mp技術支持培訓路由器應用協(xié)議課件

1、技術服務部：技術服務部：手手 機：機：Email：動態(tài)主機配置協(xié)議動態(tài)主機配置協(xié)議DHCP網絡地址轉換網絡地址轉換NAT多機冗余熱備協(xié)議多機冗余熱備協(xié)議VRRP與與VBRPDHCP協(xié)議簡介協(xié)議簡介 當網絡規(guī)模達到一定程度，它就開始變得難以管理。特別在手工分發(fā)當網絡規(guī)模達到一定程度，它就開始變得難以管理。特別在手工分發(fā)IP地址的網絡環(huán)境中地址的網絡環(huán)境中為了減輕管理員跟蹤記錄手工分配為了減輕管理員跟蹤記錄手工分配I P地址的負擔。地址的負擔。 IETF為此設計了動態(tài)主機配置協(xié)議（為此設計了動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）。）。

2、DHCP采用采用客戶端客戶端/服務器模式服務器模式，從一個地址池中把，從一個地址池中把I P地址分配給請求地址分配給請求主機，它提供一種機制，允許計算機不必手工參與即可加入新的網絡和獲主機，它提供一種機制，允許計算機不必手工參與即可加入新的網絡和獲取取IP地址，這個概念術語稱作即插即用網絡（地址，這個概念術語稱作即插即用網絡（ plug-and-play networking）。）。 DHCP也能提供其他信息，如網關也能提供其他信息，如網關IP、DNS服務器、缺省域和網絡范服務器、缺省域和網絡范圍內圍內HOSTS文件的位置。文件的位置。/24 租用租用DHCP消息格式消息

3、格式DHCPDISCOVER：客戶端用于地址申請的廣播報文。DHCPOFFER：服務器端對客戶端DHCPDISCOVER報文的回復，包含了所提供的IP地址和網絡配置信息。DHCPREQUEST：在不同的狀態(tài)下，用途不同：(a) 在請求狀態(tài)時，請求服務器同意開始使用所提供的IP地址。(b) 在更新狀態(tài)，請求提供IP地址的服務器更新IP地址租用時間。(c) 在重綁定狀態(tài)，廣播請求子網中的服務器，是否允許繼續(xù)使用當前的IP地址。DHCPACK：服務器端對客戶端請求的同意報文。DHCPNAK：服務器端對客戶端請求的否定報文?？蛻舳吮仨氈匦麻_始申請。DHCPRELEASE：客戶端主動終止IP地址的使用，

4、用于釋放IP地址報文。DHCPDECLINE：由于地址已經被使用，客戶端對服務器提供的地址表示拒絕。DHCPINFORM：客戶端要求服務器提供最新的網絡配置信息。DHCP的報文類型的報文類型DHCP簡單工作流程簡單工作流程HostAMaipu DHCP ServerDHCPDISCOVER(broadcast)DHCPOFFER(broadcast)DHCPREQUEST(broadcast)DHCPACK(broadcast)1） 客戶機通過客戶機通過DHCPDISCOVER廣播提出請求。也可直接請求租用的永久地址。廣播提出請求。也可直接請求租用的永久地址。2） 服務器收到請求，返回附有一個

5、可用地址的服務器收到請求，返回附有一個可用地址的DHCPOFFER報文。報文。3） 客戶機若收到多個客戶機若收到多個DHCPOFFER報文，選擇第一個的地址或其所請求的那個。報文，選擇第一個的地址或其所請求的那個。4） 客戶機廣播含有服務器標識的客戶機廣播含有服務器標識的DHCPREQUEST報文并等待。報文并等待。5） 服務器檢查收到的服務器檢查收到的DHCPREQUEST報文，當其中的標識與服務器相符，發(fā)回報文，當其中的標識與服務器相符，發(fā)回DHCPACK報文，如果所請求的報文，如果所請求的I P已被分配或者租期已滿，發(fā)回已被分配或者租期已滿，發(fā)回DHCPNAK報文。報文。6） 如果客戶機

6、收到如果客戶機收到DHCPACK報文，即開始使用報文，即開始使用IP地址。如它收到地址。如它收到DHCPNAK，會重新開始整個過程。假如會重新開始整個過程。假如I P有問題，客戶機會發(fā)送一個有問題，客戶機會發(fā)送一個DHCPDECLINE報文給報文給服務器并重新開始。服務器并重新開始。DHCP客戶端變遷客戶端變遷租用更新定時器租用更新定時器重綁定定時器重綁定定時器租用到期定時器租用到期定時器定時器重置為定時器重置為0DHCP常用配置命令常用配置命令命令命令描述描述配置模式配置模式ip dhcp pool*配置DHCP地址池configip dhcp excluded-address*排除DHCP

