网络变大：

1.节点（终端）增加--HUB（集线器）->多接口放大器          （物理层）
传输距离的延长--继电器(放大器)外部独立供电(纯物理层)--不能无限延长
波形失真
对于所有存在的问题急需解决地址和冲突的问题。

1.解决地址问题。
地址要满足长度一样，号码不一样。最早我们用的是MAC地址，MAC地址就是没个网卡芯片出厂时烧录的、全球唯一的串号，该串号由48位二进制构成，为了方便采用16进制显示。
2.解决冲突问题。
对冲突的解决方法是队列,CSM/CD机可以这样做,该机的功能是检测多个路径访问和检测载体之间的冲突。

网络变大->无线距离、无冲突、单播->交换机->MAC地址->洪泛->洪泛的范围->路由器（三层设备）->IP地址->ARP->广播（逼交换机洪泛）->广播域

OSI七层模型：

核心：分层
应用层       抽象语言的输入和输出                  抽象语言变成编码
表示层     （表示层之下都是二进制）            编码变成二进制
对话层是应用程序内部提供的内部地址
顶部的三个层都是应用程序处理数据 -- 顶部的三个层通常称为应用程序流层

下四个层负责数据传输,称为数据流层。
传输层提供端口号、段(由MTU限制)的软件 TCP/UDP
网络层       internet协议（IP）
数据链层(机械访问控制层) --MAC控制物理硬件(控制CPU,控制程序)
物理层（一个东西）

IP地址：

IPV4(Internet Protocol Version 4)地址由32位二进制点到点十进制识别组成。

ARP：

ARP是一个地址分析协议,它通过另一端的地址获取另一端的地址。ARP分为正的ARP、逆的ARP和无理的ARP。正的ARP是一个与相反的IP地址,广播查询的另一端的MAC地址.逆ARP是一个已知的本地或前端MAC地址,通过MAC查询IP地址.ARP正在使用IP地址,沿右ARP向外跑,但是查询的目标IP地址是本地IP,不合理的ARP的作用是检测解决冲突.

MTU：

最大传输单元,假设为1500字节(第二层)

端口号：

0-65535 1-1023 注释端口(静态端口) 服务器的固定服务端口
1024-65535高端口(动态端口)随机分配给相应的终端

网络的连接拓扑：

直线形---总线
环形
星中心到站轴辐射(路由器)
网格 - 多环, 全链, 部分网格

PDU :

协议数据单元, 每个数据层的单元.

上三层：数据报文

传输层：数据段

网络层：数据包

数据链路层：数据帧

物理层：比特流

TCP和UDP：

TCP: 传输控制协议 - 可靠传输协议 - 连通性 、 慢 、 可靠传输, 20 字节 - 文件类型 、 追求完整的传输信息类型 TCP 三振 、 四断
UDP:用户数据报告协议-不可靠传输协议-没有连接,快速,不可靠传输,8字节-语音类,实时传输类(视频,游戏)
WeChat和qq聊天数据使用UDP
TCP更适合在效率要求相对较低但精度要求较高的情况下(例如文件邮件)
UDP更适合具有相对较高的效率但较低的精度要求的场景(例如即时消息)

主要类别-浏览数字辩论

我们用第一个八个数字的集合来区分这些五类,第一个八个数字的集合。
类A: 第8位二进制为0XXxxXXx, 转换为10位二进制为0 - 127
他的网络位是前8位。因为0和 127是特殊地址，所以A类的范围是1 - 126
类B: 第一个8位元二进制是10XX 128 - 191 网络位元是第一个16位元
类C:首个8位二进制是110XX 192 - 223 网络位是首个24位
D类:以前的8位二进制是110XX 224-239组广播地址,不与主机和网络分开
E类: 第一个八个二进制地址为11XX240-255, 为美国陆军保留

特殊IP地址

1.127.0.0.1-127.255.255.255---环回地址（自己给自己用）
2.255.255.255.255---受限广播地址---受路由器的限制---只能作为目标IP使用（所有目标）
3.主机位全1---192.168.2.X/24---192.168.2.255---直接广播地址---只能作为目标IP使用
4.主机位全0---192.168.2.X/24---192.168.2.0---网段---网络号
.0–1,代表没有IP(作为主机)。2,代表任意IP(作为终端)
6.169.254.0.0/16---自动私有地址

