TCPIP路由交換技術(shù)（第二版）課件 項目8 部署和實施企業(yè)網(wǎng)與Internet互聯(lián)

項目8部署和實施企業(yè)網(wǎng)與Internet互聯(lián)授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院學(xué)習(xí)目標(biāo)

了解非直聯(lián)網(wǎng)絡(luò)的通信原理學(xué)會路由器、三層交換機(jī)靜態(tài)路由的配置學(xué)會RIP的配置與維護(hù)學(xué)會OSPF路由協(xié)議及配置掌握NAT概念及其特點(diǎn)學(xué)會NAT、NAPT的配置掌握廣域網(wǎng)的相關(guān)技術(shù)學(xué)會PPP協(xié)議配置思維導(dǎo)圖

了解非直連網(wǎng)絡(luò)的通信0

1掌握靜態(tài)路由協(xié)議及配置02掌握RIP路由協(xié)議及配置03學(xué)習(xí)任務(wù)目錄0

60504掌握廣域網(wǎng)PPP協(xié)議及配置掌握網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)及配置掌握OSPF路由協(xié)議及配置利用靜態(tài)路由實現(xiàn)企業(yè)與Internet互聯(lián)0

1利用靜態(tài)路由實現(xiàn)企業(yè)與Internet互聯(lián)02私有局域網(wǎng)與Internet互聯(lián)03實戰(zhàn)任務(wù)目錄04利用CHAP認(rèn)證實現(xiàn)網(wǎng)絡(luò)安全互聯(lián)學(xué)習(xí)任務(wù)8.1了解非直聯(lián)網(wǎng)絡(luò)的通信8.1.1非直連網(wǎng)絡(luò)通信原理路由原理路由器根據(jù)報文的目的地址將報文從適當(dāng)?shù)慕涌诎l(fā)送出去。而路由就是指導(dǎo)報文發(fā)送的路徑信息。復(fù)習(xí)路由器的工作原理，與直連路由進(jìn)行對比。可舉路標(biāo)與路由表做對比。8.1.2非直連網(wǎng)絡(luò)通信協(xié)議路由信息路由信息源,可到達(dá)路徑,最佳路徑E0S0信息源目的網(wǎng)絡(luò)直連

學(xué)習(xí)獲得

10.1.1.0

轉(zhuǎn)發(fā)接口E0

S0非直聯(lián)網(wǎng)絡(luò)的通信協(xié)議優(yōu)先級路由選擇協(xié)議優(yōu)先級直連網(wǎng)絡(luò)0靜態(tài)路由1EIGRP匯總路由5內(nèi)部EIGRP路由90OSPF路由110RIP路由120外部EIGRP路由170不可達(dá)路由255獲得路由信息源1.靜態(tài)路由靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。無開銷，配置簡單，需人工維護(hù)，適合簡單拓樸結(jié)構(gòu)的網(wǎng)絡(luò)。靜態(tài)路由除了具有簡單、高效、可靠的優(yōu)點(diǎn)外，它的另一個好處是網(wǎng)絡(luò)安全保密性高。2.動態(tài)路由使路由器之間運(yùn)行某種動態(tài)路由協(xié)議,使路由器之間互相學(xué)習(xí)路由表。開銷大，配置復(fù)雜，無需人工維護(hù)，適合復(fù)雜拓樸結(jié)構(gòu)的網(wǎng)絡(luò)。下課，謝謝！授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院CLASSOVER,THANKYOU!項目8部署和實施企業(yè)網(wǎng)與Internet互聯(lián)授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院學(xué)習(xí)任務(wù)8.2掌握靜態(tài)路由協(xié)議及配置8.2.1靜態(tài)路由的概念靜態(tài)路由的概念靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。無開銷，配置簡單，需人工維護(hù)，適合簡單拓樸結(jié)構(gòu)的網(wǎng)絡(luò)。靜態(tài)路由除了具有簡單、高效、可靠的優(yōu)點(diǎn)外，它的另一個好處是網(wǎng)絡(luò)安全保密性高。8.2.2路由器靜態(tài)路由的配置配置靜態(tài)路由router(config)#iproute[目的網(wǎng)絡(luò)編號][子網(wǎng)掩碼][轉(zhuǎn)發(fā)路由器的IP地址/本地接口]靜態(tài)路由配置實例S0B網(wǎng)絡(luò)ABrouter(config)#iproute

或

router(config)#iprouteserial0配置案例1、將主機(jī)名配置為“A”）Red-Giant(config)#hostnameR12．為路由器F0/1接口分配IP地址R1(config)#interfacefastethernet1注：進(jìn)入路由器F0/1的接口配置模式R1(config-if)#ipaddress注：設(shè)置路由器R1的F0/1的IP地址為，對應(yīng)的子網(wǎng)掩碼為配置案例3．為路由器F0/0接口分配IP地址R1(config)#interfacefastethernet0注：進(jìn)入路由器F0/0的接口配置模式R1(config-if)#ipaddress54注：設(shè)置路由器F0/0的IP地址為54，對應(yīng)的子網(wǎng)掩碼為配置案例1、將主機(jī)名配置為“R2”）Red-Giant(config)#hostnameR22．為路由器F0/1接口分配IP地址R2(config)#interfacefastethernet1注：進(jìn)入路由器F0/1的接口配置模式R2(config-if)#ipaddress注：設(shè)置路由器R2的F0/1的IP地址為，對應(yīng)的子網(wǎng)掩碼為配置案例3．為路由器F0/0接口分配IP地址R2(config)#interfacefastethernet0注：進(jìn)入路由器F0/0的接口配置模式R2(config-if)#ipaddress54注：設(shè)置路由器F0/0的IP地址為54，對應(yīng)的子網(wǎng)掩碼為PCA與PCB是否可以相互通信？配置案例4．配置靜態(tài)路由：R1(config)#iproute或：R1(config)#iproutef1PCA與PCB是否可以相互通信？配置案例4．配置靜態(tài)路由：R2(config)#iproute或：R2(config)#iproutef1PCA與PCB是否可以相互通信？驗證命令#showrun#showint#showipintbrief#ping8.2.3三層交換機(jī)靜態(tài)路由的配置三層交換機(jī)靜態(tài)路由配置

三層交換機(jī)和路由器的區(qū)別具有路由功能的設(shè)備除路由器外還有三層交換機(jī)，三層交換機(jī)本身具有根據(jù)MAC表轉(zhuǎn)發(fā)數(shù)據(jù)幀的功能，同時，還具有根據(jù)路由表轉(zhuǎn)發(fā)數(shù)據(jù)包的功能。（1）三層交換機(jī)的轉(zhuǎn)發(fā)性能遠(yuǎn)大于路由器；（2）三層交換機(jī)各端口連接相同類型網(wǎng)絡(luò)；路由器可以連接不同類型網(wǎng)絡(luò)。三層交換機(jī)

