TCPIP路由交换技术（第二版）课件 项目8 部署和实施企业网与Internet互联

项目8部署和实施企业网与Internet互联授课教师：管秀君吉林交通职业技术学院学习目标

了解非直联网络的通信原理学会路由器、三层交换机静态路由的配置学会RIP的配置与维护学会OSPF路由协议及配置掌握NAT概念及其特点学会NAT、NAPT的配置掌握广域网的相关技术学会PPP协议配置思维导图

了解非直连网络的通信0

1掌握静态路由协议及配置02掌握RIP路由协议及配置03学习任务目录0

60504掌握广域网PPP协议及配置掌握网络地址转换（NAT）技术及配置掌握OSPF路由协议及配置利用静态路由实现企业与Internet互联0

1利用静态路由实现企业与Internet互联02私有局域网与Internet互联03实战任务目录04利用CHAP认证实现网络安全互联学习任务8.1了解非直联网络的通信8.1.1非直连网络通信原理路由原理路由器根据报文的目的地址将报文从适当的接口发送出去。而路由就是指导报文发送的路径信息。复习路由器的工作原理，与直连路由进行对比。可举路标与路由表做对比。8.1.2非直连网络通信协议路由信息路由信息源,可到达路径,最佳路径E0S0信息源目的网络直连

学习获得

10.1.1.0

转发接口E0

S0非直联网络的通信协议优先级路由选择协议优先级直连网络0静态路由1EIGRP汇总路由5内部EIGRP路由90OSPF路由110RIP路由120外部EIGRP路由170不可达路由255获得路由信息源1.静态路由静态路由是指由网络管理员手工配置的路由信息。无开销，配置简单，需人工维护，适合简单拓朴结构的网络。静态路由除了具有简单、高效、可靠的优点外，它的另一个好处是网络安全保密性高。2.动态路由使路由器之间运行某种动态路由协议,使路由器之间互相学习路由表。开销大，配置复杂，无需人工维护，适合复杂拓朴结构的网络。下课，谢谢！授课教师：管秀君吉林交通职业技术学院CLASSOVER,THANKYOU!项目8部署和实施企业网与Internet互联授课教师：管秀君吉林交通职业技术学院学习任务8.2掌握静态路由协议及配置8.2.1静态路由的概念静态路由的概念静态路由是指由网络管理员手工配置的路由信息。无开销，配置简单，需人工维护，适合简单拓朴结构的网络。静态路由除了具有简单、高效、可靠的优点外，它的另一个好处是网络安全保密性高。8.2.2路由器静态路由的配置配置静态路由router(config)#iproute[目的网络编号][子网掩码][转发路由器的IP地址/本地接口]静态路由配置实例S0B网络ABrouter(config)#iproute

或

router(config)#iprouteserial0配置案例1、将主机名配置为“A”）Red-Giant(config)#hostnameR12．为路由器F0/1接口分配IP地址R1(config)#interfacefastethernet1注：进入路由器F0/1的接口配置模式R1(config-if)#ipaddress注：设置路由器R1的F0/1的IP地址为，对应的子网掩码为配置案例3．为路由器F0/0接口分配IP地址R1(config)#interfacefastethernet0注：进入路由器F0/0的接口配置模式R1(config-if)#ipaddress54注：设置路由器F0/0的IP地址为54，对应的子网掩码为配置案例1、将主机名配置为“R2”）Red-Giant(config)#hostnameR22．为路由器F0/1接口分配IP地址R2(config)#interfacefastethernet1注：进入路由器F0/1的接口配置模式R2(config-if)#ipaddress注：设置路由器R2的F0/1的IP地址为，对应的子网掩码为配置案例3．为路由器F0/0接口分配IP地址R2(config)#interfacefastethernet0注：进入路由器F0/0的接口配置模式R2(config-if)#ipaddress54注：设置路由器F0/0的IP地址为54，对应的子网掩码为PCA与PCB是否可以相互通信？配置案例4．配置静态路由：R1(config)#iproute或：R1(config)#iproutef1PCA与PCB是否可以相互通信？配置案例4．配置静态路由：R2(config)#iproute或：R2(config)#iproutef1PCA与PCB是否可以相互通信？验证命令#showrun#showint#showipintbrief#ping8.2.3三层交换机静态路由的配置三层交换机静态路由配置

三层交换机和路由器的区别具有路由功能的设备除路由器外还有三层交换机，三层交换机本身具有根据MAC表转发数据帧的功能，同时，还具有根据路由表转发数据包的功能。（1）三层交换机的转发性能远大于路由器；（2）三层交换机各端口连接相同类型网络；路由器可以连接不同类型网络。三层交换机

三层交换机的功能：三层交换技术=二层交换技术＋三层转发技术根据MAC表转发数据帧根据路由表转发数据包三层交换机路由功能方法1:通过给VLAN对应的交换机虚拟端口（SVI）配置IP地址，使该端口具有路由功能；方法2:通过命令开启三层交换机物理端口路由功能，即将默认二层端口切换为三层端口），然后在该端口上配置IP地址。方法1三层交换机与路由器通过SVI连接F0/24划分到VLAN80里，给VLAN80分配虚拟IP地址。主要配置命令Switch(config)#interfacevlanvlan号Switch(config-if)#ipaddressIP地址

