靜態(tài)路由簡介和應用

1、一 靜態(tài)路由簡介1.1 簡介   靜態(tài)路由說明靜態(tài)路由是指由網(wǎng)絡管理員手工配置的路由信息。當網(wǎng)絡的拓撲結構或鏈路的狀態(tài)發(fā)生變化時，網(wǎng)絡管理員需要手工去修改路由表中相關的靜態(tài)路由信息。靜態(tài)路由信息在缺省情況下是私有的，不會傳遞給其他的路由器。當然，網(wǎng)管員也可以通過對路由器進行設置使之成為共享的。靜態(tài)路由一般適用于比較簡單的網(wǎng)絡環(huán)境，在這樣的環(huán)境中，網(wǎng)絡管理員易于清楚地了解網(wǎng)絡的拓撲結構，便于設置正確的路由信息。 在一個支持DDR（dial-on-demand routing）的網(wǎng)絡中，撥號鏈路只在需要時才撥通，因此不能為動態(tài)路由信息表提供路由信息的變更情況。在這種情況下，網(wǎng)絡

2、也適合使用靜態(tài)路由。 1.2 靜態(tài)路由優(yōu)點使用靜態(tài)路由的另一個好處是網(wǎng)絡安全保密性高。動態(tài)路由因為需要路由器之間頻繁地交換各自的路由表，而對路由表的分析可以揭示網(wǎng)絡的拓撲結構和網(wǎng)絡地址等信息。因此，網(wǎng)絡出于安全方面的考慮也可以采用靜態(tài)路由。 1.3靜態(tài)路由缺點大型和復雜的網(wǎng)絡環(huán)境通常不宜采用靜態(tài)路由。一方面，網(wǎng)絡管理員難以全面地了解整個網(wǎng)絡的拓撲結構；另一方面，當網(wǎng)絡的拓撲結構和鏈路狀態(tài)發(fā)生變化時，路由器中的靜態(tài)路由信息需要大范圍地調(diào)整，這一工作的難度和復雜程度非常高。1.4靜態(tài)路由的配置命令靜態(tài)路由的配置有兩種方法：帶下一跳路由器的靜態(tài)路由，和帶送出接口的靜態(tài)路由 router(config

3、)#hostname A （更改路由器主機名）   A(config)#interface f0/0 （進入接口f0/0） A(config-if)#ip address （設置接口ip地址和子網(wǎng)掩碼） A(config-if)#no shutdown （啟用接口） A(config)#interface f0/1 A(config-if)#ip address A(config-if)#no shutdown ×××以下二選一： A(con

4、fig)#ip route f0/1（目標網(wǎng)段ip地址 目標子網(wǎng)掩碼 送出接口（路由器A） 或者 A(config)#ip route （目標網(wǎng)段ip地址 目標子網(wǎng)掩碼 下一路由器接口ip地址） ××× router(config)#hostname B B(config)#interface f0/0 B(config-if)#ip address B(config-if)#no sh

5、utdown B(config)#interface f0/1 B(config-if)#ip address B(config-if)#no shutdown ×××以下二選一： B(config)#ip route 或者： B(config)#ip route f0/1（目標網(wǎng)段ip地址 目標子網(wǎng)掩碼 送出接口（路由器B） ××× 注1：此網(wǎng)絡鏈路為以太

6、網(wǎng)鏈路，如果是串行鏈路，送出接口也就是本地路由器的串行接口。 簡明解釋：ip route 這句話的意思是：在HOSTA上，路由器見到目的網(wǎng)段為的數(shù)據(jù)包，就將數(shù)據(jù)包發(fā)送到上 注2：ip route 指向一個就可，如果兩個都配了，就是說將這個數(shù)據(jù)包從發(fā)fa0/1出去，而另一個說數(shù)據(jù)包發(fā)到這個ip（例如）。兩個重復。一般我們設置為指向IP。二 靜態(tài)路由常見問題2.1 為什么要有默認路由？路由得查看路由表而決定怎么轉(zhuǎn)發(fā)數(shù)據(jù)包，用靜態(tài)路由一個個的配置，繁瑣易錯。如

7、果路由器有個鄰居知道怎么前往所有的目的地，可以把路由表匹配的任務交給它，省了很多事。 例，網(wǎng)關會知道所有的路由，如果一個路由器連接到網(wǎng)關，就可以配置默認路由，把所有的數(shù)據(jù)包都轉(zhuǎn)發(fā)到網(wǎng)關。 2.2 為什么默認路由是?匹配IP地址時，0表示wildcard, 任何值都可以。所以和任何目的地址匹配都會成功，造成默認路由要求的效果。 2.3 到Null0的靜態(tài)路由配置ip route null0 使用該命令代替訪問列表時要注意，靜態(tài)路由是針對整個路由器的，而訪問列表是針對某一單獨接口的。也就意味著所有與網(wǎng)絡/