TCP/IP等效模型层--应用层、传输层、网络层、数据链层、物理层

VLSM与CIDR

非分类地址:不要以数字识别网络的段落,而是使用子网面具。规则是子网面具放置在网络的地址上
VLSM:变长子网掩护-子网分离
核心思想:通过扩展子网掩饰实现网络分割(借机到网络)

CIDR-非分类域间路由器-合成
操作方法:总地址扩展为二进制,将相同地址扩展为不同的地址
可变长度网格编码 - 将相同带到不同的

带宽计算公式：

速度≈(带宽/8)*85%
网线：RJ-45双绞线（主流）：数字信号--二进制   非屏蔽线   最佳距离---100m   民用1000m/s   商用100000m/s
光纤:光信号(一般是光纤,如果您想配置超过10,00 MB的带宽)
RJ-11双线(电话线):模拟信号
同轴电缆：数字信号

路由器:

1.角色:界定广播区域,连接不同网络,路由--选择路由
2．工作原理
同一洪水范围和不同洪水范围设备之间的通信是不同的。 在此点,必须满足设备在访问其他设备之前确定目标和本地是否在一个域内,并且通过洪水可以在一个域内找到目标,除非交通被转移到另一个域的路由器
3.服务器
服务器是一个具有较高的配置的计算机
4.常见的服务
HTTP:超文本传输协议
HTTPS:安全超文本传输协议
DNS:域名分析服务
FTP:文件传输协议

1.静态路由器-手写
2.动态路由器--路由器之间自动生成通信、计算和协商

VLAN:虚拟域名网络

当开关和路由器一起工作时,广播域逻辑被分成多个部分

配置思路：
1.在交换机上创建VLAN
开关上的接口分为相应的VLAN
3.trunk（中继）干道
4.VLAN路由器-路由器子界面（单臂路由）     多层交换机的SVI

配置命令：
1.Created on Exchange:VLAN代码由12位二进制,0-4095,其中10-4094是可用的
默认交换在VLAN1中存在,默认所有接口在VLAN1中存在
[sw1]vlan batch 2 to 10

开关上的接口分为相应的VLAN
[sw1]interface ethernet0/0/1      单独将某接口划分到对应的VLAN
[sw1-enthernet0/0/1] port link-type access 首先将接口修改为接口模式
[sw1-enthernet0/0/1]port default vlan 2
同时配置多个接口
[sw1]port-group group-member ethernet0/0/3 to ehternet0/0/4
[sw1-port-gourp]port link-type access
[sw1-port-gourp]port default vlan 3

3.Trunk节点不属于任何单一的Vlan,带有所有Vlan传输,并且可以标记以识别(封装)和(脱封装)不同的Vlan
VLAN ID 压入到数据帧中的标准---802.1q（dot1.q）
[sw1]interface e0/0/5
[sw1-ethernet0/0/5]port link-type trunk
[sw1-ethernet0/0/5]port trunk allow-pass vlan all    允许所有vlan通过

4.VLAN路由器-路由器子界面
[ar1]interface g0/0/0.1
[ar1-gigabitethernet0/0/0.1]dot1q termination vid 2          定义其管理的vlan
[ar1-gigabitethernet0/0/0.1]ip address 192.168.1.254 24
[ar1-gigabitethernet0/0/0.1]arp broadcast enable      开启子接口  arp功能

静态路由：

静态路由的写法：ip route-static 192.168.3.0 255.255.255.0（24） 192.168.2.2
目标网络号                                     下一跳
下一个跳跃;下一个流到接口的IP地址
(数据不是由路由器管理,将在下一个跳后发送)

最短选路：
减少延误,加速传输速度。
只有当每个人都选择最短的路线才能避免网络循环

静态的扩展配置：
1.载荷平衡: 当访问同一目标并使用多个类似路径时,它可以允许设备同时切断流量和延迟多个路径。
起到带宽叠加的作用

2.Loopback接口:创建后,可以由路由器用来测试是否可以加密和非加密的TCP/IP协议组件
同时,可以在实验环境中模拟PC端口的用户界面,降低实际设备成本
[r1]interface LoopBack
<0-1023>LoopBack interface number
[r1]interface LoopBack 0
[r1-LoopBack0]ip address 1.1.1.1 24

3.手动聚合:如果路由器需要访问多个连续的子网,并且有相同的下一个跳跃,这些分段可以聚合,
然后只写路由到集网段 - 保存路由表项目数目

4.Routing黑洞:当集合地址包含在网络中不存在的网络段时,会使交通往来往往来,浪费链路资源
建议合理的IP地址计划(不编写黑洞),尽可能准确

5.默认路由:一个无限目标路由,代表网络的所有部分,在路由器检查表时,在本地查询中的直接、静态和动态路由都完成
如果仍然没有可访问的路径,则使用该条
[r1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

