mp技術(shù)支持培訓(xùn)路由器應(yīng)用協(xié)議課件

1、技術(shù)服務(wù)部：技術(shù)服務(wù)部：手手 機：機：Email：動態(tài)主機配置協(xié)議動態(tài)主機配置協(xié)議DHCP網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換NAT多機冗余熱備協(xié)議多機冗余熱備協(xié)議VRRP與與VBRPDHCP協(xié)議簡介協(xié)議簡介 當(dāng)網(wǎng)絡(luò)規(guī)模達到一定程度，它就開始變得難以管理。特別在手工分發(fā)當(dāng)網(wǎng)絡(luò)規(guī)模達到一定程度，它就開始變得難以管理。特別在手工分發(fā)IP地址的網(wǎng)絡(luò)環(huán)境中地址的網(wǎng)絡(luò)環(huán)境中為了減輕管理員跟蹤記錄手工分配為了減輕管理員跟蹤記錄手工分配I P地址的負(fù)擔(dān)。地址的負(fù)擔(dān)。 IETF為此設(shè)計了動態(tài)主機配置協(xié)議（為此設(shè)計了動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）。）。

2、DHCP采用采用客戶端客戶端/服務(wù)器模式服務(wù)器模式，從一個地址池中把，從一個地址池中把I P地址分配給請求地址分配給請求主機，它提供一種機制，允許計算機不必手工參與即可加入新的網(wǎng)絡(luò)和獲主機，它提供一種機制，允許計算機不必手工參與即可加入新的網(wǎng)絡(luò)和獲取取IP地址，這個概念術(shù)語稱作即插即用網(wǎng)絡(luò)（地址，這個概念術(shù)語稱作即插即用網(wǎng)絡(luò)（ plug-and-play networking）。）。 DHCP也能提供其他信息，如網(wǎng)關(guān)也能提供其他信息，如網(wǎng)關(guān)IP、DNS服務(wù)器、缺省域和網(wǎng)絡(luò)范服務(wù)器、缺省域和網(wǎng)絡(luò)范圍內(nèi)圍內(nèi)HOSTS文件的位置。文件的位置。/24 租用租用DHCP消息格式消息

3、格式DHCPDISCOVER：客戶端用于地址申請的廣播報文。DHCPOFFER：服務(wù)器端對客戶端DHCPDISCOVER報文的回復(fù)，包含了所提供的IP地址和網(wǎng)絡(luò)配置信息。DHCPREQUEST：在不同的狀態(tài)下，用途不同：(a) 在請求狀態(tài)時，請求服務(wù)器同意開始使用所提供的IP地址。(b) 在更新狀態(tài)，請求提供IP地址的服務(wù)器更新IP地址租用時間。(c) 在重綁定狀態(tài)，廣播請求子網(wǎng)中的服務(wù)器，是否允許繼續(xù)使用當(dāng)前的IP地址。DHCPACK：服務(wù)器端對客戶端請求的同意報文。DHCPNAK：服務(wù)器端對客戶端請求的否定報文?？蛻舳吮仨氈匦麻_始申請。DHCPRELEASE：客戶端主動終止IP地址的使用，

4、用于釋放IP地址報文。DHCPDECLINE：由于地址已經(jīng)被使用，客戶端對服務(wù)器提供的地址表示拒絕。DHCPINFORM：客戶端要求服務(wù)器提供最新的網(wǎng)絡(luò)配置信息。DHCP的報文類型的報文類型DHCP簡單工作流程簡單工作流程HostAMaipu DHCP ServerDHCPDISCOVER(broadcast)DHCPOFFER(broadcast)DHCPREQUEST(broadcast)DHCPACK(broadcast)1） 客戶機通過客戶機通過DHCPDISCOVER廣播提出請求。也可直接請求租用的永久地址。廣播提出請求。也可直接請求租用的永久地址。2） 服務(wù)器收到請求，返回附有一個

5、可用地址的服務(wù)器收到請求，返回附有一個可用地址的DHCPOFFER報文。報文。3） 客戶機若收到多個客戶機若收到多個DHCPOFFER報文，選擇第一個的地址或其所請求的那個。報文，選擇第一個的地址或其所請求的那個。4） 客戶機廣播含有服務(wù)器標(biāo)識的客戶機廣播含有服務(wù)器標(biāo)識的DHCPREQUEST報文并等待。報文并等待。5） 服務(wù)器檢查收到的服務(wù)器檢查收到的DHCPREQUEST報文，當(dāng)其中的標(biāo)識與服務(wù)器相符，發(fā)回報文，當(dāng)其中的標(biāo)識與服務(wù)器相符，發(fā)回DHCPACK報文，如果所請求的報文，如果所請求的I P已被分配或者租期已滿，發(fā)回已被分配或者租期已滿，發(fā)回DHCPNAK報文。報文。6） 如果客戶機

6、收到如果客戶機收到DHCPACK報文，即開始使用報文，即開始使用IP地址。如它收到地址。如它收到DHCPNAK，會重新開始整個過程。假如會重新開始整個過程。假如I P有問題，客戶機會發(fā)送一個有問題，客戶機會發(fā)送一個DHCPDECLINE報文給報文給服務(wù)器并重新開始。服務(wù)器并重新開始。DHCP客戶端變遷客戶端變遷租用更新定時器租用更新定時器重綁定定時器重綁定定時器租用到期定時器租用到期定時器定時器重置為定時器重置為0DHCP常用配置命令常用配置命令命令命令描述描述配置模式配置模式ip dhcp pool*配置DHCP地址池configip dhcp excluded-address*排除DHCP

