CISCO路由器配置

1、第六章 cisco路由器配置6.1 路 由 器 配 置 基 礎6.1.1 基本設置方式如圖6-1所示一般來說，可以用5種方式來設置路由器： 圖6-1 5種方式來設置路由器1console口接終端或運行終端仿真軟件的微機； 2aux口接modem，通過電話線與遠方的終端或運行終端仿真軟件的微機相連； 3通過ethernet上的tftp服務器； 4通過ethernet上的telnet程序； 5通過ethernet上的snmp網(wǎng)管工作站。 但路由器的第一次設置必須通過第一種方式進行,此時終端的硬件設置如下: 波特率 ：9600 數(shù)據(jù)位 ：8 停止位 ：1 奇偶校驗: 無 6.1.2 命令狀態(tài)1. r

2、outer 路由器處于用戶命令狀態(tài)，這時用戶可以看路由器的連接狀態(tài)，訪問其它網(wǎng)絡和主機，但不能看到和更改路由器的設置內容。 2. router# 在router提示符下鍵入enable,路由器進入特權命令狀態(tài)router#，這時不但可以執(zhí)行所有的用戶命令，還可以看到和更改路由器的設置內容。 3. router(config)# 在router#提示符下鍵入configure terminal,出現(xiàn)提示符router(config)#，此時路由器處于全局設置狀態(tài)，這時可以設置路由器的全局參數(shù)。 4. router(config-if)#; router(config-line)#; router

3、(config-router)#; 路由器處于局部設置狀態(tài)，這時可以設置路由器某個局部的參數(shù)。 5. 路由器處于rxboot狀態(tài)，在開機后60秒內按ctrl-break可進入此狀態(tài)，這時路由器不能完成正常的功能，只能進行軟件升級和手工引導。 6. 設置對話狀態(tài) 這是一臺新路由器開機時自動進入的狀態(tài)，在特權命令狀態(tài)使用setup命令也可進入此狀態(tài)，這時可通過對話方式對路由器進行設置。6.1.3 設置對話過程1.顯示提示信息2.全局參數(shù)的設置3.接口參數(shù)的設置4.顯示結果利用設置對話過程可以避免手工輸入命令的煩瑣，但它還不能完全代替手工設置，一些特殊的設置還必須通過手工輸入的方式完成。進入設置對話

4、過程后，路由器首先會顯示一些提示信息：- system configuration dialog - at any point you may enter a question mark ? for help. use ctrl-c to abort configuration dialog at any prompt. default settings are in square brackets . 這是告訴你在設置對話過程中的任何地方都可以鍵入“？”得到系統(tǒng)的幫助，按ctrl-c可以退出設置過程，缺省設置將顯示在中。然后路由器會問是否進入設置對話：would you like to en

5、ter the initial configuration dialog? yes: 如果按y或回車，路由器就會進入設置對話過程。首先你可以看到各端口當前的狀況： first, would you like to see the current interface summary? yes: any interface listed with ok? value no does not have a valid configuration 表6-1interface ip-address ok? method status protocol ethernet0 unassigned no un

6、set up up serial0 unassigned no unset up up 然后，路由器就開始全局參數(shù)的設置： configuring global parameters: 1設置路由器名： enter host name router: 2設置進入特權狀態(tài)的密文(secret)，此密文在設置以后不會以明文方式顯示： the enable secret is a one-way cryptographic secret used instead of the enable password when it exists. enter enable secret: cisco 3設置

7、進入特權狀態(tài)的密碼(password)，此密碼只在沒有密文時起作用，并且在設置以后會以明文方式顯示： the enable password is used when there is no enable secret and when using older software and some boot images. enter enable password: pass 4設置虛擬終端訪問時的密碼： enter virtual terminal password: cisco 5詢問是否要設置路由器支持的各種網(wǎng)絡協(xié)議： configure snmp network management?

