【正文】 ip nat outside ? ③ 在全局配置模式下定義地址池來(lái)表示內(nèi)部各服務(wù)器的 IP地址范圍 ? ip nat pool name startip endip{mask mask|prefixlength prefixlength}ty。 配置方法 ? ①在端口配置模式下指定接口為內(nèi)部端口。而 NAT在 TCP負(fù)載均衡上的應(yīng)用是對(duì)外部發(fā)往內(nèi)部的數(shù)據(jù)包的目標(biāo)地址進(jìn)行翻譯。 ? RouterA（ config） int f0/0 ? RouterA（ configif） ip address ? RouterA（ configif） ip nat inside ? RouterA（ config） int s0/0 ? RouterA（ configif） ip address ? RouterA（ configif） iip nat outside ? RouterA（ configif） clockrate 64000 ? RouterA（ config） ip nat pool p1 prefixlength 24 ? RouterA（ config） accesslist 1 permit ? RouterA（ config） ip nat inside source list 1 pool p1 ? RouterA（ config） ip route s0/0 PAT的配置 PAT的配置與 NAT的配置的唯一區(qū)別是：地址轉(zhuǎn)換時(shí)PAT要在命令末尾加上“ overload”，表示允許多個(gè)內(nèi)部本地地址使用同一個(gè)內(nèi)部全局地址。 ? ip nat inside source list{accesslistnumber|name}pool name ? 例 59 實(shí)現(xiàn)動(dòng)態(tài) NAT地址轉(zhuǎn)換功能。 ? ip nat inside ? （ 2）在端口配置模式下，指定接口為外部端口。將 f0/0作為內(nèi)部端口， s0/0作為外部端口，其中 ， 部本地地址采用靜態(tài)地址轉(zhuǎn)換，其內(nèi)部合法地址分別對(duì)應(yīng) ， 。 ? ip nat inside source static insidelocaladdress insideglobaladdress ? 其中參數(shù) insidelocaladdress指定內(nèi)部本地地址； insideglobaladdress指定內(nèi)部全局地址。 ? ip nat inside ? （ 2）在端口配置模式下指定接口為外部端口。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。采用端口多路復(fù)用方式，內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部 IP地址實(shí)現(xiàn)對(duì) Inter的訪問(wèn)，從而可以最大限度地節(jié)約 IP地址資源。當(dāng) ISP提供的合法 IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)，可以采用動(dòng)態(tài)轉(zhuǎn)換的方式。也就是說(shuō)，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備的訪問(wèn)。 2． NAT的類型 NAT有靜態(tài) NAT(Static NAT)、動(dòng)態(tài)地址 NAT(Pooled NAT)、端口地址轉(zhuǎn)換 PAT（ Port Address Translation）三種類型。 （ 3） NAT只能支持有限的程序， NAT支持的 IP業(yè)務(wù)和應(yīng)用有HTTP、 TFTP、 Tel、 NTP、 NFS、 RCP、 RSH、 ACHIE、FTP、 ICMP、 DNS等。任何在路途中對(duì)包頭部分的轉(zhuǎn)換都會(huì)破壞完整性檢查，而 NAT重寫了第三層包頭信息，因此很難實(shí)現(xiàn) IP包頭的完整性。 NAT也會(huì)耗盡大量的 CPU和內(nèi)存資源，它影響了網(wǎng)絡(luò)的性能和數(shù)據(jù)包的處理，大大增加了網(wǎng)絡(luò)的延時(shí)，這對(duì)于部分網(wǎng)絡(luò)應(yīng)用程序也是不可接受的。 4） NAT功能存在的不足 雖然 NAT為網(wǎng)絡(luò)帶來(lái)了不少好處，但是 NAT也存在一些不足，主要表現(xiàn)為： （ 1） NAT路由器必須保持對(duì)每個(gè)連接狀態(tài)的記錄。通過(guò)使用 NAT，可以把內(nèi)部的幾臺(tái)服務(wù)器捆綁成一臺(tái)虛擬服務(wù)器，這些服務(wù)器在外部設(shè)備看來(lái)只是一臺(tái)服務(wù)器。 （ 2）當(dāng)變更 ISP時(shí)，雖然 ISP分配給用戶的地址變了，但是用戶仍無(wú)需改變內(nèi)部設(shè)備的地址，只需在 NAT路由器上做出相應(yīng)的修改就可以輕松完成網(wǎng)絡(luò)的升級(jí)，并且 NAT在網(wǎng)絡(luò)合并方面也有著很大的應(yīng)用場(chǎng)合。 