7、地址池中部分地址configip dhcp arp-proxy-ipaddr*配置本網(wǎng)關(guān)所代理的遠(yuǎn)程客戶的地址configip dhcp-server*配置DHCP中繼地址confignetwork配置DHCP地址范圍網(wǎng)絡(luò)段dhcp-configrange*配置DHCP地址范圍IP段dhcp-confighost配置DHCP地址范圍主機dhcp-configip address dhcp*配置DHCP客戶端config-if-default-router*配置分配給客戶端的默認(rèn)路由dhcp-configdns-server*配置分配給客戶端的DNS服務(wù)器地址dhcp-configlease配置

8、分配給客戶的IP地址的租期dhcp-configshow running-config ip dhcp查看DHCP的配置信息enableDHCP配置范例（配置范例（1）Swtichrouter B（DHCP Client）router A（DHCP Server）PC1PC2F0F0：說明：說明：maipu路由器路由器routerA的的f0口通過一臺二層交換機與兩臺口通過一臺二層交換機與兩臺PC以及以及routerB相連，相連，routerA作為作為DHCP服務(wù)器端，兩臺服務(wù)器端，兩臺PC和和routerB作為客戶端。其中作為客戶端。其中routerA的的f0口口ip地址為地

9、址為。DHCP配置范例（配置范例（2）命令命令描述描述routerA(config)#ip dhcp pool maipu定義一個DHCP地址池routerA(config)# ip dhcp excluded-address 55不能被分配routerA(config)#ip dhcp pool maipu 定義一個地址池routerA(dhcp-config)#range 1 0 定義一個ip地址段routerA(dhcp-config)#dns-server 61.139

10、.2.2指定client 機的dns地址routerA(dhcp-config)#default-router 指定client 機默認(rèn)網(wǎng)關(guān)routerA(dhcp-config)#lease 7 10 30分配地址租借期為7天10小時30分鐘 router A配置配置 router B配置配置 命令命令描述描述routerB(config-if-fastethernet0)#ip address dhcp通過dhcp服務(wù)器分配地址 中繼代理中繼代理能中繼服務(wù)器和客戶機之間的交互報文。這樣可以使服務(wù)能中繼服務(wù)器和客戶機之間的交互報文。這樣可以使服務(wù)器能處理不在該服務(wù)器所在子網(wǎng)

11、的器能處理不在該服務(wù)器所在子網(wǎng)的DHCP報文。這意味著不必為每一個報文。這意味著不必為每一個子網(wǎng)設(shè)置一個服務(wù)器，為每一個子網(wǎng)設(shè)置一個服務(wù)器開銷很大，子網(wǎng)設(shè)置一個服務(wù)器，為每一個子網(wǎng)設(shè)置一個服務(wù)器開銷很大， 中繼代理工作原理：中繼代理工作原理：1）DHCP客戶機廣播一個消息?？蛻魴C廣播一個消息。2）中繼代理把收到報文的接口對應(yīng)的）中繼代理把收到報文的接口對應(yīng)的IP地址放到消息的地址放到消息的giaddr（中繼（中繼IP地址）域中，然后單播至服務(wù)器。地址）域中，然后單播至服務(wù)器。3）服務(wù)器給中繼代理返回應(yīng)答）服務(wù)器給中繼代理返回應(yīng)答(通過單播通過單播)。應(yīng)答分配的。應(yīng)答分配的IP地址與地址與gia

12、ddr域地址相同。域地址相同。4）中繼代理會從）中繼代理會從giaddr域中域中I P地址對應(yīng)的接口中廣播應(yīng)答。地址對應(yīng)的接口中廣播應(yīng)答。DHCP的中繼代理的中繼代理/24 租用租用DHCP消息消息Swtichrouter B（DHCP Relay）router A（DHCP Server）PC1PC2F0：E0：F0：說明：說明：如圖如圖20-2所示，所示，router A是一個是一個dhcp的服務(wù)器，的服務(wù)器，router B是一個是一個dhcp中繼，中繼，router A的的f0口地址為口地址為129.2

13、55.1.1，和，和router B的的f0為為 ，e0的的ip地址地址為為，所以，所以router A的地址池，是一個跨網(wǎng)段的為的地址池，是一個跨網(wǎng)段的為pc1和和pc2分配地分配地址。址。DHCP中繼代理配置范例（中繼代理配置范例（1） router A配置配置 命令命令描述描述routerA(config)#ip dhcp pool maipu定義一個DHCP地址池routerA(config)# ip dhcp excluded-address 55不能被分配routerA(config)#ip dhcp po

14、ol maipu 定義一個地址池routerA(dhcp-config)#range 1 0 定義一個ip地址段routerA(dhcp-config)#dns-server 指定client 機的dns地址routerA(dhcp-config)#default-router 指定client 機默認(rèn)網(wǎng)關(guān)routerA(dhcp-config)#lease 7 10 30分配地址租借期為7天10小時30分鐘 router B配置配置 命令命令描述描述router B(config)# ip

15、dhcp-server 通過dhcp服務(wù)器分配地址DHCP中繼代理配置范例（中繼代理配置范例（2）DHCP監(jiān)控命令監(jiān)控命令命令命令描述描述show ip dhcp binding在DHCP服務(wù)器上查看當(dāng)前已分配到IP地址的主機列表show ip dhcp pool-statistic查看當(dāng)前DHCP地址池統(tǒng)計信息。show ip dhcp arp-proxy-ipaddr本命令用于DHCP over IPsec，顯示本網(wǎng)關(guān)所能代理的遠(yuǎn)程客戶地址信息。show running-config ip dhcp查看DHCP的配置信息show ip dhcp lease顯示當(dāng)前DH

