子網(wǎng)、多播、沖突域

子網(wǎng)、多播、沖突域Ver20170124v0.2網(wǎng)絡(luò)的發(fā)展與應(yīng)用一、計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的三個(gè)階段

1、研究階段(68年~84年)

主要特征：

TCP/IP協(xié)議的研制成功。

Client/Server工作方式的實(shí)現(xiàn)。實(shí)現(xiàn)了資源共享和分散控制等。

2、運(yùn)行階段(85年~92年)

主要特征：

Internet骨干網(wǎng)絡(luò)的延生網(wǎng)絡(luò)私有化的形成網(wǎng)絡(luò)商業(yè)化的開(kāi)始

3、應(yīng)用階段(92年~今)

主要特征：網(wǎng)絡(luò)發(fā)展的全球化網(wǎng)絡(luò)運(yùn)行的商業(yè)化網(wǎng)絡(luò)應(yīng)用的多樣化二、我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)的三個(gè)層次

1、國(guó)家經(jīng)濟(jì)信息化的基本通信網(wǎng)，

CHINAPAC：1991建設(shè)，分組交換網(wǎng)。

CHINADDN：1994建設(shè)，數(shù)字專用網(wǎng)金橋工程：1997建設(shè)，以光纖、衛(wèi)星、微波、無(wú)線移動(dòng)等多種方式，形成天地一體的網(wǎng)絡(luò)結(jié)構(gòu)。

2、依托此平臺(tái)開(kāi)發(fā)的各種專業(yè)網(wǎng)絡(luò)和應(yīng)用網(wǎng)絡(luò)；金卡工程：全民信用卡系統(tǒng)——電子貨幣工程。金企工程：企業(yè)生產(chǎn)與流通信息系統(tǒng)，為國(guó)家宏觀調(diào)控提供科學(xué)依據(jù)。金農(nóng)工程：農(nóng)業(yè)綜合管理及信息服務(wù)系統(tǒng)，以縣城為點(diǎn)的農(nóng)業(yè)基本情況數(shù)據(jù)庫(kù)。金關(guān)工程：國(guó)家對(duì)外經(jīng)濟(jì)貿(mào)易信息網(wǎng)。金稅工程：增值稅專用發(fā)票計(jì)算機(jī)稽核系統(tǒng)工程。企業(yè)網(wǎng)絡(luò)：企業(yè)總部與分部組成的異地獨(dú)立網(wǎng)絡(luò)。教育科研網(wǎng)：CERNET連接全國(guó)各大高校。

3、目前中小型企業(yè)網(wǎng)絡(luò)的應(yīng)用情況企事業(yè)都建設(shè)了自己的局域網(wǎng)，而且越來(lái)越多的局域網(wǎng)和廣域網(wǎng)相聯(lián)。網(wǎng)絡(luò)硬件水平不斷提高，促進(jìn)了網(wǎng)絡(luò)技術(shù)的應(yīng)用，網(wǎng)絡(luò)管理人才的需求加大。網(wǎng)絡(luò)管理員：以網(wǎng)絡(luò)互聯(lián)技術(shù)為主的網(wǎng)絡(luò)人才。操作系統(tǒng)管理員：以管理操作系統(tǒng)為主的網(wǎng)絡(luò)人才。線路維護(hù)人員：負(fù)責(zé)網(wǎng)絡(luò)運(yùn)行的維修人員。網(wǎng)絡(luò)技術(shù)支持：負(fù)責(zé)公司網(wǎng)絡(luò)產(chǎn)品的技術(shù)的咨詢和售后服務(wù)。網(wǎng)絡(luò)互聯(lián)基礎(chǔ)一、OSI七層協(xié)議

OSI(OpenSysteminterconnection)開(kāi)放系統(tǒng)互連參考模型

ISO(InternationalStandardsOrganization)國(guó)際標(biāo)準(zhǔn)化組織

1、物理層機(jī)械性能：接口的型狀，尺寸的大小，引腳的數(shù)目和排列方式等。電氣性能：接口規(guī)定信號(hào)的電壓、電流、阻抗、波形、速率及平衡特性等。工程規(guī)范：接口引腳的意義、特性、標(biāo)準(zhǔn)。工作方式：確定數(shù)據(jù)位流的傳輸方式，如：?jiǎn)喂ぁ腚p工或全雙工。物理層協(xié)議有：美國(guó)電子工業(yè)協(xié)會(huì)(EIA)的RS232，RS422，RS423，RS485等；國(guó)際電報(bào)電話咨詢委員會(huì)(CCITT)的X.25、X.21等；

物理層的數(shù)據(jù)單位是位(BIT)，典型設(shè)備是集線器HUB。

2、鏈路層鏈路層屏蔽傳輸介質(zhì)的物理特征，使數(shù)據(jù)可靠傳送。內(nèi)容包括介質(zhì)訪問(wèn)控制、連接控制、順序控制、流量控制、差錯(cuò)控制和仲裁協(xié)議等。鏈路層協(xié)議有：協(xié)議有面向字符的通訊協(xié)議(PPP)和面向位的通訊協(xié)議(HDLC)。仲裁協(xié)議：802.3、802.4、802.5，即：

CSMA/CD(CarrierSenseMultipleAccesswithCollisionDetection)、TokenBus、TokenRing

鏈路層數(shù)據(jù)單位是幀，實(shí)現(xiàn)對(duì)MAC地址的訪問(wèn)，典型設(shè)備是交換機(jī)Switch。3、網(wǎng)絡(luò)層網(wǎng)絡(luò)層管理連接方式和路由選擇。連接方式：虛電路(VirtualCircuits)和數(shù)據(jù)報(bào)(Datagram)服務(wù)。虛電路是面向連接的(Connection-Oriented)，數(shù)據(jù)通訊一次路由，通過(guò)會(huì)話建立的一條通路。數(shù)據(jù)報(bào)是非連接的(Connectionless-Oriented)，每個(gè)數(shù)據(jù)報(bào)都有路由能力。網(wǎng)絡(luò)層的數(shù)據(jù)單位是包，使用的是IP地址，典型設(shè)備是路由器Router。這一層可以進(jìn)行流量控制，但流量控制更多的是使用第二層或第四層。

4、傳輸層提供端到端的服務(wù)。可以實(shí)現(xiàn)流量控制、負(fù)載均衡。傳輸層信息包含端口、控制字和校驗(yàn)和。傳輸層協(xié)議主要是TCP和UDP。傳輸層位于OSI的第四層，這層使用的設(shè)備是主機(jī)本身。5、會(huì)話層會(huì)話層主要內(nèi)容是通過(guò)會(huì)話進(jìn)行身份驗(yàn)證、會(huì)話管理和確定通訊方式。一旦建立連接，會(huì)話層的任務(wù)就是管理會(huì)話。

