MP技术支持培训-路由器应用协议

1、技术服务部：技术服务部：手手 机：机：Email：动态主机配置协议动态主机配置协议DHCP网络地址转换网络地址转换NAT多机冗余热备协议多机冗余热备协议VRRP与与VBRPDHCP协议简介协议简介 当网络规模达到一定程度，它就开始变得难以管理。特别在手工分发当网络规模达到一定程度，它就开始变得难以管理。特别在手工分发IP地址的网络环境中地址的网络环境中为了减轻管理员跟踪记录手工分配为了减轻管理员跟踪记录手工分配I P地址的负担。地址的负担。 IETF为此设计了动态主机配置协议（为此设计了动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）。）。

2、DHCP采用采用客户端客户端/服务器模式服务器模式，从一个地址池中把，从一个地址池中把I P地址分配给请求地址分配给请求主机，它提供一种机制，允许计算机不必手工参与即可加入新的网络和获主机，它提供一种机制，允许计算机不必手工参与即可加入新的网络和获取取IP地址，这个概念术语称作即插即用网络（地址，这个概念术语称作即插即用网络（ plug-and-play networking）。）。 DHCP也能提供其他信息，如网关也能提供其他信息，如网关IP、DNS服务器、缺省域和网络范服务器、缺省域和网络范围内围内HOSTS文件的位置。文件的位置。/24 租用租用DHCP消息格式消息

3、格式DHCPDISCOVER：客户端用于地址申请的广播报文。DHCPOFFER：服务器端对客户端DHCPDISCOVER报文的回复，包含了所提供的IP地址和网络配置信息。DHCPREQUEST：在不同的状态下，用途不同：(a) 在请求状态时，请求服务器同意开始使用所提供的IP地址。(b) 在更新状态，请求提供IP地址的服务器更新IP地址租用时间。(c) 在重绑定状态，广播请求子网中的服务器，是否允许继续使用当前的IP地址。DHCPACK：服务器端对客户端请求的同意报文。DHCPNAK：服务器端对客户端请求的否定报文。客户端必须重新开始申请。DHCPRELEASE：客户端主动终止IP地址的使用，

4、用于释放IP地址报文。DHCPDECLINE：由于地址已经被使用，客户端对服务器提供的地址表示拒绝。DHCPINFORM：客户端要求服务器提供最新的网络配置信息。DHCP的报文类型的报文类型DHCP简单工作流程简单工作流程HostAMaipu DHCP ServerDHCPDISCOVER(broadcast)DHCPOFFER(broadcast)DHCPREQUEST(broadcast)DHCPACK(broadcast)1） 客户机通过客户机通过DHCPDISCOVER广播提出请求。也可直接请求租用的永久地址。广播提出请求。也可直接请求租用的永久地址。2） 服务器收到请求，返回附有一个

5、可用地址的服务器收到请求，返回附有一个可用地址的DHCPOFFER报文。报文。3） 客户机若收到多个客户机若收到多个DHCPOFFER报文，选择第一个的地址或其所请求的那个。报文，选择第一个的地址或其所请求的那个。4） 客户机广播含有服务器标识的客户机广播含有服务器标识的DHCPREQUEST报文并等待。报文并等待。5） 服务器检查收到的服务器检查收到的DHCPREQUEST报文，当其中的标识与服务器相符，发回报文，当其中的标识与服务器相符，发回DHCPACK报文，如果所请求的报文，如果所请求的I P已被分配或者租期已满，发回已被分配或者租期已满，发回DHCPNAK报文。报文。6） 如果客户机

6、收到如果客户机收到DHCPACK报文，即开始使用报文，即开始使用IP地址。如它收到地址。如它收到DHCPNAK，会重新开始整个过程。假如会重新开始整个过程。假如I P有问题，客户机会发送一个有问题，客户机会发送一个DHCPDECLINE报文给报文给服务器并重新开始。服务器并重新开始。DHCP客户端变迁客户端变迁租用更新定时器租用更新定时器重绑定定时器重绑定定时器租用到期定时器租用到期定时器定时器重置为定时器重置为0DHCP常用配置命令常用配置命令命令命令描述描述配置模式配置模式ip dhcp pool*配置DHCP地址池configip dhcp excluded-address*排除DHCP