8、 yes: configure decnet? no: configure appletalk? no: configure ipx? no: configure ip? yes: configure igrp routing? yes: configure rip routing? no: 6如果配置的是撥號訪問服務器，系統(tǒng)還會設置異步口的參數(shù)： configure async lines? yes: 1) 設置線路的最高速度： async line speed 9600: 2) 是否使用硬件流控： configure for hw flow control? yes: 3) 是否設置mod

9、em： configure for modems? yes/no: yes 4) 是否使用默認的modem命令： configure for default chat script? yes: 5) 是否設置異步口的ppp參數(shù)： configure for dial-in ip slip/ppp access? no: yes 6) 是否使用動態(tài)ip地址： configure for dynamic ip addresses? yes: 7) 是否使用缺省ip地址： configure default ip addresses? no: yes 8) 是否使用tcp頭壓縮： configure

10、 for tcp header compression? yes: 9) 是否在異步口上使用路由表更新： configure for routing updates on async links? no: y 10) 是否設置異步口上的其它協(xié)議。 接下來，系統(tǒng)會對每個接口進行參數(shù)的設置。 configuring interface ethernet0: 1)是否使用此接口： is this interface in use? yes: 2)是否設置此接口的ip參數(shù)： configure ip on this interface? yes: 3)設置接口的ip地址： ip address for

11、 this interface: 4)設置接口的ip子網(wǎng)掩碼： number of bits in subnet field 0: class c network is , 0 subnet bits; mask is /24 在設置完所有接口的參數(shù)后，系統(tǒng)會把整個設置對話過程的結果顯示出來： the following configuration command script was created: hostname router enable secret 5 $1$w5oh$p6j7tigrmboikvxvg53uh1 enable

12、 password pass 請注意在enable secret后面顯示的是亂碼，而enable password后面顯示的是設置的內容。 顯示結束后，系統(tǒng)會問是否使用這個設置： use this configuration? yes/no: yes 如果回答yes，系統(tǒng)就會把設置的結果存入路由器的nvram中，然后結束設置對話過程，使路由器開始正常的工作。6.1.4 常用命令1.幫助在ios操作中，無論任何狀態(tài)和位置，都可以鍵入“？”得到系統(tǒng)的幫助。2.改變命令狀態(tài) 表6-2任務 命令 進入特權命令狀態(tài) enable 退出特權命令狀態(tài) disable 進入設置對話狀態(tài) setup 進入全局設

13、置狀態(tài) config terminal 退出全局設置狀態(tài) end 進入端口設置狀態(tài) interface type slot/number 進入子端口設置狀態(tài) interface type number.subinterface point-to-point | multipoint 進入線路設置狀態(tài) line type slot/number 進入路由設置狀態(tài) router protocol 退出局部設置狀態(tài) exit 3.顯示命令表6-3任務 命令 查看版本及引導信息 show version 查看運行設置 show running-config 查看開機設置 show startup-co

14、nfig 顯示端口信息 show interface type slot/number 顯示路由信息 show ip router 4.拷貝命令用于ios及config的備份和升級 圖6-2 路由器的備份5.網(wǎng)絡命令 表6-4任務 命令 登錄遠程主機 telnet hostname|ip address 網(wǎng)絡偵測 ping hostname|ip address 路由跟蹤 trace hostname|ip address 6. 基本設置命令表6-5任務 命令 全局設置 config terminal 設置訪問用戶及密碼 username username password password

15、設置特權密碼 enable secret password 設置路由器名 hostname name 設置靜態(tài)路由 ip route destination subnet-mask next-hop 啟動ip路由 ip routing 啟動ipx路由 ipx routing 端口設置 interface type slot/number 設置ip地址 ip address address subnet-mask 設置ipx網(wǎng)絡 ipx network network 激活端口 no shutdown 物理線路設置 line type number 啟動登錄進程 login local|taca

16、cs server 設置登錄密碼 password password 6.1.5 配置ip尋址1. ip地址分類ip地址分為網(wǎng)絡地址和主機地址二個部分，a類地址前8位為網(wǎng)絡地址，后24位為主機地址，b類地址16位為網(wǎng)絡地址，后16位為主機地址，c類地址前24位為網(wǎng)絡地址，后8位為主機地址，網(wǎng)絡地址范圍如下表6-6所示：表6-6種類 網(wǎng)絡地址范圍 a 到有效 和保留 b 到有效 和保留 c 到有效 192.