7、地址池中部分地址configip dhcp arp-proxy-ipaddr*配置本網關所代理的遠程客戶的地址configip dhcp-server*配置DHCP中繼地址confignetwork配置DHCP地址范圍網絡段dhcp-configrange*配置DHCP地址范圍IP段dhcp-confighost配置DHCP地址范圍主機dhcp-configip address dhcp*配置DHCP客戶端config-if-default-router*配置分配給客戶端的默認路由dhcp-configdns-server*配置分配給客戶端的DNS服務器地址dhcp-configlease配置

8、分配給客戶的IP地址的租期dhcp-configshow running-config ip dhcp查看DHCP的配置信息enableDHCP配置范例（配置范例（1）Swtichrouter B（DHCP Client）router A（DHCP Server）PC1PC2F0F0：說明：說明：maipu路由器路由器routerA的的f0口通過一臺二層交換機與兩臺口通過一臺二層交換機與兩臺PC以及以及routerB相連，相連，routerA作為作為DHCP服務器端，兩臺服務器端，兩臺PC和和routerB作為客戶端。其中作為客戶端。其中routerA的的f0口口ip地址為地

9、址為。DHCP配置范例（配置范例（2）命令命令描述描述routerA(config)#ip dhcp pool maipu定義一個DHCP地址池routerA(config)# ip dhcp excluded-address 55不能被分配routerA(config)#ip dhcp pool maipu 定義一個地址池routerA(dhcp-config)#range 1 0 定義一個ip地址段routerA(dhcp-config)#dns-server 61.139

10、.2.2指定client 機的dns地址routerA(dhcp-config)#default-router 指定client 機默認網關routerA(dhcp-config)#lease 7 10 30分配地址租借期為7天10小時30分鐘 router A配置配置 router B配置配置 命令命令描述描述routerB(config-if-fastethernet0)#ip address dhcp通過dhcp服務器分配地址 中繼代理中繼代理能中繼服務器和客戶機之間的交互報文。這樣可以使服務能中繼服務器和客戶機之間的交互報文。這樣可以使服務器能處理不在該服務器所在子網

11、的器能處理不在該服務器所在子網的DHCP報文。這意味著不必為每一個報文。這意味著不必為每一個子網設置一個服務器，為每一個子網設置一個服務器開銷很大，子網設置一個服務器，為每一個子網設置一個服務器開銷很大， 中繼代理工作原理：中繼代理工作原理：1）DHCP客戶機廣播一個消息?？蛻魴C廣播一個消息。2）中繼代理把收到報文的接口對應的）中繼代理把收到報文的接口對應的IP地址放到消息的地址放到消息的giaddr（中繼（中繼IP地址）域中，然后單播至服務器。地址）域中，然后單播至服務器。3）服務器給中繼代理返回應答）服務器給中繼代理返回應答(通過單播通過單播)。應答分配的。應答分配的IP地址與地址與gia

12、ddr域地址相同。域地址相同。4）中繼代理會從）中繼代理會從giaddr域中域中I P地址對應的接口中廣播應答。地址對應的接口中廣播應答。DHCP的中繼代理的中繼代理/24 租用租用DHCP消息消息Swtichrouter B（DHCP Relay）router A（DHCP Server）PC1PC2F0：E0：F0：說明：說明：如圖如圖20-2所示，所示，router A是一個是一個dhcp的服務器，的服務器，router B是一個是一個dhcp中繼，中繼，router A的的f0口地址為口地址為129.2

13、55.1.1，和，和router B的的f0為為 ，e0的的ip地址地址為為，所以，所以router A的地址池，是一個跨網段的為的地址池，是一個跨網段的為pc1和和pc2分配地分配地址。址。DHCP中繼代理配置范例（中繼代理配置范例（1） router A配置配置 命令命令描述描述routerA(config)#ip dhcp pool maipu定義一個DHCP地址池routerA(config)# ip dhcp excluded-address 55不能被分配routerA(config)#ip dhcp po

14、ol maipu 定義一個地址池routerA(dhcp-config)#range 1 0 定義一個ip地址段routerA(dhcp-config)#dns-server 指定client 機的dns地址routerA(dhcp-config)#default-router 指定client 機默認網關routerA(dhcp-config)#lease 7 10 30分配地址租借期為7天10小時30分鐘 router B配置配置 命令命令描述描述router B(config)# ip

15、dhcp-server 通過dhcp服務器分配地址DHCP中繼代理配置范例（中繼代理配置范例（2）DHCP監(jiān)控命令監(jiān)控命令命令命令描述描述show ip dhcp binding在DHCP服務器上查看當前已分配到IP地址的主機列表show ip dhcp pool-statistic查看當前DHCP地址池統(tǒng)計信息。show ip dhcp arp-proxy-ipaddr本命令用于DHCP over IPsec，顯示本網關所能代理的遠程客戶地址信息。show running-config ip dhcp查看DHCP的配置信息show ip dhcp lease顯示當前DH