7、地址池中部分地址configip dhcp arp-proxy-ipaddr*配置本网关所代理的远程客户的地址configip dhcp-server*配置DHCP中继地址confignetwork配置DHCP地址范围网络段dhcp-configrange*配置DHCP地址范围IP段dhcp-confighost配置DHCP地址范围主机dhcp-configip address dhcp*配置DHCP客户端config-if-default-router*配置分配给客户端的默认路由dhcp-configdns-server*配置分配给客户端的DNS服务器地址dhcp-configlease配置

8、分配给客户的IP地址的租期dhcp-configshow running-config ip dhcp查看DHCP的配置信息enableDHCP配置范例（配置范例（1）Swtichrouter B（DHCP Client）router A（DHCP Server）PC1PC2F0F0：说明：说明：maipu路由器路由器routerA的的f0口通过一台二层交换机与两台口通过一台二层交换机与两台PC以及以及routerB相连，相连，routerA作为作为DHCP服务器端，两台服务器端，两台PC和和routerB作为客户端。其中作为客户端。其中routerA的的f0口口ip地址为地

9、址为。DHCP配置范例（配置范例（2）命令命令描述描述routerA(config)#ip dhcp pool maipu定义一个DHCP地址池routerA(config)# ip dhcp excluded-address 55不能被分配routerA(config)#ip dhcp pool maipu 定义一个地址池routerA(dhcp-config)#range 1 0 定义一个ip地址段routerA(dhcp-config)#dns-server 61.139

10、.2.2指定client 机的dns地址routerA(dhcp-config)#default-router 指定client 机默认网关routerA(dhcp-config)#lease 7 10 30分配地址租借期为7天10小时30分钟 router A配置配置 router B配置配置 命令命令描述描述routerB(config-if-fastethernet0)#ip address dhcp通过dhcp服务器分配地址 中继代理中继代理能中继服务器和客户机之间的交互报文。这样可以使服务能中继服务器和客户机之间的交互报文。这样可以使服务器能处理不在该服务器所在子网

11、的器能处理不在该服务器所在子网的DHCP报文。这意味着不必为每一个报文。这意味着不必为每一个子网设置一个服务器，为每一个子网设置一个服务器开销很大，子网设置一个服务器，为每一个子网设置一个服务器开销很大， 中继代理工作原理：中继代理工作原理：1）DHCP客户机广播一个消息。客户机广播一个消息。2）中继代理把收到报文的接口对应的）中继代理把收到报文的接口对应的IP地址放到消息的地址放到消息的giaddr（中继（中继IP地址）域中，然后单播至服务器。地址）域中，然后单播至服务器。3）服务器给中继代理返回应答）服务器给中继代理返回应答(通过单播通过单播)。应答分配的。应答分配的IP地址与地址与gia

12、ddr域地址相同。域地址相同。4）中继代理会从）中继代理会从giaddr域中域中I P地址对应的接口中广播应答。地址对应的接口中广播应答。DHCP的中继代理的中继代理/24 租用租用DHCP消息消息Swtichrouter B（DHCP Relay）router A（DHCP Server）PC1PC2F0：E0：F0：说明：说明：如图如图20-2所示，所示，router A是一个是一个dhcp的服务器，的服务器，router B是一个是一个dhcp中继，中继，router A的的f0口地址为口地址为129.2

13、55.1.1，和，和router B的的f0为为 ，e0的的ip地址地址为为，所以，所以router A的地址池，是一个跨网段的为的地址池，是一个跨网段的为pc1和和pc2分配地分配地址。址。DHCP中继代理配置范例（中继代理配置范例（1） router A配置配置 命令命令描述描述routerA(config)#ip dhcp pool maipu定义一个DHCP地址池routerA(config)# ip dhcp excluded-address 55不能被分配routerA(config)#ip dhcp po

14、ol maipu 定义一个地址池routerA(dhcp-config)#range 1 0 定义一个ip地址段routerA(dhcp-config)#dns-server 指定client 机的dns地址routerA(dhcp-config)#default-router 指定client 机默认网关routerA(dhcp-config)#lease 7 10 30分配地址租借期为7天10小时30分钟 router B配置配置 命令命令描述描述router B(config)# ip