子网掩码Switch(config-if)#noshutdown主要配置命令Switch(config)#vlan80Switch(config)#intf0/24Switch(config-if)#switchportaccessvlan80Switch(config)#interfacevlan80Switch(config-if)#ipaddressSwitch(config-if)#noshutdown例如：F0/24划分到VLAN80里，给VLAN80分配虚拟IP地址。方法2通过命令开启三层交换机物理端口路由功能，F0/24开启路由功能，给F0/24端口分配IP地址。主要配置命令启动三层交换机的IP路由功能

命令格式：Switch(config)#iprouting

设置三层交换机的路由端口

命令格式：Switch(config-if)#noswitchport主要配置命令例如：启动Fa0/24端口为路由口，并配置IPSwitch(config)#iproutingSwitch(config)#Interfacefastethernet0/24Switch(config-if)#noswitchport

Switch(config-if)#ipaddressSwitch(config-if)#noshutdownSwitch(config-if)#end下课，谢谢！授课教师：管秀君吉林交通职业技术学院CLASSOVER,THANKYOU!项目8部署和实施企业网与Internet互联授课教师：管秀君吉林交通职业技术学院项目实战8.3利用静态路由实现企业网与Internet互联项目背景某企业现有两个分公司，一个在北京，另一个在广州。两个分公司各有一个局域网，分别通过一台路由器接入因特网。现要在路由器上配置静态路由实现两个公司网络的互联。实施条件本项目使用PacketTracer模拟器完成。数据规划设备接口IP地址子网掩码R1Gi0/0(连接北京分公司交换机）54R1Gi0/1(连接路由器R3）52R3Gi0/1(连接路由器R1）52R3Gi0/2(连接路由器R2）52R2Gi0/0(连接广州分公司交换机）54R2Gi0/2(连接路由器R3）52实施步骤实施步骤R1的配置R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipaddress54R1(config-if)#noshutdown

R1(config)#interfacegigabitEthernet0/1R1(config-if)#ipaddress52R1(config-if)#noshutdownR1(config)#iproute52R1(config)#iproute

R1(config)#ipdhcppoolbeijinR1(dhcp-config)#network

R1(dhcp-config)#default-router54R1(dhcp-config)#dns-server实施步骤R3的配置3(config)#interfacegigabitEthernet0/1R3(config-if)#ipaddress52R3(config-if)#noshutdownR3(config)#interfacegigabitEthernet0/2R3(config-if)#ipaddress52R3(config-if)#noshutdownR3(config)#iprouteR3(config)#iproute实施步骤R2的配置R2(config)#interfacegigabitEthernet0/2R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config)#interfacegigabitEthernet0/0R2(config-if)#ipaddress54R2(config-if)#noshutdownR2(config)#iproute52R2(config)#iprouteR2(config)#ipdhcppoolguangzhouR2(dhcp-config)#networkR2(dhcp-config)#default-router54R2(dhcp-config)#dns-server实施步骤查看R1的配置项目测试分公司之间的通信状况下课，谢谢！授课教师：管秀君吉林交通职业技术学院CLASSOVER,THANKYOU!项目8部署和实施企业网与Internet互联授课教师：管秀君吉林交通职业技术学院学习任务8.4掌握RIP路由协议及配置8.4.1

RIP概述RIP协议概述RIP：RoutingInformationProtocol路由信息协议。

RIP是第一个实现动态选路的路由协议，该协议基于D-V算法实现。RIP使用UDP包(端口号520)来交换RIP路由信息。RIP根据所经过的路由器数即跳数来决定各目的网络的度量值。RIP支持水平分割与毒性逆转，并在路由中毒时采用触发更新。RIP有V1和V2两个版本，V1以广播方式发送报文，不支子网掩码；V2支持组播方式发送报文，支持子网掩码。8.4.2

RIP配置RIP路由交换过程RIP协议启动后向各接口广播Request报文邻居路由器收到Request报文后，形成包含其路由表的Response报文向对应的网络广播接收到邻居路由器的Response报文后，形成自己的路由表；并将收到的路由metric+1，下一跳设置为邻居路由器地址路由器定时广播路由表(缺省30秒)，并更新收到的路由如收到路由的metric等于16；或路由超时没有更新(180秒)则失效，置metric=16继续向周围广播，通知邻居此路由失效超过120秒后，删除这个路由8.4.3

RIP路由的局限性RIP的局限性路由环路下的慢收敛计数到无穷：metric达到16即表示路由不可达，收敛慢水平分割：禁止路由从收到的接口发出去毒性逆转：收到的路由也原路发回，但metric为16触发更新：发现路由metric改变(包括失效)，立刻广播，不等到定时广播时间，可加快收敛速度规模最大metric为16，不适应大型网络重复交换路由表，路由表较大时传输和处理的开销大距离-矢量路由协议和运行相同路由协议的路由器定期交换路由信息根据接收到的路由信息，计算得出自己的路由表每台路由器都采用相同的操作，以此来学习整个网络的情况ABC距离-矢量算法距离矢量路由协议基于Distance-Vector(D-V)算法。使用D-V算法的路由器通常以一定的时间间隔向相邻的路由器发送他们完整的路由表。接收到路由表的邻居路由器将收到的路由表和自己的路由表进行比较，新的路由或到已知网络但开销(metric)更小的路由都被加入到路由表中。相邻路由器然后再继续向外广播它自己的路由表(包括更新后的路由)。距离-矢量路由协议距离矢量路由器关心的是到目的网段的距离(metric)和矢量(方向，从哪个接口转发数据)。对于距离矢量路由型路由协议，路由更新只发生在直接相连的两台路由器之间。RoutingTableRoutingTableRoutingTableRoutingTable距离—花费