三層交換機(jī)的功能：三層交換技術(shù)=二層交換技術(shù)＋三層轉(zhuǎn)發(fā)技術(shù)根據(jù)MAC表轉(zhuǎn)發(fā)數(shù)據(jù)幀根據(jù)路由表轉(zhuǎn)發(fā)數(shù)據(jù)包三層交換機(jī)路由功能方法1:通過給VLAN對應(yīng)的交換機(jī)虛擬端口（SVI）配置IP地址，使該端口具有路由功能；方法2:通過命令開啟三層交換機(jī)物理端口路由功能，即將默認(rèn)二層端口切換為三層端口），然后在該端口上配置IP地址。方法1三層交換機(jī)與路由器通過SVI連接F0/24劃分到VLAN80里，給VLAN80分配虛擬IP地址。主要配置命令Switch(config)#interfacevlanvlan號Switch(config-if)#ipaddressIP地址

子網(wǎng)掩碼Switch(config-if)#noshutdown主要配置命令Switch(config)#vlan80Switch(config)#intf0/24Switch(config-if)#switchportaccessvlan80Switch(config)#interfacevlan80Switch(config-if)#ipaddressSwitch(config-if)#noshutdown例如：F0/24劃分到VLAN80里，給VLAN80分配虛擬IP地址。方法2通過命令開啟三層交換機(jī)物理端口路由功能，F(xiàn)0/24開啟路由功能，給F0/24端口分配IP地址。主要配置命令啟動三層交換機(jī)的IP路由功能

命令格式：Switch(config)#iprouting

設(shè)置三層交換機(jī)的路由端口

命令格式：Switch(config-if)#noswitchport主要配置命令例如：啟動Fa0/24端口為路由口，并配置IPSwitch(config)#iproutingSwitch(config)#Interfacefastethernet0/24Switch(config-if)#noswitchport

Switch(config-if)#ipaddressSwitch(config-if)#noshutdownSwitch(config-if)#end下課，謝謝！授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院CLASSOVER,THANKYOU!項目8部署和實施企業(yè)網(wǎng)與Internet互聯(lián)授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院項目實戰(zhàn)8.3利用靜態(tài)路由實現(xiàn)企業(yè)網(wǎng)與Internet互聯(lián)項目背景某企業(yè)現(xiàn)有兩個分公司，一個在北京，另一個在廣州。兩個分公司各有一個局域網(wǎng)，分別通過一臺路由器接入因特網(wǎng)。現(xiàn)要在路由器上配置靜態(tài)路由實現(xiàn)兩個公司網(wǎng)絡(luò)的互聯(lián)。實施條件本項目使用PacketTracer模擬器完成。數(shù)據(jù)規(guī)劃設(shè)備接口IP地址子網(wǎng)掩碼R1Gi0/0(連接北京分公司交換機(jī)）54R1Gi0/1(連接路由器R3）52R3Gi0/1(連接路由器R1）52R3Gi0/2(連接路由器R2）52R2Gi0/0(連接廣州分公司交換機(jī)）54R2Gi0/2(連接路由器R3）52實施步驟實施步驟R1的配置R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipaddress54R1(config-if)#noshutdown

R1(config)#interfacegigabitEthernet0/1R1(config-if)#ipaddress52R1(config-if)#noshutdownR1(config)#iproute52R1(config)#iproute

R1(config)#ipdhcppoolbeijinR1(dhcp-config)#network

R1(dhcp-config)#default-router54R1(dhcp-config)#dns-server實施步驟R3的配置3(config)#interfacegigabitEthernet0/1R3(config-if)#ipaddress52R3(config-if)#noshutdownR3(config)#interfacegigabitEthernet0/2R3(config-if)#ipaddress52R3(config-if)#noshutdownR3(config)#iprouteR3(config)#iproute實施步驟R2的配置R2(config)#interfacegigabitEthernet0/2R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config)#interfacegigabitEthernet0/0R2(config-if)#ipaddress54R2(config-if)#noshutdownR2(config)#iproute52R2(config)#iprouteR2(config)#ipdhcppoolguangzhouR2(dhcp-config)#networkR2(dhcp-config)#default-router54R2(dhcp-config)#dns-server實施步驟查看R1的配置項目測試分公司之間的通信狀況下課，謝謝！授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院CLASSOVER,THANKYOU!項目8部署和實施企業(yè)網(wǎng)與Internet互聯(lián)授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院學(xué)習(xí)任務(wù)8.4掌握RIP路由協(xié)議及配置8.4.1

RIP概述RIP協(xié)議概述RIP：RoutingInformationProtocol路由信息協(xié)議。

RIP是第一個實現(xiàn)動態(tài)選路的路由協(xié)議，該協(xié)議基于D-V算法實現(xiàn)。RIP使用UDP包(端口號520)來交換RIP路由信息。RIP根據(jù)所經(jīng)過的路由器數(shù)即跳數(shù)來決定各目的網(wǎng)絡(luò)的度量值。RIP支持水平分割與毒性逆轉(zhuǎn)，并在路由中毒時采用觸發(fā)更新。RIP有V1和V2兩個版本，V1以廣播方式發(fā)送報文，不支子網(wǎng)掩碼；V2支持組播方式發(fā)送報文，支持子網(wǎng)掩碼。8.4.2

RIP配置RIP路由交換過程RIP協(xié)議啟動后向各接口廣播Request報文鄰居路由器收到Request報文后，形成包含其路由表的Response報文向?qū)?yīng)的網(wǎng)絡(luò)廣播接收到鄰居路由器的Response報文后，形成自己的路由表；并將收到的路由metric+1，下一跳設(shè)置為鄰居路由器地址路由器定時廣播路由表(缺省30秒)，并更新收到的路由如收到路由的metric等于16；或路由超時沒有更新(180秒)則失效，置metric=16繼續(xù)向周圍廣播，通知鄰居此路由失效超過120秒后，刪除這個路由8.4.3

