一.网络
?络是通过传输介质将络中断设备连接到数据交换和资源共享的平台。
1.?路由器、交换机
3. 传输介质:线、光纤、同轴电缆
4. ?网络终端设备:计算机、服务器、机器、摄像头
二.osi七层参考模型(开放系统互联)。核心思想:分层
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
1.应?层
功能是直接为家庭提供服务,完成家庭希望在网络上完成的各种工作。
该层的功能是将解码后的计算机程序语言表出来,从展示给家庭,实现家庭操作计算机程序。
2.表示层
表层对应层的数据和命令进行解释,解释为程序能够理解的程序语言。
此外,表层负责数据的压缩和解压、加密和解密。
3.会话层
负责在不同主机之间建造,维护和终止通信(会话)。
因此,计算机收到数据进入有序传输控制,
但是有这么多的过程,需要哪个过程?到了这个数据,就把他输送到那个过程。
4.传输层
我们可以通过IP地址找到了特定的主机,但是如何识别主机上的应用程序呢?答案是终端。
传输层的功能:构建端到端的数据传输,即过程与过程之间的数据传输。
传输层为我们提供两种端到端通信服务
1.TCP协议:效率低但发送包会验证是否完整
2.UDP协议:效率,但不管其他能否完全收到
5.网络层
?根据主机的主机,络层的主要功能IP地址完成主机之间的数据传输。
具体来说,数据链路层的数据被转换为数据包,然后选择相应的路径(路由选择算法),
从?个?络设备传输到另?个?络设备。
?一般来说,数据链路层是解决同一网络节点之间的通信,主要解决不同网络之间的通信。
?路由器
6.数据链路层
为保证数据的可靠传输,将数据封装成数据帧进行传输。
数据帧分为报头head 和数据data两部分,报头(head)包括发送者(源地址)、接收者(标准地址)、数据类型三部分。
7.物理层
物理层的主要功能是通过物理介质传输特流。一般来说,它使物理信号(电信号或光信号)
数据0和1。常用设备包括中继器、集线器、线路和同轴电缆
三.和解封装
封装可以理解为在将每层的实现数据添加到内容数据之前,解封装是一个逆过程。真正完成这项工作 协议在各级工作。 类似于类似,信纸不能直接寄出,需要信封、收件人、发件人、邮编、邮票等。 实现数据相当于各层。
四.三次握手
1.发送端首先发送带有SYN(synchronize)标志地数据包给接收方。
2.接收方接收后,回传一个SYN/ACK标志的数据包传递确认信息,说明我收到了。
3.最后,发送方将带有另一个回复ACK标志数据包,代表我知道,说握手结束。
通俗解释:
客户:嘿,李四,是我,听到了吗?
服务:我听到了,你能听到我的吗?
客户:好的,我们可以互相听到对方的话,我们的通信可以开始。
四次挥手
1.第一次挥手:Client发送一个FIN,用来关闭Client到Server数据传输,Client进入FIN_WAIT_1状态。
2.第二次挥手:Server收到FIN之后,发送一个ACK给Client,确认序号为接收序号 1(与SYN相同,一个FIN占用一个序号),Server进入CLOSE_WAIT状态。
三、第三次挥手:Server发送一个FIN,用来关闭Server到Client数据传输,Server进入LAST_ACK状态。
4.第四次挥手:Client收到FIN后,Client进入TIME_WAIT状态,然后发送一个ACK给Server,确认序号为接收序号 1,Server进入CLOSED状态,完成四次挥手
通俗解释:
客户端:我什么都说完了。
服务端:我已经听到了一切,但等我,我还没说完。
客户端:好吧,我已经完成了
服务:好的,我们的通信结束了
五.ip地址
ip地址由32位二进制组成 。方便人类读写成十点
由网络位和主机位组成
如何判断两个或多个地址是否在同一网段(广播域)
IETF早期规定的网络划分方法:主类划分方法
主类划分---看数字辩网段
我们通过前8位,即第一组8位二进制来区分这五类。
A前八位二进制为 0XXXXXXX,转化为10进制就是 0 - 127
他的网络位置是前八名。 和 127是特殊地址,所以A类的范围是1 - 126
B前八位二进制为 10XXXXXX 128 - 191 网络位是前16位
C前八位二进制为 110XXXXX 192 - 223 网络位前24位
D前八位二进制为 1110XXXX 224 - 239 无论主机位置和网络如何,组播地址都是
E前八位二进制为 1111XXXX 240 - 255 保留美军所有的地址
特殊IP地址
1,127.0.0.1 - 127.255.255.255 ---- 环回地址
