《計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)教程-基于Packet Tracer》- 課件 第4章 網(wǎng)絡(luò)層

第四章

網(wǎng)絡(luò)層實(shí)驗(yàn)1：路由器IP地址配置及直連網(wǎng)絡(luò)實(shí)驗(yàn)?zāi)康?1（1）理解IP地址。02（2）掌握路由器端口IP地址的配置方法。03（3）理解路由器的直連網(wǎng)絡(luò)?；A(chǔ)知識(shí)IP地址是網(wǎng)絡(luò)層中使用的地址，不管網(wǎng)絡(luò)層下面是什么網(wǎng)絡(luò)，或是什么類型的接口，在網(wǎng)絡(luò)層看來(lái)，它只是一個(gè)可以用IP地址代表的接口地址而已。網(wǎng)絡(luò)層依靠IP地址和路由協(xié)議將數(shù)據(jù)報(bào)送到目的IP主機(jī)。既然是一個(gè)地址，那么一個(gè)IP地址就只能代表一個(gè)接口，否則會(huì)造成地址的二義性；接口則不同，一個(gè)接口可以配多個(gè)IP地址，這并不會(huì)造成地址的二義性。路由器是互聯(lián)網(wǎng)的核心設(shè)備，它在IP網(wǎng)絡(luò)間轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)，這使得路由器的每個(gè)接口都連接一個(gè)或多個(gè)網(wǎng)絡(luò)，而兩個(gè)接口卻不可以代表一個(gè)網(wǎng)絡(luò)。路由器的一個(gè)配置了IP地址的接口所在的網(wǎng)絡(luò)就是路由器的直連網(wǎng)絡(luò)。對(duì)于直連網(wǎng)絡(luò)，路由器并不需要額外對(duì)其配置路由，當(dāng)其接口被激活后，路由器會(huì)自動(dòng)將直連網(wǎng)絡(luò)加入到路由表中。命令格式含義ipaddressIP地址子網(wǎng)掩碼在接口模式下給當(dāng)前接口配置IP地址，例如：ipaddressshowiproute在特權(quán)模式下查看路由器的路由表doshowiproute在非特權(quán)模式下查看路由器的路由表noshutdown在接口模式下激活當(dāng)前接口表4-1常用配置命令實(shí)驗(yàn)流程實(shí)驗(yàn)流程圖實(shí)驗(yàn)步驟（1）布置拓?fù)?，路由器連接了兩個(gè)網(wǎng)絡(luò)，通過(guò)g0/0端口連接網(wǎng)絡(luò)/24，通過(guò)g0/1端口連接網(wǎng)絡(luò)/24，這兩個(gè)網(wǎng)絡(luò)都屬于路由器的直連網(wǎng)絡(luò)。實(shí)驗(yàn)步驟（2）配置路由器的IP地址。（3）查看路由表。（4）激活端口。（5）查看路由表，觀察路由表的變化，注意C打頭的路由條目為直連路由。Router(config-if)#doshowiproute//查看路由表/24isvariablysubnetted,2subnets,2masksC/24isdirectlyconnected,GigabitEthernet0/0//直連路由實(shí)驗(yàn)步驟L54/32isdirectlyconnected,GigabitEthernet0/0//路由器的IP/24isvariablysubnetted,2subnets,2masksC/24isdirectlyconnected,GigabitEthernet0/1L54/32isdirectlyconnected,GigabitEthernet0/1（6）查看端口信息。實(shí)驗(yàn)步驟（7）驗(yàn)證連通性。從主機(jī)端使用ping命令來(lái)測(cè)試網(wǎng)絡(luò)的連通性。另外，若把g0/1端口配置IP地址為/24，則會(huì)彈出出錯(cuò)提示框，該IP和g0/0端口有重疊。也就是說(shuō)，不同路由器端口所連接的不能是同一個(gè)網(wǎng)絡(luò)。實(shí)驗(yàn)二ARP協(xié)議分析實(shí)驗(yàn)?zāi)康模?）理解ARP協(xié)議的作用。（2）理解ARP協(xié)議的工作方式?；A(chǔ)知識(shí)ARP協(xié)議用來(lái)解決局域網(wǎng)內(nèi)一個(gè)廣播域中的IP地址和MAC地址的映射問(wèn)題。其中，ARP請(qǐng)求是廣播分組，該廣播域內(nèi)的主機(jī)都可以收到，ARP響應(yīng)是單播分組，由響應(yīng)主機(jī)直接發(fā)給請(qǐng)求主機(jī)，為了提高效率，避免ARP請(qǐng)求占用過(guò)多的網(wǎng)絡(luò)資源，主機(jī)或路由器都設(shè)置有ARP高速緩存，用來(lái)將請(qǐng)求得到的映射保存起來(lái)，以備下次需要時(shí)直接使用。該緩存設(shè)有時(shí)間限制，防止因地址改變導(dǎo)致不能及時(shí)更新，造成發(fā)送失敗的情況?；A(chǔ)知識(shí)如果源主機(jī)本身發(fā)送的就是廣播分組，或雙方使用的是點(diǎn)對(duì)點(diǎn)的鏈路，就無(wú)須發(fā)起ARP請(qǐng)求了。實(shí)驗(yàn)流程實(shí)驗(yàn)流程圖實(shí)驗(yàn)步驟（1）布置拓?fù)?，路由器連接了兩個(gè)網(wǎng)絡(luò)，通過(guò)g0/0端口連接網(wǎng)絡(luò)/24，通過(guò)g0/1端口連接網(wǎng)絡(luò)/24，這兩個(gè)網(wǎng)絡(luò)都屬于路由器的直連網(wǎng)絡(luò)。切換到模擬模式下，只選中ARP協(xié)議。（2）由PC0pingPC3，觀察ARP分組的走向及結(jié)構(gòu)，如圖4-8所示。由于目的地址和源IP地址不在同一網(wǎng)絡(luò)中，所以，PC0首先應(yīng)將IP分組發(fā)送給自己的網(wǎng)關(guān)，即路由器。這樣，PC0須通過(guò)ARP請(qǐng)求分組得到網(wǎng)關(guān)的MAC地址，用于發(fā)往網(wǎng)關(guān)的鏈路層封裝。當(dāng)PC0得到網(wǎng)關(guān)的MAC地址后，會(huì)將其添加到自己的ARP高速緩存中，在生存期內(nèi)再次訪問(wèn)網(wǎng)關(guān)時(shí)，就不需要發(fā)出對(duì)網(wǎng)關(guān)的ARP請(qǐng)求了。