17、0.0.0和保留 d 到55用于多點廣播 e 到54保留 55用于廣播 2.分配接口ip地址表6-7任務 命令 接口設置 interface type slot/number 為接口設置ip地址 ip address ip-address mask 掩瑪（mask）用于識別ip地址中的網(wǎng)絡地址位數(shù)，ip地址（ip-address）和掩碼（mask）相與即得到網(wǎng)絡地址。3.使用可變長的子網(wǎng)掩碼通過使用可變長的子網(wǎng)掩碼可以讓位于不同接口的同一網(wǎng)絡編號的網(wǎng)絡使用

18、不同的掩碼，這樣可以節(jié)省ip地址，充分利用有效的ip地址空間。如下圖6-3所示：圖6-3 可變長的子網(wǎng)掩碼 router1和router2的e0端口均使用了c類地址作為網(wǎng)絡地址，router1的e0的ip地址為28,掩碼為92, router2的e0的網(wǎng)絡地址為4,掩碼為92，這樣就將一個c類網(wǎng)絡地址分配給了二個網(wǎng)，既劃分了二個子網(wǎng)，起到了節(jié)約地址的作用。6.1.6 配置靜態(tài)路由通過配置靜態(tài)路由，用戶可以人為地指定對某一網(wǎng)絡訪問時所要經(jīng)過的路徑,在網(wǎng)絡結構比較簡單，且一般到達某一網(wǎng)絡所經(jīng)過

19、的路徑唯一的情況下采用靜態(tài)路由。表6-8任務命令建立靜態(tài)路由ip route prefix mask address | interface distance tag tag permanentprefix :所要到達的目的網(wǎng)絡mask :子網(wǎng)掩碼address :下一個跳的ip地址，即相鄰路由器的端口地址。interface :本地網(wǎng)絡接口distance :管理距離（可選）tag tag :tag值（可選）permanent:指定此路由即使該端口關掉也不被移掉。圖6-4 以下在router1上設置了訪問4/26這個網(wǎng)下一跳地址為,即當有目的地址屬于

20、4/26的網(wǎng)絡范圍的數(shù)據(jù)報，應將其路由到地址為的相鄰路由器。在router3上設置了訪問28/26及/30這二個網(wǎng)下一跳地址為5。由于在router1上端口serial 0地址為，/30這個網(wǎng)屬于直連的網(wǎng)，已經(jīng)存在訪問/30的路徑，所以不需要在router1上添加靜態(tài)路由。router1:ip route 4 92 router3:ip route 192

21、.1.0.128 92 5ip route 52 5 同時由于路由器router3除了與路由器router2相連外，不再與其他路由器相連，所以也可以為它賦予一條默認路由以代替以上的二條靜態(tài)路由，ip route 5即只要沒有在路由表里找到去特定目的地址的路徑,則數(shù)據(jù)均被路由到地址為5的相鄰路由器。6.2 rip 路 由 協(xié) 議 設 置rip(routing information protocol)是應用較早、使用

22、較普遍的內部網(wǎng)關協(xié)議(interior gateway protocol,簡稱igp)，適用于小型同類網(wǎng)絡，是典型的距離向量(distance-vector)協(xié)議。文檔見rfc1058、rfc1723。 rip通過廣播udp報文來交換路由信息，每30秒發(fā)送一次路由信息更新。rip提供跳躍計數(shù)(hop count)作為尺度來衡量路由距離，跳躍計數(shù)是一個包到達目標所必須經(jīng)過的路由器的數(shù)目。如果到相同目標有二個不等速或不同帶寬的路由器，但跳躍計數(shù)相同，則rip認為兩個路由是等距離的。rip最多支持的跳數(shù)為15，即在源和目的網(wǎng)間所要經(jīng)過的最多路由器的數(shù)目為15，跳數(shù)16表示不可達。1. 有關命令表6-

23、9任務 命令 指定使用rip協(xié)議 router rip 指定rip版本 version 1|21 指定與該路由器相連的網(wǎng)絡 network network 注：1.cisco的rip版本2支持驗證、密鑰管理、路由匯總、無類域間路由(cidr)和變長子網(wǎng)掩碼(vlsms) 2. 舉例圖6-5 router1: router rip version 2 network network ！ 相關調試命令： show ip protocol show ip route6.3 ospf 協(xié) 議 配 置ospf(open shortest path fir

24、st)是一個內部網(wǎng)關協(xié)議(interior gateway protocol,簡稱igp)，用于在單一自治系統(tǒng)(autonomous system,as)內決策路由。與rip相對，ospf是鏈路狀態(tài)路有協(xié)議，而rip是距離向量路由協(xié)議。鏈路是路由器接口的另一種說法，因此ospf也稱為接口狀態(tài)路由協(xié)議。ospf通過路由器之間通告網(wǎng)絡接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，生成最短路徑樹，每個ospf路由器使用這些最短路徑構造路由表。1有關命令全局設置表6-10任務命令指定使用ospf協(xié)議router ospf process-id1指定與該路由器相連的網(wǎng)絡network address wildcard