16、CP分配的租期信息show ip dhcp ping顯示DHCP配置ping探測的參數(shù)show ip dhcp pool顯示配置的DHCP地址池信息show ip dhcp excluded-pool顯示配置的DHCP不分配地址池信息命令命令描述描述clear ip dhcp arp-proxy-ipaddr address | all用于DHCP over IPsec，清除本網(wǎng)關(guān)所能代理的遠(yuǎn)程客戶地址信息。clear ip dhcp binding清除DHCP服務(wù)器綁定信息(no) debug ip dhcp packet | lease | events | relay打開關(guān)閉DHCP調(diào)試

17、開關(guān)：packet：顯示DHCP交換報文；lease：顯示DHCP租用期的信息；events：顯示DHCP交換過程；relay：顯示DHCP代理的信息；DHCP調(diào)試命令調(diào)試命令動態(tài)主機配置協(xié)議動態(tài)主機配置協(xié)議DHCP網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換NAT多機冗余熱備協(xié)議多機冗余熱備協(xié)議VRRP與與VBRP網(wǎng)絡(luò)地址轉(zhuǎn)換（網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）主要用來完成局部地址與全局地址之間的轉(zhuǎn)主要用來完成局部地址與全局地址之間的轉(zhuǎn)換。換。NAT解決了解決了Internet地址耗竭問題，企業(yè)內(nèi)部網(wǎng)只需少量的全地址耗竭問題，企業(yè)內(nèi)部網(wǎng)只需少量的全局地址就可達到與局地址就可達到與INTERNET的互連。的互連。 NAT使一

18、個組織在多個域內(nèi)重用注冊過的使一個組織在多個域內(nèi)重用注冊過的IP地址，只要離開該域以地址，只要離開該域以前將那些重用地址轉(zhuǎn)換為全局的唯一注冊前將那些重用地址轉(zhuǎn)換為全局的唯一注冊IP地址即可。地址即可。 NAT的概念的概念內(nèi)部本地地址內(nèi)部本地地址：分配給內(nèi)部網(wǎng)絡(luò)中的主機的：分配給內(nèi)部網(wǎng)絡(luò)中的主機的IP地址。這個地址可能地址。這個地址可能不是由網(wǎng)絡(luò)信息中心（不是由網(wǎng)絡(luò)信息中心（NIC）或服務(wù)提供商（）或服務(wù)提供商（ISP）分配的合法的）分配的合法的IP地址。地址。內(nèi)部全局地址內(nèi)部全局地址：合法的：合法的IP地址（由地址（由NIC或或ISP分配的），用于向外部分配的），用于向外部世界表示一個或多個內(nèi)

19、部本地世界表示一個或多個內(nèi)部本地IP地址。地址。外部本地地址外部本地地址：分配給外部網(wǎng)絡(luò)中的主機的：分配給外部網(wǎng)絡(luò)中的主機的IP地址。這個地址可能地址。這個地址可能不是由網(wǎng)絡(luò)信息中心（不是由網(wǎng)絡(luò)信息中心（NIC）或服務(wù)提供商（）或服務(wù)提供商（ISP）分配的合法的）分配的合法的IP地址。地址。外部全局地址外部全局地址：合法的外部：合法的外部IP地址（由地址（由NIC或或ISP分配的），分配的），internet上實際存在的地址。上實際存在的地址。靜態(tài)轉(zhuǎn)換靜態(tài)轉(zhuǎn)換：在內(nèi)部本地地址與內(nèi)部全局地址之間建立一個一對一的：在內(nèi)部本地地址與內(nèi)部全局地址之間建立一個一對一的映射。當(dāng)一個固定的地址必須從外界訪問

20、一個內(nèi)部主機時靜態(tài)轉(zhuǎn)換映射。當(dāng)一個固定的地址必須從外界訪問一個內(nèi)部主機時靜態(tài)轉(zhuǎn)換是有用的。是有用的。動態(tài)轉(zhuǎn)換動態(tài)轉(zhuǎn)換：在一個內(nèi)部本地地址與一個全局地址池之間建立一個映：在一個內(nèi)部本地地址與一個全局地址池之間建立一個映射。射。 NAT的相關(guān)術(shù)語的相關(guān)術(shù)語在以下情況下可以使用在以下情況下可以使用NAT： 你想接入你想接入Internet，但你的主機并不都具有全球唯一的，但你的主機并不都具有全球唯一的IP地址。地址。 通常情況下，內(nèi)部本地地址通常采用通常情況下，內(nèi)部本地地址通常采用127、192等保留網(wǎng)段作為內(nèi)部本地地等保留網(wǎng)段作為內(nèi)部本地地址。而這些地址相對外網(wǎng)來說不可達。為了要使得內(nèi)部網(wǎng)絡(luò)訪問外

21、部的某些地址。而這些地址相對外網(wǎng)來說不可達。為了要使得內(nèi)部網(wǎng)絡(luò)訪問外部的某些地址，就需要使用址，就需要使用內(nèi)部源內(nèi)部源NAT地址轉(zhuǎn)換地址轉(zhuǎn)換。為了節(jié)省內(nèi)部全局地址池中的地址，可。為了節(jié)省內(nèi)部全局地址池中的地址，可以以重載內(nèi)部全局地址重載內(nèi)部全局地址，允許路由器將多個本地地址映像為一個全局地址。，允許路由器將多個本地地址映像為一個全局地址。 你想進行基本的你想進行基本的TCP信息流負(fù)載分配。信息流負(fù)載分配。 如果內(nèi)部網(wǎng)絡(luò)中有多臺提供同樣服務(wù)的主機（如如果內(nèi)部網(wǎng)絡(luò)中有多臺提供同樣服務(wù)的主機（如Web Server），它們擁有連續(xù)的幾個內(nèi)部），它們擁有連續(xù)的幾個內(nèi)部IP地址，通地址，通過配置過配置內(nèi)