RIP路由的局限性RIP的局限性路由環(huán)路下的慢收斂計數(shù)到無窮：metric達(dá)到16即表示路由不可達(dá)，收斂慢水平分割：禁止路由從收到的接口發(fā)出去毒性逆轉(zhuǎn)：收到的路由也原路發(fā)回，但metric為16觸發(fā)更新：發(fā)現(xiàn)路由metric改變(包括失效)，立刻廣播，不等到定時廣播時間，可加快收斂速度規(guī)模最大metric為16，不適應(yīng)大型網(wǎng)絡(luò)重復(fù)交換路由表，路由表較大時傳輸和處理的開銷大距離-矢量路由協(xié)議和運(yùn)行相同路由協(xié)議的路由器定期交換路由信息根據(jù)接收到的路由信息，計算得出自己的路由表每臺路由器都采用相同的操作，以此來學(xué)習(xí)整個網(wǎng)絡(luò)的情況ABC距離-矢量算法距離矢量路由協(xié)議基于Distance-Vector(D-V)算法。使用D-V算法的路由器通常以一定的時間間隔向相鄰的路由器發(fā)送他們完整的路由表。接收到路由表的鄰居路由器將收到的路由表和自己的路由表進(jìn)行比較，新的路由或到已知網(wǎng)絡(luò)但開銷(metric)更小的路由都被加入到路由表中。相鄰路由器然后再繼續(xù)向外廣播它自己的路由表(包括更新后的路由)。距離-矢量路由協(xié)議距離矢量路由器關(guān)心的是到目的網(wǎng)段的距離(metric)和矢量(方向，從哪個接口轉(zhuǎn)發(fā)數(shù)據(jù))。對于距離矢量路由型路由協(xié)議，路由更新只發(fā)生在直接相連的兩臺路由器之間。RoutingTableRoutingTableRoutingTableRoutingTable距離—花費(fèi)

矢量—從哪個接口出去CBADABCD距離-矢量路由協(xié)議的缺陷metric的可信度通過定期廣播整個路由表的交換路由信息方式，不適宜運(yùn)用在稍大一點(diǎn)的網(wǎng)絡(luò)簡單矢量疊加極易引起路由表更新錯誤和收斂無窮等問題8.4.4

RIP路由配置RIP配置思路RIP是一種相對簡單的動態(tài)路由協(xié)議，配置需要確認(rèn)以下幾方面：1．確認(rèn)需要運(yùn)行RIP協(xié)議的組網(wǎng)規(guī)模，建議總數(shù)不要超過16臺；2．確認(rèn)RIP協(xié)議使用的版本號，建議使用V2；3．確認(rèn)路由器上需要運(yùn)行RIP的接口，確認(rèn)需要引入的外部路由；4．注意是否有協(xié)議驗證部分的配置，對接雙方的驗證字符串必須一致。RIP配置命令命令格式命令模式命令功能routerrip全局啟動RIP路由選擇進(jìn)程network<ip-address>路由為RIP選擇路由指定網(wǎng)絡(luò)表version{1|2}路由指定路由器全局使用的RIP版本auto-summary路由以路由聚合形式向外發(fā)送路由ipripauthentication路由明文/MD5驗證redistribute<protocol>[metric<metric-value>][route-map<map-tag>]路由指定引入的路由類型RIP維護(hù)診斷命令命令格式命令模式命令功能showipripdatabase所有模式顯示由RIP協(xié)議產(chǎn)生的路由條目debugiprip特權(quán)跟蹤RIP的基本收發(fā)包過程RIP維護(hù)與診斷顯示由RIP協(xié)議產(chǎn)生的路由條目：ZXR10#showipripdatabaePrefRoutesh:ispossiblydown,inholddowntimef:outholddowntimebeforeflush*>/8*>/24*>/24*>/24*>/24 8.4.5

RIP路由配置實例配置實例配置步驟（1）R1的配置：R1(config)#routerripR1(config-router-rip)#network

R1(config-router-rip)#network

（2）R2的配置：R2(config)#routerripR2(config-router-rip)#network192.168.1.0

R2(config-router-rip)#network

（3）R3的配置：R3(config)#routerripR3(config-router-rip)#networkR3(config-router-rip)#network網(wǎng)絡(luò)拓?fù)銻IP實例維護(hù)R1#showipripdatabase/24auto-summary/24directlyconnected,FastEthernet0/1/24auto-summary/24directlyconnected,FastEthernet0/0/24auto-summary/24[1]via,00:00:23,FastEthernet0/0/24auto-summary/24[2]via,00:00:23,FastEthernet0/0下課，謝謝！授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院CLASSOVER,THANKYOU!項目8部署和實施企業(yè)網(wǎng)與Internet互聯(lián)授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院學(xué)習(xí)任務(wù)8.5掌握OSPF路由協(xié)議及配置8.5.1

OSPF概念OSPF概述OSPF：OpenShortestPathFirst，開放最短路徑優(yōu)先由IETF(InternetEngineeringTaskForce)組織開發(fā)

OSPF是鏈路狀態(tài)協(xié)議，采用SPF算法

OSPF是IGP(InteriorGatewayProtocol)協(xié)議，用于在自治系統(tǒng)AS

(AutonomousSystem)內(nèi)發(fā)現(xiàn)和計算路由相關(guān)RFC文檔:RFC2328，RFC1583，RFC2178優(yōu)

點(diǎn)

無自環(huán)收斂速度快支持區(qū)域劃分支持驗證組播發(fā)送協(xié)議報文基于帶寬來選擇路徑支持等值路由支持VLSM(變長子網(wǎng)掩碼)和CIDROSPF支持各種規(guī)模的網(wǎng)絡(luò)，最多可支持幾百臺路由器OSPF支持的網(wǎng)絡(luò)類型

（1）Point-to-point鏈路層協(xié)議是PPP或LAPB時，默認(rèn)網(wǎng)絡(luò)類型為點(diǎn)到點(diǎn)網(wǎng)絡(luò)。無需選舉DR和BDR，當(dāng)只有兩個路由器的接口要形成鄰接關(guān)系的時候才使用。（2）Broadcast鏈路層協(xié)議是Ethernet、FDDI、TokenRing時，默認(rèn)網(wǎng)絡(luò)類型為廣播網(wǎng)，以組播的方式發(fā)送協(xié)議報文。（3）NBMA鏈路層協(xié)議是幀中繼、ATM、HDLC或X.25，默認(rèn)網(wǎng)絡(luò)類型為NBMA。手工指定鄰居。（4）Point-to-MultiPoint（PTMP）沒有一種鏈路層協(xié)議會被缺省的認(rèn)為是Point-to-MultiPoint類型。點(diǎn)到多點(diǎn)必然是由其他網(wǎng)絡(luò)類型強(qiáng)制更改的，常見的做法是將非全連通的NBMA改為點(diǎn)到多點(diǎn)的網(wǎng)絡(luò)。多播hello包自動發(fā)現(xiàn)鄰居，無需手工指定鄰居。OSPF術(shù)語（1）RouterIDRouterID采用32位無符號整數(shù)，形式如：X.X.X.X，唯一標(biāo)識一臺OSPF設(shè)備。一般需要手工配置，通常將其配置為該路由器的某個接口的IP地址；在沒有手工配置RouterID的情況下，一些廠家的路由器支持自動從當(dāng)前所有接口的IP地址自動選舉一個IP地址作為RouterID。OSPF協(xié)議用IP報文直接封裝協(xié)議報文，協(xié)議號是89。（2）指定路由器（DR）在廣播和NBMA類型的網(wǎng)絡(luò)上，OSPF協(xié)議指定一臺路由器DR（DesignatedRouter）來負(fù)責(zé)傳遞信息（3）備份指定路由器（BDR）如果DR由于某種故障而失效，這時必須重新選舉DR，并與之同步。這需要較長的時間，在這段時間內(nèi)，路由計算是不正確的。為了能夠縮短這個過程，OSPF提出了BDR（BackupDesignatedRouter）的概念。BDR實際上是對DR的一個備份。OSPF術(shù)語（4）鄰居表（NeighborDatabase）鄰居表中包括所有建立聯(lián)系的鄰居路由器。（5）鏈接狀態(tài)表（拓?fù)浔恚↙inkStateDatabase）鏈接狀態(tài)表中包含了網(wǎng)絡(luò)中所有路由器的鏈接狀態(tài)。它表示著整個網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。同Area內(nèi)的所有路由器的鏈接狀態(tài)表，都是相同的。（6）路由表（RoutingTable）RIP協(xié)議的路由表是在鏈接狀態(tài)表的基礎(chǔ)之上，利用SPF算法計算而來。OSPF報文類型