16、CP分配的租期信息show ip dhcp ping顯示DHCP配置ping探測的參數(shù)show ip dhcp pool顯示配置的DHCP地址池信息show ip dhcp excluded-pool顯示配置的DHCP不分配地址池信息命令命令描述描述clear ip dhcp arp-proxy-ipaddr address | all用于DHCP over IPsec，清除本網關所能代理的遠程客戶地址信息。clear ip dhcp binding清除DHCP服務器綁定信息(no) debug ip dhcp packet | lease | events | relay打開關閉DHCP調試

17、開關：packet：顯示DHCP交換報文；lease：顯示DHCP租用期的信息；events：顯示DHCP交換過程；relay：顯示DHCP代理的信息；DHCP調試命令調試命令動態(tài)主機配置協(xié)議動態(tài)主機配置協(xié)議DHCP網絡地址轉換網絡地址轉換NAT多機冗余熱備協(xié)議多機冗余熱備協(xié)議VRRP與與VBRP網絡地址轉換（網絡地址轉換（NAT）主要用來完成局部地址與全局地址之間的轉主要用來完成局部地址與全局地址之間的轉換。換。NAT解決了解決了Internet地址耗竭問題，企業(yè)內部網只需少量的全地址耗竭問題，企業(yè)內部網只需少量的全局地址就可達到與局地址就可達到與INTERNET的互連。的互連。 NAT使一

18、個組織在多個域內重用注冊過的使一個組織在多個域內重用注冊過的IP地址，只要離開該域以地址，只要離開該域以前將那些重用地址轉換為全局的唯一注冊前將那些重用地址轉換為全局的唯一注冊IP地址即可。地址即可。 NAT的概念的概念內部本地地址內部本地地址：分配給內部網絡中的主機的：分配給內部網絡中的主機的IP地址。這個地址可能地址。這個地址可能不是由網絡信息中心（不是由網絡信息中心（NIC）或服務提供商（）或服務提供商（ISP）分配的合法的）分配的合法的IP地址。地址。內部全局地址內部全局地址：合法的：合法的IP地址（由地址（由NIC或或ISP分配的），用于向外部分配的），用于向外部世界表示一個或多個內

19、部本地世界表示一個或多個內部本地IP地址。地址。外部本地地址外部本地地址：分配給外部網絡中的主機的：分配給外部網絡中的主機的IP地址。這個地址可能地址。這個地址可能不是由網絡信息中心（不是由網絡信息中心（NIC）或服務提供商（）或服務提供商（ISP）分配的合法的）分配的合法的IP地址。地址。外部全局地址外部全局地址：合法的外部：合法的外部IP地址（由地址（由NIC或或ISP分配的），分配的），internet上實際存在的地址。上實際存在的地址。靜態(tài)轉換靜態(tài)轉換：在內部本地地址與內部全局地址之間建立一個一對一的：在內部本地地址與內部全局地址之間建立一個一對一的映射。當一個固定的地址必須從外界訪問

20、一個內部主機時靜態(tài)轉換映射。當一個固定的地址必須從外界訪問一個內部主機時靜態(tài)轉換是有用的。是有用的。動態(tài)轉換動態(tài)轉換：在一個內部本地地址與一個全局地址池之間建立一個映：在一個內部本地地址與一個全局地址池之間建立一個映射。射。 NAT的相關術語的相關術語在以下情況下可以使用在以下情況下可以使用NAT： 你想接入你想接入Internet，但你的主機并不都具有全球唯一的，但你的主機并不都具有全球唯一的IP地址。地址。 通常情況下，內部本地地址通常采用通常情況下，內部本地地址通常采用127、192等保留網段作為內部本地地等保留網段作為內部本地地址。而這些地址相對外網來說不可達。為了要使得內部網絡訪問外

21、部的某些地址。而這些地址相對外網來說不可達。為了要使得內部網絡訪問外部的某些地址，就需要使用址，就需要使用內部源內部源NAT地址轉換地址轉換。為了節(jié)省內部全局地址池中的地址，可。為了節(jié)省內部全局地址池中的地址，可以以重載內部全局地址重載內部全局地址，允許路由器將多個本地地址映像為一個全局地址。，允許路由器將多個本地地址映像為一個全局地址。 你想進行基本的你想進行基本的TCP信息流負載分配。信息流負載分配。 如果內部網絡中有多臺提供同樣服務的主機（如如果內部網絡中有多臺提供同樣服務的主機（如Web Server），它們擁有連續(xù)的幾個內部），它們擁有連續(xù)的幾個內部IP地址，通地址，通過配置過配置內