22、部目的地址內(nèi)部目的地址NAT轉(zhuǎn)換轉(zhuǎn)換可以實現(xiàn)簡單的可以實現(xiàn)簡單的TCP負(fù)負(fù)載分擔(dān)，而通過一個或幾個全局載分擔(dān)，而通過一個或幾個全局IP地址對外提供服務(wù)。地址對外提供服務(wù)。 你希望只有部分外網(wǎng)段才能訪問內(nèi)網(wǎng)服務(wù)器你希望只有部分外網(wǎng)段才能訪問內(nèi)網(wǎng)服務(wù)器 可以在與外界通信時，使用可以在與外界通信時，使用外部源外部源NAT地址轉(zhuǎn)換地址轉(zhuǎn)換，把外部全局把外部全局IP地址轉(zhuǎn)換成外部本地地址轉(zhuǎn)換成外部本地IP地址。地址。NAT的分類應(yīng)用的分類應(yīng)用命令命令描述描述配置模式配置模式ip nat frequency timeoutNAT的老化時間配置 configip nat pool poolname star

23、t-IP end-IP netmask| prefix-length netmask type rotary*NAT的地址池配置configip nat support NAT支持的上層特殊協(xié)議（默認(rèn)支持）configip nat redirect-enableNAT支持UDP報文的重定向（用于騰訊QQ）configip nat translation dns-timeout | finrst-timeout | icmperr-timeout | icmp-max-entries | icmp-timeout | max-hash-size | max-proxy-entries | por

24、t-timeout| syn-timeout | tcp-timeout| timeout| udp-timeout改變NAT的轉(zhuǎn)換參數(shù)設(shè)置configip nat inside source| destination list listname pool poolname overload vrf vrfname*NAT動態(tài)內(nèi)部轉(zhuǎn)換規(guī)則配置（overload只用于source方式）configNAT常用配置命令（常用配置命令（1）命令命令描述描述配置模式配置模式ip nat inside source static netmask local-IP global-IP netmask vrf

25、 vrfname*NAT靜態(tài)內(nèi)部轉(zhuǎn)換地址映射規(guī)則配置configip nat inside source static tcp|udp local-IP local-port global-IP global-port vrf vrfnameNAT靜態(tài)內(nèi)部轉(zhuǎn)換端口映射規(guī)則配置configip nat outside source list listname pool poolname vrf vrfname*NAT動態(tài)外部轉(zhuǎn)換規(guī)則配置configip nat outside source static netmask global-IP local-IP netmask vrf vrfname

26、*NAT靜態(tài)外部轉(zhuǎn)換地址映射規(guī)則配置configip nat outside source static tcp|udp global-IP global-port local-IP local-port vrf vrfnameNAT靜態(tài)外部轉(zhuǎn)換端口映射規(guī)則配置configip nat inside|outsize*指定NAT的外部接口和內(nèi)部接口config-if-xxNAT常用配置命令（常用配置命令（2）靜態(tài)轉(zhuǎn)換內(nèi)部源地址（靜態(tài)轉(zhuǎn)換內(nèi)部源地址（1） 在與外界通信時，使用轉(zhuǎn)換內(nèi)部源地址把你自己的在與外界通信時，使用轉(zhuǎn)換內(nèi)部源地址把你自己的IP地址轉(zhuǎn)地址轉(zhuǎn)換成全局唯一的換成全局唯一的IP地址?？?/p>

27、以選擇配置地址?？梢赃x擇配置靜態(tài)靜態(tài)或或動態(tài)轉(zhuǎn)換動態(tài)轉(zhuǎn)換。 在本例中，建立在本例中，建立到到靜態(tài)轉(zhuǎn)換，然后將靜態(tài)轉(zhuǎn)換，然后將以太接口以太接口f0配置為內(nèi)部接口，串口配置為內(nèi)部接口，串口s0/0配置為外部接口。配置為外部接口。 靜態(tài)轉(zhuǎn)換內(nèi)部源地址（靜態(tài)轉(zhuǎn)換內(nèi)部源地址（2）命令命令描述描述router(config)#ip nat inside source static 建立到靜態(tài)轉(zhuǎn)換router(config)#interface f0 指定接口f0route

28、r(config-if-fastethernet0)#ip nat inside 標(biāo)記為與內(nèi)部連接的接口router(config-if-fastethernet0)#exitrouter(config)#interface s0/0 指定接口s0/0router(config-if-serial0/0)#ip nat outside 標(biāo)記為與外部連接的接口 router 配置配置 命令命令描述描述router(config)#ip nat inside source static network 建立192.168.8

29、.0網(wǎng)段到網(wǎng)段的靜態(tài)轉(zhuǎn)換如果分配的外部地址足夠多，也可將內(nèi)部整個網(wǎng)段映射到外部網(wǎng)段上。如果分配的外部地址足夠多，也可將內(nèi)部整個網(wǎng)段映射到外部網(wǎng)段上。 動態(tài)轉(zhuǎn)換內(nèi)部源地址（動態(tài)轉(zhuǎn)換內(nèi)部源地址（1）動態(tài)轉(zhuǎn)換內(nèi)部源地址（動態(tài)轉(zhuǎn)換內(nèi)部源地址（2）命令命令描述描述router(config)#ip nat pool pl-1 0 netmask 建立一個名為pl-l的全局地址池，這個池包括20個全局地址router(config)#access-list 1 permit 0.0.0.