2,255.255.255.255 ---- 广播地址有限 ---- 受路由器的限制 --- 只能作为目标IP使用
3,主机位全1 --- 192.168.2.X/24 --- 192.168.2.255 --- 直接广播地址 --- 只能作为目标IP使用
4,主机位全0 --- 192.168.2.X/24 --- 192.168.2.0 -- 网段 -- 网络号
5,0.0.0.0 --- 1,代表没有IP。2,代表任意IP。
6,169.254.0.0/16 --- 自动私有地址
VLSM与CIDR
无类地址-使用子网掩码不是通过数字识别网段,而是通过网络位置的地址子网掩码1
VLSM --- 可变长子网掩码 ---- 子网划分
核心思路:通过延长子网掩码(将主机位借入网络位)来划分网段
CIDR --- 无类域间路由 ---- 汇总 可变长子网掩码-取相同的
六.ARP协议分析过程:
如果A主机想传输B主机的数据
1)A主机会先检查自己的ARP高速缓存中是否有B主机的Mac地址记录
2)如果A主机的高速缓存中有B主机的记录,则直接通过此Mac地址传输数据。
3)如果A主机的高速缓存中没有B主机的记录,将向所有局域网主机广播ARP请求,找B主机Mac地址。
4)当B主机收到A主机的广播时ARP请求将直接回复A主机ARP数据包。
5)当A主机收到B主机发送的请求时,BMac地址写入高速缓存,然后通过Mac地址,A主机向B主机传输数据流。
七.路由器
路由器的作用:
1.不同网络之间的互联网
2.为其承载的数据选择路径-选择路径
路由器的工作原理:
当数据包进入路由器时,首先检查目标IP地址;然后查询当地路由表,如果表中有记录,将无条件转发;如果没有记录,流量将被丢弃;
获取未知网段的方法:
1.静态路由-手写
2.动态路由-路由器协商、沟通和计算自动生成
静态路由:
[r1]ip route-static192.168.3.0 255.255.255.0 192.168.2.2
目标网络号 下一跳
[r1]displayiprouting-table 查看路由表
下一个跳跃:下一个流量进入接口ip地址
静态扩展配置:
1.负载平衡:当访问相同的目标并有多个类似的费用路径时;设备可拆分流量,同时延伸多条路径传输;起到带宽叠加的作用;
2.环回接口-创建后,可用于路由器测试TCP/IP协议组件能否包装和解封[r1]interfaceLoopBack?<0-1023>LoopBackinterfacenumber
[r1]interfaceLoopBack0
[r1-LoopBack0]ipaddress1.1.1.124
模拟连接也可用于实验环境PC终端用户接口,降低实际设备成本需求;
3.手动汇总。如果路由器需要访问多个连续子网,并且有相同的下一个跳跃;这些网段可以汇总计算;然后只写到汇总网段的路由;-节省路由表的数量
4.路由黑洞汇总地址包括在内,络内实际不存在的网段时;让将导致流量有去无回;浪费链路资源;建议合理的ip地址规划(便于无黑洞汇总),尽量精确汇总;
5、缺省路由--一条不限定目标的路由,代表所有网段;路由器查表时在查询完本地所有的直连、静态、动态路由后若依然没有可达路径,才使用该条目;
[r1]iproute-static 0.0.0.0 0.0.0.0 12.1.1.2
6、空接口当路由黑洞与缺省路由相遇时,将必然出现环路;在黑洞路由器上,配置一条到达汇总网段的空接口路由;空接口及丢弃流量;来避免环路的产生;
[r1]iproute-static1.1.0.022 NULL 0
7、浮动静态不同方式产生到路由表中条目,其优先级不同;直连=0静态=60优先级取值范围0-255越小越好;
[r1]iproute-static100.100.100.02413.1.1.2preference?INTEGER<1-255>Preferencevaluerange
[r1]iproute-static100.100.100.02413.1.1.2preference61
访问相同目标,具有多条路径时;将加载优先级最小到表中使用;若优先级相同将同时加表(负载均衡);因此修改部分路由的优先级,可以实现静态备份的效果;
八.VLAN:虚拟局域网
交换机和路由器协同工作后,将一个广播域逻辑的分割为多个;
配置思路:
1、交换机上创建vlan
2、交换机上的各个接口划分到对应的vlan中
3、Trunk(中继)干道
4、VLAN间的路由---路由器的子接口(单臂路由)多层交换机的SVI
配置命令:
1、交换机上创建VLAN的编号由12位二进制构成;0-4095;其中1-4094可用;默认交换机存在vlan1;且所有接口默认存在vlan1;