25、-mask area area-id2指定與該路由器相鄰的節(jié)點地址neighbor ip-address注：1、ospf路由進程process-id必須指定范圍在1-65535，多個ospf進程可以在同一個路由器上配置，但最好不這樣做。多個ospf進程需要多個ospf數(shù)據(jù)庫的副本，必須運行多個最短路徑算法的副本。process-id只在路由器內部起作用，不同路由器的process-id可以不同。注：2、wildcard-mask 是子網(wǎng)掩碼的反碼, 網(wǎng)絡區(qū)域id area-id在0-4294967295內的十進制數(shù)，也可以是帶有ip地址格式的x.x.x.x。當網(wǎng)絡區(qū)域id為0或時

26、為主干域。不同網(wǎng)絡區(qū)域的路由器通過主干域學習路由信息。2基本配置舉例圖6-6 router1:interface ethernet 0ip address 29 92!interface serial 0ip address 52!router ospf 100network area 0network 28 3 area 1!router2:interface ethernet 0ip address 5

27、92!interface serial 0ip address 52!router ospf 200network area 0network 4 3 area 2!router3:interface ethernet 0ip address 30 92!router ospf 300network 28 3 area 1!router4:interface ether

28、net 0ip address 6 92!router ospf 400network 4 3 area 1!相關調試命令：debug ip ospf eventsdebug ip ospf packetshow ip ospfshow ip ospf databaseshow ip ospf interfaceshow ip ospf neighborshow ip route6.4 路 由 器 訪 問 控 制 列 表 詳 解6.4.1 網(wǎng)絡安全保障的第一道關卡對于許多網(wǎng)管員來說，配置路由器的訪問控制列表是一件經(jīng)常性

29、的工作，可以說，路由器的訪問控制列表是網(wǎng)絡安全保障的第一道關卡。訪問列表提供了一種機制，它可以控制和過濾通過路由器的不同接口去往不同方向的信息流。這種機制允許用戶使用訪問表來管理信息流，以制定公司內部網(wǎng)絡的相關策略。這些策略可以描述安全功能，并且反映流量的優(yōu)先級別。例如，某個組織可能希望允許或拒絕internet對內部web服務器的訪問，或者允許內部局域網(wǎng)上一個或多個工作站能夠將數(shù)據(jù)流發(fā)到廣域網(wǎng)上。這些情形，以及其他的一些功能都可以通過訪問表來達到目的。6.4.2 訪問列表的種類劃分目前的路由器一般都支持兩種類型的訪問表：基本訪問表和擴展訪問表?；驹L問表控制基于網(wǎng)絡地址的信息流，且只允許過濾

30、源地址。擴展訪問表通過網(wǎng)絡地址和傳輸中的數(shù)據(jù)類型進行信息流控制，允許過濾源地址、目的地址和上層應用數(shù)據(jù)。表6-11列出了路由器所支持的不同訪問表的號碼范圍。由于篇幅所限，本文只對標準訪問列表和擴展訪問列表進行討論。 1、標準ip訪問表標準ip訪問表的基本格式為：access-list list numberpermit|denyhost/anysourceaddresswildcard-masklog下面對標準ip訪問表基本格式中的各項參數(shù)進行解釋：（1）list number-表號范圍標準ip訪問表的表號標識是從1到99。（2）permit/deny-允許或拒絕關鍵字permit和deny用

31、來表示滿足訪問表項的報文是允許通過接口，還是要過濾掉。permit表示允許報文通過接口，而deny表示匹配標準ip訪問表源地址的報文要被丟棄掉。（3）source address-源地址對于標準的ip訪問表，源地址是主機或一組主機的點分十進制表示，如:。（4）host/any-主機匹配host和any分別用于指定單個主機和所有主機。host表示一種精確的匹配，其屏蔽碼為。例如，假定我們希望允許從來的報文，則使用標準的訪問控制列表語句如下:access-list 1 permit 如果采用關鍵字hos