22、部目的地址內部目的地址NAT轉換轉換可以實現(xiàn)簡單的可以實現(xiàn)簡單的TCP負負載分擔，而通過一個或幾個全局載分擔，而通過一個或幾個全局IP地址對外提供服務。地址對外提供服務。 你希望只有部分外網段才能訪問內網服務器你希望只有部分外網段才能訪問內網服務器 可以在與外界通信時，使用可以在與外界通信時，使用外部源外部源NAT地址轉換地址轉換，把外部全局把外部全局IP地址轉換成外部本地地址轉換成外部本地IP地址。地址。NAT的分類應用的分類應用命令命令描述描述配置模式配置模式ip nat frequency timeoutNAT的老化時間配置 configip nat pool poolname star

23、t-IP end-IP netmask| prefix-length netmask type rotary*NAT的地址池配置configip nat support NAT支持的上層特殊協(xié)議（默認支持）configip nat redirect-enableNAT支持UDP報文的重定向（用于騰訊QQ）configip nat translation dns-timeout | finrst-timeout | icmperr-timeout | icmp-max-entries | icmp-timeout | max-hash-size | max-proxy-entries | por

24、t-timeout| syn-timeout | tcp-timeout| timeout| udp-timeout改變NAT的轉換參數(shù)設置configip nat inside source| destination list listname pool poolname overload vrf vrfname*NAT動態(tài)內部轉換規(guī)則配置（overload只用于source方式）configNAT常用配置命令（常用配置命令（1）命令命令描述描述配置模式配置模式ip nat inside source static netmask local-IP global-IP netmask vrf

25、 vrfname*NAT靜態(tài)內部轉換地址映射規(guī)則配置configip nat inside source static tcp|udp local-IP local-port global-IP global-port vrf vrfnameNAT靜態(tài)內部轉換端口映射規(guī)則配置configip nat outside source list listname pool poolname vrf vrfname*NAT動態(tài)外部轉換規(guī)則配置configip nat outside source static netmask global-IP local-IP netmask vrf vrfname

26、*NAT靜態(tài)外部轉換地址映射規(guī)則配置configip nat outside source static tcp|udp global-IP global-port local-IP local-port vrf vrfnameNAT靜態(tài)外部轉換端口映射規(guī)則配置configip nat inside|outsize*指定NAT的外部接口和內部接口config-if-xxNAT常用配置命令（常用配置命令（2）靜態(tài)轉換內部源地址（靜態(tài)轉換內部源地址（1） 在與外界通信時，使用轉換內部源地址把你自己的在與外界通信時，使用轉換內部源地址把你自己的IP地址轉地址轉換成全局唯一的換成全局唯一的IP地址?？?/p>

27、以選擇配置地址。可以選擇配置靜態(tài)靜態(tài)或或動態(tài)轉換動態(tài)轉換。 在本例中，建立在本例中，建立到到靜態(tài)轉換，然后將靜態(tài)轉換，然后將以太接口以太接口f0配置為內部接口，串口配置為內部接口，串口s0/0配置為外部接口。配置為外部接口。 靜態(tài)轉換內部源地址（靜態(tài)轉換內部源地址（2）命令命令描述描述router(config)#ip nat inside source static 建立到靜態(tài)轉換router(config)#interface f0 指定接口f0route

28、r(config-if-fastethernet0)#ip nat inside 標記為與內部連接的接口router(config-if-fastethernet0)#exitrouter(config)#interface s0/0 指定接口s0/0router(config-if-serial0/0)#ip nat outside 標記為與外部連接的接口 router 配置配置 命令命令描述描述router(config)#ip nat inside source static network 建立192.168.8

29、.0網段到網段的靜態(tài)轉換如果分配的外部地址足夠多，也可將內部整個網段映射到外部網段上。如果分配的外部地址足夠多，也可將內部整個網段映射到外部網段上。 動態(tài)轉換內部源地址（動態(tài)轉換內部源地址（1）動態(tài)轉換內部源地址（動態(tài)轉換內部源地址（2）命令命令描述描述router(config)#ip nat pool pl-1 0 netmask 建立一個名為pl-l的全局地址池，這個池包括20個全局地址router(config)#access-list 1 permit 0.0.0.