30、255建立訪問列表1允許 55網(wǎng)段地址被轉(zhuǎn)換router(config)#ip nat inside source list 1 pool pl-1 列表1與pool-1進行地址轉(zhuǎn)換router(config)#interface f0 指定f0接口router(config-if-fastethernet0)#ip nat inside 標(biāo)記為與內(nèi)部連接的接口router(config)#interface s0/0 指定s0/0接口router(config-if-serial0/0)#ip nat outside 標(biāo)記為與外部連接的接口 router

31、配置配置 注意：注意：訪問列表必須只允許那些將被轉(zhuǎn)換的地址。一個允許太多地址的訪問列訪問列表必須只允許那些將被轉(zhuǎn)換的地址。一個允許太多地址的訪問列表會導(dǎo)致不可預(yù)期的結(jié)果。表會導(dǎo)致不可預(yù)期的結(jié)果。重載一個內(nèi)部全局地址（重載一個內(nèi)部全局地址（1）為了節(jié)省內(nèi)部全局地址池中的地址，可以允許路由器將多個本地地址映像為一為了節(jié)省內(nèi)部全局地址池中的地址，可以允許路由器將多個本地地址映像為一個全局地址。當(dāng)多個本地地址映像到一個全局地址時，則用每個內(nèi)部主機的個全局地址。當(dāng)多個本地地址映像到一個全局地址時，則用每個內(nèi)部主機的TCP或或UDP端口號端口號來區(qū)分這些本地地址。來區(qū)分這些本地地址。超載一個內(nèi)部全局地址（

32、超載一個內(nèi)部全局地址（2）命令命令描述描述router(config)# ip nat pool pl-2 netmask 建立一個名為pl-2的全局地址池，這個池包括 到范圍的5個全局地址router(config)# access-list 1 permit 55訪問列表1允許內(nèi)部網(wǎng)上的所有主機進行地址轉(zhuǎn)換router(config)# ip nat inside source list 1 pool pl-2 overload指定訪問

33、列表1和地址池pl-2建立動態(tài)源轉(zhuǎn)換router(config)# interface f0 指定接口f0router(config-if-fastethernet0)# ip nat inside標(biāo)志為內(nèi)部接口router(config-if-fastethernet0)# exitrouter(config)# interface s0/0 指定接口s0/0 router(config-if-serial0/0)# ip nat outside 標(biāo)志為外部接口 router 配置配置 轉(zhuǎn)換內(nèi)部目的地址（轉(zhuǎn)換內(nèi)部目的地址（1）如果內(nèi)部網(wǎng)絡(luò)中有多臺提供同樣服務(wù)的主機（如多臺如果內(nèi)部網(wǎng)絡(luò)中有多臺

34、提供同樣服務(wù)的主機（如多臺Web Server，它們擁有連，它們擁有連續(xù)的幾個內(nèi)部續(xù)的幾個內(nèi)部IP地址），通過配置內(nèi)部目的地址的地址），通過配置內(nèi)部目的地址的NAT轉(zhuǎn)換可以實現(xiàn)簡單的轉(zhuǎn)換可以實現(xiàn)簡單的TCP負(fù)載分擔(dān)負(fù)載分擔(dān)，而通過一個或幾個全局，而通過一個或幾個全局IP地址對外提供服務(wù)。地址對外提供服務(wù)。命令命令描述描述router(config)# ip nat pool pl-de netmask type rotary建立一個名為pl-de的全局地址池，這個池包括 到

35、范圍的2個內(nèi)部地址router (config)# access-list 1001 permit ip any host 訪問列表1001允許的目的地址進行地址轉(zhuǎn)換router (config)# ip nat inside destination list 1001 pool pl-de指定訪問列表1和地址池pl-2建立動態(tài)源轉(zhuǎn)換router (config)# interface f0 指定接口f0router (config-if- fastethernet0)# ip nat inside標(biāo)志為內(nèi)部接口router (config-if-

36、fastethernet1)# exitrouter (config)# interface s0/0 指定接口s0/0 router (config-if-serial0/0)# ip nat outside 標(biāo)志為外部接口 轉(zhuǎn)換內(nèi)部目的地址（轉(zhuǎn)換內(nèi)部目的地址（2） 注意：注意：1、訪問列表必須只允許那些將被轉(zhuǎn)換的地址；、訪問列表必須只允許那些將被轉(zhuǎn)換的地址；2、如果內(nèi)部主機只有一個就不再需要進行、如果內(nèi)部主機只有一個就不再需要進行TCP負(fù)載分擔(dān)，不需要使用此配置；負(fù)載分擔(dān)，不需要使用此配置； router 配置配置 靜態(tài)轉(zhuǎn)換外部源地址（靜態(tài)轉(zhuǎn)換外部源地址（1）在與外界通信時，使用轉(zhuǎn)換外部原

37、地址把外部全局在與外界通信時，使用轉(zhuǎn)換外部原地址把外部全局IP地址轉(zhuǎn)換成外部本地地址轉(zhuǎn)換成外部本地IP地址?？梢耘渲渺o態(tài)或動態(tài)轉(zhuǎn)換。地址?？梢耘渲渺o態(tài)或動態(tài)轉(zhuǎn)換。靜態(tài)轉(zhuǎn)換外部源地址（靜態(tài)轉(zhuǎn)換外部源地址（2） router 配置配置 命令命令描述描述router(config)#ip nat outside source static network 建立網(wǎng)段到網(wǎng)段的靜態(tài)轉(zhuǎn)換 如果分配的地址足夠多，也可以同時將外部整個網(wǎng)段映射到內(nèi)部網(wǎng)段上。如果分配的地址足夠多，也可以同時將外部整個網(wǎng)段映射到內(nèi)