OSPF的報文共有五種類型：（1）HELLO報文（HelloPacket）：HELLO報文最常用的一種報文，周期性的發(fā)送給本路由器的鄰居。（2）DBD報文（DatabaseDescriptionPacket）：DBD報文描述自己的LSDB，包括LSDB中每一條LSA的摘要（摘要是指LSA的HEAD，可唯一標(biāo)識一條LSA），根據(jù)HEAD，對端路由器就可以判斷出是否已經(jīng)有了這條LSA；DBD用于數(shù)據(jù)庫同步。（3）LSR報文（LinkStateRequestPacket）：LSR報文用于向?qū)Ψ秸埱笞约核璧腖SA。內(nèi)容包括所請求的LSA的摘要。（4）LSU報文（LinkStateUpdatePacket）：LSU報文用來向?qū)Χ寺酚善靼l(fā)送所需要的LSA，內(nèi)容是多條LSA（全部內(nèi)容）的集合。（5）LSAck報文（LinkStateAcknowledgmentPacket）：LSAck報文用來對接收到的DBD，LSU報文進(jìn)行確認(rèn)。OSPF鄰居狀態(tài)機(jī)（1）Down：鄰居狀態(tài)機(jī)的初始狀態(tài)，是指在過去的Dead-Interval時間內(nèi)沒有收到對方的Hello報文。（2）Attempt：只適用于NBMA類型的接口，處于本狀態(tài)時，定期向那些手工配置的鄰居發(fā)送Hello報文。（3）Init：本狀態(tài)表示已經(jīng)收到了鄰居的Hello報文，但是該報文中列出的鄰居中沒有包含我的RouterID（對方并沒有收到我發(fā)的Hello報文）。（4）2-Way：本狀態(tài)表示雙方互相收到了對端發(fā)送的HELLO報文，建立了鄰居關(guān)系。在廣播和NBMA類型的網(wǎng)絡(luò)中，兩個接口狀態(tài)是DROther的路由器之間將停留在此狀態(tài)。其他情況狀態(tài)機(jī)將繼續(xù)轉(zhuǎn)入高級狀態(tài)。（5）ExStart：在此狀態(tài)下，路由器和它的鄰居之間通過互相交換DBD報文（該報文并不包含實際的內(nèi)容，只包含一些標(biāo)志位）來決定發(fā)送時的主/從關(guān)系。建立主/從關(guān)系主要是為了保證在后續(xù)的DBD報文交換中能夠有序的發(fā)送。（6）Exchange：路由器將本地的LSDB用DBD報文來描述，并發(fā)給鄰居。（7）Loading：路由器發(fā)送LSR報文向鄰居請求對方的DBD報文。（8）Full：在此狀態(tài)下，鄰居路由器的LSDB中所有的LSA本路由器全都有了。即，本路由器和鄰居建立了鄰接（adjacency）狀態(tài)。鄰居狀態(tài)機(jī)轉(zhuǎn)換圖OSPF鄰居狀態(tài)機(jī)OSPF路由計算過程OSPF協(xié)議計算路由有以下三個主要步驟：第一步：描述本路由器周邊的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并生成LSA。第二步：將自己生成的LSA在自治系統(tǒng)中傳播。并同時收集所有的其他路由器生成的LSA。第三步：根據(jù)收集的所有的LSA計算路由。8.5.2

OSPF區(qū)域的劃分OSPF單區(qū)域的問題當(dāng)一個巨型網(wǎng)絡(luò)中運(yùn)行OSPF路由協(xié)議，就會遇到如下問題：路由器數(shù)量的增多會導(dǎo)致LSDB非常龐大，占用大量的存儲空間，LSDB同步會需要很長時間增加運(yùn)行SPF算法的復(fù)雜度，導(dǎo)致路由器的CPU負(fù)擔(dān)很重拓?fù)浣Y(jié)構(gòu)變化會導(dǎo)致大量的OSPF協(xié)議報文在傳遞，降低了網(wǎng)絡(luò)的帶寬利用率，同時所有的路由器重新進(jìn)行路由計算OSPF區(qū)域——劃分區(qū)域解決方法：將自治系統(tǒng)劃分成不同的區(qū)域(Area)

每一個網(wǎng)段必須屬于一個區(qū)域，或者說每個運(yùn)行OSPF協(xié)議的接口必須指明屬于某一個特定的區(qū)域，區(qū)域用區(qū)域號(AreaID)來標(biāo)識。不同的區(qū)域之間通過ABR來傳遞路由信息Area1BackboneArea0External

ASArea2OSPFRouter的類型路由器根據(jù)在自治系統(tǒng)中的不同位置劃分為以下四種類型：IAR（InternalAreaRouter）ABR（AreaBorderRouter）BBR（BackBoneRouter）ASBR（ASBoundaryRouter）LSA的類型常見的六種LSA類型：Type1:RouterlinkentryType2:NetworklinkentryType3and4:SummarylinkentryType5:ASexternallinkentryType6:NSSAexternallinkentryOSPF區(qū)域類型(1)OSPF協(xié)議里把區(qū)域劃分為以下5種類型：（1）標(biāo)準(zhǔn)區(qū)域

這個默認(rèn)的區(qū)域接收鏈路狀態(tài)更新、路由匯總和外部路由信息。（2）骨干區(qū)域(backbonearea)

骨干區(qū)域是連接所有其他區(qū)域的中心點(diǎn)，區(qū)域號總是“0”。所有其他區(qū)域都連接到這個區(qū)域以交換路由信息。Area0Area1Area2AS100OSPF區(qū)域類型(2)（3）末節(jié)區(qū)域(stubarea)

不接受任何自治系統(tǒng)外部路由的信息，比如非OSPF網(wǎng)絡(luò)的信息。使用缺省的路由連接AS外的網(wǎng)絡(luò)。末節(jié)區(qū)域不能包含ASBR。（4）完全末節(jié)區(qū)域(totallystubarea)