矢量—从哪个接口出去CBADABCD距离-矢量路由协议的缺陷metric的可信度通过定期广播整个路由表的交换路由信息方式，不适宜运用在稍大一点的网络简单矢量叠加极易引起路由表更新错误和收敛无穷等问题8.4.4

RIP路由配置RIP配置思路RIP是一种相对简单的动态路由协议，配置需要确认以下几方面：1．确认需要运行RIP协议的组网规模，建议总数不要超过16台；2．确认RIP协议使用的版本号，建议使用V2；3．确认路由器上需要运行RIP的接口，确认需要引入的外部路由；4．注意是否有协议验证部分的配置，对接双方的验证字符串必须一致。RIP配置命令命令格式命令模式命令功能routerrip全局启动RIP路由选择进程network<ip-address>路由为RIP选择路由指定网络表version{1|2}路由指定路由器全局使用的RIP版本auto-summary路由以路由聚合形式向外发送路由ipripauthentication路由明文/MD5验证redistribute<protocol>[metric<metric-value>][route-map<map-tag>]路由指定引入的路由类型RIP维护诊断命令命令格式命令模式命令功能showipripdatabase所有模式显示由RIP协议产生的路由条目debugiprip特权跟踪RIP的基本收发包过程RIP维护与诊断显示由RIP协议产生的路由条目：ZXR10#showipripdatabaePrefRoutesh:ispossiblydown,inholddowntimef:outholddowntimebeforeflush*>/8*>/24*>/24*>/24*>/24 8.4.5

RIP路由配置实例配置实例配置步骤（1）R1的配置：R1(config)#routerripR1(config-router-rip)#network

R1(config-router-rip)#network

（2）R2的配置：R2(config)#routerripR2(config-router-rip)#network192.168.1.0

R2(config-router-rip)#network

（3）R3的配置：R3(config)#routerripR3(config-router-rip)#networkR3(config-router-rip)#network网络拓扑RIP实例维护R1#showipripdatabase/24auto-summary/24directlyconnected,FastEthernet0/1/24auto-summary/24directlyconnected,FastEthernet0/0/24auto-summary/24[1]via,00:00:23,FastEthernet0/0/24auto-summary/24[2]via,00:00:23,FastEthernet0/0下课，谢谢！授课教师：管秀君吉林交通职业技术学院CLASSOVER,THANKYOU!项目8部署和实施企业网与Internet互联授课教师：管秀君吉林交通职业技术学院学习任务8.5掌握OSPF路由协议及配置8.5.1

OSPF概念OSPF概述OSPF：OpenShortestPathFirst，开放最短路径优先由IETF(InternetEngineeringTaskForce)组织开发

OSPF是链路状态协议，采用SPF算法

OSPF是IGP(InteriorGatewayProtocol)协议，用于在自治系统AS

(AutonomousSystem)内发现和计算路由相关RFC文档:RFC2328，RFC1583，RFC2178优

点

无自环收敛速度快支持区域划分支持验证组播发送协议报文基于带宽来选择路径支持等值路由支持VLSM(变长子网掩码)和CIDROSPF支持各种规模的网络，最多可支持几百台路由器OSPF支持的网络类型

（1）Point-to-point链路层协议是PPP或LAPB时，默认网络类型为点到点网络。无需选举DR和BDR，当只有两个路由器的接口要形成邻接关系的时候才使用。（2）Broadcast链路层协议是Ethernet、FDDI、TokenRing时，默认网络类型为广播网，以组播的方式发送协议报文。（3）NBMA链路层协议是帧中继、ATM、HDLC或X.25，默认网络类型为NBMA。手工指定邻居。（4）Point-to-MultiPoint（PTMP）没有一种链路层协议会被缺省的认为是Point-to-MultiPoint类型。点到多点必然是由其他网络类型强制更改的，常见的做法是将非全连通的NBMA改为点到多点的网络。多播hello包自动发现邻居，无需手工指定邻居。OSPF术语（1）RouterIDRouterID采用32位无符号整数，形式如：X.X.X.X，唯一标识一台OSPF设备。一般需要手工配置，通常将其配置为该路由器的某个接口的IP地址；在没有手工配置RouterID的情况下，一些厂家的路由器支持自动从当前所有接口的IP地址自动选举一个IP地址作为RouterID。OSPF协议用IP报文直接封装协议报文，协议号是89。（2）指定路由器（DR）在广播和NBMA类型的网络上，OSPF协议指定一台路由器DR（DesignatedRouter）来负责传递信息（3）备份指定路由器（BDR）如果DR由于某种故障而失效，这时必须重新选举DR，并与之同步。这需要较长的时间，在这段时间内，路由计算是不正确的。为了能够缩短这个过程，OSPF提出了BDR（BackupDesignatedRouter）的概念。BDR实际上是对DR的一个备份。OSPF术语（4）邻居表（NeighborDatabase）邻居表中包括所有建立联系的邻居路由器。（5）链接状态表（拓扑表）（LinkStateDatabase）链接状态表中包含了网络中所有路由器的链接状态。它表示着整个网络的拓扑结构。同Area内的所有路由器的链接状态表，都是相同的。（6）路由表（RoutingTable）RIP协议的路由表是在链接状态表的基础之上，利用SPF算法计算而来。OSPF报文类型