38、部網(wǎng)段上。 命令命令描述描述router (config)#ip nat outside source static 0 0建立0到0的靜態(tài)轉(zhuǎn)換router (config)#interface g0指定接口g0router(config-if-gigaethernet0)#ip nat inside標(biāo)記為與內(nèi)部連接的接口router(config-if-gigaethernet0)#exitrouter (config)#interface s0/0指定接口s0/0router (config-if- serial0/0

39、)#ip nat outside標(biāo)記為與外部連接的接口動態(tài)轉(zhuǎn)換外部源地址（動態(tài)轉(zhuǎn)換外部源地址（1）動態(tài)轉(zhuǎn)換外部源地址（動態(tài)轉(zhuǎn)換外部源地址（2） router 配置配置 在本例中，首先建立一個名為在本例中，首先建立一個名為pl-l的本地地址池，這個池包括的本地地址池，這個池包括到到0范圍的范圍的10個本地地址。訪問列表個本地地址。訪問列表1允許外部網(wǎng)上的允許外部網(wǎng)上的 55網(wǎng)段網(wǎng)段地址被轉(zhuǎn)換。然后將以太接口地址被轉(zhuǎn)換。然后將以太接口g0配置為內(nèi)部接口，配置為內(nèi)部接口，serial0/0配置為外部接口。配置為外部接口。命令命令描述

40、描述router (config)#ip nat pool pl-1 netmask 建立一個名為pl-l的本地地址池，這個池包括到范圍的8個全局地址router (config)#access-list 1 permit 55建立訪問列表1允許 55網(wǎng)段地址被轉(zhuǎn)換router (config)#ip nat outside source list 1 pool pl-1列表1與pool-1進行地址轉(zhuǎn)換router (confi

41、g)#interface g0指定g0接口router(config-if-gigaethernet0)#ip nat inside標(biāo)記為與內(nèi)部連接的接口router(config-if-gigaethernet0)#exitrouter (config)#interface s0/0指定s0/0接口router (config-if- serial0/0)#ip nat outside標(biāo)記為與外部連接的接口1、全局地址和本地地址不能交迭。、全局地址和本地地址不能交迭。2、配置時靜態(tài)的地址不能與動態(tài)的地址池中的地址交迭。、配置時靜態(tài)的地址不能與動態(tài)的地址池中的地址交迭。3、作為連接問題的一個解

42、決方案，只有當(dāng)一個內(nèi)部網(wǎng)中有相對少量的、作為連接問題的一個解決方案，只有當(dāng)一個內(nèi)部網(wǎng)中有相對少量的主機同時與這個域的外界通信時，主機同時與這個域的外界通信時，NAT才是實用的。在這種情況下，才是實用的。在這種情況下，在必須與外界通信時，這個域的在必須與外界通信時，這個域的IP地址中只有一個很小的子集必須被地址中只有一個很小的子集必須被轉(zhuǎn)換成全球唯一的轉(zhuǎn)換成全球唯一的IP地址。當(dāng)不再使用時，這些地址還能被重新使用。地址。當(dāng)不再使用時，這些地址還能被重新使用。4、當(dāng)應(yīng)用程序中嵌入、當(dāng)應(yīng)用程序中嵌入IP地址或端口時，地址或端口時，NAT對端用戶來說就成為不透對端用戶來說就成為不透明的，故明的，故NA

43、T也不能用于此種情況，在應(yīng)用程序中嵌入了也不能用于此種情況，在應(yīng)用程序中嵌入了IP地址和端地址和端口的應(yīng)用協(xié)議中，現(xiàn)在只支持口的應(yīng)用協(xié)議中，現(xiàn)在只支持FTP，MMS，OICQ，TFTP。5、路由信息只能向內(nèi)不能向外傳播。、路由信息只能向內(nèi)不能向外傳播。6、需設(shè)定、需設(shè)定NAT與與ISP的路由器之間的靜態(tài)路由配置。的路由器之間的靜態(tài)路由配置。7、IP OPTION 不能正常的支持。不能正常的支持。8、當(dāng)有多個接口時，要使用同樣的、當(dāng)有多個接口時，要使用同樣的NAT表。表。NAT配置注意事項：配置注意事項：NAT的監(jiān)控命令（的監(jiān)控命令（1）命令命令描述描述配置模式配置模式show ip nat t

44、ranslations顯示激活的NAT的轉(zhuǎn)換表項enableshow ip nat translations proxy-session顯示激活的NAT代理表項enableshow ip nat translations static顯示激活的靜態(tài)NAT表項enableshow ip nat statistics verbose 顯示NAT的統(tǒng)計數(shù)據(jù)enableshow running-config ip nat顯示所有的NAT配置enableshow ip nat collision顯示NAT記錄的沖突情況enableshow ip nat fragment顯示NAT分片記錄表項enable

45、show ip nat pool顯示所有的NAT的地址池enableshow local config顯示localstat的配置enableshow local stat顯示當(dāng)前用戶的統(tǒng)計信息enableshow local source顯示當(dāng)前用戶的流量信息和連接數(shù)信息enable NAT常用監(jiān)控命令常用監(jiān)控命令NAT的監(jiān)控命令（的監(jiān)控命令（2） NAT監(jiān)控信息實例監(jiān)控信息實例router# show ip nat translations顯示結(jié)果：顯示結(jié)果：Type Pro Inside global Inside local Outside local Outside global A

46、geNAT ICMP 41:1024 00:1024 - 25:1024 50NAT TCP 41:1916 00:1916 - :80 1785 (NORMAL:0)NAT TCP 41:1882 00:1882 - :80 1785 (NORMAL:0)描述與分析：描述與分析：Type：NAT轉(zhuǎn)換記錄的類型Pro：IP協(xié)議類型Inside global：內(nèi)部全局地址和端口Inside local：