實(shí)驗(yàn)步驟拓?fù)鋱D實(shí)驗(yàn)步驟此處PC0生成ARP請(qǐng)求分組，該分組將通過(guò)交換機(jī)被廣播到PC1和Router。PC1會(huì)將其丟棄，只有Router會(huì)收下該請(qǐng)求分組，并做出響應(yīng)實(shí)驗(yàn)步驟路由器收下請(qǐng)求分組，將PC0的IP地址和MAC地址記入ARP高速緩存，并生成ARP的響應(yīng)分組，將其以單播的形式發(fā)送給PC0Router會(huì)收下該請(qǐng)求分組，并做出響應(yīng)以單播的形式發(fā)送給PC0實(shí)驗(yàn)步驟PC0收到該響應(yīng)分組后，就得到了網(wǎng)關(guān)（54）的MAC地址。接著主機(jī)封裝網(wǎng)關(guān)的MAC地址，并將分組發(fā)送給網(wǎng)關(guān)，即路由器的g0/0端口。而路由器會(huì)查詢路由表，分組將從g0/1端口被轉(zhuǎn)發(fā)出去，這樣，在g0/1端口處封裝MAC幀時(shí)，就需要目的IP地址的MAC地址。由于是第一次，其緩存中并沒(méi)有保存該IP對(duì)應(yīng)的MAC地址，所以，需要發(fā)出ARP請(qǐng)求分組來(lái)獲得需要的MAC地址，如圖4-11和圖4-12所示。觀察該請(qǐng)求分組的廣播域。實(shí)驗(yàn)步驟分組將從g0/1端口被轉(zhuǎn)發(fā)出去發(fā)到目的地址實(shí)驗(yàn)步驟路由器的PC3處封裝的ARP分組1實(shí)驗(yàn)步驟路由器的PC3處封裝的ARP分組2實(shí)驗(yàn)3：靜態(tài)路由與默認(rèn)路由配置實(shí)驗(yàn)?zāi)康模?）理解靜態(tài)路由的含義。01（3）理解默認(rèn)路由的含義。03（2）掌握路由器靜態(tài)路由的配置方法。02（4）掌握默認(rèn)路由的配置方法。04基礎(chǔ)知識(shí)靜態(tài)路由是指路由信息由管理員手工配置，而不是路由器通過(guò)路由算法和其他路由器學(xué)習(xí)得到。所以，靜態(tài)路由主要適合網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)相對(duì)固定的網(wǎng)絡(luò)使用，當(dāng)網(wǎng)絡(luò)環(huán)境比較復(fù)雜時(shí)，由于其拓?fù)浠蜴溌窢顟B(tài)相對(duì)容易變化，就需要管理員再手工改變路由，這對(duì)管理員來(lái)說(shuō)是一個(gè)煩瑣的工作，且網(wǎng)絡(luò)容易受人的影響，對(duì)管理員不論技術(shù)上還是紀(jì)律上都有更高的要求。默認(rèn)路由也是一種靜態(tài)路由，它位于路由表的最后，當(dāng)數(shù)據(jù)報(bào)與路由表中前面的表項(xiàng)都不匹配時(shí)，數(shù)據(jù)報(bào)將根據(jù)默認(rèn)路由轉(zhuǎn)發(fā)。這使得其在某些時(shí)候是非常有效的，例如在末梢網(wǎng)絡(luò)中，默認(rèn)路由可以大大簡(jiǎn)化路由器的項(xiàng)目數(shù)量及配置，減輕路由器和網(wǎng)絡(luò)管理員的工作負(fù)擔(dān)?？梢?jiàn)，靜態(tài)路由優(yōu)先級(jí)高于默認(rèn)路由。基礎(chǔ)知識(shí)配置靜態(tài)路由格式：R0(config)#iproute目的網(wǎng)絡(luò)號(hào)目的網(wǎng)絡(luò)掩碼下一跳IP地址01配置默認(rèn)路由格式：R0(config)#iproute下一跳IP地址02

實(shí)驗(yàn)流程本實(shí)驗(yàn)配置靜態(tài)路由和默認(rèn)路由，要求各IP全部可達(dá)。實(shí)驗(yàn)步驟（1）布置拓?fù)?，配置IP地址。（2）靜態(tài)路由配置。（3）默認(rèn)路由配置。拓?fù)鋱D實(shí)驗(yàn)4：RIP路由協(xié)議配置實(shí)驗(yàn)?zāi)康模?）理解RIP路由的原理。（2）掌握RIP路由的配置方法?；A(chǔ)知識(shí)RIP（RoutingInformationProtocols）屬于內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），用于一個(gè)自治系統(tǒng)內(nèi)部，是一種基于距離向量的分布式的路由選擇協(xié)議?？蓮囊韵聨追矫胬斫釸IP的特點(diǎn)。（1）在RIP協(xié)議中，距離最短的路由就是最好的路由。RIP協(xié)議對(duì)距離的度量是跳數(shù)，初始的直連路由距離為1，此后每經(jīng)過(guò)一臺(tái)路由器，跳數(shù)就加1，這樣，經(jīng)過(guò)的路由器數(shù)量越多，距離也就越長(zhǎng)。RIP規(guī)定，一條路由最大的跳數(shù)為15，也就是最大距離為16，距離超出16的路由被認(rèn)為不可達(dá)，會(huì)被刪除。（2）RIP中路由的更新是通過(guò)定時(shí)廣播實(shí)現(xiàn)的，接收對(duì)象為鄰居。默認(rèn)情況下，路由器每隔30秒向與它相連的網(wǎng)絡(luò)廣播自己的路由表，接到廣播的路由器將收到的信息按一定算法添加到自身的路由表中。每個(gè)路由器都這樣廣播，最終網(wǎng)絡(luò)上所有的路由器都會(huì)得知全部RIP范圍的路由信息?；A(chǔ)知識(shí)（3）環(huán)路的解決方法：在RIP中也存在環(huán)路問(wèn)題，如好消息傳播得快，壞消息傳播得慢。解決辦法通常有以下幾種。①定義最大跳數(shù)。比如將TTL值設(shè)為16，如果分組陷入路由循環(huán)中，則跳數(shù)耗盡后就會(huì)被消滅，在RIP中就被視為網(wǎng)絡(luò)不可達(dá)而被刪除。②水平分割。水平分割即單向路由更新，它保證路由器記住每一條路由信息的來(lái)源，并且不在收到這條信息的端口上再次發(fā)送它，這是不產(chǎn)生路由循環(huán)的最基本措施。A從B處得到一個(gè)網(wǎng)絡(luò)的路由信息，A不會(huì)向B更新該網(wǎng)絡(luò)可以通過(guò)B到達(dá)的信息。這樣，當(dāng)該網(wǎng)絡(luò)出現(xiàn)故障不可達(dá)時(shí)，B會(huì)將路由信息通告給A，而A則不會(huì)把可以通過(guò)B到達(dá)該網(wǎng)絡(luò)的路由信息通告給B。