OSPF的报文共有五种类型：（1）HELLO报文（HelloPacket）：HELLO报文最常用的一种报文，周期性的发送给本路由器的邻居。（2）DBD报文（DatabaseDescriptionPacket）：DBD报文描述自己的LSDB，包括LSDB中每一条LSA的摘要（摘要是指LSA的HEAD，可唯一标识一条LSA），根据HEAD，对端路由器就可以判断出是否已经有了这条LSA；DBD用于数据库同步。（3）LSR报文（LinkStateRequestPacket）：LSR报文用于向对方请求自己所需的LSA。内容包括所请求的LSA的摘要。（4）LSU报文（LinkStateUpdatePacket）：LSU报文用来向对端路由器发送所需要的LSA，内容是多条LSA（全部内容）的集合。（5）LSAck报文（LinkStateAcknowledgmentPacket）：LSAck报文用来对接收到的DBD，LSU报文进行确认。OSPF邻居状态机（1）Down：邻居状态机的初始状态，是指在过去的Dead-Interval时间内没有收到对方的Hello报文。（2）Attempt：只适用于NBMA类型的接口，处于本状态时，定期向那些手工配置的邻居发送Hello报文。（3）Init：本状态表示已经收到了邻居的Hello报文，但是该报文中列出的邻居中没有包含我的RouterID（对方并没有收到我发的Hello报文）。（4）2-Way：本状态表示双方互相收到了对端发送的HELLO报文，建立了邻居关系。在广播和NBMA类型的网络中，两个接口状态是DROther的路由器之间将停留在此状态。其他情况状态机将继续转入高级状态。（5）ExStart：在此状态下，路由器和它的邻居之间通过互相交换DBD报文（该报文并不包含实际的内容，只包含一些标志位）来决定发送时的主/从关系。建立主/从关系主要是为了保证在后续的DBD报文交换中能够有序的发送。（6）Exchange：路由器将本地的LSDB用DBD报文来描述，并发给邻居。（7）Loading：路由器发送LSR报文向邻居请求对方的DBD报文。（8）Full：在此状态下，邻居路由器的LSDB中所有的LSA本路由器全都有了。即，本路由器和邻居建立了邻接（adjacency）状态。邻居状态机转换图OSPF邻居状态机OSPF路由计算过程OSPF协议计算路由有以下三个主要步骤：第一步：描述本路由器周边的网络拓扑结构，并生成LSA。第二步：将自己生成的LSA在自治系统中传播。并同时收集所有的其他路由器生成的LSA。第三步：根据收集的所有的LSA计算路由。8.5.2

OSPF区域的划分OSPF单区域的问题当一个巨型网络中运行OSPF路由协议，就会遇到如下问题：路由器数量的增多会导致LSDB非常庞大，占用大量的存储空间，LSDB同步会需要很长时间增加运行SPF算法的复杂度，导致路由器的CPU负担很重拓扑结构变化会导致大量的OSPF协议报文在传递，降低了网络的带宽利用率，同时所有的路由器重新进行路由计算OSPF区域——划分区域解决方法：将自治系统划分成不同的区域(Area)

每一个网段必须属于一个区域，或者说每个运行OSPF协议的接口必须指明属于某一个特定的区域，区域用区域号(AreaID)来标识。不同的区域之间通过ABR来传递路由信息Area1BackboneArea0External

ASArea2OSPFRouter的类型路由器根据在自治系统中的不同位置划分为以下四种类型：IAR（InternalAreaRouter）ABR（AreaBorderRouter）BBR（BackBoneRouter）ASBR（ASBoundaryRouter）LSA的类型常见的六种LSA类型：Type1:RouterlinkentryType2:NetworklinkentryType3and4:SummarylinkentryType5:ASexternallinkentryType6:NSSAexternallinkentryOSPF区域类型(1)OSPF协议里把区域划分为以下5种类型：（1）标准区域

这个默认的区域接收链路状态更新、路由汇总和外部路由信息。（2）骨干区域(backbonearea)

骨干区域是连接所有其他区域的中心点，区域号总是“0”。所有其他区域都连接到这个区域以交换路由信息。Area0Area1Area2AS100OSPF区域类型(2)（3）末节区域(stubarea)

不接受任何自治系统外部路由的信息，比如非OSPF网络的信息。使用缺省的路由连接AS外的网络。末节区域不能包含ASBR。（4）完全末节区域(totallystubarea)