NAT可以用少數(shù)幾個(gè)甚至一個(gè)合法的 IP地址映射多個(gè)內(nèi)部主機(jī)地址，這樣就可大大減緩合法 IP地址的耗盡。如 Windows 2023 Serve接入服務(wù)中也包含了這一功能。網(wǎng)絡(luò)管理員只需在路由器的 IOS中設(shè)置 NAT功能，就可以實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的屏蔽。這時(shí)， NAT屏蔽了內(nèi)部網(wǎng)絡(luò)，所有內(nèi)網(wǎng)資源對(duì)于公共網(wǎng)絡(luò)來(lái)說(shuō)是不可見(jiàn)的，而內(nèi)部用戶通常也不會(huì)意識(shí)到 NAT的存在。簡(jiǎn)單地說(shuō)， NAT就是在局域網(wǎng)內(nèi)部使用私有 IP地址，當(dāng)需要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí)，就在網(wǎng)關(guān)處將內(nèi)部地址替換成公用地址。 NAT技術(shù)不僅很好地解決 IPv4地址枯竭的問(wèn)題，而且也給網(wǎng)絡(luò)帶來(lái)了一定的安全保障。 ? 注：所有 ACL只有應(yīng)用到接口上才能起作用 ? no ip accessgroup accesslistnumber ！在端口上刪除 ACL。 ? 訪問(wèn)控制列表只對(duì)穿越路由器的數(shù)據(jù)包進(jìn)行過(guò)濾，不對(duì)本路由器發(fā)起的數(shù)據(jù)包進(jìn)行過(guò)濾。例 55中，若把訪問(wèn)控制列表用在 fo端口的 in方向，銷售部不能訪問(wèn)財(cái)務(wù)部了，但同時(shí)銷售部也不能訪問(wèn)經(jīng)理部了。 ?accessgroup是控制接口上進(jìn)出的數(shù)據(jù)包流量； ip accessgroup用在接口下。使用 accessclass 命令將此 ACL應(yīng)用到 vty線路。其標(biāo)準(zhǔn) ACL參考配置為： 例 55 其標(biāo)準(zhǔn) ACL參考配置為： ? ！配置標(biāo)準(zhǔn) ACL ? Router1(config)accesslist 1 deny !拒絕來(lái)自 ? Router1(config)accesslist 1 permit ? ！將 ACL應(yīng)用在相應(yīng)的接口 ? Router1(config)interface fastEther 1 ? Router1(configif)ip accessgroup 1 out 例 56 在實(shí)際應(yīng)用中控制遠(yuǎn)程用戶登錄到一個(gè)大型路由器是非常困難的，因?yàn)槁酚善魃系幕顒?dòng)端口是允許訪問(wèn)的。 ? 訪問(wèn)控制列表不能過(guò)濾路由器自己產(chǎn)生的數(shù)據(jù)。因此每一條正確的訪問(wèn)控制列表都至少應(yīng)該有一條允許語(yǔ)句。 ? 具有嚴(yán)格限制的語(yǔ)句放在訪問(wèn)控制列表中所有語(yǔ)句的最上面。 ? 每個(gè)端口、每個(gè)方向、每條協(xié)議只能對(duì)應(yīng)一條訪問(wèn)控制列表。 隱含拒絕 —— 如果所有語(yǔ)句執(zhí)行完畢沒(méi)有匹配條目默認(rèn)丟棄數(shù)據(jù)包 注：一個(gè) ACL應(yīng)該至少有一條 permit語(yǔ)句；否則所有流量都會(huì)丟棄，因?yàn)槊總€(gè) ACL末尾都有隱藏的隱含拒絕語(yǔ)句。該技術(shù)初期僅在路由器上支持，近些年來(lái)已經(jīng)擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī)也開(kāi)始提供 ACL的支持了。 OSPF協(xié)議的配置 ? !Router1的配置 ? interface ether 0 ? ip address ? interface serial 0 ? ip address ? router ospf 100 ? work area 0 ? work area 1 ? ！ Router2的配置 ? interface ether 0 ? ip address ? interface serial 0 ? ip address ? router ospf 200 ? work area 0 ? work area 2 ！ Router3的配置 ? interface ether 0 ? ip address ? router ospf 300 ? work area 1 ? ！ Router4的配置 ? interface ether 0 ? ip address ? router ospf 400 ? work area 1 使用身份驗(yàn)證 出于安全的考慮，可以在相同 OSPF區(qū)域的路由器上啟用身份驗(yàn)證的功能，只有經(jīng)過(guò)身份驗(yàn)證的同一區(qū)域的路由器才能互相通告路由信息。當(dāng)網(wǎng)絡(luò)區(qū)域 ID為 0或 時(shí)為主干域。processid只在路由器內(nèi)部起作用，不同路由器的processid可以不同。 