不接受任何AS外部的路由，及AS內(nèi)部的其他區(qū)域的匯總信息。使用缺省的路由發(fā)送數(shù)據(jù)包到外部網(wǎng)絡(luò)或是其他區(qū)域。不包含ASBR。Area2External

ASXX單一出口

特點(diǎn)：通常只能有一個出口區(qū)域內(nèi)不能有ASBR

不能是Area0(Backbone)

不能使用虛連接(Virtuallinks)OSPF區(qū)域類型(3)（5）非完全末節(jié)區(qū)域(not-so-stubbyarea)

定義了Type-7的LSA。NSSA提供類域末節(jié)區(qū)域和完全末節(jié)區(qū)域同樣的好處。但，在NSSA中允許存在ASBR。

NSSA區(qū)域可以使用Type-7LSA引入非OSPF路由到OSPF區(qū)域，Type-7LSA僅在NSSA區(qū)洪泛，通過ABR轉(zhuǎn)化成Type-5LSA。Type5LSA

Type7LSARIParea0NSSAarea

ASBRABRLSAType(1)LSATypeLSA名稱LSA描述1Router-LSA每一個路由器都會生成。這種LSA描述某區(qū)域內(nèi)路由器端口鏈路狀態(tài)的集合。只在所描述的區(qū)域內(nèi)洪泛。2Network-LSA由DR生成，用于描述廣播型網(wǎng)絡(luò)和NBMA網(wǎng)絡(luò)。這種LSA包含了該網(wǎng)絡(luò)上所連接路由器的列表。只在該網(wǎng)絡(luò)所屬的區(qū)域內(nèi)洪泛。LSAType(續(xù))LSATypeLSA名稱LSA描述3Network-Summary-LSA由區(qū)域邊界路由器(ABR)產(chǎn)生，描述到AS內(nèi)部本區(qū)域外部某一網(wǎng)段的路由信息，在該LSA所生成的區(qū)域內(nèi)洪泛。4ASBR-Summary-LSA由區(qū)域邊界路由器(ABR)產(chǎn)生，描述到某一自治系統(tǒng)邊界路由器(ASBR)的路由信息，在該LSA所生成的區(qū)域內(nèi)洪泛。5AS-external-LSA由自治系統(tǒng)邊界路由器(ASBR)產(chǎn)生，描述到AS外部某一網(wǎng)段的路由信息，在整個AS內(nèi)部洪泛。7ASExternalLSA類型7的LSA被應(yīng)用在非完全末節(jié)區(qū)域中（NSSA）。OSPF協(xié)議計算過程LSDBLSAofRTALSAofRTBLSAofRTCLSAofRTD(2)每臺路由器的LSDB(3)由鏈路狀態(tài)數(shù)據(jù)庫生成帶權(quán)有向圖CABD346CABD234CABD234CABD234CABD234RTARTCRTD4326(1)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)(4)每臺路由器分別以自己為根節(jié)點(diǎn)計算最小生成樹RTB2OSPF虛連接所有的區(qū)域必須和骨干區(qū)域相連，而且骨干區(qū)域自身也必須是連通的。由于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)復(fù)雜，有時無法滿足這個條件。為此，OSPF提出了虛連接的概念。Area2Area0(Backbone)Area3Area1VirtualLinkTransitArea虛連接是指在兩臺ABR之間，穿過一個非骨干區(qū)域(轉(zhuǎn)換區(qū)域—transitarea)，建立的一條邏輯上的連接通道。OSPF虛連接（續(xù)）虛連接是指在兩臺ABR之間，穿過一個非骨干區(qū)域即轉(zhuǎn)換區(qū)域（transitArea）建立的一條邏輯上的連接通道?！斑壿嬐ǖ馈笔侵竷膳_ABR之間多臺運(yùn)行OSPF的路由器只是起到一個轉(zhuǎn)發(fā)報文的作用（由于協(xié)議報文的目的地址不是這些路由器，所以這些報文對于他們是透明的，只是當(dāng)作普通的IP報文來轉(zhuǎn)發(fā)），兩臺ABR之間直接傳遞路由信息。8.5.3

OSPF協(xié)議的配置配置步驟

配置OSPF協(xié)議的基本步驟：設(shè)置路由器的ID號啟動OSPF

宣告相應(yīng)的網(wǎng)段這三個步驟是配置OSPF的最基本的三個步驟，其中啟動ospf和宣告相應(yīng)網(wǎng)段是其中必需的兩個步驟，而RouterID的設(shè)置，則不是必需完成的?；久?基本配置)（1）指定一個OSPF進(jìn)程的RouterID

router-id<ip-address>（2）啟動OSPF路由協(xié)議進(jìn)程

routerospf<processid>（3）定義OSPF協(xié)議運(yùn)行的接口以及對這些接口定義區(qū)域ID

network<ip-address>

<wildcard-mask>area<area-id>基本命令(區(qū)域配置)定義一個區(qū)域為末節(jié)區(qū)域或完全末節(jié)區(qū)域

area<area-id>stub[no-summary][default-cost<cost>]

定義一個區(qū)域為非完全末節(jié)區(qū)域

area<area-id>nssa[no-redistribution][default-information-originate[metric<metric-value>][metric-type<type>]][no-summary]

配置區(qū)域間路由聚合

area<area-id>range<ip-address><net-mask>[advertise|not-advertise]基本命令(重分布)

配置通告缺省路由

notifydefaultroute[always][metric<metric-value>][metric-type<type>][route-map<map-tag>]

配置重分布其它路由協(xié)議

redistribute<protocol>[as<as-number>][peer

<peer-address>][tag<tag-value>][metric<metric-value>][metric-type<type>][route-map<map-tag>]

注：控制其他協(xié)議符合條件的路由導(dǎo)入OSPF自治系統(tǒng)中，使用該命令后路由器成為一個ASBR。基本命令(認(rèn)證)

（1）在OSPF區(qū)域上使用認(rèn)證的配置命令router(config-if)#area<area-id>authentication[message-digest]（2）簡單口令認(rèn)證類型的接口配置命令

router(config-if)#ip

ospf

message-digest-key

<password>8.5.4多區(qū)域OSPF的配置實例多區(qū)域OSPF的配置某高校有東（East）、西（West）兩個校區(qū)，分別建立了兩個校區(qū)的校園網(wǎng)子網(wǎng)，兩個校區(qū)的校園網(wǎng)邊界路由器分別為R2和R3，將兩個校區(qū)的校園網(wǎng)子網(wǎng)連接起來，形成一個完整的互聯(lián)互通的校園網(wǎng)。配置（1）R1的配置：