不接受任何AS外部的路由，及AS内部的其他区域的汇总信息。使用缺省的路由发送数据包到外部网络或是其他区域。不包含ASBR。Area2External

ASXX单一出口

特点：通常只能有一个出口区域内不能有ASBR

不能是Area0(Backbone)

不能使用虚连接(Virtuallinks)OSPF区域类型(3)（5）非完全末节区域(not-so-stubbyarea)

定义了Type-7的LSA。NSSA提供类域末节区域和完全末节区域同样的好处。但，在NSSA中允许存在ASBR。

NSSA区域可以使用Type-7LSA引入非OSPF路由到OSPF区域，Type-7LSA仅在NSSA区洪泛，通过ABR转化成Type-5LSA。Type5LSA

Type7LSARIParea0NSSAarea

ASBRABRLSAType(1)LSATypeLSA名称LSA描述1Router-LSA每一个路由器都会生成。这种LSA描述某区域内路由器端口链路状态的集合。只在所描述的区域内洪泛。2Network-LSA由DR生成，用于描述广播型网络和NBMA网络。这种LSA包含了该网络上所连接路由器的列表。只在该网络所属的区域内洪泛。LSAType(续)LSATypeLSA名称LSA描述3Network-Summary-LSA由区域边界路由器(ABR)产生，描述到AS内部本区域外部某一网段的路由信息，在该LSA所生成的区域内洪泛。4ASBR-Summary-LSA由区域边界路由器(ABR)产生，描述到某一自治系统边界路由器(ASBR)的路由信息，在该LSA所生成的区域内洪泛。5AS-external-LSA由自治系统边界路由器(ASBR)产生，描述到AS外部某一网段的路由信息，在整个AS内部洪泛。7ASExternalLSA类型7的LSA被应用在非完全末节区域中（NSSA）。OSPF协议计算过程LSDBLSAofRTALSAofRTBLSAofRTCLSAofRTD(2)每台路由器的LSDB(3)由链路状态数据库生成带权有向图CABD346CABD234CABD234CABD234CABD234RTARTCRTD4326(1)网络的拓扑结构(4)每台路由器分别以自己为根节点计算最小生成树RTB2OSPF虚连接所有的区域必须和骨干区域相连，而且骨干区域自身也必须是连通的。由于网络的拓扑结构复杂，有时无法满足这个条件。为此，OSPF提出了虚连接的概念。Area2Area0(Backbone)Area3Area1VirtualLinkTransitArea虚连接是指在两台ABR之间，穿过一个非骨干区域(转换区域—transitarea)，建立的一条逻辑上的连接通道。OSPF虚连接（续）虚连接是指在两台ABR之间，穿过一个非骨干区域即转换区域（transitArea）建立的一条逻辑上的连接通道。“逻辑通道”是指两台ABR之间多台运行OSPF的路由器只是起到一个转发报文的作用（由于协议报文的目的地址不是这些路由器，所以这些报文对于他们是透明的，只是当作普通的IP报文来转发），两台ABR之间直接传递路由信息。8.5.3

OSPF协议的配置配置步骤

配置OSPF协议的基本步骤：设置路由器的ID号启动OSPF

宣告相应的网段这三个步骤是配置OSPF的最基本的三个步骤，其中启动ospf和宣告相应网段是其中必需的两个步骤，而RouterID的设置，则不是必需完成的。基本命令(基本配置)（1）指定一个OSPF进程的RouterID

router-id<ip-address>（2）启动OSPF路由协议进程

routerospf<processid>（3）定义OSPF协议运行的接口以及对这些接口定义区域ID

network<ip-address>

<wildcard-mask>area<area-id>基本命令(区域配置)定义一个区域为末节区域或完全末节区域

area<area-id>stub[no-summary][default-cost<cost>]

定义一个区域为非完全末节区域

area<area-id>nssa[no-redistribution][default-information-originate[metric<metric-value>][metric-type<type>]][no-summary]

配置区域间路由聚合

area<area-id>range<ip-address><net-mask>[advertise|not-advertise]基本命令(重分布)

配置通告缺省路由

notifydefaultroute[always][metric<metric-value>][metric-type<type>][route-map<map-tag>]

配置重分布其它路由协议

redistribute<protocol>[as<as-number>][peer

<peer-address>][tag<tag-value>][metric<metric-value>][metric-type<type>][route-map<map-tag>]

注：控制其他协议符合条件的路由导入OSPF自治系统中，使用该命令后路由器成为一个ASBR。基本命令(认证)

（1）在OSPF区域上使用认证的配置命令router(config-if)#area<area-id>authentication[message-digest]（2）简单口令认证类型的接口配置命令

router(config-if)#ip

ospf

message-digest-key

<password>8.5.4多区域OSPF的配置实例多区域OSPF的配置某高校有东（East）、西（West）两个校区，分别建立了两个校区的校园网子网，两个校区的校园网边界路由器分别为R2和R3，将两个校区的校园网子网连接起来，形成一个完整的互联互通的校园网。配置（1）R1的配置：

R1(config)#interfacefastEthernet0/0R1(config-if)#ipaddress

R1(config-if)#noshutdownR1(config-if)#exR1(config)#interfaceLoopback0R1(config-if)#ipaddress55R1(config-if)#noshutdownR1(config-if)#exR1(config)#routerospf10R1(config-router)#router-id