如此便可以加快網(wǎng)絡(luò)收斂，破壞路由環(huán)路?；A(chǔ)知識(shí)③路由毒化。當(dāng)某直連網(wǎng)絡(luò)發(fā)生故障時(shí)，路由器將其度量值標(biāo)為無(wú)窮大，并將此路由信息通告給鄰居，鄰居再向其鄰居通告，依次毒化各路由器，從而避免環(huán)路。④控制更新時(shí)間。也稱抑制計(jì)時(shí)，當(dāng)一條路由信息無(wú)效之后，就在一段時(shí)間內(nèi)使這條路由處于抑制狀態(tài)，即不再接收關(guān)于相同目的地址的路由更新。顯然，當(dāng)一個(gè)網(wǎng)絡(luò)頻繁地在有效和無(wú)效間切換時(shí)，往往是有問(wèn)題的，這時(shí)，將該網(wǎng)絡(luò)的路由信息在一定時(shí)間內(nèi)不更新，可以增加網(wǎng)絡(luò)的穩(wěn)定性，避免路由振蕩，是合理的?；A(chǔ)知識(shí)（4）RIPv1和RIPv2的主要區(qū)別如下：①RIPv1是有類路由協(xié)議，RIPv2是無(wú)類路由協(xié)議。②RIPv1不能支持VLSM，RIPv2可以支持VLSM。③RIPv1沒(méi)有認(rèn)證的功能，RIPv2可以支持認(rèn)證，并且有明文和MD5兩種認(rèn)證。④RIPv1沒(méi)有手工匯總的功能，RIPv2可以在關(guān)閉自動(dòng)匯總的前提下進(jìn)行手工匯總。⑤RIPv1是廣播更新，RIPv2是組播更新。⑥RIPv1對(duì)路由沒(méi)有打標(biāo)記的功能，RIPv2可以對(duì)路由打標(biāo)記（tag），用于過(guò)濾和制訂策略?；A(chǔ)知識(shí)（5）RIP協(xié)議常用配置命令。命令格式含義hostname路由器名稱配置路由器名稱routerrip啟動(dòng)RIP路由協(xié)議version版本號(hào)設(shè)置RIP版本，可為1或者2network網(wǎng)絡(luò)號(hào)網(wǎng)絡(luò)號(hào)應(yīng)為路由器直連的網(wǎng)絡(luò)號(hào)，是分類網(wǎng)絡(luò)號(hào)debugiprip顯示RIP路由的動(dòng)態(tài)更新auto-summary路由匯總showipprotocols顯示路由協(xié)議配置與統(tǒng)計(jì)等信息passive-interface端口名將端口設(shè)置為被動(dòng)端口，此端口不再發(fā)送路由信息實(shí)驗(yàn)流程實(shí)驗(yàn)流程圖RIPv1實(shí)驗(yàn)步驟（1）布置拓?fù)?，配置各設(shè)備的IP地址。（2）在路由器上配置RIPv1路由。（3）查看路由器的路由表。（4）查看RIP路由的動(dòng)態(tài)更新。RIPv2實(shí)驗(yàn)步驟RIPv2實(shí)驗(yàn)步驟（1）布置拓?fù)?，并配置IP地址。這里將PC的IP地址設(shè)為網(wǎng)絡(luò)的第一個(gè)可用的IP地址，網(wǎng)關(guān)設(shè)為網(wǎng)絡(luò)的最后一個(gè)可用地址。連接兩個(gè)路由器的網(wǎng)絡(luò)為/30的地址RIPv2實(shí)驗(yàn)步驟（2）在路由器上配置RIPv2路由。（3）查看路由器的路由表。（4）查看RIP路由的動(dòng)態(tài)更新。實(shí)驗(yàn)5：OSPF路由協(xié)議實(shí)驗(yàn)?zāi)康模?）理解OSPF。（2）掌握OSPF的配置方法。（3）掌握查看OSPF協(xié)議的相關(guān)信息。基礎(chǔ)知識(shí)OSPF（OpenShortestPathFirst）的中文名稱為開(kāi)放式最短路徑優(yōu)先，是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），用于在單一自治系統(tǒng)（AS）中決策路由，使用迪杰斯特拉（Dijkstra）提出的最短路徑算法（SPF）生成路由表。OSPF分為OSPFv2和OSPFv3兩個(gè)版本，其中OSPFv2用于IPv4網(wǎng)絡(luò)，OSPFv3用于IPv6網(wǎng)絡(luò)。OSPF有以下特點(diǎn)。（1）OSPF是鏈路狀態(tài)協(xié)議。OSPF將連接兩個(gè)路由器的鏈路狀態(tài)歸結(jié)為一個(gè)度量或代價(jià)，以此來(lái)表示鏈路的時(shí)延、帶寬、費(fèi)用和距離等，可以由管理員配置其大小，范圍為1~65535，但很多時(shí)候并沒(méi)有顯式地配置，這時(shí)代價(jià)被默認(rèn)為100Mb/s帶寬。而RIP中只用跳數(shù)來(lái)衡量距離，而不考慮鏈路的狀態(tài)?；A(chǔ)知識(shí)（2）OSPF使用最短路徑算法（SPF）計(jì)算路由。OSPF中的每一臺(tái)路由器都會(huì)維護(hù)一個(gè)本區(qū)域的拓?fù)浣Y(jié)構(gòu)圖（LSDB），路由器依據(jù)拓?fù)鋱D中的節(jié)點(diǎn)和鏈路代價(jià)計(jì)算出一棵以自己為根的最短路徑樹(shù)，根據(jù)這棵樹(shù)，就可以找到去往各目的網(wǎng)絡(luò)的最短路徑，并生成自己的路由表。由于OSPF使用最短路徑樹(shù)算法計(jì)算路由，故從算法本身保證了不會(huì)生成自環(huán)路由。（3）OSPF使用層次結(jié)構(gòu)的區(qū)域劃分。①劃分區(qū)域的理由。由于每一個(gè)路由器都會(huì)維護(hù)一個(gè)全網(wǎng)的拓?fù)浣Y(jié)構(gòu)，當(dāng)網(wǎng)絡(luò)規(guī)模達(dá)到一定程度時(shí)，拓?fù)浣Y(jié)構(gòu)勢(shì)必形成一個(gè)龐大的數(shù)據(jù)庫(kù)，這樣會(huì)給OSPF計(jì)算最小路徑算法帶來(lái)比較大的壓力。為了能夠降低計(jì)算的復(fù)雜程度，OSPF采用分區(qū)域計(jì)算，即將網(wǎng)絡(luò)中所有OSPF路由器劃分成不同的區(qū)域，每個(gè)區(qū)域負(fù)責(zé)各自區(qū)域精確的鏈路狀態(tài)通告（LSA）傳遞與路由計(jì)算，然后再將一個(gè)區(qū)域的LSA簡(jiǎn)化和匯總之后轉(zhuǎn)發(fā)到另外一個(gè)區(qū)域，這樣一來(lái)，在區(qū)域內(nèi)部，擁有網(wǎng)絡(luò)精確的LSA，而在不同區(qū)域，則傳遞簡(jiǎn)化的LSA?