R1(config)#interfacefastEthernet0/0R1(config-if)#ipaddress

R1(config-if)#noshutdownR1(config-if)#exR1(config)#interfaceLoopback0R1(config-if)#ipaddress55R1(config-if)#noshutdownR1(config-if)#exR1(config)#routerospf10R1(config-router)#router-id

R1(config-router)#network55area1R1(config-router)#network

area1

配置（2）R2的配置：R2(config)#interfacefastEthernet0/0R2(config-if)#ipaddress

R2(config-if)#noshutdownR2(config-if)#exR2(config)#interfacefastEthernet0/1

R2(config-if)#ipaddress

R2(config-if)#noshutdownR2(config-if)#exR2(config)#interfaceLoopback0R2(config-if)#ipaddress55R2(config-if)#noshutdownR2(config-if)#exR2(config)#routerospf10

R2(config-router)#router-id

R2(config-router)#network55area1R2(config-router)#network55

area

0R2(config-router)#network

area0

配置（3）R3的配置：R3(config)#interfacefastEthernet0/0R3(config-if)#ipaddress

R3(config-if)#noshutdownR3(config-if)#exR3(config)#interfacefastEthernet0/1R3(config-if)#ipaddress

R3(config-if)#noshutdownR3(config-if)#exR3(config)#interfaceLoopback0R3(config-if)#ipaddress55R3(config-if)#noshutdownR3(config-if)#exR3(config)#routerospf10R3(config-router)#router-id

R3(config-router)#network55area2R3(config-router)#network55area0

R3(config-router)#network

area0

配置（4）R4的配置：R4(config)#interfacefastEthernet0/0R4(config-if)#ipaddress

R4(config-if)#noshutdownR4(config-if)#exR4(config)#interfaceLoopback0R4(config-if)#ipaddress55R4(config-if)#noshutdownR4(config-if)#exR4(config)#routerospf10R4(config-router)#router-idR4(config-router)#network55area2R4(config-router)#network

area2下課，謝謝！授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院CLASSOVER,THANKYOU!項目8部署和實施企業(yè)網(wǎng)與Internet互聯(lián)授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院實戰(zhàn)任務(wù)8.6利用動態(tài)路由實現(xiàn)企業(yè)網(wǎng)與Internet互聯(lián)項目背景當(dāng)企業(yè)內(nèi)部規(guī)模比較大時，可使用動態(tài)路由保證企業(yè)網(wǎng)絡(luò)工作正常，現(xiàn)某企業(yè)有四臺路由器運(yùn)行了不同的路由協(xié)議，其中R1運(yùn)行RIP路由協(xié)議，R2、R3和R4運(yùn)行OSPF協(xié)議，R2、R3屬于骨干區(qū)域，R3、R4屬于區(qū)域1，可通過配置RIP與OSPF路由重分發(fā)，實現(xiàn)在不同路由協(xié)議之間通信。實施條件根據(jù)實驗室的實際情況項目可使用實體設(shè)備或PacketTracer模擬器完成。數(shù)據(jù)規(guī)劃設(shè)備接口IP地址R1F0/1/30R1F0/0/30R1Loopback0/24R2F0/1/30R2F0/0/30R3F0/1/30R3F0/0/30R3Loopback0/24R4F0/00/30R4Loopback0/24R4Loopback0/24實施步驟網(wǎng)絡(luò)設(shè)備連接實施步驟（R1配置）R1(config)#interface

fastethernet0/0R1(config-if)#ipaddress

52R1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceloopback0R1(config-if)#ipaddress

R1(config-if)#noshutdownR1(config-if)#exitR1(config)#interface

fastethernet0/1R1(config-if)#ipaddress

52R1(config-if)#noshutdownR1(config-if)#exitR1(config)#routerripR1(config-router)#version2R1(config-router)#network

R1(config-router)#network

R1(config-router)#network

R1(config-router)#noauto-summaryR1(config-router)#default-informationoriginate實施步驟（R2配置）R2(config)#interfacefastethernet0/0R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacefastethernet0/1R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config-if)#exitR2(config)#routerripR2(config-router)#version2R2(config-router)#networkR2(config-router)#exitR2(config)#routerospf10R2(config-router)#networkarea0R2(config-router)#redistributeripmetric50subnetsR2(config-router)#default-informationoriginateR2(config-router)#exitR2(config)#routerripR2(config-router)#redistributeospf10metric1實施步驟（R3配置）R3(config)#interfacefastethernet0/0R3(config-if)#ipaddress52R3(config-if)#noshutdownR3(config-if)#exitR3(config)#interfaceloopback0R3(config-if)#ipaddressR3(config-if)#noshutdownR3(config-if)#exitR3(config)#interfacefastethernet0/1R3(config-if)#ipaddress52R3(config-if)#noshutdownR3(config-if)#exitR3(config)#routerospf10R3(config-router)#networkarea0R3(config-router)#network55area0R3(config-router)#networkarea1實施步驟（R4配置）R4(config)#interfacefastethernet0/0R4(config-if)#ipaddress052R4(config-if)#noshutdownR4(config-if)#exitR4(config)#interfaceloopback0R4(config-if)#ipaddressR4(config-if)#noshutdownR4(config-if)#exitR4(config)#interfaceloopback1R4(config-if)#ipaddressR4(config-if)#noshutdownR4(config-if)#exitR4(config)#routerospf10R4(config-router)#networkarea1R4(config-router)#network55area1項目測試（R1的路由信息）項目測試（R2的路由信息）項目測試（R3的路由信息）項目測試（R4的路由信息）項目測試（R1的通信狀況）項目測試（R4的通信狀況）思政小課堂首先，團(tuán)隊需要有一個清晰的目標(biāo)，這是所有行動的基石目標(biāo)明確與共識團(tuán)隊成員在數(shù)據(jù)規(guī)劃完成后要確保信息在團(tuán)隊內(nèi)部得到充分共享，確保每個成小組員都能獲得所需的信息信息收集與共享針對問題，團(tuán)隊需要制定解決方案，并對每個方案進(jìn)行集體討論和頭腦風(fēng)暴，激發(fā)團(tuán)隊成員的創(chuàng)新思維，確保制定出最優(yōu)的解決方案。集體討論和頭腦風(fēng)暴通過集體討論和合作，逐步縮小問題范圍，最終確定問題的核心所在問題分析與定位任務(wù)分配與執(zhí)行在執(zhí)行過程中，團(tuán)隊成員應(yīng)相互支持、密切配合，共同推動任務(wù)的順利完成結(jié)果總結(jié)與反饋團(tuán)隊成員之間應(yīng)相互反饋，肯定彼此的優(yōu)點(diǎn)和不足，以便在未來的工作中不斷改進(jìn)和提升。團(tuán)隊合作下課，謝謝！授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院CLASSOVER,THANKYOU!項目8部署和實施企業(yè)網(wǎng)與Internet互聯(lián)授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院學(xué)習(xí)任務(wù)8.7掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)及配置8.7.1網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)問題提出隨著Internet技術(shù)的飛速發(fā)展，起來越多的用戶加入到Internet，無論在辦公室、賓館、學(xué)校、公司及家庭，人們都需要接入Internet進(jìn)行辦公、娛樂等，互聯(lián)網(wǎng)中任何兩臺主機(jī)間通信需要全球唯一的IP地址。目前，Internet的一個重要問題是IP地址需求急劇膨脹，IP地址空間已近衰竭，而NAT的使用恰好緩解了這個問題。解決方法還可以通過其它的一些技術(shù)來節(jié)省IP地址的使用，如：1.可變長子網(wǎng)掩碼（VLSM）2.無類域間路由（CIDR）3.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）4.IPv6：為解決IP地址耗盡問題，IPv6應(yīng)該是最終的解決手段，但是由于現(xiàn)有網(wǎng)絡(luò)都使用IPv4，絕大多數(shù)都不支持IPv6，要升級設(shè)備需要大量的資金，是一個長期且浩大的工程。什么是NATNAT（NetworkAddressTranslation）就是將網(wǎng)絡(luò)地址從一個地址空間轉(zhuǎn)換到另外一個地址空間的行為。它使得一個使用私有地址的網(wǎng)絡(luò)中的主機(jī)以合法地址出現(xiàn)在Internet上。Internet/24/24為什么使用NAT？