空接口:道路遇到黑洞和路缺时,必然会有环路,
解决方法：在黑洞路由器上配置一条到达汇总网段的空接口路由，空接口及丢弃流量，来避免环路的产生
[r1]ip route-static 1.1.0.0 22 NULL 0

7.浮动静态:路由表中的条目以不同的方式生成,有不同的优先次序,直接连接=0,静态=60
优先级范围: 0-255越小越好
[r1]ip route-static 100.100.100.0 24 13.1.1.2 preference ?
INTEGER<1-255> Preference value range
[r1]ip route-static 100.100.100.0 24 13.1.1.2 preference 61

静态协议的优缺点：

缺点:1.大规模网络配置过载
2.实时变化不能基于拓扑变化
优点:1.没有额外的物理资源
2.安全问题
3.计算路径问题
简单和小网络应使用静态路由器,而中型和更复杂的网络应使用动态

动态路由：

动态路由协议:路由器之间的通信、协商和计算,在拓扑结构的变化后自动生成路由表,
实时转换(重新计算)以适应新结构

基于AS进行分类：
AS--自动系统0-65535标准编号
IGP   内部网关路由协议    AS内部使用  ---RIP OSPF EIGRP ISIS ……
EGP AS协议间使用的外部网络接口 --BGP EGP..

IGP的分类
基于工作特点的分类:
DV距离向量(共享路由表)RIP EIGRP*..
LS  链路状态（自己算路由）     OSPF  ISIS   ……

基于更新是否携带子网面具:
有类别--没有带子网面具,由主类定义
非分类 - 带有子网面具来根据实际面具判断网络段

RIP --路由信息协议(距离向量协议)

现有V1/V2/NG(为下一代IPV6)
基于UDP520端口工作,使用跳跃作为测量(跳跃作为备选条件)
更新模式:30年代周期更新,触发更新
定期续期--保险,更换确认(你不知道你是否得到保险,你总是得到保证)

V1和V2的区别：
1.V1有一个类协议,不带子网面具,不能区分分子网络分割和编译
V2是一个无类协议,包含子网面具,结合VLSM(变长子网面具)和子网,并不支持超级网。
2.V1广播更新--255.255.255.255   V2组播更新--224.0.0.9
3.V2支持手动认证

破环机制：
1.纵向分割-从入口到出口而不是从出口-在线性拓扑中保护环形,主要作用是避免在MA网络中的交通重复,
MA网络--多路访问访问--一个网段的节点数量不限制
2.初始更新-毒性逆变级别分割
最大跳数-15跳,16跳是不可能的
4.抑制计时器

rip配置命令：
v1配置：
[r1]rip ?
[r1]rip可以当启动时定义为进程数,默认为1
[r1-rip-1]版本1选定版本
声明1.激活 - 选择的接口可以接收滴水信息2.共享路由 - 与选择的接口的网络段可以共享给所有本地邻居
[r1-rip-1]network 1.0.0.0
[r1-rip-1]network 12.0.0.0
注:当声明rip时,只声明主类分段

<r2>display ip routing-table protocol rip     查看某种协议产生的路由

v2配置：
[r1]rip ?
INTEGER<1-65535>  Process ID
启动时,[r1]rip可以定义为进程数;默认为进程1;只具有局部意义
[r1-rip-1]版本2选择版本2;
通知: 激活 - 选择的接口可以接收滴定信息 2. 共享路由 - 选择的接口的网络部分可以共享给所有本地邻居;
[r1-rip-1]network 1.0.0.0
[r1-rip-1]network 12.0.0.0
[r1-rip-1]network 172.16.0.0
[r1-rip-1]network 192.168.1.0

rip的扩展配置：
1. ripv2的手动编译 - 在更新源路由器上配置,以更新发布接口
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]rip summary-address 1.1.0.0 255.255.252.0
汇总网段
2. ripv2的验证 - 添加验证提示,以 rip消息发送到邻居之间,
同时, Huawei打开认证接口时,所有信息都会被加密
[r1]interface g0/0/1
[r1-GigabitEthernet0/0/1]rip authentication-mode md5 usual cipher 123456
在两个毗邻的邻居之间,认证代码和模式必须完全相同