；A(chǔ)知識(shí)②區(qū)域的層次。區(qū)域分為骨干區(qū)域（BackBoneArea）和標(biāo)準(zhǔn)區(qū)域（NormalArea）。其中，骨干區(qū)域位于頂層。一般來(lái)說(shuō)，所有的標(biāo)準(zhǔn)區(qū)域應(yīng)該直接和骨干區(qū)域相連，標(biāo)準(zhǔn)區(qū)域間的通信分組要通過(guò)骨干區(qū)域路由轉(zhuǎn)發(fā)，標(biāo)準(zhǔn)區(qū)域只能和骨干區(qū)域交換鏈路狀態(tài)通告（LSA），標(biāo)準(zhǔn)區(qū)域相互之間即使直連也無(wú)法互換LSA。基礎(chǔ)知識(shí)③區(qū)域的命名可以采用整數(shù)數(shù)字，如1、2、3等，也可以采用32位IP地址的形式，如、，需要注意的是骨干區(qū)域只能被命名為0區(qū)域，而不能是其他區(qū)域。④OSPF區(qū)域中路由器的區(qū)別。OSPF區(qū)域是基于路由器的接口劃分的，而不是基于整臺(tái)路由器劃分的，這樣，一臺(tái)路由器可以屬于單個(gè)區(qū)域，也可以屬于多個(gè)區(qū)域，如果一臺(tái)OSPF路由器屬于單個(gè)區(qū)域，即該路由器所有接口都屬于同一個(gè)區(qū)域，那么這臺(tái)路由器稱為區(qū)域內(nèi)部路由器（IR）。如果一臺(tái)OSPF路由器屬于多個(gè)區(qū)域，即該路由器的接口不都屬于一個(gè)區(qū)域，那么這臺(tái)路由器稱為區(qū)域邊界路由器（ABR），ABR可以將一個(gè)區(qū)域的LSA匯總后轉(zhuǎn)發(fā)至另一個(gè)區(qū)域。如果一臺(tái)OSPF路由器代表本自治系統(tǒng)連接到外部自治系統(tǒng)的路由器上，那么這臺(tái)路由器稱為自治系統(tǒng)邊界路由器（ASBR），它代表本AS與外部進(jìn)行路由?；A(chǔ)知識(shí)（4）負(fù)載平衡。OSPF支持到同一目的地址的多條等值路由，以此實(shí)現(xiàn)負(fù)載平衡。（5）收斂速度快。如果網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)發(fā)生變化，OSPF立即洪泛發(fā)送更新報(bào)文，使這一變化快速在自治系統(tǒng)中同步，使路由快速收斂。（6）OSPF在描述路由時(shí)攜帶網(wǎng)段的掩碼信息，所以其支持變長(zhǎng)子網(wǎng)掩碼VLSM和無(wú)分類編址CIDR。（7）支持驗(yàn)證。它支持基于接口的報(bào)文驗(yàn)證以保證路由計(jì)算的安全性。（8）協(xié)議自身的開(kāi)銷控制較小。①使用定期發(fā)送的hello報(bào)文來(lái)發(fā)現(xiàn)和維護(hù)鄰居關(guān)系。hello報(bào)文非常小，減小了網(wǎng)絡(luò)資源的消耗?；A(chǔ)知識(shí)②在可以多址訪問(wèn)的網(wǎng)絡(luò)中，如廣播網(wǎng)絡(luò)（以太網(wǎng)）或NBMA網(wǎng)絡(luò)（如x.25、幀中繼），通過(guò)選舉DR和BDR，使同網(wǎng)段的路由器之間的路由交換次數(shù)減少。DR從鄰居那里收到更新后，通過(guò)LSA通告給局域網(wǎng)上的所有鄰居，使同一個(gè)局域網(wǎng)的LSDB都相同。③在廣播網(wǎng)絡(luò)中，使用組播地址發(fā)送報(bào)文，這樣可以減少對(duì)其他不運(yùn)行OSPF的網(wǎng)絡(luò)設(shè)備的干擾。④在區(qū)域邊界路由器ABR上支持路由聚合，進(jìn)一步減少區(qū)域間的路由信息傳遞。實(shí)驗(yàn)流程實(shí)驗(yàn)流程圖命令格式含義routerospf進(jìn)程號(hào)全局配置模式下進(jìn)入OSPF配置模式router-idA.B.C.D以IP地址的形式配置路由器的路由IDnetwork網(wǎng)絡(luò)地址通配符area區(qū)域號(hào)通告直連網(wǎng)絡(luò)及區(qū)域，通配符為網(wǎng)絡(luò)掩碼的反碼showipprotocols查看路由協(xié)議配置與統(tǒng)計(jì)信息showipospf查看OSPF進(jìn)程及區(qū)域細(xì)節(jié)的數(shù)據(jù)showipospfdatabase查看路由器OSPF數(shù)據(jù)庫(kù)信息showipospfinterface查看接口OSPF信息showipospfneighbor查看OSPF鄰居信息debugipospfevents調(diào)試OSPF事件常用配置命令單區(qū)域OSPF路由配置實(shí)驗(yàn)單區(qū)域OSPF應(yīng)用于網(wǎng)絡(luò)規(guī)模不大，只使用area0一個(gè)區(qū)域就可滿足需求的情況。（1）布置拓?fù)洌?個(gè)路由器連接了5個(gè)網(wǎng)段，全部屬于area0。單區(qū)域OSPF路由配置實(shí)驗(yàn)01配置路由器的OSPF路由，將全部路由器接口配置到area0。02驗(yàn)證連通性。03查看路由器的路由。04查看路由協(xié)議配置與統(tǒng)計(jì)信息05查看OSPF進(jìn)程及區(qū)域細(xì)節(jié)的數(shù)據(jù)06查看路由器OSPF數(shù)據(jù)庫(kù)信息，以R1為例。07查看接口OSPF信息08查看OSPF鄰居信息多區(qū)域OSPF路由配置實(shí)驗(yàn)多區(qū)域OSPF路由配置實(shí)驗(yàn)（1）布置拓?fù)洌?個(gè)路由器連接了5個(gè)網(wǎng)段，其中，/24屬于area0，/24和/24屬于area18，/24和/24屬于area36，多區(qū)域OSPF路由配置實(shí)驗(yàn)（2）配置路由器的OSPF路由，注意將路由器接口配置到對(duì)應(yīng)區(qū)域。（3）驗(yàn)證連通性。（4）查看路由器（5）查看路由協(xié)議配置與統(tǒng)計(jì)信息（6）查看OSPF進(jìn)程及區(qū)域細(xì)節(jié)的數(shù)據(jù)（7）查看路由器OSPF數(shù)據(jù)庫(kù)信息（8）查看接口OSPF信息（9）查看OSPF鄰居信息（10）調(diào)試OSPF事件，主要包括顯示發(fā)送、接受hello包、鄰居改變事件、DR選取、如何建立鄰接關(guān)系等。