30、255建立訪問列表1允許 55網段地址被轉換router(config)#ip nat inside source list 1 pool pl-1 列表1與pool-1進行地址轉換router(config)#interface f0 指定f0接口router(config-if-fastethernet0)#ip nat inside 標記為與內部連接的接口router(config)#interface s0/0 指定s0/0接口router(config-if-serial0/0)#ip nat outside 標記為與外部連接的接口 router

31、配置配置 注意：注意：訪問列表必須只允許那些將被轉換的地址。一個允許太多地址的訪問列訪問列表必須只允許那些將被轉換的地址。一個允許太多地址的訪問列表會導致不可預期的結果。表會導致不可預期的結果。重載一個內部全局地址（重載一個內部全局地址（1）為了節(jié)省內部全局地址池中的地址，可以允許路由器將多個本地地址映像為一為了節(jié)省內部全局地址池中的地址，可以允許路由器將多個本地地址映像為一個全局地址。當多個本地地址映像到一個全局地址時，則用每個內部主機的個全局地址。當多個本地地址映像到一個全局地址時，則用每個內部主機的TCP或或UDP端口號端口號來區(qū)分這些本地地址。來區(qū)分這些本地地址。超載一個內部全局地址（

32、超載一個內部全局地址（2）命令命令描述描述router(config)# ip nat pool pl-2 netmask 建立一個名為pl-2的全局地址池，這個池包括 到范圍的5個全局地址router(config)# access-list 1 permit 55訪問列表1允許內部網上的所有主機進行地址轉換router(config)# ip nat inside source list 1 pool pl-2 overload指定訪問

33、列表1和地址池pl-2建立動態(tài)源轉換router(config)# interface f0 指定接口f0router(config-if-fastethernet0)# ip nat inside標志為內部接口router(config-if-fastethernet0)# exitrouter(config)# interface s0/0 指定接口s0/0 router(config-if-serial0/0)# ip nat outside 標志為外部接口 router 配置配置 轉換內部目的地址（轉換內部目的地址（1）如果內部網絡中有多臺提供同樣服務的主機（如多臺如果內部網絡中有多臺

34、提供同樣服務的主機（如多臺Web Server，它們擁有連，它們擁有連續(xù)的幾個內部續(xù)的幾個內部IP地址），通過配置內部目的地址的地址），通過配置內部目的地址的NAT轉換可以實現(xiàn)簡單的轉換可以實現(xiàn)簡單的TCP負載分擔負載分擔，而通過一個或幾個全局，而通過一個或幾個全局IP地址對外提供服務。地址對外提供服務。命令命令描述描述router(config)# ip nat pool pl-de netmask type rotary建立一個名為pl-de的全局地址池，這個池包括 到

35、范圍的2個內部地址router (config)# access-list 1001 permit ip any host 訪問列表1001允許的目的地址進行地址轉換router (config)# ip nat inside destination list 1001 pool pl-de指定訪問列表1和地址池pl-2建立動態(tài)源轉換router (config)# interface f0 指定接口f0router (config-if- fastethernet0)# ip nat inside標志為內部接口router (config-if-

36、fastethernet1)# exitrouter (config)# interface s0/0 指定接口s0/0 router (config-if-serial0/0)# ip nat outside 標志為外部接口 轉換內部目的地址（轉換內部目的地址（2） 注意：注意：1、訪問列表必須只允許那些將被轉換的地址；、訪問列表必須只允許那些將被轉換的地址；2、如果內部主機只有一個就不再需要進行、如果內部主機只有一個就不再需要進行TCP負載分擔，不需要使用此配置；負載分擔，不需要使用此配置； router 配置配置 靜態(tài)轉換外部源地址（靜態(tài)轉換外部源地址（1）在與外界通信時，使用轉換外部原

37、地址把外部全局在與外界通信時，使用轉換外部原地址把外部全局IP地址轉換成外部本地地址轉換成外部本地IP地址。可以配置靜態(tài)或動態(tài)轉換。地址?？梢耘渲渺o態(tài)或動態(tài)轉換。靜態(tài)轉換外部源地址（靜態(tài)轉換外部源地址（2） router 配置配置 命令命令描述描述router(config)#ip nat outside source static network 建立網段到網段的靜態(tài)轉換 如果分配的地址足夠多，也可以同時將外部整個網段映射到內部網段上。如果分配的地址足夠多，也可以同時將外部整個網段映射到內

38、部網段上。 命令命令描述描述router (config)#ip nat outside source static 0 0建立0到0的靜態(tài)轉換router (config)#interface g0指定接口g0router(config-if-gigaethernet0)#ip nat inside標記為與內部連接的接口router(config-if-gigaethernet0)#exitrouter (config)#interface s0/0指定接口s0/0router (config-if- serial0/0