6、表示層表示層主要是解釋通訊數(shù)據(jù)的意義，如代碼轉(zhuǎn)換、格式變換等，使不同的終端可以表示。還包括加密與解密、壓縮與解壓縮等。

7、應(yīng)用層應(yīng)用層應(yīng)該是直接面向用戶的程序或服務(wù)，包括系統(tǒng)程序和用戶程序，例如www、FTP、DNS、POP3和SMTP等都是應(yīng)用層服務(wù)。數(shù)據(jù)在發(fā)送時(shí)是數(shù)據(jù)從應(yīng)用層至物理層的一個(gè)打包的過(guò)程，接收時(shí)是數(shù)據(jù)從物理層至應(yīng)用層的一個(gè)解包的過(guò)程，從功能角度可分為三組，1、2層解決網(wǎng)絡(luò)信道問(wèn)題，3、4層解決傳輸問(wèn)題，5、6、7層處理對(duì)應(yīng)用進(jìn)程的訪問(wèn)。從控制角度可分為二組，第1、2、3層是通信子網(wǎng)層，第4、5、6、7層是主機(jī)控制層。二、TCP/IP協(xié)議簇

TCP/IP(TransmissionControlProtocol/InternetProtocol)已成為一個(gè)事實(shí)上的工業(yè)標(biāo)準(zhǔn)。

TCP/IP是一組協(xié)議的代名詞，它還包括許多協(xié)議，組成了TCP/IP協(xié)議簇。

TCP/IP協(xié)議簇分為四層，IP位于協(xié)議簇的第二層(對(duì)應(yīng)OSI的第三層)，TCP位于協(xié)議簇的第三層(對(duì)應(yīng)OSI的第四層)。

TCP和IP是TCP/IP協(xié)議簇的中間兩層，是整個(gè)協(xié)議簇的核心，起到了承上啟下的作用。1、接口層

TCP/IP的最低層是接口層，常見(jiàn)的接口層協(xié)議有：

Ethernet802.3、TokenRing802.5、X.25、Framereley、HDLC、PPP等。

2、網(wǎng)絡(luò)層網(wǎng)絡(luò)層包括：IP(InternetProtocol)協(xié)議、ICMP(InternetControlMessageProtocol)控制報(bào)文協(xié)議、ARP(AddressResolutionProtocol)地址轉(zhuǎn)換協(xié)議、RARP(ReverseARP)反向地址轉(zhuǎn)換協(xié)議。

IP是網(wǎng)絡(luò)層的核心，通過(guò)路由選擇將下一跳IP封裝后交給接口層。IP數(shù)據(jù)報(bào)是無(wú)連接服務(wù)。

ICMP是網(wǎng)絡(luò)層的補(bǔ)充，可以回送報(bào)文。用來(lái)檢測(cè)網(wǎng)絡(luò)是否通暢。

Ping命令就是發(fā)送ICMP的echo包，通過(guò)回送的echorelay進(jìn)行網(wǎng)絡(luò)測(cè)試。

ARP是正向地址解析協(xié)議，通過(guò)已知的IP，尋找對(duì)應(yīng)主機(jī)的MAC地址。

RARP是反向地址解析協(xié)議，通過(guò)MAC地址確定IP地址。比如無(wú)盤工作站和DHCP服務(wù)。3、傳輸層傳輸層協(xié)議主要是：傳輸控制協(xié)議TCP(TransmissionControlProtocol)和用戶數(shù)據(jù)報(bào)協(xié)議UDP(UserDatagramrotocol)。

TCP是面向連接的通信協(xié)議，通過(guò)三次握手建立連接，通訊時(shí)完成時(shí)要拆除連接，由于TCP是面向連接的所以只能用于點(diǎn)對(duì)點(diǎn)的通訊。

TCP提供的是一種可靠的數(shù)據(jù)流服務(wù)，采用“帶重傳的肯定確認(rèn)”技術(shù)來(lái)實(shí)現(xiàn)傳輸?shù)目煽啃浴CP還采用一種稱為“滑動(dòng)窗口”的方式進(jìn)行流量控制，所謂窗口實(shí)際表示接收能力，用以限制發(fā)送方的發(fā)送速度。

UDP是面向無(wú)連接的通訊協(xié)議，UDP數(shù)據(jù)包括目的端口號(hào)和源端口號(hào)信息，由于通訊不需要連接，所以可以實(shí)現(xiàn)廣播發(fā)送。

UDP通訊時(shí)不需要接收方確認(rèn)，屬于不可靠的傳輸，可能會(huì)出丟包現(xiàn)象，實(shí)際應(yīng)用中要求在程序員編程驗(yàn)證。4、應(yīng)用層應(yīng)用層一般是面向用戶的服務(wù)。如FTP、TELNET、DNS、SMTP、POP3。

FTP(FileTransmisionProtocol)是文件傳輸協(xié)議，一般上傳下載用FTP服務(wù)，數(shù)據(jù)端口是20H，控制端口是21H。

Telnet服務(wù)是用戶遠(yuǎn)程登錄服務(wù)，使用23H端口，使用明碼傳送，保密性差、簡(jiǎn)單方便。

DNS(DomainNameService)是域名解析服務(wù)，提供域名到IP地址之間的轉(zhuǎn)換。

SMTP(SimpleMailTransferProtocol)是簡(jiǎn)單郵件傳輸協(xié)議，用來(lái)控制信件的發(fā)送、中轉(zhuǎn)。

POP3(PostOfficeProtocol3)是郵局協(xié)議第3版本，用于接收郵件。數(shù)據(jù)格式：數(shù)據(jù)幀：幀頭＋I(xiàn)P數(shù)據(jù)包＋幀尾(幀頭包括源和目標(biāo)主機(jī)MAC地址及類型,幀尾是校驗(yàn)字)IP數(shù)據(jù)包：IP頭部＋TCP數(shù)據(jù)信息(IP頭包括源和目標(biāo)主機(jī)IP地址、類型、生存期等)IP數(shù)據(jù)信息：TCP頭部+實(shí)際數(shù)據(jù)(TCP頭包括源和目標(biāo)主機(jī)端口號(hào)、順序號(hào)、確認(rèn)號(hào)、校驗(yàn)字等)三、TCP連接的建立

1、TCP連接通過(guò)三次握手完成。

client首先請(qǐng)求連接，發(fā)一個(gè)SYN包；Server收到后回應(yīng)SYN_ACK包；Client收到后再發(fā)ACK包。即：

ClientServerSYN--->收

<---SYN+ACKACK--->收

established表示建立狀態(tài)，當(dāng)某端發(fā)出數(shù)據(jù)包后收到了回應(yīng)則進(jìn)入established狀態(tài)。在TCP/IP連接時(shí)，如果兩端都是established狀態(tài)，則握手成功，否則是無(wú)連接或半聯(lián)接狀態(tài)。