實(shí)驗(yàn)6：外部網(wǎng)關(guān)協(xié)議（BGP）實(shí)驗(yàn)實(shí)驗(yàn)?zāi)康模?）理解外部網(wǎng)關(guān)協(xié)議BGP的含義；（2）掌握外部網(wǎng)關(guān)協(xié)議BGP的配置方法?；A(chǔ)知識(shí)BGP邊界網(wǎng)關(guān)協(xié)議是一種路徑向量協(xié)議。作為外部網(wǎng)關(guān)協(xié)議，在不同自治系統(tǒng)（AS）之間選擇路由，力求尋找一條能夠到達(dá)目的網(wǎng)絡(luò)且比較好的路由，而不是尋找一條最佳路由。其有以下特點(diǎn)：（1）BGP分為eBGP（外部BGP）和iBGP（內(nèi)部BGP），兩個(gè)AS之間的發(fā)言人運(yùn)行eBGP，而在一個(gè)AS內(nèi)部則運(yùn)行iBGP，他們使用同樣的報(bào)文格式和屬性類型。eBGP發(fā)言人將獲得的外部BGP路由通過(guò)iBGP傳遞給AS內(nèi)部iBGP鄰居，再由其進(jìn)一步轉(zhuǎn)化為自己的路由表項(xiàng)目。（2）BGP鄰居間進(jìn)行通信是建立在TCP連接之上的。TCP連接是位于IP之上的一種一對(duì)一的通信，這意味著B(niǎo)GP的鄰居并非物理連接上的鄰居，而是可以經(jīng)過(guò)IP路由后到達(dá)的鄰居。（3）在BGP的世界中，是一系列的AS路徑和經(jīng)過(guò)這些AS所能到達(dá)的目的地，并通過(guò)路徑向量路由選擇協(xié)議選出認(rèn)為最合適的路由。命令格式含義routerbgpAS號(hào)啟動(dòng)該AS號(hào)的BGP路由進(jìn)程neighborA.B.C.Dremote-asAS號(hào)指定鄰居的數(shù)據(jù)更新源地址及AS號(hào)network網(wǎng)絡(luò)號(hào)mask子網(wǎng)掩碼發(fā)布網(wǎng)段信息showipbgp查看路由器的BGP表常用配置命令實(shí)驗(yàn)流程實(shí)驗(yàn)流程圖實(shí)驗(yàn)步驟（1）布置拓?fù)?，如圖4-26所示，拓?fù)渲泄灿腥齻€(gè)自治系統(tǒng)（AS1，AS2，AS3），其中AS1中R1和R2配置OSPF協(xié)議相連，其余路由器配置BGP協(xié)議相連，由于模擬器不支持iBGP，此處僅配置eBGP。為了更好的顯示效果，每臺(tái)路由器都配置了一個(gè)環(huán)回口實(shí)驗(yàn)步驟（2）配置路由器（3）查看路由器路由表（4）查看BGP表實(shí)驗(yàn)7：用以太網(wǎng)三層交換機(jī)

實(shí)現(xiàn)VLAN間路由配置實(shí)驗(yàn)?zāi)康模?）理解三層交換機(jī)中SVI的含義。（3）掌握利用三層交換機(jī)實(shí)現(xiàn)VLAN間的路由。（1）理解三層（第三層）交換機(jī)的功能?；A(chǔ)知識(shí)二層（第二層）交換機(jī)是利用MAC地址表進(jìn)行轉(zhuǎn)發(fā)操作的，而三層交換機(jī)是一個(gè)帶有路由功能的二層交換機(jī)，是二者的結(jié)合。這里的三層意思就是網(wǎng)絡(luò)層，其優(yōu)勢(shì)是既能實(shí)現(xiàn)三層的路由功能，又能進(jìn)行二層的高速轉(zhuǎn)發(fā)。三層交換技術(shù)的出現(xiàn)，解決了企業(yè)網(wǎng)劃分子網(wǎng)之后，子網(wǎng)之間必須依賴路由器進(jìn)行通信的問(wèn)題，多用于企業(yè)網(wǎng)內(nèi)部。當(dāng)目的IP與源IP不在同一個(gè)三層網(wǎng)段時(shí)，發(fā)送方會(huì)向網(wǎng)關(guān)請(qǐng)求ARP解析，這個(gè)網(wǎng)關(guān)往往是三層交換機(jī)里的一個(gè)地址，三層交換模塊會(huì)查找ARP緩存表，將不在同一個(gè)三層網(wǎng)段IP的MAC地址返回發(fā)送方，如果ARP緩存表沒(méi)有，則運(yùn)用其路由功能，找到下一跳的MAC地址，一方面將該地址保存，并將其發(fā)送給請(qǐng)求方，另一方面將該MAC地址發(fā)送到二層交換引擎的MAC交換表中。這樣，以后就可以進(jìn)行高速的二層轉(zhuǎn)發(fā)了。所以，三層交換機(jī)有時(shí)被描述為“一次路由，多次交換”。基礎(chǔ)知識(shí)在實(shí)際組網(wǎng)中，一個(gè)VLAN對(duì)應(yīng)一個(gè)三層的網(wǎng)段，三層交換機(jī)采用SVI（交換虛擬接口）的方式實(shí)現(xiàn)VLAN間互連。SVI是指交換機(jī)中的虛擬接口，對(duì)應(yīng)一個(gè)VLAN，并且配置IP地址，將其作為該VLAN對(duì)應(yīng)網(wǎng)段的網(wǎng)關(guān)，其作用類似于路由口。常用配置命令如表4-12所示。表4-12常用配置命令常用配置命令命令格式含義interfacevlan虛擬局域網(wǎng)號(hào)進(jìn)入SVI配置模式switchporttrunkencapsulationdot1q端口模式下用dot1q封裝該端口showarp查看交換機(jī)ARP緩存showmacaddress-table查看交換機(jī)交換表iprouting開(kāi)啟交換機(jī)路由功能實(shí)驗(yàn)流程實(shí)驗(yàn)流程實(shí)驗(yàn)步驟（1）布置拓?fù)洌W(wǎng)絡(luò)中共劃分為兩個(gè)三層網(wǎng)段，分別對(duì)應(yīng)兩個(gè)VLAN，這種情況下二層交換機(jī)是無(wú)法配通的，這里利用三層交換機(jī)使兩個(gè)網(wǎng)段互通。圖實(shí)驗(yàn)步驟（2）配置三層交換機(jī)MS0。（3）配置S0和S1兩個(gè)二層交換機(jī)。（4）查看三層交換機(jī)的路由表。（5）查看三層交換機(jī)的ARP緩存表。（6）查看三層交換機(jī)的二層交換表。為便于觀察，先將主機(jī)互相ping通，再來(lái)觀察ARP緩存。MS0#showarp

ProtocolAddressAge(min)HardwareAddrType Interface

Internet 210002.1764.1337 ARPA Vlan10