15、dhcp-server 通过dhcp服务器分配地址DHCP中继代理配置范例（中继代理配置范例（2）DHCP监控命令监控命令命令命令描述描述show ip dhcp binding在DHCP服务器上查看当前已分配到IP地址的主机列表show ip dhcp pool-statistic查看当前DHCP地址池统计信息。show ip dhcp arp-proxy-ipaddr本命令用于DHCP over IPsec，显示本网关所能代理的远程客户地址信息。show running-config ip dhcp查看DHCP的配置信息show ip dhcp lease显示当前DH

16、CP分配的租期信息show ip dhcp ping显示DHCP配置ping探测的参数show ip dhcp pool显示配置的DHCP地址池信息show ip dhcp excluded-pool显示配置的DHCP不分配地址池信息命令命令描述描述clear ip dhcp arp-proxy-ipaddr address | all用于DHCP over IPsec，清除本网关所能代理的远程客户地址信息。clear ip dhcp binding清除DHCP服务器绑定信息(no) debug ip dhcp packet | lease | events | relay打开关闭DHCP调试

17、开关：packet：显示DHCP交换报文；lease：显示DHCP租用期的信息；events：显示DHCP交换过程；relay：显示DHCP代理的信息；DHCP调试命令调试命令动态主机配置协议动态主机配置协议DHCP网络地址转换网络地址转换NAT多机冗余热备协议多机冗余热备协议VRRP与与VBRP网络地址转换（网络地址转换（NAT）主要用来完成局部地址与全局地址之间的转主要用来完成局部地址与全局地址之间的转换。换。NAT解决了解决了Internet地址耗竭问题，企业内部网只需少量的全地址耗竭问题，企业内部网只需少量的全局地址就可达到与局地址就可达到与INTERNET的互连。的互连。 NAT使一

18、个组织在多个域内重用注册过的使一个组织在多个域内重用注册过的IP地址，只要离开该域以地址，只要离开该域以前将那些重用地址转换为全局的唯一注册前将那些重用地址转换为全局的唯一注册IP地址即可。地址即可。 NAT的概念的概念内部本地地址内部本地地址：分配给内部网络中的主机的：分配给内部网络中的主机的IP地址。这个地址可能地址。这个地址可能不是由网络信息中心（不是由网络信息中心（NIC）或服务提供商（）或服务提供商（ISP）分配的合法的）分配的合法的IP地址。地址。内部全局地址内部全局地址：合法的：合法的IP地址（由地址（由NIC或或ISP分配的），用于向外部分配的），用于向外部世界表示一个或多个内

19、部本地世界表示一个或多个内部本地IP地址。地址。外部本地地址外部本地地址：分配给外部网络中的主机的：分配给外部网络中的主机的IP地址。这个地址可能地址。这个地址可能不是由网络信息中心（不是由网络信息中心（NIC）或服务提供商（）或服务提供商（ISP）分配的合法的）分配的合法的IP地址。地址。外部全局地址外部全局地址：合法的外部：合法的外部IP地址（由地址（由NIC或或ISP分配的），分配的），internet上实际存在的地址。上实际存在的地址。静态转换静态转换：在内部本地地址与内部全局地址之间建立一个一对一的：在内部本地地址与内部全局地址之间建立一个一对一的映射。当一个固定的地址必须从外界访问

20、一个内部主机时静态转换映射。当一个固定的地址必须从外界访问一个内部主机时静态转换是有用的。是有用的。动态转换动态转换：在一个内部本地地址与一个全局地址池之间建立一个映：在一个内部本地地址与一个全局地址池之间建立一个映射。射。 NAT的相关术语的相关术语在以下情况下可以使用在以下情况下可以使用NAT： 你想接入你想接入Internet，但你的主机并不都具有全球唯一的，但你的主机并不都具有全球唯一的IP地址。地址。 通常情况下，内部本地地址通常采用通常情况下，内部本地地址通常采用127、192等保留网段作为内部本地地等保留网段作为内部本地地址。而这些地址相对外网来说不可达。为了要使得内部网络访问外