[sw1]vlan2
[sw1-vlan2]q
[sw1]vlan3
[sw1-vlan3]q
[sw1]vlanbatch4to10
[sw1]vlan batch11 to 20 25 to 30
2、交换机上的各个接口划分到对应的vlan中[sw1]interfaceEthernet0/0/1
单独将某个接口划分到对应的
vlan[sw1-Ethernet0/0/1]portlink-typeaccess
先将该接口修改为接入模式
[sw1-Ethernet0/0/1]portdefaultvlan2
再将该接口划分到对应的vlan中批量的将多个接口划分到同一个vlan
[sw1]port-groupgroup-memberEthernet0/0/3toEthernet0/0/4
[sw1-port-group]portlink-typeaccess
[sw1-port-group]portdefaultvlan33、
trunk干道不属于任何一个vlan,承载所有vlan流量转发;可以标记(封装)识别(解封装)不同vlan的标签;
VLANID压入到数据帧中的标准---802.1q(dot1.q)
[sw1]interfacee0/0/5
[sw1-Ethernet0/0/5]portlink-typetrunk
将接口修改trunk模式
[sw1-Ethernet0/0/5]port trunk allow-passvlan2to3注:默认华为交换机仅允许VLAN1通过;需要定义允许列表
[sw2-Ethernet0/0/3]port trunk allow-pass vlan all
允许所有vlan通过4、路由器子接口[router]interfaceg0/0/0.1
创建子接口
[router-GigabitEthernet0/0/0.1]dot1qterminationvid2
定义其管理的vlan
[router-GigabitEthernet0/0/0.1]ipaddress192.168.1.254 24
[router-GigabitEthernet0/0/0.1]arpbroadcastenable开启子接口ARP功能
九.动态路由
动态路由协议:路由器间沟通,协商,计算自动生成路由表;在拓扑结构发生变化后,可以实时收敛(重新计算)来适应新的结构;
基于AS进行分类:
AS--自治系统0-65535标准编号
IGP内部网关路由协议AS内部使用--RIPOSPFEIGRPISIS.....
EGP外部网关路由协议AS之间使用---BGPEGP.....
IGP的分类:
【1】基于工作特点进行分类:
DV距离矢量 RIP EIGRP......
LS链路状态 OSPF ISIS......
【2】基于更新时是否携带子网掩码
有类别--不携带子网掩码,按主类定义子网掩码
无类别--携带子网掩码,基于实际掩码来判断网段
RIP:路由信息协议。属于距离矢量协议
存在V1/V2/NG(下一代IPV6专用)
基于UDP520端口工作;
使用跳数作为度量;
更新方式:30s周期更新、触发更新周期更新--保活取代确认优先级100;
支持等开销负载均衡;
V1和V2的区别:
1、V1有类别协议,不携带子网掩码,不能区分子网划分和汇总;
V2无类别协议,携带子网掩码,进行VLSM和子网汇总,不支持超网;
2、V1广播更新--255.255.255.255
V2组播更新--224.0.0.9
3、V2支持手工认证
破环机制:
1、水平分割--从此口进,不从此口出--直线拓扑中防环;
最主要的作用是在MA网络中避免重复流量;MA网络--多路访问访问--一个网段的节点数量不限制
2、触发更新--毒性逆转水平分割
3、最大跳数---15跳16跳为不可达
4、抑制计时器;
配置命令:
V1配置:
[r1]rip?
INTEGER<1-65535>ProcessID
[r1]rip启动时可以定义进程号;默认为进程1;仅具有本地意义
[r1-rip-1]version1 选择版本1;
宣告:
1、激活--被选中接口可以收发rip的信息
2、共享路由--被选中接口的网段可以共享给本地的所有邻居;
[r1-rip-1]network1.0.0.0
[r1-rip-1]network12.0.0.0
[r1-rip-1]network172.16.0.0
[r1-rip-1]network192.168.1.0
切记:RIP宣告时,只能宣告主类网段;
[r2]displayiprouting-tableprotocolrip
查看某种协议产生的路由条目
V2的配置:
[r1]rip?