Internet 110003.E451.AD23ARPAVlan10

Internet54 -

000A.F38E.5601ARPA Vlan10

Internet 160060.3E6E.4261ARPA Vlan20

Internet 110060.3E25.72E7ARPA Vlan20

Internet54 -000A.F38E.5602 ARPA Vlan20可以看到，即便是不同的目的網(wǎng)絡(luò)，也可以查詢到其對(duì)應(yīng)的MAC地址，便于進(jìn)行二層封裝，達(dá)到一次路由，多次交換的效果。實(shí)驗(yàn)8：用路由器單臂路由

實(shí)現(xiàn)VLAN間通信實(shí)驗(yàn)?zāi)康模?）理解路由器單臂路由的含義。（2）掌握路由器單臂路由的配置方法?；A(chǔ)知識(shí)路由器包含的接口數(shù)量一般都比較少，有時(shí)為了拓展功能，會(huì)將某一個(gè)物理接口在邏輯上劃分為多個(gè)子接口，這些邏輯子接口不能被單獨(dú)地開(kāi)啟或關(guān)閉，也就是說(shuō)，當(dāng)物理接口被開(kāi)啟或關(guān)閉時(shí)，所有的該接口的子接口也隨之被開(kāi)啟或關(guān)閉。在實(shí)際應(yīng)用中，往往用這些子接口分別作為局域網(wǎng)中不同VLAN的網(wǎng)關(guān)，這樣就可以僅使用一個(gè)物理接口為局域網(wǎng)中不同的VLAN提供路由了。這樣做的好處是可以節(jié)約設(shè)備，降低組網(wǎng)成本。子接口的命名采用如下形式，比如物理接口“Fa0/1”，其子接口命名為“Fa0/1.1”“Fa0/1.2”“Fa0/1.3”等。常用配置命令如下所示：Router(config-subif)#encapsulationdot1q20//給路由器子接口封裝dot1q協(xié)議，并將其劃入VLAN20實(shí)驗(yàn)流程實(shí)驗(yàn)流程圖實(shí)驗(yàn)步驟（1）布置拓?fù)洌鐖D4-30所示，網(wǎng)絡(luò)中共劃分為3個(gè)三層網(wǎng)段，分別對(duì)應(yīng)3個(gè)VLAN，都連接在同一個(gè)二層交換機(jī)上，這里利用路由器單臂路由使3個(gè)網(wǎng)段互通。實(shí)驗(yàn)步驟配置交換機(jī)。1配置路由器。2驗(yàn)證主機(jī)路由是否可達(dá)。3查看路由器的路由表。4實(shí)驗(yàn)9：PPP協(xié)議配置（點(diǎn)對(duì)點(diǎn)信道）實(shí)驗(yàn)?zāi)康?1（1）理解PPP協(xié)議。02（2）掌握不帶認(rèn)證的PPP協(xié)議配置。03（3）掌握PAP、CHAP認(rèn)證的PPP協(xié)議配置。基礎(chǔ)知識(shí)點(diǎn)對(duì)點(diǎn)協(xié)議（PointtoPointProtocol，PPP）為在點(diǎn)對(duì)點(diǎn)連接上傳輸多協(xié)議數(shù)據(jù)包提供了一個(gè)標(biāo)準(zhǔn)方法，是一種點(diǎn)到點(diǎn)的串行通信協(xié)議。這種鏈路提供全雙工操作，并按照順序傳遞數(shù)據(jù)包。PPP協(xié)議提供認(rèn)證的功能，有兩種方式，一種是PAP，一種是CHAP。相對(duì)來(lái)說(shuō)，PAP的認(rèn)證方式安全性沒(méi)有CHAP高。PAP在傳輸密碼（password）時(shí)是明文的，而CHAP不傳輸密碼，取代密碼的是Hash（哈希值）。PAP認(rèn)證是通過(guò)兩次握手實(shí)現(xiàn)的，而CHAP則是通過(guò)3次握手實(shí)現(xiàn)的。基礎(chǔ)知識(shí)常用配置命令命令格式含義encapsulationPPP{HDLC}封裝指定協(xié)議pppauthenticationchap{ppp}指定PPP用戶認(rèn)證方式username對(duì)方路由器名稱password對(duì)方路由器密碼在本路由器上記錄對(duì)方路由器的名字和密碼ppppapsent-usernamerouter1passwordpass1設(shè)置向?qū)Ψ桨l(fā)送的PAP認(rèn)證信息實(shí)驗(yàn)流程實(shí)驗(yàn)流程實(shí)驗(yàn)步驟（1）拓?fù)淙鐖D，兩路由器之間用串口相連，若無(wú)串口可先關(guān)機(jī)，添加WIC-1T串口模塊，再開(kāi)機(jī)。兩個(gè)串口用PPP協(xié)議封裝，做適當(dāng)配置使其互通。實(shí)驗(yàn)步驟（2）配置路由。經(jīng)過(guò)路由配置后，此時(shí)兩臺(tái)PC是可以ping通的，但兩臺(tái)路由器之間的串行鏈路并沒(méi)有封裝PPP協(xié)議，這是因?yàn)镃isco路由器串行接口默認(rèn)封裝了HDLC協(xié)議的原因。（3）封裝不帶認(rèn)證的PPP協(xié)議。（4）封裝帶PAP認(rèn)證的PPP協(xié)議。（5）封裝帶CHAP認(rèn)證的PPP協(xié)議。注意串口雙方的密碼要一致，而用戶名則更習(xí)慣于使用對(duì)方的主機(jī)名（hostname定義的名稱）。實(shí)驗(yàn)10：訪問(wèn)控制列表（ACL）實(shí)驗(yàn)?zāi)康模?）理解訪問(wèn)控制列表的含義。（2）初步掌握訪問(wèn)控制列表的配置和應(yīng)用。訪問(wèn)控制列表基礎(chǔ)知識(shí)訪問(wèn)控制列表（AccessControlList，ACL），也稱接入控制列表，俗稱防火墻，在有的文檔中還稱為包過(guò)濾。ACL通過(guò)定義一些規(guī)則對(duì)網(wǎng)絡(luò)設(shè)備接口上的數(shù)據(jù)包進(jìn)行控制。每個(gè)ACL可以包含多條規(guī)則，這些規(guī)則被組織在一起成為一個(gè)整體。對(duì)ACL的命名有兩種方式：編號(hào)ACL和命名ACL，這些編號(hào)或命名是唯一的，在設(shè)備配置中將通過(guò)引用它們來(lái)達(dá)到控制訪問(wèn)的目的。ACL分為兩種訪問(wèn)列表：標(biāo)準(zhǔn)IP訪問(wèn)列表和擴(kuò)展IP訪問(wèn)列表，標(biāo)準(zhǔn)IP訪問(wèn)列表編號(hào)范圍為1~99、1300~1999；擴(kuò)展IP訪問(wèn)列表為100~199、2000~2699。