內(nèi)網(wǎng)對Internet的訪問網(wǎng)絡(luò)安全保護(hù)技術(shù)節(jié)省IP地址在內(nèi)部局域網(wǎng)提供外部網(wǎng)絡(luò)服務(wù)為什么需要NAT？IP地址危機(jī)

IPv4地址空間不足在為企業(yè)內(nèi)部網(wǎng)絡(luò)、測試實驗室或家庭進(jìn)行網(wǎng)絡(luò)編址時，可以使用私有地址，而不必每臺設(shè)備都花錢從ISP或注冊中心哪里獲得全球唯一的地址。但是這些地址在Internet上是不可被路由的。私有地址和公有地址因特網(wǎng)地址分配組織規(guī)定以下的三個網(wǎng)絡(luò)地址保留用做私有地址：

-55-55-55使用NAT的優(yōu)缺點(diǎn)優(yōu)點(diǎn)缺點(diǎn)節(jié)省合法地址引入延遲減少地址沖突的機(jī)會喪失端到端的IP跟蹤能力靈活連接Internet一些特定應(yīng)用可能無法正常工作，如IPSEC，GRE，L2TP等維持局域網(wǎng)的私密性，因為內(nèi)部IP地址是不公開的8.7.2

NAT的工作原理及方式NAT工作原理通常在以下幾種情況下會用到NAT轉(zhuǎn)換。（1）將私有的網(wǎng)絡(luò)接入Internet，而又沒有足夠的注冊IP地址；（2）兩個要求互聯(lián)的網(wǎng)絡(luò)的地址空間重疊；（3）改變了服務(wù)提供商，需要對網(wǎng)絡(luò)重新編址。NAT基本原理NAT:NetworkAddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換NAT是一種地址映射技術(shù)，將主機(jī)的私有IP地址映射為一個外部唯一可識別的公用IP地址

Router(NAT)LAN(inside)WAN(outside)1源=目的=234源=目的=源=目的=源=目的=HOSTSERVER上行流下行流

內(nèi)網(wǎng)外網(wǎng)私有IP地址公用IP地址NAT的類型NAT（NetworkAddressTranslation）轉(zhuǎn)換后，一個內(nèi)部本地IP地址對應(yīng)一個全局IP地址。

NAT又分為：靜態(tài)NAT和動態(tài)NAT。NAPT（NetworkAddressPortTranslation或NPAT）轉(zhuǎn)換后，多個內(nèi)部本地地址對應(yīng)一個全局IP地址。NAT工作方式——靜態(tài)轉(zhuǎn)換NAT工作方式——動態(tài)轉(zhuǎn)換訪問過程N(yùn)AT工作方式——動態(tài)轉(zhuǎn)換響應(yīng)過程N(yùn)APT與NAT的區(qū)別是什么NAT（NetworkAddressTranslation）轉(zhuǎn)換后，一個內(nèi)部本地IP地址對應(yīng)一個全局IP地址。不能同時滿足所有的內(nèi)部網(wǎng)絡(luò)主機(jī)與外部網(wǎng)絡(luò)通信的需要。NAPT（NetworkAddressPortTranslation或NPAT）轉(zhuǎn)換后，多個內(nèi)部本地地址對應(yīng)一個全局IP地址。NAPTNAPT只需要一個內(nèi)部全局地址就可以映射多個內(nèi)部本地地址，通過端口號來區(qū)分不同主機(jī)。

NAPT分為靜態(tài)NAPT及動態(tài)NAPT。常見的端口號FTP TCP 20，21Telnet TCP 23HTTP TCP 80DNS TCP,UDP53TFTP UDP 69Well-known端口：0-1023注冊端口：1024-49151動態(tài)或私有端口：49152-65535NAPT工作方式——靜態(tài)轉(zhuǎn)換訪問過程N(yùn)APT工作方式——靜態(tài)轉(zhuǎn)換響應(yīng)過程N(yùn)APT工作方式——動態(tài)轉(zhuǎn)換訪問過程N(yùn)APT工作方式——動態(tài)轉(zhuǎn)換響應(yīng)過程8.7.3

NAT的配置靜態(tài)NAT靜態(tài)NAT:

建立內(nèi)部本地地址和內(nèi)部全局地址的一對一的永久映射.永久的一對一IP地址映射關(guān)系需要向外部網(wǎng)絡(luò)提供信息服務(wù)的主機(jī)的IP地址必采用靜態(tài)NAT.靜態(tài)NAT配置步驟

靜態(tài)NAT配置基本步驟：①定義NAT翻譯規(guī)則②定義NAT轉(zhuǎn)換的內(nèi)部端口③定義NAT轉(zhuǎn)換的外部端口靜態(tài)NAT配置命令

1.定義內(nèi)部源地址與全局地址的靜態(tài)轉(zhuǎn)換關(guān)系

Router(config)#ipnatinsidesourcestaticlocal-addressglobal-address說明：local-address:內(nèi)部私有地址;global-address:內(nèi)部全局地址2.定義連接內(nèi)部網(wǎng)絡(luò)的接口Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside3.定義連接外部網(wǎng)絡(luò)的接口Router(config)#interfaceinterface-typeinterface-number

Router(config-if)#ipnatoutside靜態(tài)NAT的配置實例靜態(tài)NAT的配置實例——R1配置Router#configterminal