32、t，則也可以用下面的語句來代替：access-list 1 permithost 也就是說，host是0.0.0.o通配符屏蔽碼的簡寫。與此相對照，any是源地證/目標地址0.o.o.o/55的簡寫。假定我們要拒絕從源地址來的報文，并且要允許從其他源地址來的報文，標準的ip訪問表可以使用下面的語句達到這個目的:access-list 1 deny host access-list 1 permit any注意，這兩條語句的順序;訪問表語句的處理順序是由上到下的。如果我們將兩個語句順序顛倒，將permit

33、語句放在deny語句的前面，則我們將不能過濾來自主機地址的報文，因為permit語句將允許所有的報文通過。所以說訪問表中的語句順序是很重要的,因為不合理語句順序將會在網(wǎng)絡中產生安全漏洞，或者使得用戶不能很好地利用公司的網(wǎng)絡策略。（5）wi1dcardmask-通配符屏蔽碼cisco訪問表功能所支持的通配符屏蔽碼與子網(wǎng)屏蔽碼的方式是剛好相反的，也就是說，二進制的o表示一個匹配條件，二進制的1表示一個不關心條件。假設組織機構擁有一個c類網(wǎng)絡，若不使用子網(wǎng)，則當配置網(wǎng)絡中的每一個工作站時，使用于網(wǎng)屏蔽碼255.255.255.o。在這種情況下，1表示一個

34、匹配，而0表示一個不關心的條件。因為cisco通配符屏蔽碼與子網(wǎng)屏蔽碼是相反的，所以匹配源網(wǎng)絡地址中的所有報文的通配符屏蔽碼為:0.0.o.255。（6）log-日志記錄log關鍵字只在ios版本11.3中存在。如果該關鍵字用于訪問表中，則對那些能夠匹配訪問表中的permit和deny語句的報文進行日志記錄。日志信息包含訪問表號、報文的允許或拒絕、源ip地址以及在顯示了第一個匹配以來每5分鐘間隔內的報文數(shù)目。使用log關鍵字，會使控制臺日志提供測試和報警兩種功能。系統(tǒng)管理員可以使用日志來觀察不同活動下的報文匹配情況，從而可以測試不同訪問表的設計情況。當其用于報警時，管理員

35、可以察看顯示結果，以定位那些多次嘗試活動被拒絕的訪問表語句。執(zhí)行一個訪問表語句的多次嘗試活動被拒絕，很可能表明有潛在的黑客攻擊活動。2、擴展的ip訪問控制列表顧名思義，擴展的ip訪問表用于擴展報文過濾能力。一個擴展的ip訪問表允許用戶根據(jù)如下內容過濾報文:源和目的地址、協(xié)議、源和目的端口以及在特定報文字段中允許進行特殊位比較等等。一個擴展的ip訪問表的一般語法格或如下所示:access-listlist numberpermit/denyprotocolsource addresssource-wildcardsource portdestination addressdestination-

36、wildcarddestination portlogoption下面簡要介紹各個關鍵字的功能:（1）list number-表號范圍擴展ip訪問表的表號標識從l00到199。（2）protocol-協(xié)議協(xié)議項定義了需要被過濾的協(xié)議，例如ip、tcp、udp、1cmp等等。協(xié)議選項是很重要的，因為在tcp/ip協(xié)議棧中的各種協(xié)議之間有很密切的關系，如果管理員希望根據(jù)特殊協(xié)議進行報文過濾，就要指定該協(xié)議。另外，管理員應該注意將相對重要的過濾項放在靠前的位置。如果管理員設置的命令中，允許ip地址的語句放在拒絕tcp地址的語句前面，則后一個語句根本不起作用。但是如果將這兩條語句換一下位置，則在允許該

37、地址上的其他協(xié)議的同時，拒絕了tcp協(xié)議。（3）源端口號和目的端口號源端口號可以用幾種不同的方法來指定。它可以顯式地指定，使用一個數(shù)字或者使用一個可識別的助記符。例如，我們可以使用80或者http來指定web的超文本傳輸協(xié)議。對于tcp和udp，讀者可以使用操作符 (大于)=(等于)以及(不等于)來進行設置。目的端口號的指定方法與源端口號的指定方法相同。讀者可以使用數(shù)字、助記符或者使用操作符與數(shù)字或助記符相結合的格式來指定一個端口范圍。下面的實例說明了擴展ip訪問表中部分關鍵字使用方法:access-list 101 permit tcp any host eq smt