21、部的某些地址。而这些地址相对外网来说不可达。为了要使得内部网络访问外部的某些地址，就需要使用址，就需要使用内部源内部源NAT地址转换地址转换。为了节省内部全局地址池中的地址，可。为了节省内部全局地址池中的地址，可以以重载内部全局地址重载内部全局地址，允许路由器将多个本地地址映像为一个全局地址。，允许路由器将多个本地地址映像为一个全局地址。 你想进行基本的你想进行基本的TCP信息流负载分配。信息流负载分配。 如果内部网络中有多台提供同样服务的主机（如如果内部网络中有多台提供同样服务的主机（如Web Server），它们拥有连续的几个内部），它们拥有连续的几个内部IP地址，通地址，通过配置过配置内

22、部目的地址内部目的地址NAT转换转换可以实现简单的可以实现简单的TCP负负载分担，而通过一个或几个全局载分担，而通过一个或几个全局IP地址对外提供服务。地址对外提供服务。 你希望只有部分外网段才能访问内网服务器你希望只有部分外网段才能访问内网服务器 可以在与外界通信时，使用可以在与外界通信时，使用外部源外部源NAT地址转换地址转换，把外部全局把外部全局IP地址转换成外部本地地址转换成外部本地IP地址。地址。NAT的分类应用的分类应用命令命令描述描述配置模式配置模式ip nat frequency timeoutNAT的老化时间配置 configip nat pool poolname star

23、t-IP end-IP netmask| prefix-length netmask type rotary*NAT的地址池配置configip nat support ftp|mms|tftpNAT支持的上层特殊协议（默认支持FTP,TFTP）configip nat redirect-enableNAT支持UDP报文的重定向（用于腾讯QQ）configip nat translation dns-timeout | finrst-timeout | icmperr-timeout | icmp-max-entries | icmp-timeout | max-hash-size | max

24、-proxy-entries | port-timeout| syn-timeout | tcp-timeout| timeout| udp-timeout改变NAT的转换参数设置configip nat inside source| destination list listname pool poolname overload vrf vrfname*NAT动态内部转换规则配置（overload只用于source方式）configNAT常用配置命令（常用配置命令（1）命令命令描述描述配置模式配置模式ip nat inside source static netmask local-IP g

25、lobal-IP netmask vrf vrfname*NAT静态内部转换地址映射规则配置configip nat inside source static tcp|udp local-IP local-port global-IP global-port vrf vrfnameNAT静态内部转换端口映射规则配置configip nat outside source list listname pool poolname vrf vrfname*NAT动态外部转换规则配置configip nat outside source static netmask global-IP local-IP

26、 netmask vrf vrfname*NAT静态外部转换地址映射规则配置configip nat outside source static tcp|udp global-IP global-port local-IP local-port vrf vrfnameNAT静态外部转换端口映射规则配置configip nat inside|outsize*指定NAT的外部接口和内部接口config-if-xxNAT常用配置命令（常用配置命令（2）静态转换内部源地址（静态转换内部源地址（1） 在与外界通信时，使用转换内部源地址把你自己的在与外界通信时，使用转换内部源地址把你自己的IP地址转地址转

27、换成全局唯一的换成全局唯一的IP地址。可以选择配置地址。可以选择配置静态静态或或动态转换动态转换。 在本例中，建立在本例中，建立到到静态转换，然后将静态转换，然后将以太接口以太接口f0配置为内部接口，串口配置为内部接口，串口s0/0配置为外部接口。配置为外部接口。 静态转换内部源地址（静态转换内部源地址（2）命令命令描述描述router(config)#ip nat inside source static 建立到静态转换router(config)#inte

28、rface f0 指定接口f0router(config-if-fastethernet0)#ip nat inside 标记为与内部连接的接口router(config-if-fastethernet0)#exitrouter(config)#interface s0/0 指定接口s0/0router(config-if-serial0/0)#ip nat outside 标记为与外部连接的接口 router 配置配置 命令命令描述描述router(config)#ip nat inside source static network 255.