//進(jìn)入全局配置模式Router(config)#hostnameR1

//命名路由器為R1R1(config)#interfaceFastEthernet0/1

//進(jìn)入路由器F0/1口R1(config-if)#ipaddress

//配置IP地址R1(config-if)#ipnatinside

//連接內(nèi)部網(wǎng)絡(luò)R1(config-if)#noshutdown

//激活端口R1(config-if)#exit

//退出當(dāng)前模式R1(config)#interfaceSerial0/1/0

//進(jìn)入路由器S0/1/0口R1(config-if)#ipaddress

//配置IP地址R1(config-if)#ipnatoutside

//連接外部網(wǎng)絡(luò)R1(config-if)#noshutdown

//激活端口R1(config-if)#exit

//退出當(dāng)前模式R1(config)#ipnatinsidesourcestatic

192.192.192.3

//內(nèi)部地址靜態(tài)轉(zhuǎn)換成外網(wǎng)地址R1(config)#ipnatinsidesourcestatic

192.192.192.4

//內(nèi)部地址靜態(tài)轉(zhuǎn)換成外網(wǎng)地址R1(config)#ipnatinsidesourcestatic

192.192.192.5

//內(nèi)部地址靜態(tài)轉(zhuǎn)換成外網(wǎng)地址R1(config)#iproute

//配置默認(rèn)路由靜態(tài)NAT的配置實例——R2配置Router#configterminal//進(jìn)入全局配置模式Router(config)#hostnameR2//命名路由器為R2R2(config)#interfaceFastEthernet0/1//進(jìn)入路由器F0/1口R2(config-if)#ipaddress//配置IP地址R2(config-if)#noshutdown//激活端口R2(config-if)#exit//退出當(dāng)前模式R2(config)#interfaceSerial0/1/0//進(jìn)入路由器S0/1/0口R2(config-if)#ipaddress//配置IP地址R2(config-if)#clockrate64000//配置時鐘頻率R2(config-if)#noshutdown//激活端口R2(config-if)#exit//退出當(dāng)前模式靜態(tài)NAT的配置實例——結(jié)果驗證R1#showipnattranslations

ProInsideglobalInsidelocalOutsidelocalOutsideglobal---------------------------動態(tài)NAT動態(tài)NAT:建立內(nèi)部本地地址和內(nèi)部全局地址池的臨時映射.臨時的一對一IP地址映射關(guān)系適用于只訪問外網(wǎng)服務(wù)，不提供信息服務(wù)的主機(jī)內(nèi)部主機(jī)數(shù)可以大于全局IP地址數(shù)動態(tài)ＮＡＴ配置配置步驟（1）定義一個用于動態(tài)NAT轉(zhuǎn)換的內(nèi)部全局地址池指定內(nèi)部網(wǎng)絡(luò)接口（2）定義標(biāo)準(zhǔn)ACL，匹配該ACL的內(nèi)部本地地址可以動態(tài)轉(zhuǎn)換（3）配置內(nèi)部本地地址和內(nèi)部全局地址間的轉(zhuǎn)換關(guān)系（4）定義接口連接內(nèi)部網(wǎng)絡(luò)（5）定義接口連接外部網(wǎng)絡(luò)動態(tài)NAT配置命令（1）1.定義一個可以根據(jù)需要進(jìn)行分配的全局IP地址池Router(config)#ipnatpoolpool-namestart-addressend-address{netmask

mask}說明：

address-pool：地址池的名稱（可任意設(shè)定）

start-address：在地址池中定義地址范圍的起始IP地址

end-address：在地址池中定義地址范圍的結(jié)束IP地址

netmaskmask：定義網(wǎng)絡(luò)掩碼

例：定義一個NAT地址池。Router(config)#ipnatpoolmynatpool00netmask2.定義一個標(biāo)準(zhǔn)訪問列表，只有匹配該列表的地址才可以進(jìn)行動態(tài)地址轉(zhuǎn)換Router(config)#access-list<1-99>

permitIP地址反掩碼3.定義內(nèi)部源地址動態(tài)轉(zhuǎn)換關(guān)系：將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進(jìn)行地址轉(zhuǎn)換Router(config)#ipnatinsidesourcelist標(biāo)準(zhǔn)ACL號

pool

地址池的名稱例如：將訪問控制列表用于NAT地址池。Router(config)#access-list

20

permit

55Router(config)#ipnatinsidesourcelist20

pool

mynatpool動態(tài)NAT配置命令（2）4.定義該接口連接內(nèi)部網(wǎng)絡(luò)Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside5.定義接口連接外部網(wǎng)絡(luò)Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatoutside例如：Router(config)#interfacef0/0Router(config-if)#ipnat

insideRouter(config)#interfaces0/1/0Router(config-if)#ipnatoutside動態(tài)NAT配置命令（3）動態(tài)NAT配置實例仍然以圖8-30為例，與靜態(tài)NAT地址轉(zhuǎn)換示例不同的是，當(dāng)私網(wǎng)用戶不需要獲取固定的公網(wǎng)地址時，就可以進(jìn)行動態(tài)NAT配置。動態(tài)NAT實例配置過程路由器R1、R2基本配置及解釋請參照靜態(tài)NAT配置，此處不再重述。R1(config)#access-list1permit

55

//創(chuàng)建ACL允許網(wǎng)段NAT轉(zhuǎn)換R1(config)#ipnatpooltom

192.192.192.3

netmask

//配置名為tom的地址池，將合法外部地址段192.192.192.3至192.192.192.5

加入地址池。R1(config)#ipnatinsidesourcelist1pool

tom//將內(nèi)網(wǎng)的符合ACL1的數(shù)據(jù)包的源地址轉(zhuǎn)換為地址池tom中的地址。

動態(tài)NAT實例配置驗證先用內(nèi)網(wǎng)用戶PC0測試與外網(wǎng)用戶PC3的通信狀況，在查看路由器R1的動態(tài)NAT轉(zhuǎn)換列表內(nèi)容如下所示。R1#shoipnattranslationsPro

Insideglobal

Insidelocal

Outsidelocal

Outsideglobalicmp:1:1:1:1icmp:2:2:2:2icmp:3:3:3:3icmp:4:4:4:48.7.4

NAPT的配置靜態(tài)

NAPT與

動態(tài)NAPT靜態(tài)NAPT適用于需要向外網(wǎng)絡(luò)提供信息服務(wù)的主機(jī)永久的一對一“IP地址+端口”映射關(guān)系動態(tài)NAPT只訪問外網(wǎng)服務(wù)，不提供信息服務(wù)的主機(jī)臨時的一對一“IP地址＋端口”映射關(guān)系靜態(tài)NAPT配置（1）定義靜態(tài)轉(zhuǎn)換關(guān)系Router(config)#ipnatinsidesourcestatic

protocollocal-iplocal-port

global-ipglobal-port其中：static為靜態(tài)轉(zhuǎn)換protocol

為TCP或UD