2、套接字Socket

套接字Socket由協(xié)議、IP地址和端口號(hào)組成，套接字表示一路通訊，一般是一個(gè)服務(wù)，如www服務(wù)是TCP的80端口，Telnet是TCP的23端口。四、IP地址劃分

1、IP地址分類

IP地址有四個(gè)段，包括網(wǎng)絡(luò)標(biāo)識(shí)和主機(jī)標(biāo)識(shí)兩部分：netid+hostid。

IP地址應(yīng)用分為A、B、C三類，D、E類是保留和專用的。

ClassA0*******xxxxxxxxxxxxxxxxxxxxxxxxClassB10**************xxxxxxxxxxxxxxxxClassC110*********************xxxxxxxxClassD1110****************************ClassE1111****************************2、地址區(qū)間址址類 地址區(qū)間 網(wǎng)絡(luò)數(shù) 主機(jī)數(shù)

A類～54 27-2=126 224-2=16777214B類～54 214-2=16382 216-2=65534C類～54 221-2=2097150 28-2=254D類～55 228=268435456 0E類～55 228=268435456 03、特殊地址主機(jī)地址全0表示為一個(gè)網(wǎng)絡(luò)地址。主機(jī)地址全1表示為對(duì)應(yīng)網(wǎng)絡(luò)的廣播地址。全0的IP地址：，表示本機(jī)地址，只在啟動(dòng)過(guò)程時(shí)有效。全1的IP地址55，表示本地廣播(有的軟件不支持)。私有地址：

-55-55-55

網(wǎng)絡(luò)是回環(huán)網(wǎng)絡(luò)loopback，用于本機(jī)測(cè)試。例如：

ping是測(cè)試本機(jī)網(wǎng)卡是否工作正常。

4、子網(wǎng)掩碼子網(wǎng)掩碼用來(lái)區(qū)分網(wǎng)絡(luò)地址和主機(jī)地址，標(biāo)準(zhǔn)的子網(wǎng)掩碼為：

A類：～54netmask：B類：～54netmask：C類：～54netmask：

子網(wǎng)掩碼和IP地址的“與”運(yùn)算得出對(duì)應(yīng)的網(wǎng)絡(luò)地址。如果將子網(wǎng)掩碼“1”的位數(shù)增加則網(wǎng)絡(luò)地址數(shù)增加，形成子網(wǎng)。相當(dāng)于網(wǎng)絡(luò)的分隔。如果將子網(wǎng)掩碼“1”的位數(shù)減小則網(wǎng)絡(luò)地址數(shù)減少，形成超網(wǎng)。相當(dāng)于網(wǎng)絡(luò)的聚合。交換機(jī)原理與應(yīng)用一、基本以太網(wǎng)

1、以太網(wǎng)標(biāo)準(zhǔn)：以太網(wǎng)是Ethernet的意思，過(guò)去使用的是十兆標(biāo)準(zhǔn)，現(xiàn)在是百兆到桌面，千兆做干線。常見(jiàn)的標(biāo)準(zhǔn)有：

10BASE-2細(xì)纜以太網(wǎng)

10BASE-5粗纜以太網(wǎng)

10BASE-T星型以太網(wǎng)

100BASE-T快速以太網(wǎng)

1000BASE-T千兆以太網(wǎng)

2、接線標(biāo)準(zhǔn)星型以太網(wǎng)采用雙絞線連接，雙絞線是8芯，分四組，兩芯一組絞在一起，故稱雙絞線。

8芯雙絞線只用其中4芯：1、2、3、6。常見(jiàn)接線方式有兩種：

568B接線規(guī)范：白橙橙白綠藍(lán)白藍(lán)綠白棕棕

12345678568A接線規(guī)范：白綠綠白橙藍(lán)白藍(lán)橙白棕棕

12345678

將568B的1和3對(duì)調(diào)，2和6對(duì)調(diào)，就得到568A。3、接線方法兩邊采用相同的接線方式叫做平接，兩邊采用不同的接線方式叫扭接。不同的設(shè)備之間連接，使用平接線；相同的設(shè)備連接使用扭接線。電腦、路由器與集線器、交換機(jī)連接時(shí)使用平接線。這是因?yàn)榫W(wǎng)線中的4條線，一對(duì)是輸入，一對(duì)是輸出，輸入應(yīng)該與輸出對(duì)應(yīng)。如果將1和3連接，2和4連接，相當(dāng)于自己的輸出送給自己的輸入。這樣可以使網(wǎng)卡進(jìn)入工作狀態(tài)，阻止空接口關(guān)閉，而影響有些程序的運(yùn)行。二、交換機(jī)原理與應(yīng)用

1、沖突域和廣播域交換機(jī)是根據(jù)網(wǎng)橋的原理發(fā)展起來(lái)的，學(xué)習(xí)交換機(jī)先認(rèn)識(shí)兩個(gè)概念：

(1)沖突域：沖突域是數(shù)據(jù)必然發(fā)送到的區(qū)域。

HUB是無(wú)智能的信號(hào)驅(qū)動(dòng)器，有入必出，整個(gè)由HUB組成的網(wǎng)絡(luò)是一個(gè)沖突域。交換機(jī)的一個(gè)接口下的網(wǎng)絡(luò)是一個(gè)沖突域，所以交換機(jī)可以隔離沖突域。

(2)廣播域：廣播數(shù)據(jù)時(shí)可以發(fā)送到的區(qū)域是一個(gè)廣播域。交換機(jī)和集線器對(duì)廣播幀是透明的，所以用交換機(jī)和HUB組成的網(wǎng)絡(luò)是一個(gè)廣播域。路由器的一個(gè)接口下的網(wǎng)絡(luò)是一個(gè)廣播域。所以路由器可以隔離廣播域。2、交換機(jī)原理

(1)端口地址表端口地址表記錄了端口下包含主機(jī)的MAC地址。端口地址表是交換機(jī)上電后自動(dòng)建立的，保存在RAM中，并且自動(dòng)維護(hù)。交換機(jī)隔離廣播域的原理是根據(jù)其端口地址表和轉(zhuǎn)發(fā)決策決定的。

(2)轉(zhuǎn)發(fā)決策交換機(jī)的轉(zhuǎn)發(fā)決策有三種操作：丟棄、轉(zhuǎn)發(fā)和擴(kuò)散。丟棄：當(dāng)本端口下的主機(jī)訪問(wèn)已知本端口下的主機(jī)時(shí)丟棄。轉(zhuǎn)發(fā)：當(dāng)某端口下的主機(jī)訪問(wèn)已知某端口下的主機(jī)時(shí)轉(zhuǎn)發(fā)。擴(kuò)散：當(dāng)某端口下的主機(jī)訪問(wèn)未知端口下的主機(jī)時(shí)要擴(kuò)散。每個(gè)操作都要記錄下發(fā)包端的MAC地址，以備其它主機(jī)的訪問(wèn)。