29、255.255.0建立网段到网段的静态转换如果分配的外部地址足够多，也可将内部整个网段映射到外部网段上。如果分配的外部地址足够多，也可将内部整个网段映射到外部网段上。 动态转换内部源地址（动态转换内部源地址（1）动态转换内部源地址（动态转换内部源地址（2）命令命令描述描述router(config)#ip nat pool pl-1 0 netmask 建立一个名为pl-l的全局地址池，这个池包括20个全局地址router(config)#access-list 1 permi

30、t 55建立访问列表1允许 55网段地址被转换router(config)#ip nat inside source list 1 pool pl-1 列表1与pool-1进行地址转换router(config)#interface f0 指定f0接口router(config-if-fastethernet0)#ip nat inside 标记为与内部连接的接口router(config)#interface s0/0 指定s0/0接口router(config-if-serial0/0)#ip nat outside

31、 标记为与外部连接的接口 router 配置配置 注意：注意：访问列表必须只允许那些将被转换的地址。一个允许太多地址的访问列访问列表必须只允许那些将被转换的地址。一个允许太多地址的访问列表会导致不可预期的结果。表会导致不可预期的结果。重载一个内部全局地址（重载一个内部全局地址（1）为了节省内部全局地址池中的地址，可以允许路由器将多个本地地址映像为一为了节省内部全局地址池中的地址，可以允许路由器将多个本地地址映像为一个全局地址。当多个本地地址映像到一个全局地址时，则用每个内部主机的个全局地址。当多个本地地址映像到一个全局地址时，则用每个内部主机的TCP或或UDP端口号端口号来区分这些本地地址。来

32、区分这些本地地址。超载一个内部全局地址（超载一个内部全局地址（2）命令命令描述描述router(config)# ip nat pool pl-2 netmask 建立一个名为pl-2的全局地址池，这个池包括 到范围的5个全局地址router(config)# access-list 1 permit 55访问列表1允许内部网上的所有主机进行地址转换router(config)# ip nat inside source list 1 po

33、ol pl-2 overload指定访问列表1和地址池pl-2建立动态源转换router(config)# interface f0 指定接口f0router(config-if-fastethernet0)# ip nat inside标志为内部接口router(config-if-fastethernet0)# exitrouter(config)# interface s0/0 指定接口s0/0 router(config-if-serial0/0)# ip nat outside 标志为外部接口 router 配置配置 转换内部目的地址（转换内部目的地址（1）如果内部网络中有多台提供同

34、样服务的主机（如多台如果内部网络中有多台提供同样服务的主机（如多台Web Server，它们拥有连，它们拥有连续的几个内部续的几个内部IP地址），通过配置内部目的地址的地址），通过配置内部目的地址的NAT转换可以实现简单的转换可以实现简单的TCP负载分担负载分担，而通过一个或几个全局，而通过一个或几个全局IP地址对外提供服务。地址对外提供服务。命令命令描述描述router(config)# ip nat pool pl-de netmask type rotary建立一个名为pl-de的全局地址池，这个池包括 192.

35、168.8.3 到范围的2个内部地址router (config)# access-list 1001 permit ip any host 访问列表1001允许的目的地址进行地址转换router (config)# ip nat inside destination list 1001 pool pl-de指定访问列表1和地址池pl-2建立动态源转换router (config)# interface f0 指定接口f0router (config-if- fastethernet0)# ip nat inside标志为内部接

36、口router (config-if- fastethernet1)# exitrouter (config)# interface s0/0 指定接口s0/0 router (config-if-serial0/0)# ip nat outside 标志为外部接口 转换内部目的地址（转换内部目的地址（2） 注意：注意：1、访问列表必须只允许那些将被转换的地址；、访问列表必须只允许那些将被转换的地址；2、如果内部主机只有一个就不再需要进行、如果内部主机只有一个就不再需要进行TCP负载分担，不需要使用此配置；负载分担，不需要使用此配置； router 配置配置 静态转换外部源地址（静态转换外部源

37、地址（1）在与外界通信时，使用转换外部原地址把外部全局在与外界通信时，使用转换外部原地址把外部全局IP地址转换成外部本地地址转换成外部本地IP地址。可以配置静态或动态转换。地址。可以配置静态或动态转换。静态转换外部源地址（静态转换外部源地址（2） router 配置配置 命令命令描述描述router(config)#ip nat outside source static network 建立网段到网段的静态转换 如果分配的地址足够多，也可以同时将外部整个网段映射到内部网段上。如果分配的地址