標(biāo)準(zhǔn)IP訪問(wèn)控制列表只對(duì)數(shù)據(jù)包中的源IP地址進(jìn)行檢查，定義規(guī)則，控制來(lái)自某個(gè)IP地址或IP網(wǎng)段的數(shù)據(jù)包。訪問(wèn)控制列表基礎(chǔ)知識(shí)擴(kuò)展IP訪問(wèn)列表可以根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來(lái)定義規(guī)則，進(jìn)行數(shù)據(jù)包的過(guò)濾。ACL不能過(guò)濾路由器自己生成的流量，一般來(lái)說(shuō)，對(duì)于標(biāo)準(zhǔn)ACL，建議將ACL盡可能靠近目的主機(jī)；對(duì)于擴(kuò)展ACL，應(yīng)盡可能靠近源主機(jī)。不管是標(biāo)準(zhǔn)ACL還是擴(kuò)展ACL，需要注意以下規(guī)則。（1）在表達(dá)源IP和目的IP時(shí)，經(jīng)常使用host和any。any允許所有IP地址作為源地址。如下面兩行是等價(jià)的：Access-list1permit55Access-list1permitany訪問(wèn)控制列表基礎(chǔ)知識(shí)host表達(dá)某一主機(jī)IP，如下面兩行是等價(jià)的：Access-list1permitAccess-list1permithost（2）對(duì)于有多條規(guī)則的ACL，這些規(guī)則的順序很重要，ACL嚴(yán)格按生效的順序進(jìn)行匹配?？梢允褂胹howrunning-config或showaccess-list命令查看生效的ACL規(guī)則順序。如果分組與某條規(guī)則相匹配，則根據(jù)規(guī)則中的關(guān)鍵字permit或deny進(jìn)行操作，所有的后續(xù)規(guī)則均被忽略。也就是說(shuō)采用的是首先匹配的算法。路由器從開(kāi)始往下檢查列表，一次一條規(guī)則，直至發(fā)現(xiàn)匹配項(xiàng)為止。訪問(wèn)控制列表基礎(chǔ)知識(shí)因此，更為具體的規(guī)則應(yīng)始終排列在較不具體的規(guī)則的前面。例如，以下ACL準(zhǔn)許除發(fā)自子網(wǎng)/16之外的所有tcp數(shù)據(jù)報(bào)。zxr10(config)#access-list101denytcp55anyzxr10(config)#access-list101permittcpanyany當(dāng)tcp分組從子網(wǎng)/16中發(fā)出時(shí)，它發(fā)現(xiàn)與第一項(xiàng)規(guī)則相匹配，從而使得該分組被丟棄。發(fā)自其他子網(wǎng)的tcp分組不與第一項(xiàng)規(guī)則相匹配，而與第二項(xiàng)規(guī)則匹配，由此這些分組得以通過(guò)。訪問(wèn)控制列表基礎(chǔ)知識(shí)（3）每個(gè)ACL的最后，系統(tǒng)自動(dòng)附加一條隱式deny規(guī)則，這條規(guī)則拒絕所有數(shù)據(jù)報(bào)。對(duì)于不與用戶指定的任何規(guī)則相匹配的分組，隱式deny規(guī)則起到了截流的作用，所有分組均與該規(guī)則相匹配。配置ACL需要實(shí)施如下步驟：（1）創(chuàng)建ACL。（2）在接口上啟用ACL。接口既可以是物理接口，也可以是邏輯接口，在應(yīng)用時(shí)，還需要指出是出站的方向還是入站的方向。入站指從外面進(jìn)入接口時(shí)檢查，出站則相反。命令格式含義access-listACL列表號(hào)deny{permit}source-ipwildcard-mask在全局配置模式下定義ACL。其中，deny{permit}為拒絕{允許}，source-ipwildcard-mask分別為源IP地址和通配符掩碼access-listaccess-list-numberdeny{permit}protocol{protocol-keyword}source-ipwildcard-maskdestination-ipwildcard-mask{other}在全局配置模式下定義擴(kuò)展ACL。其中，access-list-number為ACL列表號(hào)，deny{permit}為拒絕{允許}，source-ipwildcard-mask分別為源IP地址和通配符掩碼，protocol為協(xié)議，destination-ip和wildcard-mask為目的IP和通配符，other項(xiàng)為一些其他的可選參數(shù)，如eqwww或eq80，表示與該協(xié)議或其占用的端口號(hào)匹配ipaccess-groupaccess-list-numberout{in}在接口配置模式下，將ACL應(yīng)用到該接口上。out表示數(shù)據(jù)包從該端口出去時(shí)進(jìn)行檢查，in表示數(shù)據(jù)包從該端口進(jìn)來(lái)時(shí)進(jìn)行檢查常用配置命令實(shí)驗(yàn)流程標(biāo)準(zhǔn)ACL實(shí)驗(yàn)（1）布置拓?fù)?。Company是公司出口路由器，對(duì)內(nèi)用單臂路由連接了3個(gè)子網(wǎng)，其中VLAN30里有一臺(tái)公司內(nèi)部服務(wù)器，只允許公司內(nèi)部訪問(wèn)。VLAN10是內(nèi)部員工子網(wǎng)，由于工作需要，不允許訪問(wèn)外部網(wǎng)絡(luò)。VLAN20是管理人員子網(wǎng)，允許訪問(wèn)外網(wǎng)。這里暫不考慮公有地址和私有地址的差別。。標(biāo)準(zhǔn)ACL實(shí)驗(yàn)（2）配置路由。（3）配置ACL并驗(yàn)證效果。為滿足要求，此處設(shè)計(jì)兩個(gè)ACL，分別應(yīng)用在兩個(gè)端口上。路由器Company：Company(config)#access-list1permit55Company(config)#access-list1permit55//創(chuàng)建access-list1，允許兩個(gè)子網(wǎng)通過(guò)，但規(guī)則最后自動(dòng)附加一條隱式deny規(guī)則，這條規(guī)則拒絕所有數(shù)據(jù)報(bào)。