(3)成存期：生成期是端口地址列表中表項(xiàng)的壽命。每個(gè)表項(xiàng)在建立后開(kāi)始進(jìn)行倒記時(shí)，每次發(fā)送數(shù)據(jù)都要刷新記時(shí)。對(duì)于長(zhǎng)期不發(fā)送數(shù)據(jù)主機(jī)，其MAC地址的表項(xiàng)在生成其結(jié)束時(shí)刪除。所以端口地地表記錄的總是最活動(dòng)的主機(jī)的MAC地址。3、交換網(wǎng)絡(luò)中的環(huán)以太網(wǎng)是總線或星型結(jié)構(gòu)，不能構(gòu)成環(huán)路，否則會(huì)產(chǎn)兩個(gè)嚴(yán)重后果：

(1)產(chǎn)生廣播風(fēng)暴，造成網(wǎng)絡(luò)堵塞。

(2)克隆幀會(huì)在各個(gè)口出現(xiàn)，造成地址學(xué)習(xí)(記錄幀源地址)混亂。解決環(huán)路問(wèn)題方案:(1)網(wǎng)絡(luò)在設(shè)計(jì)時(shí)，人為的避免產(chǎn)生環(huán)路。

(2)使用生成樹(shù)STP(SpanningTreeProtocol)功能，將有環(huán)的網(wǎng)絡(luò)剪成無(wú)環(huán)網(wǎng)絡(luò)。

STP被IEEE802規(guī)范為802.1d標(biāo)準(zhǔn)。生成樹(shù)協(xié)議術(shù)語(yǔ)

(1)網(wǎng)橋協(xié)議數(shù)據(jù)單元：BPDU(BridgeProtocolDataUnit)BPDU是生成樹(shù)協(xié)議交換機(jī)間通訊的數(shù)據(jù)單元，用于確定角色。

(2)網(wǎng)橋號(hào)：BridgeID

交換機(jī)的標(biāo)識(shí)號(hào)，它由優(yōu)先級(jí)和MAC地址組成，優(yōu)先級(jí)16位，MAC地址48位。

(3)根網(wǎng)橋：Rootbridge

根網(wǎng)橋定義為網(wǎng)橋號(hào)最小的交換機(jī)，根網(wǎng)橋所有的端口都不會(huì)阻塞。

(4)根端口：Rootport

非根網(wǎng)橋到根網(wǎng)橋累計(jì)路徑花費(fèi)最小的端口，負(fù)責(zé)本網(wǎng)橋與根網(wǎng)橋通訊的接口。

(5)指定網(wǎng)橋：Designatedbridge

網(wǎng)絡(luò)中到根網(wǎng)橋累計(jì)路徑花費(fèi)最小交換機(jī)，負(fù)責(zé)收發(fā)本網(wǎng)段數(shù)據(jù)。

(6)指定端口：Designatedport

網(wǎng)絡(luò)中到根網(wǎng)橋累計(jì)路徑花費(fèi)最小的交換機(jī)端口，根網(wǎng)橋每個(gè)端口都是指定端口。

(7)非指定端口：NonDesignatedport

余下的端口是非指定端口，它們不參與數(shù)據(jù)的轉(zhuǎn)發(fā)，也就是被阻塞的端口。

(根端口是從非根網(wǎng)橋選出，指定端口是網(wǎng)段中選出)。生成樹(shù)協(xié)議的狀態(tài)：生成樹(shù)協(xié)議工作時(shí)，所有端口都要經(jīng)過(guò)一個(gè)端口狀態(tài)的建立過(guò)程。生成樹(shù)協(xié)議通過(guò)BPDU廣播，確定各交換機(jī)及其端口的工作狀態(tài)和角色，交換機(jī)上的端口狀態(tài)分別為：關(guān)閉、阻塞、偵聽(tīng)、學(xué)習(xí)和轉(zhuǎn)發(fā)狀態(tài)。

(1)關(guān)閉狀態(tài)：Disabled不收發(fā)任何報(bào)文，當(dāng)接口空連接或人為關(guān)閉時(shí)處于關(guān)閉狀態(tài)。

(2)阻塞狀態(tài)：Blocking在機(jī)器剛啟動(dòng)時(shí)，端口是阻塞狀態(tài)(20秒)，但接收BPDU信息。

(3)偵聽(tīng)狀態(tài)：listening不接收用戶數(shù)據(jù)(15秒)，收發(fā)BPDU，確定網(wǎng)橋及接口角色。

(4)學(xué)習(xí)狀態(tài)：learning不接收用戶數(shù)據(jù)(15秒)，收發(fā)BPDU，進(jìn)行地址學(xué)習(xí)。

(5)轉(zhuǎn)發(fā)狀態(tài)：Forwarding開(kāi)始收發(fā)用戶數(shù)據(jù)，繼續(xù)收發(fā)BPDU和地址學(xué)習(xí),維護(hù)STP。4、關(guān)于VLANVLAN(VirtualLan)是虛擬邏輯網(wǎng)絡(luò)，交換機(jī)通過(guò)VLAN設(shè)置，可以劃分為多個(gè)邏輯網(wǎng)絡(luò)，從而隔離廣播域。具有三層模塊的交換機(jī)可以實(shí)現(xiàn)VLAN間的路由。

(1)端口模式交換機(jī)端口有兩種模式，access和trunk。access口用于與計(jì)算機(jī)相連，而交換機(jī)之間的連接，應(yīng)該是trunk。交換機(jī)端口默認(rèn)VLAN是VLAN1，工作在access模式。

Access口收發(fā)數(shù)據(jù)時(shí)，不含VLAN標(biāo)識(shí)。具有相同VLAN號(hào)的端口在同一個(gè)廣播域中。

Trunk口收發(fā)數(shù)據(jù)時(shí)，包含VLAN標(biāo)識(shí)。Trunk又稱為干線，可以設(shè)置允許多個(gè)VLAN通過(guò)。

(2)VLAN中繼協(xié)議：

VLAN中繼協(xié)議有兩種：

ISL(Inter-SwitchLink)：ISL是Cisco專用的VLAN中繼協(xié)議。

802.1q(dot1q)：802.1q是標(biāo)準(zhǔn)化的，應(yīng)用較為普遍。

(3)VTPVTP(VlanTrunkingProtocol)是VLAN傳輸協(xié)議，在含有多個(gè)交換機(jī)的網(wǎng)絡(luò)中，可以將中心交換機(jī)的VLAN信息發(fā)送到下級(jí)的交換機(jī)中。中心交換機(jī)設(shè)置為VTPServer，下級(jí)交換機(jī)設(shè)置為VTPClient。