3.静态接口(非主动接口)--只接收非传输路由协议信息;仅用于连接用户终端;
路由器的邻居的接口不能直接使用,否则路由器信息将不会与邻居共享
[r1]rip 1
[r1-rip-1]silent-interface GigabitEthernet 0/0/0

4.加快收敛
RIP计时器 30s更新   180s失效   180s抑制   300s刷新
适当修改的计时器可以加速协议的收敛,
当修改时,所有在网络上运行的 rip设备都应保持一致性;保持原来的乘数关系;以及不能修改的过大;
[r1]rip 1
[r1-rip-1]计时器 rip 30 180 300 未修改的抑制计时器

5.丢失路由--在确定边界路由器上的丢失源信息后,丢失路由将向内部网络发布,
然后内部路由器将自动生成丢失路由器,指向边界路由器的方向,
边界路由器指向ISP丢失的路径,但仍需要手写
[r3]rip
[r3-rip-1]default-route originate

OSPF:打开最短路径优先协议

非分类链状态IP协议;定期更新(30分钟)+触发更新;
链状态协议的更新速度随着网络范围的扩展而指数增长.
因此,为了在中型网络中工作,ospf协议需要有结构的部署-区域分区和合理的IP地址规划。
组播更新--- 224.0.0.5 224.0.0.6

ospf的5种数据包:
Hello    邻居的发现，关系的建立；周期（10s）的保活   携带rid
Dbd数据库描述包;本地数据库目录
Lsr链状态请求
Lsu连结状态更新
Lsack链状态确认

Lsa - 链状态通知, 特定路径或拓扑信息;但不是数据包, 由 lsu数据包传递;
lsa是特定货物, lsu是牵引的汽车-- lsu是袋子,lsa是袋子里的东西)

[2]奥斯夫的7个状态机器:
Down ：一旦接收到的hello 包，进入下一个状态机
启动初始化:一旦在接收的问候包中存在一个本地区分,输入下一个状态
双向通讯:邻近关系的标志
关注条件：
Exstart预启动:使用不带目录信息的DDB包选择主机与主机关系;
主要除去,优先进入下一个状态;解决共享目录中的不一致性;
基于交换的交换:使用带有目标信息的 dbd 包共享本地数据库目录;
loading加载：查看完邻接的dbd信息后，对比本地，然后基于本地未知的lsa进行查询；
使用 lsr来向相反端查询。相反端使用 lsu发送lsa信息,需要lsack来验证局域接收的信息
邻接关系建立的标志,表示数据库在邻接关系之间同步。

ospf的工作过程
一旦设置完成,欢迎包将被发送到邻居之间;欢迎包将载有本地和所有本地的已知邻居;
然后生成邻居表;邻居需要小心他们是否能成为邻近的条件;
如不能作为邻近关系建立,则将作为邻近关系维持,只有问候包装周期才能保持活力;
如果可以建立邻接关系,则将使用DBD进行本地数据库目录的比较;
然后,根据比较结果,利用LSR/LSU/LSack获取局部未知的LSA信息;并同步(一致)邻近的相互关系数据库(lsdb),生成数据库表;
然后使用 spf 算法,建立本地 lsdb :
生成有向图-->最短路径树--＞计算本地到达所有未知网段的最短路径，将其加载到本地路由表中；收敛完成；
收敛后,邻近关系和邻近关系每10分钟保持生命状态;每30分钟一次,邻近关系的循环与数据库平行,确保一致性;
结构突变：
1.新增网段
2.断开网段
3.无法沟通  ---  dead time 为hello time的4倍；
在四个周期内没有收到的反面问候包将与其邻近区分开;邻近区计算的路线将被删除;

lsdb:链状态数据库 – 所有lsa的集合

【4】基础配置
[r1]ospf 1 router-id 进程编号,RID,可以在启动时定义;
默认进程1,RID--IPV4地址的格式,仅适用于整个网络;手动--最大循环接口数--最大物理接口数
[r1-ospf-1]
公告: 激活 - 可以接收和发送ospf信息
选择的界面的拓扑信息可以共享给邻居
3、区域划分
[r1-ospf-1]area  0
[r1-ospf-1-area-0.0.0.0]network  1.1.1.1 0.0.0.0
[r1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255
ospf需要在发布时使用防伪代码,以匹配发布地址范围