38、足够多，也可以同时将外部整个网段映射到内部网段上。 命令命令描述描述router (config)#ip nat outside source static 0 0建立0到0的静态转换router (config)#interface g0指定接口g0router(config-if-gigaethernet0)#ip nat inside标记为与内部连接的接口router(config-if-gigaethernet0)#exitrouter (config)#interface s0/0指定接口s0/0router (

39、config-if- serial0/0)#ip nat outside标记为与外部连接的接口动态转换外部源地址（动态转换外部源地址（1）动态转换外部源地址（动态转换外部源地址（2） router 配置配置 在本例中，首先建立一个名为在本例中，首先建立一个名为pl-l的本地地址池，这个池包括的本地地址池，这个池包括到到0范围的范围的10个本地地址。访问列表个本地地址。访问列表1允许外部网上的允许外部网上的 55网段网段地址被转换。然后将以太接口地址被转换。然后将以太接口g0配置为内部接口，配置为内部接口，serial0/0配置

40、为外部接口。配置为外部接口。命令命令描述描述router (config)#ip nat pool pl-1 netmask 建立一个名为pl-l的本地地址池，这个池包括到范围的8个全局地址router (config)#access-list 1 permit 55建立访问列表1允许 55网段地址被转换router (config)#ip nat outside source list 1 pool pl-1列表1与pool-

41、1进行地址转换router (config)#interface g0指定g0接口router(config-if-gigaethernet0)#ip nat inside标记为与内部连接的接口router(config-if-gigaethernet0)#exitrouter (config)#interface s0/0指定s0/0接口router (config-if- serial0/0)#ip nat outside标记为与外部连接的接口1、全局地址和本地地址不能交迭。、全局地址和本地地址不能交迭。2、配置时静态的地址不能与动态的地址池中的地址交迭。、配置时静态的地址不能与动态的地址

42、池中的地址交迭。3、作为连接问题的一个解决方案，只有当一个内部网中有相对少量的、作为连接问题的一个解决方案，只有当一个内部网中有相对少量的主机同时与这个域的外界通信时，主机同时与这个域的外界通信时，NAT才是实用的。在这种情况下，才是实用的。在这种情况下，在必须与外界通信时，这个域的在必须与外界通信时，这个域的IP地址中只有一个很小的子集必须被地址中只有一个很小的子集必须被转换成全球唯一的转换成全球唯一的IP地址。当不再使用时，这些地址还能被重新使用。地址。当不再使用时，这些地址还能被重新使用。4、当应用程序中嵌入、当应用程序中嵌入IP地址或端口时，地址或端口时，NAT对端用户来说就成为不透对

43、端用户来说就成为不透明的，故明的，故NAT也不能用于此种情况，在应用程序中嵌入了也不能用于此种情况，在应用程序中嵌入了IP地址和端地址和端口的应用协议中，现在只支持口的应用协议中，现在只支持FTP，MMS，OICQ，TFTP。5、路由信息只能向内不能向外传播。、路由信息只能向内不能向外传播。6、需设定、需设定NAT与与ISP的路由器之间的静态路由配置。的路由器之间的静态路由配置。7、IP OPTION 不能正常的支持。不能正常的支持。8、当有多个接口时，要使用同样的、当有多个接口时，要使用同样的NAT表。表。NAT配置注意事项：配置注意事项：NAT的监控命令（的监控命令（1）命令命令描述描述配

44、置模式配置模式show ip nat translations显示激活的NAT的转换表项enableshow ip nat translations proxy-session显示激活的NAT代理表项enableshow ip nat translations static显示激活的静态NAT表项enableshow ip nat statistics verbose 显示NAT的统计数据enableshow running-config ip nat显示所有的NAT配置enableshow ip nat collision显示NAT记录的冲突情况enableshow ip nat fragm

45、ent显示NAT分片记录表项enableshow ip nat pool显示所有的NAT的地址池enableshow local config显示localstat的配置enableshow local stat显示当前用户的统计信息enableshow local source显示当前用户的流量信息和连接数信息enable NAT常用监控命令常用监控命令NAT的监控命令（的监控命令（2） NAT监控信息实例监控信息实例router# show ip nat translations显示结果：显示结果：Type Pro Inside global Inside local Outside lo