VTPClient要能學(xué)習(xí)到VTPServer的VLAN信息，要求在同一個(gè)VTP域，并要口令相同。

(4)VLAN共享如果要求某個(gè)VLAN與其他VLAN訪問(wèn)，可以設(shè)置VLAN共享或主附VLAN。共享模式的VLAN端口，可以成為多個(gè)VLAN的成員或同時(shí)屬于多個(gè)VLAN。在主附VLAN結(jié)構(gòu)中，子VLAN與主VLAN可以相互訪問(wèn)，子VLAN間的端口不能互相訪問(wèn)。一般的VLAN間使用不同網(wǎng)絡(luò)地址；主附VLAN中主VLAN和子VLAN使用同一個(gè)網(wǎng)絡(luò)地址。5、交換機(jī)和路由器的口令恢復(fù):(1)交換機(jī)的口令恢復(fù):

交換機(jī)的口令恢復(fù)的操作是先啟動(dòng)超級(jí)終端，在交換機(jī)上電時(shí)按住的mode鍵.

幾秒后松手，進(jìn)入ROM狀態(tài)，將nvram中的配置文件config.txt改名或刪除，再重啟。參考命令為：

switch:renameflash:config.textflash:config.bakswitch:eraseflash:config.text(2)路由器的口令恢復(fù):

路由器的口令恢復(fù)操作先啟動(dòng)超級(jí)終端，在路由器上電時(shí)按計(jì)算機(jī)的Ctrl+Break鍵，進(jìn)入ROM監(jiān)控狀態(tài)rommon>，用配置寄存器命令confreg設(shè)置參數(shù)值0x2142，跳過(guò)配置文件設(shè)置口令后再還原為0x2102。參考命令為：

rommon>confreg0x2142router(config)#config-register0x2102

沒(méi)有特權(quán)口令無(wú)法進(jìn)入特權(quán)狀態(tài)，只能進(jìn)入ROM監(jiān)控狀態(tài)，使用confreg0x2142命令。當(dāng)口令修改完后，可以在特權(quán)模式下恢復(fù)為使用配置文件狀態(tài)。三、三層交換的概念

1、交換機(jī)是鏈路層設(shè)備，使用MAC地址，完成對(duì)幀的操作。交換機(jī)的IP地址做管理用，交換機(jī)的IP地址實(shí)際是VALN的IP。一個(gè)VLAN一個(gè)廣播域，不同VLAN的主機(jī)間訪問(wèn)，相當(dāng)于網(wǎng)絡(luò)間的訪問(wèn)，要通過(guò)路由實(shí)現(xiàn)。不同VLAN間主機(jī)的訪問(wèn)有以下幾種情況：

(1)兩個(gè)VLAN分別接入路由器的兩個(gè)物理接口。這是路由器的基本應(yīng)用。

(2)兩個(gè)VLAN通過(guò)trunk接入路由器的一個(gè)物理接口，這是應(yīng)用于子接口的單臂路由。

(3)使用具有三層交換模塊的交換機(jī)。Cisco的3550和華為的3526都是基本的三層交換機(jī)。

1)通過(guò)VLAN的IP地址做網(wǎng)關(guān)，實(shí)現(xiàn)三層交換，要求設(shè)置VLAN的IP地址。

2)將端口設(shè)置在三層工作，要求端口設(shè)置noswitchport，再設(shè)置端口的IP地址。

2、交換機(jī)的通道技術(shù)交換機(jī)通道技術(shù)是將交換機(jī)的幾個(gè)端口捆綁使用，即端口的聚合。使用通道技術(shù)一個(gè)方面提高了帶寬，同時(shí)提高了線路的可靠性。但是如果設(shè)置不當(dāng)，有可能產(chǎn)生環(huán)路，造成廣播風(fēng)暴堵塞網(wǎng)絡(luò)。要聚合的端口要?jiǎng)澐值街付ǖ腣LAN或trunk。配置三層通道時(shí)，先要進(jìn)入通道，再用noswitchport命令關(guān)閉二層，設(shè)置通道IP地址。一個(gè)通道一般小于8個(gè)接口，接口參數(shù)應(yīng)該一致，如工作模式、封裝的協(xié)議、端口類型。3、端口協(xié)商方式端口的聚合有兩種方式，一種是手動(dòng)的方式，一個(gè)是自動(dòng)協(xié)商的方式。手動(dòng)的方式很簡(jiǎn)單，設(shè)置端口成員鏈路兩端的模式為“on”。命令格式為：

channel-group<number>modeon

自動(dòng)方式有兩種類型：

PAgP(PortAggregationProtocol)和LACP(LinkaggregationControlProtocol)。

PAgP：Cisco設(shè)備的端口聚合協(xié)議，有auto和desirable兩種模式。

auto模式在協(xié)商中只收不發(fā)，desirable模式的端口收發(fā)協(xié)商的數(shù)據(jù)包。

LACP：標(biāo)準(zhǔn)的端口聚合協(xié)議802.3ad，有active和passive兩種模式。

active相當(dāng)于PAgP的auto，而passive相當(dāng)于PAgP的desirable。

4、通道端口間的負(fù)載平衡通道端口間的負(fù)載平衡有兩種方式，基于源MAC的轉(zhuǎn)發(fā)和基于目的MAC的轉(zhuǎn)發(fā)。

scr-mac：源MAC地址相同的數(shù)據(jù)幀使用同一個(gè)端口轉(zhuǎn)發(fā)。

dst-mac：目的MAC地址相同的數(shù)據(jù)幀使用同一個(gè)端口轉(zhuǎn)發(fā)。路由器原理與應(yīng)用一、路由的基本概念路由器的網(wǎng)絡(luò)層的設(shè)備，負(fù)責(zé)IP數(shù)據(jù)包的路由選擇和轉(zhuǎn)發(fā)。

1、路由類型路由的類型有：直連路由、靜態(tài)路由、默認(rèn)路由和動(dòng)態(tài)路由。直連路由是與路由器直接相聯(lián)網(wǎng)絡(luò)的路由，路由器有對(duì)直連網(wǎng)絡(luò)有轉(zhuǎn)發(fā)能力。靜態(tài)路由是管理員人為設(shè)置的路由，網(wǎng)絡(luò)開(kāi)支小，可以有效的改善網(wǎng)絡(luò)狀況。默認(rèn)路由是靜態(tài)路由的一個(gè)特例，將路由表不能匹配的數(shù)據(jù)包送默認(rèn)路由。一般在最后。動(dòng)態(tài)路由是路由協(xié)議自動(dòng)建立和管理的路由，常見(jiàn)動(dòng)態(tài)路由協(xié)議有：