47、內(nèi)部局部地址和端口Outside local：外部局部地址和端口Outside global：外部全局地址和端口Age：記錄余下的生命期（秒）括號中的內(nèi)容：當(dāng)前的TCP狀態(tài) 該顯示結(jié)果表明內(nèi)部局部地址該顯示結(jié)果表明內(nèi)部局部地址00分別向外部地址分別向外部地址25發(fā)送了發(fā)送了ICMP報文，向外部地址報文，向外部地址的的80端口發(fā)起了兩條端口發(fā)起了兩條TCP連接。連接。NAT的監(jiān)控命令（的監(jiān)控命令（3） show ip nat statistics信息分析（信息分析（1）顯示結(jié)果顯示結(jié)果描述與分析描述與分析NAT version: 3

48、.1.1NAT的版本號為3.1.1Translations count 7 (create:54, expire:47, kill:0, clear:0)當(dāng)前存在轉(zhuǎn)換條目: 7總共創(chuàng)建： 54， 老化：47 被強制刪除： 0 命令清除： 0Packet count (hit:223, create:54, no_memory:0, cant create:0)轉(zhuǎn)換條目復(fù)用： 223 包 創(chuàng)建條目：54 達到內(nèi)存上限： 0 創(chuàng)建條目失?。?0Fragment track disable, fragment count:0, fragment drops:0分片跟蹤功能關(guān)閉 分片記錄：0無法轉(zhuǎn)發(fā)的

49、分片報文：0Max entries: 53000, Max icmp entries: 1000, Current hash value: 65536最大轉(zhuǎn)換條目：53000 最大icmp轉(zhuǎn)換數(shù)：1000當(dāng)前hash桶大小：65536NAT redirect disable, Support ftp, Support tftpUDP重定向功能關(guān)閉支持FTP代理 支持TFTP代理Outside interfaces: gigaethernet1外部端口：g1Inside interfaces: gigaethernet0內(nèi)部端口：g0NAT的監(jiān)控命令（的監(jiān)控命令（4）顯示結(jié)果顯示結(jié)果描述與分析描

50、述與分析list 1應(yīng)用的訪問列表 ：list 1pool p1應(yīng)用的地址池: p1Total extended proxy napt: 0, Max extended proxy napt: 4000NAT達到max_entries以后創(chuàng)建的代理進程數(shù)量，以及可以創(chuàng)建的代理進程的最大值 session: Totals: 0 Counter: 0 No-memorys: 0經(jīng)過NAT代理的ftp數(shù)據(jù)包MMS proxy session: Totals: 0 Counter: 0 No-memorys: 0經(jīng)過NAT代理的MMS數(shù)據(jù)包 show ip nat statistics信息分析（信息分

51、析（2） show running-config ip nat信息分析信息分析顯示結(jié)果：顯示結(jié)果：ip nat pool pp 40 41 netmask ip nat inside source list 1 pool pp overload描述與分析：描述與分析： 配置了一個地址池內(nèi)地址為配置了一個地址池內(nèi)地址為40-41的地址池的地址池pp，并，并將該地址池地址與將該地址池地址與access-list 1綁定，并采用端口重載方式綁定，并采用端口重載方式NAT的監(jiān)控命令

52、（的監(jiān)控命令（5） show ip nat pool信息分析信息分析顯示結(jié)果顯示結(jié)果描述與分析描述與分析Address pool : pp 地址池的名字start : 40地址池的起始地址end : 41地址池的結(jié)束地址netmask : 地址池的網(wǎng)絡(luò)掩碼type : GENERIC地址池類型 show local stat信息分析信息分析顯示結(jié)果：顯示結(jié)果：source rcv_pkts/s rcv_bits/s send_pkts/s send_bits/s tcp/udp/other :

53、5 42720 2 720 1 /1 /0 04: 22 7140 416 3416580 2164/2615/0 all: 27 49860 418 3417300 4323/2616/0 描述與分析：描述與分析：source：地址信息 rcv_pkts/s：每秒接收的報文數(shù)rcv_bits/s：每秒接收的bit數(shù) send_pkts/s： 每秒平均的發(fā)送報文數(shù)send_bits/s： 每秒平均的發(fā)送bits數(shù)tcp/udp/other： 當(dāng)前的用戶的TCP/UDP/OTHER的分別的連接數(shù)命令命令描述描述clear ip nat statistics重置NAT統(tǒng)計

54、值clear ip nat translation all |icmp | inside | tcp | udp 清空NAT的轉(zhuǎn)換記錄debug ip nat packets | drop 參看NAT的調(diào)試信息NAT的調(diào)試命令（的調(diào)試命令（5）動態(tài)主機配置協(xié)議動態(tài)主機配置協(xié)議DHCP網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換NAT多機冗余熱備協(xié)議多機冗余熱備協(xié)議VRRP與與VBRP 通常，一個網(wǎng)絡(luò)內(nèi)的主機設(shè)置一條缺省路由，這樣，主機發(fā)出的目通常，一個網(wǎng)絡(luò)內(nèi)的主機設(shè)置一條缺省路由，這樣，主機發(fā)出的目的地址不在本網(wǎng)段的報文將通過缺省路由發(fā)往網(wǎng)關(guān)路由器，從而實現(xiàn)的地址不在本網(wǎng)段的報文將通過缺省路由發(fā)往網(wǎng)關(guān)路由器，從而