46、cal Outside global AgeNAT ICMP 41:1024 00:1024 - 25:1024 50NAT TCP 41:1916 00:1916 - :80 1785 (NORMAL:0)NAT TCP 41:1882 00:1882 - :80 1785 (NORMAL:0)描述与分析：描述与分析：Type：NAT转换记录的类型Pro：IP协议类型Inside global：内部

47、全局地址和端口Inside local：内部局部地址和端口Outside local：外部局部地址和端口Outside global：外部全局地址和端口Age：记录余下的生命期（秒）括号中的内容：当前的TCP状态 该显示结果表明内部局部地址该显示结果表明内部局部地址00分别向外部地址分别向外部地址25发送了发送了ICMP报文，向外部地址报文，向外部地址的的80端口发起了两条端口发起了两条TCP连接。连接。NAT的监控命令（的监控命令（3） show ip nat statistics信息分析（信息分析（1）显示结果显示结果描述与分

48、析描述与分析NAT version: 3.1.1NAT的版本号为3.1.1Translations count 7 (create:54, expire:47, kill:0, clear:0)当前存在转换条目: 7总共创建： 54， 老化：47 被强制删除： 0 命令清除： 0Packet count (hit:223, create:54, no_memory:0, cant create:0)转换条目复用： 223 包 创建条目：54 达到内存上限： 0 创建条目失败： 0Fragment track disable, fragment count:0, fragment drops:0

49、分片跟踪功能关闭 分片记录：0无法转发的分片报文：0Max entries: 53000, Max icmp entries: 1000, Current hash value: 65536最大转换条目：53000 最大icmp转换数：1000当前hash桶大小：65536NAT redirect disable, Support ftp, Support tftpUDP重定向功能关闭支持FTP代理 支持TFTP代理Outside interfaces: gigaethernet1外部端口：g1Inside interfaces: gigaethernet0内部端口：g0NAT的监控命令（的监

50、控命令（4）显示结果显示结果描述与分析描述与分析list 1应用的访问列表 ：list 1pool p1应用的地址池: p1Total extended proxy napt: 0, Max extended proxy napt: 4000NAT达到max_entries以后创建的代理进程数量，以及可以创建的代理进程的最大值Ftp proxy session: Totals: 0 Counter: 0 No-memorys: 0经过NAT代理的ftp数据包MMS proxy session: Totals: 0 Counter: 0 No-memorys: 0经过NAT代理的MMS数据包 s

51、how ip nat statistics信息分析（信息分析（2） show running-config ip nat信息分析信息分析显示结果：显示结果：ip nat pool pp 40 41 netmask ip nat inside source list 1 pool pp overload描述与分析：描述与分析： 配置了一个地址池内地址为配置了一个地址池内地址为40-41的地址池的地址池pp，并，并将该地址池地址与将该地址池地址与access-list 1绑定，

52、并采用端口重载方式绑定，并采用端口重载方式NAT的监控命令（的监控命令（5） show ip nat pool信息分析信息分析显示结果显示结果描述与分析描述与分析Address pool : pp 地址池的名字start : 40地址池的起始地址end : 41地址池的结束地址netmask : 地址池的网络掩码type : GENERIC地址池类型 show local stat信息分析信息分析显示结果：显示结果：source rcv_pkts/s rcv_bits/s send_pkts/s send_bits/s

53、tcp/udp/other : 5 42720 2 720 1 /1 /0 04: 22 7140 416 3416580 2164/2615/0 all: 27 49860 418 3417300 4323/2616/0 描述与分析：描述与分析：source：地址信息 rcv_pkts/s：每秒接收的报文数rcv_bits/s：每秒接收的bit数 send_pkts/s： 每秒平均的发送报文数send_bits/s： 每秒平均的发送bits数tcp/udp/other： 当前的用户的TCP/UDP/OTHER的分别的连接数命令命令描述描述c

54、lear ip nat statistics重置NAT统计值clear ip nat translation all |icmp | inside | tcp | udp 清空NAT的转换记录debug ip nat packets | drop 参看NAT的调试信息NAT的调试命令（的调试命令（5）动态主机配置协议动态主机配置协议DHCP网络地址转换网络地址转换NAT多机冗余热备协议多机冗余热备协议VRRP与与VBRP 通常，一个网络内的主机设置一条缺省路由，这样，主机发出的目通常，一个网络内的主机设置一条缺省路由，这样，主机发出的目的地址不在本网段的报文将通过缺省路由发往网关路由器，从而实