INTEGER<1-65535>ProcessID
[r1]rip 启动时可以定义进程号;默认为进程1;仅具有本地意义
[r1-rip-1]version2 选择版本2;
宣告:
1、激活--被选中接口可以收发rip的信息
2、共享路由--被选中接口的网段可以共享给本地的所有邻居;
[r1-rip-1]network1.0.0.0
[r1-rip-1]network12.0.0.0
[r1-rip-1]network172.16.0.0
[r1-rip-1]network192.168.1.0
【2】RIP的扩展配置
1)RIPV2的手工汇总--在更新源路由器上,所有更新发出的接口上配置
[r1]intg0/0/1[r1-GigabitEthernet0/0/1]ripsummary-address1.1.0.0255.255.252.0
2)RIPV2的认证
邻居间收发的RIP消息中进行身份核实口令添加;同时华为在接口开启认证后,所有rip的信息将被加密传输
[r1]interfaceg0/0/1
[r1-GigabitEthernet0/0/1]rip authentication-mode md5 usual cipher123456
两两直连的邻居间,认证口令和模式必须完全一致;
3)沉默接口(被动接口)--仅接收不发送路由协议信息;
只能用于连接用户终端的接口;不能用于直连路由器邻居的接口,否则邻居间将无法共享路由信息[r1]rip1
[r1-rip-1]silent-interfaceGigabitEthernet0/0/0
4)加快收敛
RIP计时器 30s更新 180s失效 180s抑制 300s刷新
适当的修改计时器,可以加快协议的收敛速度;修改时,全网所有运行rip的设备建议一致;维持原有倍数关系;且不易修改的过小;
[r1]rip1
[r1-rip-1]timers rip 30 180 300 抑制计时器不修改
5)缺省路由--在边界路由器上定义缺省源头信息后,将向内网发布缺省路由;之后内部路由器将自动生成缺省路由指向边界路由器方向;边界路由器指向ISP的缺省路由,依然需要手写;
[r3]rip
[r3-rip-1]default-routeoriginate
Ospf:
开放式最短路径优先协议无类别链路状态igp协议;周期更新(30min)+触发更新;链路状态协议的更新量随着网络范围的扩展指数性的上升,因此ospf协议为了在中大型网络中工作,需要结构化的部署-区域划分、合理ip地址规划;组播更新---224.0.0.5224.0.0.6
ospf的工作过程
启动配置完成后,邻居间开始收发hello包;hello包中将携带本地及本地所有已知邻居的rid;之后生成邻居表;邻居间需要关注是否可以成为邻接的条件;若不能建立为邻接,将保持为邻居关系,仅hello包周期保活即可;若可以建立邻接关系;将使用DBD进行本地数据库目录的对比;之后基于对比的结果,使用LSR/LSU/LSack来获取本地未知的LSA信息;使邻接关系间数据库(lsdb)完成同步(一致),生成数据库表;之后本地基于lsdb,使用spf算法,生成有向图—>最短路径树——>计算本地到达所有未知网段的最短路径,将其加载到本地路由表中;收敛完成;收敛完成后,邻居和邻接关系间均hello每10s保活;每30min一次邻接关系间周期数据库比对,保障一致
】ospf的5种数据包:
Hello邻居的发现,关系的建立;周期(10s)的保活携带rid
Dbd数据库描述包;本地数据库目录
Lsr链路状态请求
Lsu链路状态更新
Lsack链路状态确认
Lsa-链路状态,具体一条一条路由信息或拓扑信息;但它不是一个包,是被lsu数据包来携带;
【2】Ospf的7个状态机:
Down:一旦接收到的hello包,进入下一个状态机
Init初始化:一旦接收到的hello包中,存在本地的rid,进入下一个状态
2way双向通讯:邻居关系建立的标志关注条件:
Exstart预启动:使用不携带目录信息的DBD包,进行主从关系的选举;rid大为主,优先进入下一个状态;解决了目录共享时的无序;
Exchange准交换:使用携带目标信息的dbd包,共享本地数据库目录;
loading加载:查看完邻接的dbd信息后,对比本地,然后基于本地未知的lsa进行查询;使用lsr向对端查询,对端使用lsu来传输这些lsa信息,本地收到后需要lsack来进去确认;
Full:邻接关系建立的标志;意味着邻接间,数据库同步(一致)
【4】基础配置
[r1]ospf1router-id1.1.1.1
启动时可以定义进程号、RID;默认进程1,RID--格式为IPV4地址,全网唯一;手工--》环回接口最大数值--》物理接口最大数值
[r1-ospf-1]
宣告:
1、激活--可以收发ospf的信息
2、被选中接口的拓扑信息可以共享给邻接
3、区域划分
[r1-ospf-1]area0
[r1-ospf-1-area-0.0.0.0]network1.1.1.10.0.0.0
[r1-ospf-1-area-0.0.0.0]network12.1.1.00.0.0.255
ospf在宣告时,需要使用反掩码,来匹配宣告的地址范围
区域划分规则:
1、星型结构---编号0骨干区域(中心),大于0为非骨干区域(分支)非骨干区域必须直连骨干区域;2、必须存在ABR---区域边界路由器两个区域间互联的设备启动配置完成后,邻居间收发hello包;建立邻居关系,生成邻居表:
[r2]displayospfpeer查看邻居关系[r2]displayospfpeerbrief查看邻居简表
邻居关系建立后,关注条件;匹配失败,保持为邻居关系,仅hello包周期保活;匹配成功可以建立为邻接(毗邻)关系;邻接关系间,将使用DBD/LSR/LSU/LSack来获取本地未知的LSA信息;完整本地的LSDB(数据库表);[r2]displayospflsdb
当数据库同步完成后;本地基于SPF算法,将数据库转换为有向图,再将有向图转换为树型结构;之后基于树形结构,以本地为起到到达所有未知网段的最短路径,加载到路由表中;<r1>displayiprouting-tableprotocolospf查看ospf路由
优先级为10;度量为cost值;cost值=开销值
【5】扩展配置
1)DR/BDR选举
邻居成为邻接关系的条件;与网络类型有关;
网络类型:点到点--在一个网段内只能存在两个节点--串线链路
MA--多路访问-在一个网段内的节点数量不限制;不是当下连接了几个节点;而是该网络类型允许最终连接多个节点;--以太网
点到点网络邻居关系直接成为邻接关系;在MA网络中,将进行DR/BDR选举;在一个网段中仅DR/BDR与其他路由器为邻接关系;非DR/BDR之间为邻居关系;
选举规则:
1、先比较该网段所有参选设备接口的优先级,越大越优;默认优先级为1;取值范围0-255,0标识不参选
2、若所有参选者优先级相同,比较参选设备的RID,数值大优;
干涉选举:
1、DR优先级最大,BDR次大--切记ospf的选举是非抢占性的;故在修改完优先级后,需要所有路由器重启OSPF进程;
[r2]interfaceGigabitEthernet0/0/0
[r2-GigabitEthernet0/0/0]ospf dr-priority 3
修改接口优先级
<r1>resetospfprocess 重启ospf进程
Warning:TheOSPFprocesswillbereset.Continue?[Y/N]:y
2、DR优先级修改为最大,BDR次大;其他设备修改为0;无需重启进程
2)区域汇总---OSPF协议不支持接口汇总;只能在ABR上将a区域拓扑计算所得路由,共享给B区域时进行汇总;
[r2]ospf1
[r2-ospf-1]area0
[r2-ospf-1-area-0.0.0.0]abr-summary1.1.0.0255.252.0.0
R2为一台连接区域0和其他区域的ABR;以上操作为,R2将通过区域0学习到的拓扑计算所得的路由,传递给其他区域时进行汇总,汇总网段1.1.0.0/22
3)被动接口(沉默接口)--仅接收不发送路由协议信息;用于连接用户终端的接口,不得用于连接邻居路由器的接口,否则无法建立邻居关系;
[r2]ospf1
[r2-ospf-1]silent-interfaceGigabitEthernet0/0/0
4)认证--接口认证在直连邻居或邻接的接口上配置,保障更新的安全
[r1-GigabitEthernet0/0/1]ospf authentication-mode md 5 1 cipher 123456
模式、编号、密码要求邻居间一致
5)加快收敛
邻居间计时器10s hello time 40s dead time
邻居间,修改本端的hellotime,本端的deadtime自动4被关系匹配;但ospf中邻居间的hellotime和deadtime必须完全一致,否则无法建立邻居关系;[r1]interfaceGigabitEthernet0/0/0
[r1-GigabitEthernet0/0/0]ospf timer hello 5
6)缺省路由---边界路由器上配置后,将自动向内网下放一条缺省路由,之后内网设备将自动生成缺省路由指向边界
[r4]ospf1
[r4-ospf-1]default-route-advertisealways
十.ACL
ACL访问控制列表:
作用:
1、访问控制---在路由器流量进或出的接口上,匹配流量产生动作---允许、拒绝
2、定义感兴趣流量---抓取流量,之后给到其他的策略,让其他策略进行工作;
匹配规则:至上而下逐一匹配,上条匹配按上条执行,不再查看下条;cisco系默认末尾隐含拒绝所有;华为系末尾隐含允许所有;
分类:
1、标准---仅关注数据包中的源ip地址
2、扩展---关注数据包中的源、目标ip地址,目标端口号或协议号配置命令:
【1】标准---由于标准ACL仅关注数据包中的源ip地址;故调用时必须尽量的靠近目标;避免对其他流量访问的误删;编号2000-2999为标准列表编号,一个编号为一张表;
[r2]acl2000
[r2-acl-basic-2000]rule deny source192.168.1.30.0.0.0
[r2-acl-basic-2000]rule deny source192.168.0.00.0.255.255
[r2-acl-basic-2000]rule deny source any
需要使用通配符来匹配范围;通配符和反掩码的区别,在于通配符可以0与1穿插书写;
ACL定义完成后,必须在接口上调用方可执行;调用时一定注意方向;一个接口的一个方向上只能调用一张表;
[r2]interfaceGigabitEthernet0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter?