也就是說(shuō)，只允許這兩個(gè)子網(wǎng)訪問(wèn)服務(wù)器Company(config)#access-list2permit55Company(config)#intf0/0.3Company(config-subif)#ipaccess-group1out//將access-list1應(yīng)用在該接口，出方向檢查Company(config-subif)#exitCompany(config)#intf1/0標(biāo)準(zhǔn)ACL實(shí)驗(yàn)Company(config-if)#ipaccess-group2out//將access-list2應(yīng)用在該接口，出時(shí)檢查。員工子網(wǎng)VLAN10將匹配后面的隱式deny規(guī)則，從而無(wú)法從該端口出去在沒(méi)有應(yīng)用ACL之前，員工子網(wǎng)可以訪問(wèn)外面的IP。應(yīng)用ACL之后，顯示目的主機(jī)不可達(dá)信息。從外面訪問(wèn)公司內(nèi)部服務(wù)器，在ACL的作用下，無(wú)法ping通。擴(kuò)展ACL實(shí)驗(yàn)步驟（1）布置拓?fù)?，?shí)驗(yàn)允許管理人員子網(wǎng)（VLAN20）不能訪問(wèn)外部Server1的WWW站點(diǎn)，但可以訪問(wèn)其他WWW站點(diǎn)。員工子網(wǎng)（VLAN10）不可以訪問(wèn)外面的網(wǎng)絡(luò)。擴(kuò)展ACL實(shí)驗(yàn)步驟Company(config)#access-list101denytcp55hosteqwwwCompany(config)#access-list101permittcpanyanyeqwwwCompany(config)#access-list101denyip55anyCompany(config)#access-list101permitipanyanyCompany(config)#intf1/0Company(config-if)#ipaccess-group101out擴(kuò)展ACL實(shí)驗(yàn)步驟管理人員無(wú)法訪問(wèn)Server1上的WWW站點(diǎn)，與ACL101（access-list101的簡(jiǎn)稱）第1條規(guī)則匹配，被否定。管理人員可以訪問(wèn)Server2上的WWW站點(diǎn)，與ACL101第2條規(guī)則匹配，被通過(guò)。管理人員盡管無(wú)法訪問(wèn)Server1上的WWW站點(diǎn)，但卻可以ping通Server1，這是因?yàn)槠ヅ淞说?條規(guī)則的結(jié)果。員工區(qū)pingServer2不通，但可以訪問(wèn)內(nèi)部，因?yàn)锳CL應(yīng)用在Compony的Fa1/0接口上。實(shí)驗(yàn)11：網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）實(shí)驗(yàn)實(shí)驗(yàn)?zāi)康睦斫獾刂忿D(zhuǎn)換NAT的含義。01理解地址轉(zhuǎn)換NAT的3種轉(zhuǎn)換方式。02初步掌握地址轉(zhuǎn)換NAT的配置和應(yīng)用。03網(wǎng)絡(luò)地址轉(zhuǎn)換基礎(chǔ)知識(shí)目前，很多局域網(wǎng)內(nèi)部使用的都是專用地址。而互聯(lián)網(wǎng)上的路由器對(duì)于目的地址為專用地址的IP數(shù)據(jù)報(bào)一律不進(jìn)行轉(zhuǎn)發(fā)，這種情況下，局域網(wǎng)連通互聯(lián)網(wǎng)主要是采用了NAT技術(shù)。NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是1994年提出的，主要用來(lái)解決專用地址和全球地址的轉(zhuǎn)換問(wèn)題。局域網(wǎng)內(nèi)部的通信只需要專用地址就可以，當(dāng)訪問(wèn)因特網(wǎng)時(shí)，就可以轉(zhuǎn)換成一個(gè)全球地址（公網(wǎng)地址）去訪問(wèn)，這種方法需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝NAT軟件，裝有NAT軟件的路由器叫做NAT路由器，它至少有一個(gè)有效的外部全球IP地址。使用NAT技術(shù)有以下一些優(yōu)點(diǎn)：網(wǎng)絡(luò)地址轉(zhuǎn)換基礎(chǔ)知識(shí)（1）節(jié)省全球IP地址。NAT可以讓局域網(wǎng)內(nèi)部的使用專用地址的主機(jī)共用少量的公網(wǎng)IP來(lái)訪問(wèn)互聯(lián)網(wǎng)，而不需要為每一臺(tái)主機(jī)都申請(qǐng)一個(gè)IP，這在一定程度上節(jié)約了公網(wǎng)地址。（2）由于在訪問(wèn)互聯(lián)網(wǎng)時(shí)被轉(zhuǎn)換為一個(gè)公網(wǎng)地址，這就對(duì)外部網(wǎng)絡(luò)屏蔽了內(nèi)部的網(wǎng)絡(luò)拓?fù)?，提高了安全性。NAT包括3種技術(shù)類型：（1）靜態(tài)NAT是把內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)地址永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法地址。如果內(nèi)部網(wǎng)絡(luò)有對(duì)外提供服務(wù)的需求，如WWW服務(wù)器、FTP服務(wù)器等，那么這些服務(wù)器的IP地址應(yīng)該采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。靜態(tài)地址轉(zhuǎn)換不能節(jié)省IP地址。網(wǎng)絡(luò)地址轉(zhuǎn)換基礎(chǔ)知識(shí)（2）動(dòng)態(tài)NAT是采用把外部網(wǎng)絡(luò)中的一系列公網(wǎng)地址使用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)的。轉(zhuǎn)換時(shí)，從內(nèi)部合法地址范圍中動(dòng)態(tài)地選擇一個(gè)未使用的地址與內(nèi)部專用地址進(jìn)行轉(zhuǎn)換。當(dāng)然，當(dāng)內(nèi)部合法地址使用完畢時(shí)，后續(xù)的NAT申請(qǐng)將失敗。（