55、實現(xiàn)了主機與外部網(wǎng)絡(luò)的通信。當(dāng)路由器發(fā)生故障時，本網(wǎng)段內(nèi)所有以其了主機與外部網(wǎng)絡(luò)的通信。當(dāng)路由器發(fā)生故障時，本網(wǎng)段內(nèi)所有以其為缺省路由下一跳的主機將斷掉與外部的通信。為缺省路由下一跳的主機將斷掉與外部的通信。 為了進一步提高組建網(wǎng)絡(luò)的穩(wěn)定可靠性，可以采用多臺機器共同為了進一步提高組建網(wǎng)絡(luò)的穩(wěn)定可靠性，可以采用多臺機器共同承擔(dān)相同的角色，正常工作情況下形成主備關(guān)系或者負(fù)載均衡的方式。承擔(dān)相同的角色，正常工作情況下形成主備關(guān)系或者負(fù)載均衡的方式。 目前常用的多機冗余備份協(xié)議有以下幾種目前常用的多機冗余備份協(xié)議有以下幾種,切換時間均在切換時間均在35秒：秒：VBRP：Virtual Backup R

56、outer Protocol(MP)HSRP: Hot Standby Router Protocol(Cisco) VRRP: Virtual Router Redundancy Protocol(RFC2338)GLBP: Gateway Load Balancing Protocol(Cisco)多機冗余熱備協(xié)議介紹多機冗余熱備協(xié)議介紹VRRP協(xié)議介紹協(xié)議介紹 VRRP虛擬路由冗余協(xié)議（虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol） 就是為解決多機冗余備份問題而提出的，它為具有多就是為解決多機冗余備份問題而提出的，它為具有多播或廣播能力的局域網(wǎng)（

57、如：以太網(wǎng)）設(shè)計。播或廣播能力的局域網(wǎng)（如：以太網(wǎng)）設(shè)計。 VRRP協(xié)議是在協(xié)議是在CISCO的私有協(xié)議的私有協(xié)議HSRP基礎(chǔ)上進行簡化后基礎(chǔ)上進行簡化后指定出來的（指定出來的（RFC2338）。）。VRRP將局域網(wǎng)的一組路由器組織成將局域網(wǎng)的一組路由器組織成一個虛擬的路由器，稱之為一個一個虛擬的路由器，稱之為一個備份組備份組。這個虛擬的路由器（即。這個虛擬的路由器（即備份組）擁有自己的備份組）擁有自己的IP地址，網(wǎng)絡(luò)內(nèi)的主機就通過這個虛擬的路地址，網(wǎng)絡(luò)內(nèi)的主機就通過這個虛擬的路由器來與其它網(wǎng)絡(luò)進行通信。由器來與其它網(wǎng)絡(luò)進行通信。 當(dāng)備份組內(nèi)的當(dāng)備份組內(nèi)的MASTER路由器壞掉時，備份組內(nèi)的其

58、它路由器壞掉時，備份組內(nèi)的其它BACKUP路由器將會接替成為新的路由器將會接替成為新的MASTER，繼續(xù)向網(wǎng)絡(luò)內(nèi)的，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機提供路由服務(wù)，從而實現(xiàn)網(wǎng)絡(luò)內(nèi)的主機不間斷地與外部網(wǎng)絡(luò)主機提供路由服務(wù)，從而實現(xiàn)網(wǎng)絡(luò)內(nèi)的主機不間斷地與外部網(wǎng)絡(luò)進行通信。進行通信。VRRP相關(guān)概念相關(guān)概念MasterVRRP的一個狀態(tài)，活動路由器處于該狀態(tài)，且保證的一個狀態(tài)，活動路由器處于該狀態(tài)，且保證相關(guān)相關(guān)IP報文的轉(zhuǎn)發(fā)。優(yōu)先級高的路由器為報文的轉(zhuǎn)發(fā)。優(yōu)先級高的路由器為master狀態(tài)。狀態(tài)。BackupVRRP的一個狀態(tài)，備份路由器處于該狀態(tài)，且保證的一個狀態(tài)，備份路由器處于該狀態(tài)，且保證在活動路由器失效時

59、，及時切換。在活動路由器失效時，及時切換。Priority：接口上配置的優(yōu)先級：接口上配置的優(yōu)先級VRRP報文結(jié)構(gòu)報文結(jié)構(gòu)VRRP報文是一種多播報文是一種多播IP報文（報文（8），協(xié)議號是），協(xié)議號是112（0 x70） VRID：接口配置的：接口配置的Virtual Router Identifier (VRID)虛擬路由器虛擬路由器ID。Priority：接口上配置的優(yōu)先級。：接口上配置的優(yōu)先級。擁有虛擬擁有虛擬IP地址的路由器（地址的路由器（VIP等于接口等于接口IP的路由器），的路由器），priority等于等于255，其余路由器只能為其余路由器只能為1254，缺省是

60、，缺省是100。Count IP Addr：虛擬：虛擬IP地址的個數(shù)，一般等于地址的個數(shù)，一般等于1。VRRP工作流程工作流程虛擬路由器的三種狀態(tài)：虛擬路由器的三種狀態(tài)：初始化狀態(tài)（初始化狀態(tài)（Initialize）活動狀態(tài)（活動狀態(tài)（master）備份狀態(tài)（備份狀態(tài)（backup）VRRP競爭原則競爭原則1、優(yōu)先級為、優(yōu)先級為255的接口的接口UP后自動成為后自動成為Master，不進行競爭；，不進行競爭；2、優(yōu)先級不為、優(yōu)先級不為255的接口先進入的接口先進入Backup狀態(tài)，設(shè)置狀態(tài)，設(shè)置dead定時器，定時器，在定時器超時前若沒有收到在定時器超時前若沒有收到VRRP報文則將自己設(shè)為報文