inbound Apply ACL to the inbound direction of the interface
outbound Apply ACL to the outbound direction of the interface
[r2-GigabitEthernet0/0/1]
traffic-filter outbound acl 2001
【2】扩展列表配置--由于扩展ACL源、目ip地址均关注,故调用时尽量靠近源;尽早处理流量;[r1]acl3000
扩展列表编号3000-3999
[r1-acl-adv-3000]rule deny ip source 192.168.1.30.0.0.0destination192.168.3.20.0.0.0源、目ip地址位置,使用通配符0标记一个主机,或使用反1标记段,或使用any均可
【3】使用扩展列表,同时关注目标端口号;
目标端口号:服务端使用注明端口来确定具体的服务;
ICMPV4--internet控制管理协议--ping
Telnet--远程登录明文(不加密)基于tcp,目标端口23;
条件:
1、被登录设备与登录设备网络可达
2、被登录设备进行了telnet服务配置
[r1]aaa
[r1-aaa]local-userpanxiprivilegelevel15passwordcipher123456
[r1-aaa]local-userpanxiservice-typetelnet
创建名为panxi的账号,权限最大,密码123456;该账号仅用于telnet远程登录
[r1]user-interfacevty04
[r1-ui-vty0-4]authentication-modeaaa
在vty线上开启认证
[r1]acl3001
[r1-acl-adv-3001]rule deny tcp source 192.168.1.100 destination 192.168.1.1 0 destination-port eq 23
拒绝192.168.1.10对192.168.1.1访问时,传输层协议为tcp,且目标端口号为23;
[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0
仅拒绝192.168.1.10对192.168.1.1的ICMP访问
NET
IPV4地址中,存在私有与公有IP地址的区别:
公有:具有全球唯一性,可以在互联网通讯,需要付费使用
私有:具有本地唯一性,不能在互联网通讯,无需付费使用
私有ip地址:10.0.0.0/8 172.16.0.0/16-172.31.0.0/16 192.168.0.0/24-192.168.255.0/24
NAT网络地址转换:边界路由器上--连接外网的公有ip地址所在接口配置边界路由器上,对进、出的流量进入源或目标ip地址的修改;
一对一 一对多 多对多 端口映射
一对多:多个私有ip地址对应同一个公有ip地址PAT端口地址转换先使用ACL定义可以被转换的私有ip地址范围
[r2]acl2000
[r2-acl-basic-2000]rule permit source192.168.0.0 0.0.255.255
[r2]intg0/0/2
公网所在接口;acl2000列表中关注的私有ip地址,通过该接口转出时,其源ip地址修改为该接口公有ip
[r2-GigabitEthernet0/0/2]nat outbound 2000
一对一的配置:
连接公网的接口配置
[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.10
端口映射:
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
Warning:Theport80iswell-knownport.Ifyoucontinueitmaycausefunctionfailure.Areyousuretocontinue?[Y/N]:y
外部访问该接口ip-12.1.1.1且目标端口号为80时,将被修改为192.168.1.10目标端口80;
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888i nside 192.168.1.20 80
外部访问该物理接口ip-12.1.1.1且目标端口为8888时,将被修改为192.168.1.20目标端口80;
多对多配置:
[r1]nat address-group 1 12.1.1.31 2.1.1.10
先定义公有ip地址范围
[r1]acl2000
再定义私有ip地址的范围
[r1-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
最后在连接公网的接口上配置多对多
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
一对一(多个一对一)