R1(config-router)#network55area1R1(config-router)#network

area1

配置（2）R2的配置：R2(config)#interfacefastEthernet0/0R2(config-if)#ipaddress

R2(config-if)#noshutdownR2(config-if)#exR2(config)#interfacefastEthernet0/1

R2(config-if)#ipaddress

R2(config-if)#noshutdownR2(config-if)#exR2(config)#interfaceLoopback0R2(config-if)#ipaddress55R2(config-if)#noshutdownR2(config-if)#exR2(config)#routerospf10

R2(config-router)#router-id

R2(config-router)#network55area1R2(config-router)#network55

area

0R2(config-router)#network

area0

配置（3）R3的配置：R3(config)#interfacefastEthernet0/0R3(config-if)#ipaddress

R3(config-if)#noshutdownR3(config-if)#exR3(config)#interfacefastEthernet0/1R3(config-if)#ipaddress

R3(config-if)#noshutdownR3(config-if)#exR3(config)#interfaceLoopback0R3(config-if)#ipaddress55R3(config-if)#noshutdownR3(config-if)#exR3(config)#routerospf10R3(config-router)#router-id

R3(config-router)#network55area2R3(config-router)#network55area0

R3(config-router)#network

area0

配置（4）R4的配置：R4(config)#interfacefastEthernet0/0R4(config-if)#ipaddress

R4(config-if)#noshutdownR4(config-if)#exR4(config)#interfaceLoopback0R4(config-if)#ipaddress55R4(config-if)#noshutdownR4(config-if)#exR4(config)#routerospf10R4(config-router)#router-idR4(config-router)#network55area2R4(config-router)#network

area2下课，谢谢！授课教师：管秀君吉林交通职业技术学院CLASSOVER,THANKYOU!项目8部署和实施企业网与Internet互联授课教师：管秀君吉林交通职业技术学院实战任务8.6利用动态路由实现企业网与Internet互联项目背景当企业内部规模比较大时，可使用动态路由保证企业网络工作正常，现某企业有四台路由器运行了不同的路由协议，其中R1运行RIP路由协议，R2、R3和R4运行OSPF协议，R2、R3属于骨干区域，R3、R4属于区域1，可通过配置RIP与OSPF路由重分发，实现在不同路由协议之间通信。实施条件根据实验室的实际情况项目可使用实体设备或PacketTracer模拟器完成。数据规划设备接口IP地址R1F0/1/30R1F0/0/30R1Loopback0/24R2F0/1/30R2F0/0/30R3F0/1/30R3F0/0/30R3Loopback0/24R4F0/00/30R4Loopback0/24R4Loopback0/24实施步骤网络设备连接实施步骤（R1配置）R1(config)#interface

fastethernet0/0R1(config-if)#ipaddress

52R1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceloopback0R1(config-if)#ipaddress

R1(config-if)#noshutdownR1(config-if)#exitR1(config)#interface

fastethernet0/1R1(config-if)#ipaddress

52R1(config-if)#noshutdownR1(config-if)#exitR1(config)#routerripR1(config-router)#version2R1(config-router)#network

R1(config-router)#network

R1(config-router)#network

R1(config-router)#noauto-summaryR1(config-router)#default-informationoriginate实施步骤（R2配置）R2(config)#interfacefastethernet0/0R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacefastethernet0/1R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config-if)#exitR2(config)#routerripR2(config-router)#version2R2(config-router)#networkR2(config-router)#exitR2(config)#routerospf10R2(config-router)#networkarea0R2(config-router)#redistributeripmetric50subnetsR2(config-router)#default-informationoriginateR2(config-router)#exitR2(config)#routerripR2(config-router)#redistributeospf10metric1实施步骤（R3配置）R3(config)#interfacefastethernet0/0R3(config-if)#ipaddress52R3(config-if)#noshutdownR3(config-if)#exitR3(config)#interfaceloopback0R3(config-if)#ipaddressR3(config-if)#noshutdownR3(config-if)#exitR3(config)#interfacefastethernet0/1R3(config-if)#ipaddress52R3(config-if)#noshutdownR3(config-if)#exitR3(config)#routerospf10R3(config-router)#networkarea0R3(config-router)#network55area0R3(config-router)#networkarea1实施步骤（R4配置）R4(config)#interfacefastethernet0/0R4(config-if)#ipaddress052R4(config-if)#noshutdownR4(config-if)#exitR4(config)#interfaceloopback0R4(config-if)#ipaddressR4(config-if)#noshutdownR4(config-if)#exitR4(config)#interfaceloopback1R4(config-if)#ipaddressR4(config-if)#noshutdownR4(config-if)#exitR4(config)#routerospf10R4(config-router)#networkarea1R4(config-router)#network55area1项目测试（R1的路由信息）项目测试（R2的路由信息）项目测试（R3的路由信息）项目测试（R4的路由信息）项目测试（R1的通信状况）项目测试（R4的通信状况）思政小课堂首先，团队需要有一个清晰的目标，这是所有行动的基石目标明确与共识团队成员在数据规划完成后要确保信息在团队内部得到充分共享，确保每个成小组员都能获得所需的信息信息收集与共享针对问题，团队需要制定解决方案，并对每个方案进行集体讨论和头脑风暴，激发团队成员的创新思维，确保制定出最优的解决方案。集体讨论和头脑风暴通过集体讨论和合作，逐步缩小问题范围，最终确定问题的核心所在问题分析与定位任务分配与执行在执行过程中，团队成员应相互支持、密切配合，共同推动任务的顺利完成结果总结与反馈团队成员之间应相互反馈，肯定彼此的优点和不足，以便在未来的工作中不断改进和提升。团队合作下课，谢谢！授课教师：管秀君吉林交通职业技术学院CLASSOVER,THANKYOU!项目8部署和实施企业网与Internet互联授课教师：管秀君吉林交通职业技术学院学习任务8.7掌握网络地址转换技术及配置8.7.1网络地址转换（NAT）技术问题提出随着Internet技术的飞速发展，起来越多的用户加入到Internet，无论在办公室、宾馆、学校、公司及家庭，人们都需要接入Internet进行办公、娱乐等，互联网中任何两台主机间通信需要全球唯一的IP地址。目前，Internet的一个重要问题是IP地址需求急剧膨胀，IP地址空间已近衰竭，而NAT的使用恰好缓解了这个问题。解决方法还可以通过其它的一些技术来节省IP地址的使用，如：1.可变长子网掩码（VLSM）2.无类域间路由（CIDR）3.网络地址转换（NAT）4.IPv6：为解决IP地址耗尽问题，IPv6应该是最终的解决手段，但是由于现有网络都使用IPv4，绝大多数都不支持IPv6，要升级设备需要大量的资金，是一个长期且浩大的工程。什么是NATNAT（NetworkAddressTranslation）就是将网络地址从一个地址空间转换到另外一个地址空间的行为。它使得一个使用私有地址的网络中的主机以合法地址出现在Internet上。Internet/24/24为什么使用NAT？