RIP(RoutingInformationProtocol)、

IGRP(InteriorGatewayRoutingProtocol)、

EIGRP(EnhanceInteriorGatewayRoutingProtocol)、

OSPF(OpenShortestPathFirst)、

BGP(BackboneGetwayProtocol)

上述路由協(xié)議稱為routingprotocol，而IP、IPX稱為可路由的協(xié)議routedprotocol。也有一些協(xié)議是不可路由的，如NetBEUI協(xié)議。

2、路由算法路由算法常見(jiàn)的有三種類型：距離矢量D-V(Distance-Vector)算法，如：RIP、IGRP、BGP；鏈路狀態(tài)L-S(LinkState)算法，如：OSPF、IS-IS；混合算法，如：Cisco的EIGRP。3、路由交換范圍路由器通過(guò)交換信息建立路由表，當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)變化時(shí)，路由表能自動(dòng)維護(hù)。路由表跟隨網(wǎng)絡(luò)結(jié)構(gòu)變化過(guò)程稱為收斂。為了減少收斂過(guò)程引起的網(wǎng)絡(luò)動(dòng)蕩，要考慮路由交換范圍。

RIP協(xié)議通過(guò)network命令指定，例如：設(shè)置網(wǎng)絡(luò)的接口參與路由信息交換

router(config-router)networkospf協(xié)議通過(guò)network命令指定，例如：設(shè)置

接口參與路由交換

router(config-router)networkarea0area是網(wǎng)絡(luò)管理員在自治系統(tǒng)(國(guó)際機(jī)構(gòu)分配)AS(AutonomousSystem)內(nèi)部劃分的區(qū)域。

是匹配碼，0表示要求匹配，1表示不關(guān)心。

4、路由表路由表(RoutingTable)是路由器中路由項(xiàng)的集合，是路由器進(jìn)行路徑選擇的依據(jù)，每條路由項(xiàng)包括：目的網(wǎng)絡(luò)和下一跳，還有優(yōu)先級(jí)，花費(fèi)等。路由優(yōu)先匹配原則：

(1)直接路由：直連的網(wǎng)絡(luò)優(yōu)先級(jí)最高。

(2)靜態(tài)路由：優(yōu)先級(jí)可設(shè)，一般高于動(dòng)態(tài)路由。

(3)動(dòng)態(tài)路由：相同花費(fèi)時(shí)，長(zhǎng)掩碼的子網(wǎng)優(yōu)先。

(4)默認(rèn)路由：最后有一條默認(rèn)路由，否則數(shù)據(jù)包丟棄。二、RIP路由協(xié)議

1、RIP協(xié)議的認(rèn)識(shí)

RIP(RoutingInformationProtocol)協(xié)議是采用D-V(Distance-Vector)算法的距離矢量協(xié)議；根據(jù)跳數(shù)(HopCount)來(lái)決定最佳路徑。最大跳數(shù)為16，限制了網(wǎng)絡(luò)的范圍。單獨(dú)以跳數(shù)作為距離或花費(fèi)，在有些情況下是不合理的，因?yàn)樘鴶?shù)少不一定是最佳路徑；實(shí)際上帶寬和可靠性也是重要的因素。有時(shí)需要管理員修改花費(fèi)值。

RIP有兩個(gè)版本，RIP-1和RIP-2。

RIP-1：采用廣播方式發(fā)送報(bào)文。不支持子網(wǎng)路由。

RIP-2：支持多播方式、子網(wǎng)路由和路由的聚合。

2、路由表的維護(hù)通過(guò)UDP協(xié)議每隔30秒發(fā)送路由交換信息，從而確定鄰居的存在。若180秒還沒(méi)有收到某相鄰結(jié)點(diǎn)路由信息，標(biāo)記為此路不可達(dá)。若再120秒后還沒(méi)有收到路由信息，則刪除該條路由。當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)變化時(shí)，要更新路由表，這個(gè)過(guò)程稱為收斂(Convergence)。

RIP標(biāo)記一條路由不可達(dá)要經(jīng)過(guò)3分鐘，收斂過(guò)程較慢。路由表是在內(nèi)存當(dāng)中的，路由器上電時(shí)初始化路由表，對(duì)每個(gè)直接網(wǎng)絡(luò)生成一條路由。同時(shí)復(fù)制相鄰路由器的路由表，復(fù)制過(guò)程中跳數(shù)加1，且下一跳指向該路由器。若去往某網(wǎng)絡(luò)的下一跳是RouteA，若RouteA去該網(wǎng)絡(luò)的路由沒(méi)有了，則刪除這一路由。跳數(shù)是到達(dá)目的網(wǎng)絡(luò)所經(jīng)過(guò)的路由器數(shù)目，直接網(wǎng)絡(luò)的跳數(shù)是0，且有最高的優(yōu)先級(jí)。3、路由環(huán)路：矢量路由的一個(gè)弱點(diǎn)就是可能產(chǎn)生路由環(huán)路，產(chǎn)生路由環(huán)路的原因有兩種，一是靜態(tài)路由設(shè)置的不合理，再一是動(dòng)態(tài)路由定時(shí)廣播產(chǎn)生的誤會(huì)。先看靜態(tài)路由設(shè)置不合理的情況：設(shè)兩個(gè)路由器RouterA和RouterB，其路由表中各有一條去往相同目的網(wǎng)絡(luò)的靜態(tài)路由，但下一跳彼此指向?qū)Ψ?，形成環(huán)路。再看動(dòng)態(tài)路由造成的情況：假設(shè)某路由器RouterA通過(guò)RouterB至網(wǎng)絡(luò)neta，但RouteB到neta不可達(dá)了，且RouterB的廣播路由比RouterA先來(lái)到，

RouterB去neta不可達(dá)，但RouterA中有去往neta路由，且下一跳是RouterB，這時(shí)RouteB就會(huì)從RouterA那里學(xué)習(xí)該路由，將去往neta的指向RouterA，跳數(shù)加1。去neta的路由原本是RouterB傳給RouterA的，現(xiàn)RouterB卻從RouterA學(xué)習(xí)該路由，顯然是不對(duì)的，但這一現(xiàn)象還會(huì)繼續(xù)，

RouterA去neta網(wǎng)絡(luò)的下一路是RouterB，當(dāng)RouterB的跳數(shù)加1的時(shí)候，RouterA將再加1。周而復(fù)反形成環(huán)路，直至路由達(dá)到最大值16。

4、解決路由環(huán)路的辦法

(1)規(guī)定最大跳數(shù)