39、)#ip nat outside標記為與外部連接的接口動態(tài)轉換外部源地址（動態(tài)轉換外部源地址（1）動態(tài)轉換外部源地址（動態(tài)轉換外部源地址（2） router 配置配置 在本例中，首先建立一個名為在本例中，首先建立一個名為pl-l的本地地址池，這個池包括的本地地址池，這個池包括到到0范圍的范圍的10個本地地址。訪問列表個本地地址。訪問列表1允許外部網上的允許外部網上的 55網段網段地址被轉換。然后將以太接口地址被轉換。然后將以太接口g0配置為內部接口，配置為內部接口，serial0/0配置為外部接口。配置為外部接口。命令命令描述

40、描述router (config)#ip nat pool pl-1 netmask 建立一個名為pl-l的本地地址池，這個池包括到范圍的8個全局地址router (config)#access-list 1 permit 55建立訪問列表1允許 55網段地址被轉換router (config)#ip nat outside source list 1 pool pl-1列表1與pool-1進行地址轉換router (confi

41、g)#interface g0指定g0接口router(config-if-gigaethernet0)#ip nat inside標記為與內部連接的接口router(config-if-gigaethernet0)#exitrouter (config)#interface s0/0指定s0/0接口router (config-if- serial0/0)#ip nat outside標記為與外部連接的接口1、全局地址和本地地址不能交迭。、全局地址和本地地址不能交迭。2、配置時靜態(tài)的地址不能與動態(tài)的地址池中的地址交迭。、配置時靜態(tài)的地址不能與動態(tài)的地址池中的地址交迭。3、作為連接問題的一個解

42、決方案，只有當一個內部網中有相對少量的、作為連接問題的一個解決方案，只有當一個內部網中有相對少量的主機同時與這個域的外界通信時，主機同時與這個域的外界通信時，NAT才是實用的。在這種情況下，才是實用的。在這種情況下，在必須與外界通信時，這個域的在必須與外界通信時，這個域的IP地址中只有一個很小的子集必須被地址中只有一個很小的子集必須被轉換成全球唯一的轉換成全球唯一的IP地址。當不再使用時，這些地址還能被重新使用。地址。當不再使用時，這些地址還能被重新使用。4、當應用程序中嵌入、當應用程序中嵌入IP地址或端口時，地址或端口時，NAT對端用戶來說就成為不透對端用戶來說就成為不透明的，故明的，故NA

43、T也不能用于此種情況，在應用程序中嵌入了也不能用于此種情況，在應用程序中嵌入了IP地址和端地址和端口的應用協(xié)議中，現(xiàn)在只支持口的應用協(xié)議中，現(xiàn)在只支持FTP，MMS，OICQ，TFTP。5、路由信息只能向內不能向外傳播。、路由信息只能向內不能向外傳播。6、需設定、需設定NAT與與ISP的路由器之間的靜態(tài)路由配置。的路由器之間的靜態(tài)路由配置。7、IP OPTION 不能正常的支持。不能正常的支持。8、當有多個接口時，要使用同樣的、當有多個接口時，要使用同樣的NAT表。表。NAT配置注意事項：配置注意事項：NAT的監(jiān)控命令（的監(jiān)控命令（1）命令命令描述描述配置模式配置模式show ip nat t

44、ranslations顯示激活的NAT的轉換表項enableshow ip nat translations proxy-session顯示激活的NAT代理表項enableshow ip nat translations static顯示激活的靜態(tài)NAT表項enableshow ip nat statistics verbose 顯示NAT的統(tǒng)計數(shù)據(jù)enableshow running-config ip nat顯示所有的NAT配置enableshow ip nat collision顯示NAT記錄的沖突情況enableshow ip nat fragment顯示NAT分片記錄表項enable

45、show ip nat pool顯示所有的NAT的地址池enableshow local config顯示localstat的配置enableshow local stat顯示當前用戶的統(tǒng)計信息enableshow local source顯示當前用戶的流量信息和連接數(shù)信息enable NAT常用監(jiān)控命令常用監(jiān)控命令NAT的監(jiān)控命令（的監(jiān)控命令（2） NAT監(jiān)控信息實例監(jiān)控信息實例router# show ip nat translations顯示結果：顯示結果：Type Pro Inside global Inside local Outside local Outside global A

46、geNAT ICMP 41:1024 00:1024 - 25:1024 50NAT TCP 41:1916 00:1916 - :80 1785 (NORMAL:0)NAT TCP 41:1882 00:1882 - :80 1785 (NORMAL:0)描述與分析：描述與分析：Type：NAT轉換記錄的類型Pro：IP協(xié)議類型Inside global：內部全局地址和端口Inside local：

