鍵字省略，改為：R1(config)#ipnatinsidesourcelist10interE0/1overload！實(shí)現(xiàn)內(nèi)部IP地址與外部IP的動(dòng)態(tài)轉(zhuǎn)換，其中10就是那個(gè)訪問控制列表號(hào)，地址池變?yōu)椋篿nterE0/1僅僅在端口號(hào)上加以說明,overload為配置參數(shù)，表示使用端口復(fù)用。本章命令總結(jié)如表6-1：命令作用Routerrip