区域划分规则：
1,星形结构--代码0骨区(中心),非骨区(分支)大于0
非骨区必须直接与骨区连接;
必须有一个ABR -- 区域边界路由器,连接两个区域

在配置完成后,社区接收并发送问候包;建立社区关系并生成社区表:
[r2]显示 ospf peer 查看邻居关系
[r2]显示 ospf peer brief 查看邻居摘要

建立邻居关系后,集中注意条件;匹配失败,保持邻居关系,只保持欢迎包装周期;
成功匹配可以作为邻近关系建立;
在邻接关系之间,将使用DBD/LSR/LSU/LSack来获取局域未知的LSSA信息;完成局域LSDB(数据库表);
[r2]display  ospf lsdb

当数据库同步完成时,基于本地SPF算法将数据库转换为向量图,并将向量图转换为树结构;
然后,根据树结构,在局部上将到达网络的所有未知部分的最短路径载入路由表;
<r1>display  ip routing-table protocol  ospf  查看ospf路由
优先次序是10;措施是成本值;成本值=支出值

Ospf cost =  参考带宽/接口带宽     默认参考带宽为100M
ospf选择最小成本值为最佳路径;如果两个链的成本值是相同的,费用负荷是等的;
如果接口带宽大于参考带宽,费用为1;这可能导致选择不良;建议修改默认的参考带宽:
[r1]ospf 1
[r1-ospf-1]bandwidth-reference ?
INTEGER<1-2147483648>  The reference bandwidth (Mbits/s)
[r1-ospf-1]bandwidth-reference 1000
注:如果引用带宽被修改,则整个网络需要修改以匹配;

【5】扩展配置
(一)DR/BDR选举
睦邻关系成为睦邻关系的条件;与网络类型有关;
网络类型：
点到点 - 网络段中只有两个节点 - 链条链
MA - 多路访问 - 在网络段内无限制的节点数目;
目前没有多个节点连接;相反,网络类型允许多个节点最终连接;-- Ethernet

点对点网络社区关系成为直接的社区关系;
在MAC网络中,将进行DR/BDR选择;在网络的一个部分,只有DR/BDR和其他路由器相邻;在非DR/BDR之间,则相邻;
选举规则：
首先,比较网络部分的选定设备接口的优先次序,越大越好;
默认优先次序为1;值范围 0-255,0标识符未选
2、若所有参选者优先级相同，比较参选设备的RID，数值大优；

干涉选举：
1,DR优先次序是最大的,BDR是第二大的 -- 注意OSPF选择是非掠夺性;因此,在优先次序修改后,所有路由器需要重新启动OSPF进程;
[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]ospf dr-priority 3 修改接口优先级

<r1>reset ospf process   重启ospf进程
Warning: The OSPF process will be reset. Continue? [Y/N]:y

2,DR优先级变为最大,BDR大小;其他设备变为0;不需要再启动进程

2)区域聚合--OSPF协议不支持接口聚合;从a区域拓扑得到的路径只能在ABR上聚合并共享到B区域;
[r2]ospf 1
[r2-ospf-1]area  0
[r2-ospf-1-area-0.0.0.0]abr-summary 1.1.0.0 255.252.0.0
R2是连接0区域和其他区域的ABR;
以上操作为，R2将通过区域0学习到的拓扑计算所得的路由，传递给其他区域时进行汇总，汇总网段1.1.0.0/22

3)被动接口(静态接口)-只接收非传输路由协议信息;
连接用户端口的接口不得用于连接邻居路由器,否则不能建立邻居关系;
[r2]ospf 1
[r2-ospf-1]silent-interface GigabitEthernet 0/0/0

4)身份验证 -- 接口身份验证在网络接口或邻接接口上配置,以确保更新的安全
[r1-GigabitEthernet0/0/1]ospf authentication-mode md5  1 cipher 123456
模式、代码和密码需要邻域间的一致性

5）加快收敛
邻居间计时器  10s hello time  40s dead time
邻居间，修改本端的hello time，本端的dead time自动4被关系匹配；但ospf中邻居间的hello time和dead time必须完全一致，否则无法建立邻居关系；
[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]ospf timer  hello 5

6)丢失路径--一旦在边界路由器上配置,丢失路径将自动发送到内部网络,之后内部网络设备将自动生成向边界指向的丢失路径
[r4]ospf 1
[r4-ospf-1]default-route-advertise always

ACL访问控制列表:

底层   路由   策略--规划   优化   安全
作用：
访问控制 -- 在路由器流量的输入或输出接口上,匹配流量生成动作-- 允许或拒绝
2. 定义兴趣的流动 -- 捕捉流动, 然后给其他策略, 让其他策略发挥作用;

