第九章網(wǎng)絡(luò)出口設(shè)計(jì)配置NAPT配置地址重疊中的NAT轉(zhuǎn)換第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，并執(zhí)行命令ipnat{inside|outside}。第三步：定義兩個(gè)IP訪問控制列表，它們分別指定了要對哪些內(nèi)部地址和外部地址進(jìn)行轉(zhuǎn)換。由于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的地址空間相同，因此也可以使用同一個(gè)訪問列表，第四步：使用命令ipnatpoolpool-namestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}定義一個(gè)內(nèi)部全局地址池，用于內(nèi)部到外部的轉(zhuǎn)換。配置地址重疊中的NAT轉(zhuǎn)換第五步：使用命令ipnatpoolpool-namestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}定義一個(gè)外部本地地址池，用于從外部到內(nèi)部的轉(zhuǎn)換。第六步：使用命令ipnatinsidesourcelistaccess-list-numberpoolpool-name將符合訪問控制列表?xiàng)l件的內(nèi)部本地地址動態(tài)映射到內(nèi)部全局地址池。第七步：使用命令ipnatoutsidesourcelistaccess-list-numberpoolpool-name將符合訪問控制列表?xiàng)l件的外部全局地址動態(tài)映射外部本地地址池。配置地址重疊中的NAT轉(zhuǎn)換配置TCP負(fù)載均衡第一步：在路由器上配置IP路由選擇和IP地址。第二步：至少指定一個(gè)內(nèi)部接口和一個(gè)外部接口，方法是進(jìn)入接口配置模式下，并執(zhí)行命令ipnat{inside|outside}。第三步：定義訪問控制列表，指定發(fā)送到哪個(gè)地址（虛擬主機(jī)地址）的請求被進(jìn)行負(fù)載分擔(dān)。第四步：使用命令ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-length

prefix-length}typerotary為真實(shí)的內(nèi)部主機(jī)或服務(wù)器定義地址池。當(dāng)使用NAT進(jìn)行TCP負(fù)載均衡時(shí)，必須配置typerotary關(guān)鍵字，以保證地址池中的地址被輪流使用。第五步：使用命令ipnatinsidedestinationlist

access-list-number

pool

name定義訪問控制列表與真實(shí)主機(jī)地址池之間的映射；配置TCP負(fù)載均衡驗(yàn)證和診斷NAT轉(zhuǎn)換驗(yàn)證和診斷NAT轉(zhuǎn)換的內(nèi)容包括：使用show命令查看NAT運(yùn)行的狀態(tài)使用debug命令對NAT的轉(zhuǎn)換操作進(jìn)行調(diào)試使用clear命令清楚特定的或所有的NAT轉(zhuǎn)換條目常用命令showipnattranslations[access-list-number

|icmp|tcp|udp]

[verbose]showipnatstatisticsdebugipnat[address|event|rule-match]clearipnattranslation*clearipnatstatistics課程議題路由策略使用策略路由策略路由是一種入站機(jī)制，用于入站報(bào)文。通過使用基于策略的路由選擇，能夠根據(jù)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口和協(xié)議類型讓報(bào)文選擇不同的路徑。策略路由有以下優(yōu)點(diǎn)：靈活的操縱報(bào)文服務(wù)質(zhì)量節(jié)省費(fèi)用負(fù)載均衡配置基于策略的路由選擇route-map命令route-map

name[permit|deny][sequence-number]參數(shù)描述name

Route-map的名稱，擁有相同名稱的route-map子句將組成一個(gè)route-mappermit

如果報(bào)文符合該子句中的匹配條件，則報(bào)文將被進(jìn)行策略路由deny

如果報(bào)文符合該子句中的匹配條件，則報(bào)文將不進(jìn)行策略路由，進(jìn)行正常的轉(zhuǎn)發(fā)sequence-number

該route-map子句的編號，如果不指定則系統(tǒng)會自動賦予一個(gè)編號，route-map中的各子句按照編號的順序執(zhí)行配置基于策略的路由選擇match命令matchipaddress{access-list-number|name}[…access-list-number|name]

參數(shù)描述access-list-number|name

標(biāo)準(zhǔn)訪問控制列表或擴(kuò)展訪問控制列表的編號或名稱，用于匹配入站報(bào)文。如果指定了多個(gè)訪問列表，則與任一個(gè)列表匹配就算匹配。min

最小報(bào)文長度（三層報(bào)文的長度）max

最大報(bào)文長度（三層報(bào)文的長度）配置基于策略的路由選擇set命令setipnext-hopip-address[…ip-address]

setipnext-hop

setinterface

setipdefaultnext-hop

setdefaultinterface

setiptos

setipprecedence

在接口上配置策略路由ippolicyroute-maproute-map

連接兩家ISP時(shí)使用基于策略的路由選擇連接兩家ISP時(shí)使用基于策略的路由選擇根據(jù)目標(biāo)地址使用基于策略的路由選擇根據(jù)目標(biāo)地址使用基于策略的路由選擇課程議題總結(jié)總結(jié)NAT技術(shù)的提出是為了解決目前IPv4地址匱乏的問題。在NAT術(shù)語中，將網(wǎng)絡(luò)分為內(nèi)部和外部。內(nèi)部通常是企業(yè)內(nèi)部網(wǎng)絡(luò)，外部通常是指公有網(wǎng)絡(luò)，典型的就是Internet。NAT轉(zhuǎn)換包括多種類型，它