内网对Internet的访问网络安全保护技术节省IP地址在内部局域网提供外部网络服务为什么需要NAT？IP地址危机

IPv4地址空间不足在为企业内部网络、测试实验室或家庭进行网络编址时，可以使用私有地址，而不必每台设备都花钱从ISP或注册中心哪里获得全球唯一的地址。但是这些地址在Internet上是不可被路由的。私有地址和公有地址因特网地址分配组织规定以下的三个网络地址保留用做私有地址：

-55-55-55使用NAT的优缺点优点缺点节省合法地址引入延迟减少地址冲突的机会丧失端到端的IP跟踪能力灵活连接Internet一些特定应用可能无法正常工作，如IPSEC，GRE，L2TP等维持局域网的私密性，因为内部IP地址是不公开的8.7.2

NAT的工作原理及方式NAT工作原理通常在以下几种情况下会用到NAT转换。（1）将私有的网络接入Internet，而又没有足够的注册IP地址；（2）两个要求互联的网络的地址空间重叠；（3）改变了服务提供商，需要对网络重新编址。NAT基本原理NAT:NetworkAddressTranslation网络地址转换NAT是一种地址映射技术，将主机的私有IP地址映射为一个外部唯一可识别的公用IP地址

Router(NAT)LAN(inside)WAN(outside)1源=目的=234源=目的=源=目的=源=目的=HOSTSERVER上行流下行流

内网外网私有IP地址公用IP地址NAT的类型NAT（NetworkAddressTranslation）转换后，一个内部本地IP地址对应一个全局IP地址。

NAT又分为：静态NAT和动态NAT。NAPT（NetworkAddressPortTranslation或NPAT）转换后，多个内部本地地址对应一个全局IP地址。NAT工作方式——静态转换NAT工作方式——动态转换访问过程NAT工作方式——动态转换响应过程NAPT与NAT的区别是什么NAT（NetworkAddressTranslation）转换后，一个内部本地IP地址对应一个全局IP地址。不能同时满足所有的内部网络主机与外部网络通信的需要。NAPT（NetworkAddressPortTranslation或NPAT）转换后，多个内部本地地址对应一个全局IP地址。NAPTNAPT只需要一个内部全局地址就可以映射多个内部本地地址，通过端口号来区分不同主机。

NAPT分为静态NAPT及动态NAPT。常见的端口号FTP TCP 20，21Telnet TCP 23HTTP TCP 80DNS TCP,UDP53TFTP UDP 69Well-known端口：0-1023注册端口：1024-49151动态或私有端口：49152-65535NAPT工作方式——静态转换访问过程NAPT工作方式——静态转换响应过程NAPT工作方式——动态转换访问过程NAPT工作方式——动态转换响应过程8.7.3

NAT的配置静态NAT静态NAT:

建立内部本地地址和内部全局地址的一对一的永久映射.永久的一对一IP地址映射关系需要向外部网络提供信息服务的主机的IP地址必采用静态NAT.静态NAT配置步骤

静态NAT配置基本步骤：①定义NAT翻译规则②定义NAT转换的内部端口③定义NAT转换的外部端口静态NAT配置命令

1.定义内部源地址与全局地址的静态转换关系

Router(config)#ipnatinsidesourcestaticlocal-addressglobal-address说明：local-address:内部私有地址;global-address:内部全局地址2.定义连接内部网络的接口Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside3.定义连接外部网络的接口Router(config)#interfaceinterface-typeinterface-number