匹配规则：
按上下相符,按上下相符,按上下相符,不再按上下相符;
cisco默认端意味着拒绝所有; Huawei默认端意味着允许所有;
(ACL只能放在路由器的接口上)

分类：
标准 -- 只关注包中的源IP地址
扩展 -- 集中注意包中的源、目标IP地址、目标端口或协议号码

配置命令：
标准 -- 由于标准ACL只集中于数据包中的源IP地址,所以必须尽可能接近目标;
避免错误删除其他流量的访问;
200-299是标准列表编号,是表的一个编号;300-399是扩展列表编号
[r2]acl 2000
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0
[r2-acl-basic-2000]rule deny source  192.168.0.0 0.0.255.255
[r2-acl-basic-2000]rule deny source  any
动作               源IP地址
源IP地址需要与匹配的阵列匹配;匹配的阵列和反加密阵列之间的区别在于匹配的阵列可以交叉0和1

在ACL定义完成后,呼叫者必须在接口上执行;
在调用时必须注意方向;一个接口只能调用一个方向的表
[r2]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter ?
inbound   Apply ACL to the inbound direction of the interface
outbound  Apply ACL to the outbound direction of the interface
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

[2]扩展列表配置--由于扩展的ACL源和Meta-ip地址都涉及,当调用时尽量接近源,尽快处理流量;
[r1]acl 300扩展列表编号300-399
[r1-acl-adv-3000]rule deny ip source 192.168.1.3 0.0.0.0 destination 192.168.3.2 0.0.0.0
源ip地址                                  目标ip地址
源、目ip地址位置，使用通配符0标记一个主机，或使用反1标记段（范围），或使用any均可

[3]在关注目标端口号码的同时使用扩展列表
目标端口数:服务端口使用指定端口来确定特定服务;

ICMPV4 -- 互联网控制管理协议 -- ping

Telnet --远程登录(未加密)基于tcp,目标端口23;(ssh端口22号加密远程登录)
条件:访问登录设备和登录设备的网络
配置登录设备的电话网服务

[r1]aaa
[r1-aaa]local-user panxi privilege level 15 password cipher 123456
[r1-aaa]local-user panxi service-type telnet
创建一个名为 panxi的帐户,最多权限和密码为123456;此帐户仅用于远程登录
[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode aaa   在vty线上开启认证

[r1]acl 3001
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23
拒绝192.168.1.10 对192.168.1.1 访问时，传输层协议为tcp，且目标端口号为23；
[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0
仅拒绝192.168.1.10 对192.168.1.1的ICMP访问（ping）

IPV4地址中私人和公共IP地址有区别:
公众:全球独一无二,可通过互联网进行通信,并收费使用
私人:具有本地独特性,不能通过互联网通信,无需收费

私有IP地址：
10.0.0.0/8     172.16.0.0/16-172.31.0.0/16     192.168.0.0/24-192.168.255.0/24

NAT网络地址转换:

修改边界路由器上的源或目标IP地址的输入和输出流量
一对一，一对多，多对多，端口映射
多个对:多个私人IP地址与同一公共IP地址的 PAT端口地址转换相符
首先使用可转换的私人IP地址范围的ACL定义
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

[r2]int g0/0/2 公共网络的地址;acl200列表中的私人IP地址,当通过接口传输时,其源IP地址被修改为接口的公共IP地址
[r2-GigabitEthernet0/0/2]nat outbound 2000

一对一的配置：
连接公网的接口配置
[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside  192.168.1.10
公有               私有

端口映射：
[r2-GigabitEthernet0/0/2]nat server protocol  tcp global  current-interface 80 inside  192.168.1.10 80
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
外部访问该接口ip-12.1.1.1且目标端口号为80时，将被修改为192.168.1.10目标端口80；
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888 inside 192.168.1.20 80
外部访问该物理接口ip-12.1.1.1 且目标端口为8888时，将被修改为192.168.1.20 目标端口80；

多对多配置：
[r1]nat address-group 1 12.1.1.3 12.1.1.10  先定义公有ip地址范围
[r1]acl 200 重新定义私有IP地址的范围
[r1-acl-basic-2000]rule  permit source  172.16.0.0 0.0.255.255
最后,在公共网络连接的接口上配置多到多
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat  一对一（多个一对一）

本文由 在线网速测试 整理编辑，转载请注明出处，原文链接：https://www.wangsu123.cn/news/29812.html。