RIP規(guī)定了最大跳數(shù)為16，跳數(shù)等于16時(shí)視為不可達(dá)，從而阻止環(huán)跳進(jìn)行。

(2)水平分割水平分割是過(guò)濾掉發(fā)送給原發(fā)者的路由信息。具體路由信息單向傳送。

(3)毒性逆轉(zhuǎn)水平分割的改進(jìn)，收到原是自己發(fā)出的路由信息時(shí)，將這條信息跳數(shù)置成16，即毒化。

(4)觸發(fā)方式一旦發(fā)現(xiàn)網(wǎng)絡(luò)變化，不等呼叫，立即發(fā)送更新信息，迅速通知相鄰路由器，防止誤傳。

(5)抑制時(shí)間在收到路由變化信息后，啟動(dòng)抑制時(shí)間，此時(shí)間內(nèi)變化項(xiàng)被凍結(jié)，防止被錯(cuò)誤地覆蓋。三、OSPF路由協(xié)議

1、OSPF的特點(diǎn)

OSPF(OpenShortestPathFirst)開(kāi)放式最短路徑優(yōu)先協(xié)議，使用L-S(LinkState)算法的鏈路狀態(tài)路由協(xié)議，路由算法復(fù)雜，適合大型網(wǎng)絡(luò)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變化時(shí)，采用觸發(fā)方式，組播更新，收斂快，要求更高的內(nèi)存和CPU資源。

LSA(LinkStateAdvertisement)鏈路狀態(tài)通告是以本路由器為根的最小路徑優(yōu)先樹(shù)。

LSDB(LinkStateDataBase)鏈路狀態(tài)數(shù)據(jù)庫(kù)，這是各個(gè)路由器的LSA的集合。每個(gè)路由器的LSA是不同的，但他們的集合LSDB是相同的。

D-V算法只考慮下一跳，沒(méi)有全局的概念，交給下一跳就完成任務(wù)，所以容易產(chǎn)生環(huán)路。

L-S算法每個(gè)路由器可以根據(jù)網(wǎng)絡(luò)整體結(jié)構(gòu)決定路徑，所以不會(huì)產(chǎn)生環(huán)。

2、指定路由器與路由器標(biāo)識(shí)指定路由器DR(DezignatedRouter)是ospf路由交換的中心，數(shù)據(jù)通過(guò)DR進(jìn)行交換。在路由器群組中優(yōu)先級(jí)(RouterPriority)值最高的為DR，次高的為備份指定路由器BDR。管理員可以通過(guò)設(shè)置優(yōu)先級(jí)指定DB和BDR。優(yōu)先級(jí)相同時(shí)，比較routerid。如果沒(méi)有設(shè)置Routerid，則以回環(huán)接口loopbackip值高的為DR，如果loopbackip沒(méi)有設(shè)置，取接口的IP地址中最高的為DR。3、建立路由表

(1)Hello報(bào)文

Hello報(bào)文用于發(fā)現(xiàn)新鄰居問(wèn)候老鄰居，選舉指定路由器DR和BDR。

(2)DD報(bào)文(DatabaseDescriptionPacket)DD報(bào)文用LSA頭head信息表示LSA的變化情況，將其發(fā)送給DR，DR再發(fā)給其它路由器。

(3)LSR報(bào)文(LinkStateRequestPacket)LSR是請(qǐng)求更新包，當(dāng)LSDB需要更新時(shí)，將其發(fā)送給DR，點(diǎn)對(duì)點(diǎn)連接時(shí)直接同步LSDB。

(4)LSU報(bào)文(LinkStateUpdatePacket)DR用多播Multicast地址收，發(fā)，同步整個(gè)區(qū)域的LSDB。

(5)確認(rèn)后計(jì)算路由：

LSDB同步后，計(jì)算cost花費(fèi)，考慮跳數(shù)、帶寬、可靠性等綜合因素求解最佳路徑。

4、單區(qū)域OSPF配置單區(qū)域OSPF配置是指運(yùn)行OSPF協(xié)議的路由器在同一個(gè)區(qū)域arean，對(duì)于只有一個(gè)區(qū)域的網(wǎng)絡(luò)，區(qū)域號(hào)是任意的，一般設(shè)置為0。單區(qū)域OSPF有三種連接情況：點(diǎn)對(duì)點(diǎn)的連接(Pointtopoint)、廣播方式的連接(BroadcastMultiAccessNetwork)、非廣播方式多點(diǎn)連接(NonMultiAccessNetwork)。點(diǎn)對(duì)點(diǎn)連接結(jié)構(gòu)最簡(jiǎn)單，可靠性高，工作穩(wěn)定；以太網(wǎng)連接是典型的廣播方式的連接；幀中繼連接是屬于的非廣播方式多點(diǎn)連接類型。5、多區(qū)域OSPF的設(shè)置多區(qū)域中要求有一個(gè)是骨干區(qū)域area0，邊界路由器跨接兩個(gè)區(qū)域。多區(qū)域的區(qū)域內(nèi)部按單區(qū)域設(shè)置，多區(qū)域間通過(guò)邊界路由器的連接。

stub是末節(jié)區(qū)域，末節(jié)區(qū)域不接收ospf以外的路由信息，如果路由器想去往區(qū)域以外網(wǎng)絡(luò)，要使用默認(rèn)路由。只有多區(qū)域中才存在末節(jié)區(qū)域。末節(jié)區(qū)域要設(shè)置在邊界路由器上。作為企業(yè)可以將分支區(qū)域設(shè)置為末節(jié)區(qū)域，分支區(qū)域不需要知道總部網(wǎng)絡(luò)的細(xì)節(jié)，卻能夠通過(guò)缺省路由到達(dá)那里。四、訪問(wèn)控制列表

1、訪問(wèn)控制列表類型與作用訪問(wèn)控制列表是對(duì)通過(guò)路由器的數(shù)據(jù)包進(jìn)行過(guò)濾。過(guò)濾是根據(jù)IP數(shù)據(jù)包的5個(gè)要素：源IP地址、目的IP地址、協(xié)議號(hào)、源端口、目的進(jìn)行的。訪問(wèn)控制列表有兩類，標(biāo)準(zhǔn)訪問(wèn)控制例表和擴(kuò)展的訪問(wèn)控制列表。標(biāo)準(zhǔn)訪問(wèn)列表：標(biāo)準(zhǔn)訪問(wèn)列表的列表號(hào)為1~99，只對(duì)源IP地址進(jìn)行訪問(wèn)控制。擴(kuò)展訪問(wèn)列表：擴(kuò)展訪問(wèn)列表的列表號(hào)為100~199，可以對(duì)源和目的地址、協(xié)議、端口號(hào)進(jìn)行訪問(wèn)控制。

2、訪問(wèn)控制列表的結(jié)構(gòu)分三步：定義一個(gè)ACL：access-list<number><permit|deny><sourceIPwild|any>