47、內部局部地址和端口Outside local：外部局部地址和端口Outside global：外部全局地址和端口Age：記錄余下的生命期（秒）括號中的內容：當前的TCP狀態(tài) 該顯示結果表明內部局部地址該顯示結果表明內部局部地址00分別向外部地址分別向外部地址25發(fā)送了發(fā)送了ICMP報文，向外部地址報文，向外部地址的的80端口發(fā)起了兩條端口發(fā)起了兩條TCP連接。連接。NAT的監(jiān)控命令（的監(jiān)控命令（3） show ip nat statistics信息分析（信息分析（1）顯示結果顯示結果描述與分析描述與分析NAT version: 3

48、.1.1NAT的版本號為3.1.1Translations count 7 (create:54, expire:47, kill:0, clear:0)當前存在轉換條目: 7總共創(chuàng)建： 54， 老化：47 被強制刪除： 0 命令清除： 0Packet count (hit:223, create:54, no_memory:0, cant create:0)轉換條目復用： 223 包 創(chuàng)建條目：54 達到內存上限： 0 創(chuàng)建條目失?。?0Fragment track disable, fragment count:0, fragment drops:0分片跟蹤功能關閉 分片記錄：0無法轉發(fā)的

49、分片報文：0Max entries: 53000, Max icmp entries: 1000, Current hash value: 65536最大轉換條目：53000 最大icmp轉換數(shù)：1000當前hash桶大?。?5536NAT redirect disable, Support ftp, Support tftpUDP重定向功能關閉支持FTP代理 支持TFTP代理Outside interfaces: gigaethernet1外部端口：g1Inside interfaces: gigaethernet0內部端口：g0NAT的監(jiān)控命令（的監(jiān)控命令（4）顯示結果顯示結果描述與分析描

50、述與分析list 1應用的訪問列表 ：list 1pool p1應用的地址池: p1Total extended proxy napt: 0, Max extended proxy napt: 4000NAT達到max_entries以后創(chuàng)建的代理進程數(shù)量，以及可以創(chuàng)建的代理進程的最大值 session: Totals: 0 Counter: 0 No-memorys: 0經過NAT代理的ftp數(shù)據(jù)包MMS proxy session: Totals: 0 Counter: 0 No-memorys: 0經過NAT代理的MMS數(shù)據(jù)包 show ip nat statistics信息分析（信息分

51、析（2） show running-config ip nat信息分析信息分析顯示結果：顯示結果：ip nat pool pp 40 41 netmask ip nat inside source list 1 pool pp overload描述與分析：描述與分析： 配置了一個地址池內地址為配置了一個地址池內地址為40-41的地址池的地址池pp，并，并將該地址池地址與將該地址池地址與access-list 1綁定，并采用端口重載方式綁定，并采用端口重載方式NAT的監(jiān)控命令

52、（的監(jiān)控命令（5） show ip nat pool信息分析信息分析顯示結果顯示結果描述與分析描述與分析Address pool : pp 地址池的名字start : 40地址池的起始地址end : 41地址池的結束地址netmask : 地址池的網絡掩碼type : GENERIC地址池類型 show local stat信息分析信息分析顯示結果：顯示結果：source rcv_pkts/s rcv_bits/s send_pkts/s send_bits/s tcp/udp/other :

53、5 42720 2 720 1 /1 /0 04: 22 7140 416 3416580 2164/2615/0 all: 27 49860 418 3417300 4323/2616/0 描述與分析：描述與分析：source：地址信息 rcv_pkts/s：每秒接收的報文數(shù)rcv_bits/s：每秒接收的bit數(shù) send_pkts/s： 每秒平均的發(fā)送報文數(shù)send_bits/s： 每秒平均的發(fā)送bits數(shù)tcp/udp/other： 當前的用戶的TCP/UDP/OTHER的分別的連接數(shù)命令命令描述描述clear ip nat statistics重置NAT統(tǒng)計

54、值clear ip nat translation all |icmp | inside | tcp | udp 清空NAT的轉換記錄debug ip nat packets | drop 參看NAT的調試信息NAT的調試命令（的調試命令（5）動態(tài)主機配置協(xié)議動態(tài)主機配置協(xié)議DHCP網絡地址轉換網絡地址轉換NAT多機冗余熱備協(xié)議多機冗余熱備協(xié)議VRRP與與VBRP 通常，一個網絡內的主機設置一條缺省路由，這樣，主機發(fā)出的目通常，一個網絡內的主機設置一條缺省路由，這樣，主機發(fā)出的目的地址不在本網段的報文將通過缺省路由發(fā)往網關路由器，從而實現(xiàn)的地址不在本網段的報文將通過缺省路由發(fā)往網關路由器，從而