38、paccess-list 101 permit tcp any host eq www第一個語句允許來自任何主機的tcp報文到達特定主機的smtp服務端口(25);第二個語句允許任何來自任何主機的tcp報文到達指定的主機的www或http服務端口(80)。（4）選項擴展的ip訪問表支持很多選項。其中一個常用的選項有l(wèi)og，它已在前面討論標準訪問表時介紹過了。另一個常用的選項是fistahlishfid，該選項只用于tcp協(xié)議并且只在tcp通信流的一個方向上來響應由另一端發(fā)起的會話。為了實現(xiàn)該功能，使用estab1ished選項

39、的訪問表語句檢查每個 tcp報文，以確定報文的ack或rst位是否已設置。例如，考慮如下擴展的ip訪問表語句:access-list 101 permit tcp any host established該語句的作用是:只要報文的ack和rst位被設置，該訪問表語句就允許來自任何源地址的tcp報文流到指定的主機。這意味著主機此前必須發(fā)起tcp會話。（5）其他關鍵字deny/permit、源地址和通配符屏蔽碼、目的地址和通配符屏蔽碼以及host/any的使用均與標準ip訪問表中的相同。表6-12是對部分關鍵字的具體解釋。表 6-

40、12：3、管理和使用訪問表在一個接口上配置訪問表需要三個步驟：(1)定義訪問表;(2)指定訪問表所應用的接口;(3)定義訪問表作用于接口上的方向。我們已經(jīng)討論了如何定義標準的和擴展的ip訪問表，下面將討論如何指定訪問表所用的接口以及接口應用的方向。一般地，采用interface命令指定一個接口。例如，為了將訪問表應用于串口0，應使用如下命令指定此端口:interface serial0類似地，為將訪問表應用于路由器的以太網(wǎng)端口上時，假定端口為ethernet0，則應使用如下命令來指定此端口：interface ethernet0在上述三個步驟中的第三步是定義訪問表所應用的接口方向，通常使用ip

41、 access-group命令來指定。其中，列表號標識訪問表，而關鍵字in或out則指明訪問表所使用的方向。方向用于指出是在報文進入或離開路由器接口時對其進行過濾。如下的實例將這三個步驟綜合在一起：intface serial0ip access-group 107 inaccess-list 107 remark allow traffic to toms pcaccess-list 107 ip any host access-list 107 remark allow only web traffic to webserveraccess-list 107 tcp

42、any host 2 eq 80access-list 107 remark block everything elseaccess-list 107 deny any any在本例中，先使用interface命令指定串行端口0，并使用ipaccess-group命令來將訪問表l07中的語句應用于串行接口的向內方向上。最后，輸入6個訪問表語句，其中三條訪問表語句使用關鍵字remark，以提供關于列表中后繼語句的注解說明。注意訪問表中的最后一條語句，它表示了每個訪問表相關的隱含denyall設置，并且如果不顯式地列出是不會看到該語句的。如果讀者希望從路由器的控制臺端口相連的

43、終端上直接輸入這些命令和語句，則應該先使用exec特權命令。這個終端會話過程的實例如下圖6-7所示：圖6-7 此外，當讀者配置訪問表后使用ios的show命令查看列表時，有時很容易被顯示出來的內容所迷惑，這是由于當通配符屏蔽碼位被置為1(無關)時，1os將該訪問表表項的ip地址部分的該位設置為二進制0。例如，輸入如下的配置命令，用于創(chuàng)建一個擴展的ip訪問表，并將其列表內容顯示出來：router# config terminalrouter(config)#access-list 101 permit ip 0 55 host rou

44、ter(config)#exitrouter#show access-list 101extended ip acces list 101permit ip 55 host 在本例中，由于c類地址的通配符屏蔽碼的主機子段被設置為全1(255)，所以網(wǎng)絡上的主機地址0被自動轉換為網(wǎng)段地址。6.5 路 由 器 nat 功 能 配 置 簡 介隨著internet的網(wǎng)絡迅速發(fā)展，ip地址短缺已成為一個十分突出的問題。為了解決這個問題，出現(xiàn)了多種解決方案。下面幾紹一種在目前網(wǎng)絡環(huán)境中比較有效的方法