OSPF協(xié)議的配置 任務(wù) 命令 指定使用 OSPF協(xié)議 router ospf processid1 指定與該路由器相連的網(wǎng)絡(luò) work address wildcardmask area areaid2 指定與該路由器相鄰的節(jié)點(diǎn)地址 neighbor ipaddress OSPF協(xié)議的配置 ? OSPF路由進(jìn)程 processid必須指定范圍在 165535，多個(gè) OSPF進(jìn)程可以在同一個(gè)路由器上配置，但最好不這樣做。 RIP協(xié)議的配置 任務(wù) 命令 指定使用 RIP協(xié)議 router rip 指定 RIP版本 version {1|2} 指定與該路由器相連的網(wǎng)絡(luò) work work RIP協(xié)議的配置 RIP協(xié)議的配置 ? ！ Router1的配置 ? router rip ? version 2 ? work ? work ? 詳細(xì)配置由讀者自己完成。 ? RIP最多支持的跳數(shù)為 15，即在源和目的網(wǎng)間所要經(jīng)過(guò)的最多路由器的數(shù)目為 15，跳數(shù) 16表示不可達(dá)。 RIP協(xié)議 ? RIP提供跳躍計(jì)數(shù) (hop count)作為尺度來(lái)衡量路由距離，跳躍計(jì)數(shù)是一個(gè)包到達(dá)目標(biāo)所必須經(jīng)過(guò)的路由器的數(shù)目。 ? 動(dòng)態(tài)路由適用于網(wǎng)絡(luò)規(guī)模較大、網(wǎng)絡(luò)拓樸復(fù)雜的網(wǎng)絡(luò)。 ? 配置默認(rèn)路由的命令和配置靜態(tài)路由的方法相同，只是目的網(wǎng)絡(luò)和子網(wǎng)掩碼都是 ? 例 52 在例 51中，因?yàn)閺?A到 B只有一條路徑，所以可以配置默認(rèn)路由，方法為： ? RouterA(config)interface ether0 ? RouterA(configif)ip address ? RouterA(config)interface serial0 ? RouterA(configif)ip address ? RouterA(config)ip route ? 例 + 可為 R3配置默認(rèn)路由： ? ip route 動(dòng)態(tài)路由 ? 動(dòng)態(tài)路由是由動(dòng)態(tài)路由協(xié)議計(jì)算得到的路由。如果沒(méi)有默認(rèn)路由器，那么目的地址在路由表中沒(méi)有匹配表項(xiàng)的包將被丟棄。 ? interface :本地網(wǎng)絡(luò)接口 ? distance:管理距離（可選） ? tag tag:tag值（可選） ? permanent:指定此路由即使該端口關(guān)掉也不被移掉。 2）靜態(tài)路由的配置 ? ip route work [mask ] {address|interface} [distance] [tag tag] [permanent] 靜態(tài)路由中各參數(shù)的解釋如表所示。 ? 靜態(tài)路由一般用于網(wǎng)絡(luò)規(guī)模不大、拓樸結(jié)構(gòu)固定的網(wǎng)絡(luò)中。 ? （ 2）改變命令狀態(tài) 任務(wù) 命令 進(jìn)入特權(quán)命令狀態(tài) enable 退出特權(quán)命令狀態(tài) disable 進(jìn)入設(shè)置對(duì)話狀態(tài) setup 進(jìn)入全局設(shè)置狀態(tài) config terminal 退出全局設(shè)置狀態(tài) end 進(jìn)入端口設(shè)置狀態(tài) interface type slot/number 進(jìn)入子端口設(shè)置狀態(tài) interface type [pointtopoint | multipoint] 進(jìn)入線路設(shè)置狀態(tài) line type slot/number 進(jìn)入路由設(shè)置狀態(tài) router protocol 退出局部設(shè)置狀態(tài) exit （ 3）顯示命令 任務(wù) 命令 查看版本及引導(dǎo)信息 show version 查看運(yùn)行設(shè)置 show runningconfig 查看開(kāi)機(jī)設(shè)置 show startupconfig 顯示端口信息 show interface type slot/number 顯示路由信息 show ip router （ 4）拷貝命令 用于 IOS及 CONFIG的備份和升級(jí)，備份命令功能如圖540所示。 ? （ 6）裝載配置，最后正常運(yùn)行。 ? （ 4）裝載 IOS：將 IOS裝載到內(nèi)存中，或者在閃存中直接加載。路由器在此讀取配置寄存器的內(nèi)容以決定后面的操作。 路由器的組成 路由器啟動(dòng)過(guò)程可以分為以下幾步： ? （ 1） POST（加電自檢），檢測(cè)路由器的硬件。 FLASH中容納了IOS操作系統(tǒng)的鏡像文件。 路由器的組成 ? ROM（只讀存儲(chǔ)器）： ROM裝載了系統(tǒng)加電時(shí)的診斷代碼，這類似于計(jì)算機(jī)中的 CMOS程序