Router(config-if)#ipnatoutside静态NAT的配置实例静态NAT的配置实例——R1配置Router#configterminal

//进入全局配置模式Router(config)#hostnameR1

//命名路由器为R1R1(config)#interfaceFastEthernet0/1

//进入路由器F0/1口R1(config-if)#ipaddress

//配置IP地址R1(config-if)#ipnatinside

//连接内部网络R1(config-if)#noshutdown

//激活端口R1(config-if)#exit

//退出当前模式R1(config)#interfaceSerial0/1/0

//进入路由器S0/1/0口R1(config-if)#ipaddress

//配置IP地址R1(config-if)#ipnatoutside

//连接外部网络R1(config-if)#noshutdown

//激活端口R1(config-if)#exit

//退出当前模式R1(config)#ipnatinsidesourcestatic

192.192.192.3

//内部地址静态转换成外网地址R1(config)#ipnatinsidesourcestatic

192.192.192.4

//内部地址静态转换成外网地址R1(config)#ipnatinsidesourcestatic

192.192.192.5

//内部地址静态转换成外网地址R1(config)#iproute

//配置默认路由静态NAT的配置实例——R2配置Router#configterminal//进入全局配置模式Router(config)#hostnameR2//命名路由器为R2R2(config)#interfaceFastEthernet0/1//进入路由器F0/1口R2(config-if)#ipaddress//配置IP地址R2(config-if)#noshutdown//激活端口R2(config-if)#exit//退出当前模式R2(config)#interfaceSerial0/1/0//进入路由器S0/1/0口R2(config-if)#ipaddress//配置IP地址R2(config-if)#clockrate64000//配置时钟频率R2(config-if)#noshutdown//激活端口R2(config-if)#exit//退出当前模式静态NAT的配置实例——结果验证R1#showipnattranslations

ProInsideglobalInsidelocalOutsidelocalOutsideglobal---------------------------动态NAT动态NAT:建立内部本地地址和内部全局地址池的临时映射.临时的一对一IP地址映射关系适用于只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数动态ＮＡＴ配置配置步骤（1）定义一个用于动态NAT转换的内部全局地址池指定内部网络接口（2）定义标准ACL，匹配该ACL的内部本地地址可以动态转换（3）配置内部本地地址和内部全局地址间的转换关系（4）定义接口连接内部网络（5）定义接口连接外部网络动态NAT配置命令（1）1.定义一个可以根据需要进行分配的全局IP地址池Router(config)#ipnatpoolpool-namestart-addressend-address{netmask

mask}说明：

address-pool：地址池的名称（可任意设定）

start-address：在地址池中定义地址范围的起始IP地址

end-address：在地址池中定义地址范围的结束IP地址

netmaskmask：定义网络掩码

例：定义一个NAT地址池。Router(config)#ipnatpoolmynatpool00netmask2.定义一个标准访问列表，只有匹配该列表的地址才可以进行动态地址转换Router(config)#access-list<1-99>

permitIP地址反掩码3.定义内部源地址动态转换关系：将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换Router(config)#ipnatinsidesourcelist标准ACL号

pool

地址池的名称例如：将访问控制列表用于NAT地址池。Router(config)#access-list

20

permit

55Router(config)#ipnatinsidesourcelist20

pool

mynatpool动态NAT配置命令（2）4.定义该接口连接内部网络Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside5.定义接口连接外部网络Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatoutside例如：Router(config)#interfacef0/0Router(config-if)#ipnat

insideRouter(config)#interfaces0/1/0Router(config-if)#ipnatoutside动态NAT配置命令（3）动态NAT配置实例仍然以图8-30为例，与静态NAT地址转换示例不同的是，当私网用户不需要获取固定的公网地址时，就可以进行动态NAT配置。动态NAT实例配置过程路由器R1、R2基本配置及解释请参照静态NAT配置，此处不再重述。R1(config)#access-list1permit

55

//创建ACL允许网段NAT转换R1(config)#ipnatpooltom

192.192.192.3

netmask

//配置名为tom的地址池，将合法外部地址段192.192.192.3至192.192.192.5

加入地址池。R1(config)#ipnatinsidesourcelist1pool

tom//将内网的符合ACL1的数据包的源地址转换为地址池tom中的地址。

动态NAT实例配置验证先用内网用户PC0测试与外网用户PC3的通信状况，在查看路由器R1的动态NAT转换列表内容如下所示。R1#shoipnattranslationsPro

Insideglobal

Insidelocal

Outsidelocal

Outsideglobalicmp:1:1:1:1icmp:2:2:2:2icmp:3:3:3:3icmp:4:4:4:48.7.4

NAPT的配置静态

NAPT与

动态NAPT静态NAPT适用于需要向外网络提供信息服务的主机永久的一对一“IP地址+端口”映射关系动态NAPT只访问外网服务，不提供信息服务的主机临时的一对一“IP地址＋端口”映射关系静态NAPT配置（1）定义静态转换关系Router(config)#ipnatinsidesourcestatic

protocollocal-iplocal-port

global-ipglobal-port其中：static为静态转换protocol

为TCP或UD