進(jìn)入指定接口：interface<interface>

綁定指定ACL：ipaccess-group<number>[in|out]3、訪問(wèn)控制列表匹配原則訪問(wèn)控制列表默認(rèn)的是denyany。一般是逐行匹配，也可以設(shè)置深度匹配。所以寫訪問(wèn)控制列表一般是從小的范圍向大的范圍，成為梯形結(jié)構(gòu)。一般在訪問(wèn)控制表的最后一行要寫permitany。4、命名方式的訪問(wèn)控制列表命名方式是用名稱代替列表號(hào)，便于記憶，擴(kuò)展了條目數(shù)量，可以是基本型或擴(kuò)展型。命令方式ACL語(yǔ)法有些變化，支持刪除一個(gè)列表中的某個(gè)語(yǔ)句。命名語(yǔ)法格式：

router(config)#ipaccess-list{standard|extended}namerouter(configstdnacl)#{deny|permit}]<S_ip><S_Wild>router(configextnacl)#{deny|permit}[protocol]<S_ip><S_Wild><D_ip><D_Wild>[op]

第一行是定義命名方式訪問(wèn)控制列表類型：標(biāo)準(zhǔn)或擴(kuò)展。第二行是標(biāo)準(zhǔn)命名方式的訪問(wèn)控制列表的語(yǔ)法格式。第三行是擴(kuò)展命令方式的訪問(wèn)控制列表的語(yǔ)法格式。五、地址轉(zhuǎn)換NAT1、NAT的認(rèn)識(shí)

NAT(NetworkAddressTranslate)是地址轉(zhuǎn)換操作。

NAT可以將局網(wǎng)中的私有IP轉(zhuǎn)換成公有IP，解決了內(nèi)部網(wǎng)絡(luò)訪問(wèn)internet的問(wèn)題。

NAT可以做負(fù)載均衡，將內(nèi)部多個(gè)服務(wù)器對(duì)外映射成一臺(tái)服務(wù)器。定義：

Insidelocaladdress:內(nèi)部網(wǎng)的私有IP。

Insideglobaladdress:內(nèi)部網(wǎng)的公有IP。

Outsideglobaladdress:互聯(lián)網(wǎng)中的公有IP。

Outsidelocaladdress:互聯(lián)網(wǎng)中的公有IP對(duì)應(yīng)的私有IP。

NAT可分為原地址變換SNAT和目的地址變換DNAT。按工作方式劃分，可分為靜態(tài)NAT和動(dòng)態(tài)NAT。

SNAT命令中使用source參數(shù)，DNAT命令中使用destination參數(shù)。

(對(duì)已連接的返回包可自動(dòng)對(duì)應(yīng))2、靜態(tài)NAT

靜態(tài)NAT是在指定接口上，對(duì)數(shù)據(jù)包的原IP或目的IP進(jìn)行一對(duì)一的轉(zhuǎn)換。常用于將某個(gè)私有IP固定的映射成為一個(gè)公有IP。語(yǔ)法：

Router(config)#ipnatinsidesourcestatic<ipa><ipb>

在指定接口inside中對(duì)數(shù)據(jù)包的原地址進(jìn)行變換，一般ipa是私網(wǎng)IP，ipb是公網(wǎng)IP。3、動(dòng)態(tài)NAT

動(dòng)態(tài)NAT一般用于將局域網(wǎng)中的多個(gè)私有IP從公有IP地址池中提取公有IP對(duì)外訪問(wèn)。設(shè)內(nèi)部局域網(wǎng)是：，公網(wǎng)IP地址池為：~

當(dāng)內(nèi)部網(wǎng)絡(luò)要訪問(wèn)internet時(shí)，從公網(wǎng)IP地址池中提取公網(wǎng)IP對(duì)外訪問(wèn)。語(yǔ)法：定義地址池p1：

Router(config)#ipnatpoolp1netmask

定義訪問(wèn)控制列表1：

Router(config)#access-list1permit55

將訪問(wèn)控制列表1的源地址，動(dòng)態(tài)的從公網(wǎng)IP地址池p1的提取公網(wǎng)IP:Router(config)#ipnatinsidesourcelist1poolp14、PATPAT(PortAddressTranslate)是端口地址轉(zhuǎn)換，將私有IP轉(zhuǎn)換到公網(wǎng)IP的不同端口上。

PAT是原將動(dòng)態(tài)nat地址池pool改為用接口，并使用參數(shù)overload。屬于動(dòng)態(tài)NAT。語(yǔ)法：

Router(config)#access-list2permit55Router(config)#ipnatinsidesourcelist2interfaces0/0overload5、基于NAT的負(fù)載均衡

NAT可以實(shí)現(xiàn)負(fù)載均衡。一般的NAT都是將內(nèi)部私有IP轉(zhuǎn)換為公網(wǎng)IP，連接方向從內(nèi)部向外。而對(duì)于負(fù)載均衡是將一個(gè)公網(wǎng)IP翻譯成多個(gè)內(nèi)部私有IP，連接訪問(wèn)從外向內(nèi)。例如：內(nèi)部的www服務(wù)負(fù)載過(guò)重，可將多臺(tái)同樣的服務(wù)器，但對(duì)外映射成一個(gè)IP地址，內(nèi)部的多臺(tái)服務(wù)器成為捆綁在一起構(gòu)成虛擬服務(wù)器，外部訪問(wèn)這個(gè)虛擬服務(wù)器時(shí)，路由器輪流指向各臺(tái)服務(wù)器，從而達(dá)到負(fù)載均衡。語(yǔ)法：定義地址池p2，使用rotary參數(shù)輪循。

ra(config)#ipnatpoolp2netmasktyperotaryra(config)#access-list1permitra(config)#ipnatinsidedestinationlist1poolp2

在指定接口inside中建立list2與poolp2的對(duì)應(yīng)關(guān)系。Destination表示轉(zhuǎn)換目的地址。

6、基于服務(wù)的NAT

基于服務(wù)的NAT配置，細(xì)化了NAT的應(yīng)用，轉(zhuǎn)換可以具體到協(xié)議和端口，即指定的服務(wù)上。例如:

對(duì)內(nèi)網(wǎng)的虛擬服務(wù)器(使用一個(gè)公網(wǎng)IP)的訪問(wèn)：當(dāng)訪問(wèn)TCP20端口時(shí)就將它轉(zhuǎn)到內(nèi)部ftp服務(wù)上。當(dāng)訪問(wèn)TCP21端口時(shí)也將它轉(zhuǎn)到內(nèi)部ftp服務(wù)上。當(dāng)訪問(wèn)TCP80端口時(shí)就將它轉(zhuǎn)換到內(nèi)部的www服務(wù)器上。語(yǔ)法：

Router(config)#ipnatinsidesourcestatictcp2020Router(config)#ipnatinsidesourcestatictcp2121Router(con