45、即地址轉換(nat)功能。 6.5.1 nat簡介nat(network address translation)的功能，就是指在一個網(wǎng)絡內部，根據(jù)需要可以隨意自定義的ip地址，而不需要經(jīng)過申請。在網(wǎng)絡內部，各計算機間通過內部的ip地址進行通訊。而當內部的計算機要與外部internet網(wǎng)絡進行通訊時，具有nat功能的設備（比如：路由器）負責將其內部的ip地址轉換為合法的ip地址（即經(jīng)過申請的ip地址）進行通信。 6.5.2 nat的應用環(huán)境情況1：一個企業(yè)不想讓外部網(wǎng)絡用戶知道自己的網(wǎng)絡內部結構，可以通過nat將內部網(wǎng)絡與外部internet 隔離開，則外部用戶根本不知道通過nat設置的內部i

46、p地址。 情況2：一個企業(yè)申請的合法internet ip地址很少，而內部網(wǎng)絡用戶很多?？梢酝ㄟ^nat功能實現(xiàn)多個用戶同時公用一個合法ip與外部internet 進行通信。 6.5.3 設置nat所需路由器的硬件配置和軟件配置設置nat功能的路由器至少要有一個內部端口（inside），一個外部端口（outside）。內部端口連接的網(wǎng)絡用戶使用的是內部ip地址。 內部端口可以為任意一個路由器端口。外部端口連接的是外部的網(wǎng)絡，如internet 。外部端口可以為路由器上的任意端口。 設置nat功能的路由器的ios應支持nat功能(本文事例所用路由器為isco2501，其ios為11.2版本以上支持

47、nat功能)。 6.5.4 關于nat的幾個概念內部本地地址（inside local address）：分配給內部網(wǎng)絡中的計算機的內部ip地址。 內部合法地址（inside global address）：對外進入ip通信時，代表一個或多個內部本地地址的合法ip地址。需要申請才可取得的ip地址。 6.5.5 nat的設置方法nat設置可以分為靜態(tài)地址轉換、動態(tài)地址轉換、復用動態(tài)地址轉換。 1、靜態(tài)地址轉換適用的環(huán)境 靜態(tài)地址轉換將內部本地地址與內部合法地址進行一對一的轉換，且需要指定和哪個合法地址進行轉換。如果內部網(wǎng)絡有e-mail服務器或ftp服務器等可以為外部用戶提供的服務，這些服務器的

48、ip地址必須采用靜態(tài)地址轉換，以便外部用戶可以使用這些服務。 靜態(tài)地址轉換基本配置步驟： （1）、在內部本地地址與內部合法地址之間建立靜態(tài)地址轉換。在全局設置狀態(tài)下輸入： ip nat inside source static 內部本地地址 內部合法地址 （2）、指定連接網(wǎng)絡的內部端口 在端口設置狀態(tài)下輸入： ip nat inside （3）、指定連接外部網(wǎng)絡的外部端口 在端口設置狀態(tài)下輸入： ip nat outside 注：可以根據(jù)實際需要定義多個內部端口及多個外部端口。 實例1：本實例實現(xiàn)靜態(tài)nat地址轉換功能。將2501的以太口作為內部端口，同步端口作為外部端口。其中

49、，，的內部本地地址采用靜態(tài)地址轉換。其內部合法地址分別對應為，，。 路由器2501的配置： current configuration： version 11.3 no service password-encryption hostname 2501 ip nat inside source static ip nat inside source static ip nat inside source static

50、 interface ethernet0 ip address ip nat inside interface serial0 ip address ip nat outside interface serial1 no ip address shutdown no ip classless ip route serial0 end 配置完成后可以用以下語句進行查看： show ip nat statistcs show ip nat transla

51、tions 2、動態(tài)地址轉換適用的環(huán)境動態(tài)地址轉換也是將本地地址與內部合法地址一對一的轉換，但是動態(tài)地址轉換是從內部合法地址池中動態(tài)地選擇一個末使用的地址對內部本地地址進行轉換。 動態(tài)地址轉換基本配置步驟： （1）、在全局設置模式下，定義內部合法地址池 ip nat pool 地址池名稱 起始ip地址 終止ip地址 子網(wǎng)掩碼 其中地址池名稱可以任意設定。 （2）、在全局設置模式下，定義一個標準的access-list規(guī)則以允許哪些內部地址可以進行動態(tài)地址轉換。 access-list 標號 permit 源地址 通配符 其中標號為1-99之間的整數(shù)。 （3）、在全局設置模式下，將由access-list指定的內部本地地址與指定的內部合法地址池進行地址轉換。 ip nat inside source list 訪問列表標號 pool內部合法地址池名字 （