55、實現(xiàn)了主機與外部網絡的通信。當路由器發(fā)生故障時，本網段內所有以其了主機與外部網絡的通信。當路由器發(fā)生故障時，本網段內所有以其為缺省路由下一跳的主機將斷掉與外部的通信。為缺省路由下一跳的主機將斷掉與外部的通信。 為了進一步提高組建網絡的穩(wěn)定可靠性，可以采用多臺機器共同為了進一步提高組建網絡的穩(wěn)定可靠性，可以采用多臺機器共同承擔相同的角色，正常工作情況下形成主備關系或者負載均衡的方式。承擔相同的角色，正常工作情況下形成主備關系或者負載均衡的方式。 目前常用的多機冗余備份協(xié)議有以下幾種目前常用的多機冗余備份協(xié)議有以下幾種,切換時間均在切換時間均在35秒：秒：VBRP：Virtual Backup R

56、outer Protocol(MP)HSRP: Hot Standby Router Protocol(Cisco) VRRP: Virtual Router Redundancy Protocol(RFC2338)GLBP: Gateway Load Balancing Protocol(Cisco)多機冗余熱備協(xié)議介紹多機冗余熱備協(xié)議介紹VRRP協(xié)議介紹協(xié)議介紹 VRRP虛擬路由冗余協(xié)議（虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol） 就是為解決多機冗余備份問題而提出的，它為具有多就是為解決多機冗余備份問題而提出的，它為具有多播或廣播能力的局域網（

57、如：以太網）設計。播或廣播能力的局域網（如：以太網）設計。 VRRP協(xié)議是在協(xié)議是在CISCO的私有協(xié)議的私有協(xié)議HSRP基礎上進行簡化后基礎上進行簡化后指定出來的（指定出來的（RFC2338）。）。VRRP將局域網的一組路由器組織成將局域網的一組路由器組織成一個虛擬的路由器，稱之為一個一個虛擬的路由器，稱之為一個備份組備份組。這個虛擬的路由器（即。這個虛擬的路由器（即備份組）擁有自己的備份組）擁有自己的IP地址，網絡內的主機就通過這個虛擬的路地址，網絡內的主機就通過這個虛擬的路由器來與其它網絡進行通信。由器來與其它網絡進行通信。 當備份組內的當備份組內的MASTER路由器壞掉時，備份組內的其

58、它路由器壞掉時，備份組內的其它BACKUP路由器將會接替成為新的路由器將會接替成為新的MASTER，繼續(xù)向網絡內的，繼續(xù)向網絡內的主機提供路由服務，從而實現(xiàn)網絡內的主機不間斷地與外部網絡主機提供路由服務，從而實現(xiàn)網絡內的主機不間斷地與外部網絡進行通信。進行通信。VRRP相關概念相關概念MasterVRRP的一個狀態(tài)，活動路由器處于該狀態(tài)，且保證的一個狀態(tài)，活動路由器處于該狀態(tài)，且保證相關相關IP報文的轉發(fā)。優(yōu)先級高的路由器為報文的轉發(fā)。優(yōu)先級高的路由器為master狀態(tài)。狀態(tài)。BackupVRRP的一個狀態(tài)，備份路由器處于該狀態(tài)，且保證的一個狀態(tài)，備份路由器處于該狀態(tài)，且保證在活動路由器失效時

59、，及時切換。在活動路由器失效時，及時切換。Priority：接口上配置的優(yōu)先級：接口上配置的優(yōu)先級VRRP報文結構報文結構VRRP報文是一種多播報文是一種多播IP報文（報文（8），協(xié)議號是），協(xié)議號是112（0 x70） VRID：接口配置的：接口配置的Virtual Router Identifier (VRID)虛擬路由器虛擬路由器ID。Priority：接口上配置的優(yōu)先級。：接口上配置的優(yōu)先級。擁有虛擬擁有虛擬IP地址的路由器（地址的路由器（VIP等于接口等于接口IP的路由器），的路由器），priority等于等于255，其余路由器只能為其余路由器只能為1254，缺省是

60、，缺省是100。Count IP Addr：虛擬：虛擬IP地址的個數(shù)，一般等于地址的個數(shù)，一般等于1。VRRP工作流程工作流程虛擬路由器的三種狀態(tài)：虛擬路由器的三種狀態(tài)：初始化狀態(tài)（初始化狀態(tài)（Initialize）活動狀態(tài)（活動狀態(tài)（master）備份狀態(tài)（備份狀態(tài)（backup）VRRP競爭原則競爭原則1、優(yōu)先級為、優(yōu)先級為255的接口的接口UP后自動成為后自動成為Master，不進行競爭；，不進行競爭；2、優(yōu)先級不為、優(yōu)先級不為255的接口先進入的接口先進入Backup狀態(tài)，設置狀態(tài)，設置dead定時器，定時器，在定時器超時前若沒有收到在定時器超時前若沒有收到VRRP報文則將自己設為報文