55、现的地址不在本网段的报文将通过缺省路由发往网关路由器，从而实现了主机与外部网络的通信。当路由器发生故障时，本网段内所有以其了主机与外部网络的通信。当路由器发生故障时，本网段内所有以其为缺省路由下一跳的主机将断掉与外部的通信。为缺省路由下一跳的主机将断掉与外部的通信。 为了进一步提高组建网络的稳定可靠性，可以采用多台机器共同为了进一步提高组建网络的稳定可靠性，可以采用多台机器共同承担相同的角色，正常工作情况下形成主备关系或者负载均衡的方式。承担相同的角色，正常工作情况下形成主备关系或者负载均衡的方式。 目前常用的多机冗余备份协议有以下几种目前常用的多机冗余备份协议有以下几种,切换时间均在切换时间

56、均在35秒：秒：VBRP：Virtual Backup Router Protocol(MP)HSRP: Hot Standby Router Protocol(Cisco) VRRP: Virtual Router Redundancy Protocol(RFC2338)GLBP: Gateway Load Balancing Protocol(Cisco)多机冗余热备协议介绍多机冗余热备协议介绍VRRP协议介绍协议介绍 VRRP虚拟路由冗余协议（虚拟路由冗余协议（Virtual Router Redundancy Protocol） 就是为解决多机冗余备份问题而提出的，它为具有多就是为解决

57、多机冗余备份问题而提出的，它为具有多播或广播能力的局域网（如：以太网）设计。播或广播能力的局域网（如：以太网）设计。 VRRP协议是在协议是在CISCO的私有协议的私有协议HSRP基础上进行简化后基础上进行简化后指定出来的（指定出来的（RFC2338）。）。VRRP将局域网的一组路由器组织成将局域网的一组路由器组织成一个虚拟的路由器，称之为一个一个虚拟的路由器，称之为一个备份组备份组。这个虚拟的路由器（即。这个虚拟的路由器（即备份组）拥有自己的备份组）拥有自己的IP地址，网络内的主机就通过这个虚拟的路地址，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。由器来与其它网络进行通信。 当备

58、份组内的当备份组内的MASTER路由器坏掉时，备份组内的其它路由器坏掉时，备份组内的其它BACKUP路由器将会接替成为新的路由器将会接替成为新的MASTER，继续向网络内的，继续向网络内的主机提供路由服务，从而实现网络内的主机不间断地与外部网络主机提供路由服务，从而实现网络内的主机不间断地与外部网络进行通信。进行通信。VRRP相关概念相关概念MasterVRRP的一个状态，活动路由器处于该状态，且保证的一个状态，活动路由器处于该状态，且保证相关相关IP报文的转发。优先级高的路由器为报文的转发。优先级高的路由器为master状态。状态。BackupVRRP的一个状态，备份路由器处于该状态，且保证

59、的一个状态，备份路由器处于该状态，且保证在活动路由器失效时，及时切换。在活动路由器失效时，及时切换。Priority：接口上配置的优先级：接口上配置的优先级VRRP报文结构报文结构VRRP报文是一种多播报文是一种多播IP报文（报文（8），协议号是），协议号是112（0 x70） VRID：接口配置的：接口配置的Virtual Router Identifier (VRID)虚拟路由器虚拟路由器ID。Priority：接口上配置的优先级。：接口上配置的优先级。拥有虚拟拥有虚拟IP地址的路由器（地址的路由器（VIP等于接口等于接口IP的路由器），的路由器），priority等于等

60、于255，其余路由器只能为其余路由器只能为1254，缺省是，缺省是100。Count IP Addr：虚拟：虚拟IP地址的个数，一般等于地址的个数，一般等于1。VRRP工作流程工作流程虚拟路由器的三种状态：虚拟路由器的三种状态：初始化状态（初始化状态（Initialize）活动状态（活动状态（master）备份状态（备份状态（backup）VRRP竞争原则竞争原则1、优先级为、优先级为255的接口的接口UP后自动成为后自动成为Master，不进行竞争；，不进行竞争；2、优先级不为、优先级不为255的接口先进入的接口先进入Backup状态，设置状态，设置dead定时器，定时器，在定时器超时前若没