8、16匹配的報文都被路由到位桶，而不是路由到那些丟掉的報文的某一個接口。三 NAT簡介NAT英文全稱是“Network Address Translation”，中文意思是“網(wǎng)絡地址轉(zhuǎn)換”，它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標準，允許一個整體機構以一個公用IP（Internet Protocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡地址（IP地址）翻譯成合法網(wǎng)絡IP地址的技術。簡單的說，NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡中使用內(nèi)部地址，而當內(nèi)部節(jié)點要與外部網(wǎng)絡進行通訊時，就在網(wǎng)關（可以理解為出口，打個

9、比方就像院子的門一樣）處，將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)（internet）上正常使用，NAT可以使多臺計算機共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，您可以只申請一個合法IP地址，就把整個局域網(wǎng)中的計算機接入Internet中。這時，NAT屏蔽了內(nèi)部網(wǎng)絡，所有內(nèi)部網(wǎng)計算機對于公共網(wǎng)絡來說是不可見的，而內(nèi)部網(wǎng)計算機用戶通常不會意識到NAT的存在。如圖2所示。這里提到的內(nèi)部地址，是指在內(nèi)部網(wǎng)絡中分配給節(jié)點的私有IP地址，這個地址只能在內(nèi)部網(wǎng)絡中使用，不能被路由（一種網(wǎng)絡技術，可以實現(xiàn)不同路徑轉(zhuǎn)發(fā)）。雖然內(nèi)部地址可以隨機挑選，但是通常使用的是下面

10、的地址：55，55，55。NAT將這些無法在互聯(lián)網(wǎng)上使用的保留IP地址翻譯成可以在互聯(lián)網(wǎng)上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（網(wǎng)絡信息中心）或者ISP(網(wǎng)絡服務提供商)分配的地址，對外代表一個或多個內(nèi)部局部地址，是全球統(tǒng)一的可尋址的地址。 NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。比如Cisco路由器中已經(jīng)加入這一功能，網(wǎng)絡管理員只需在路由器的IOS中設置NAT功能，就可以實現(xiàn)對內(nèi)部網(wǎng)絡的屏蔽。再比如

11、防火墻將WEB Server的內(nèi)部地址映射為外部地址1，外部訪問1地址實際上就是訪問訪問。另外資金有限的小型企業(yè)來說，現(xiàn)在通過軟件也可以實現(xiàn)這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。 四 NAT類型 NAT有三種類型：靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT)、網(wǎng)絡地址端口轉(zhuǎn)換NAPT（PortLevel NAT）。 其中靜態(tài)NAT設置起來最為簡單和最容易實現(xiàn)的一種，內(nèi)部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址。而動態(tài)地

12、址NAT則是在外部網(wǎng)絡中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡的一個IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。 動態(tài)地址NAT只是轉(zhuǎn)換IP地址，它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址，主要應用于撥號，對于頻繁的遠程聯(lián)接也可以采用動態(tài)NAT。當遠程用戶聯(lián)接上之后，動態(tài)地址NAT就會分配給他一個IP地址，用戶斷開時，這個IP地址就會被釋放而留待以后使用。 網(wǎng)絡地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應用于接入設備中，它可以

13、將中小型的網(wǎng)絡隱藏在一個合法的IP地址后面。NAPT與動態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP端口號。 在Internet中使用NAPT時，所有不同的信息流看起來好像來源于同一個IP地址。這個優(yōu)點在小型辦公室內(nèi)非常實用，通過從ISP處申請的一個IP地址，將多個連接通過NAPT接入Internet。實際上，許多SOHO遠程訪問設備支持基于PPP的動態(tài)IP地址。這樣，ISP甚至不需要支持NAPT，就可以做到多個內(nèi)部IP地址共用一個外部IP地址上Internet，雖然這樣會導致信道的一定擁塞，但考慮到節(jié)省的ISP上網(wǎng)費用和

14、易管理的特點，用NAPT還是很值得的。五 NAT的應用環(huán)境情況1：一個企業(yè)不想讓外部網(wǎng)絡用戶知道自己的網(wǎng)絡內(nèi)部結構，可以通過NAT將內(nèi)部網(wǎng)絡與外部Internet隔離開，則外部用戶根本不知道通過NAT設置的內(nèi)部IP地址。情況2：一個企業(yè)申請的合法InternetIP地址很少，而內(nèi)部網(wǎng)絡用戶很多?？梢酝ㄟ^NAT功能實現(xiàn)多個用戶同時公用一個合法IP與外部Internet進行通信。5.1設置NAT所需路由器的硬件配置和軟件配置設置NAT功能的路由器至少要有一個內(nèi)部端口（Inside），一個外部端口（Outside）。內(nèi)部端口連接的網(wǎng)絡用戶使用的是內(nèi)部IP地址。內(nèi)部端口可以為任意一個路由器端口。外部端

15、口連接的是外部的網(wǎng)絡，如Internet。外部端口可以為路由器上的任意端口。設置NAT功能的路由器的IOS應支持NAT功能(本文事例所用路由器為isco2501，其IOS為11.2版本以上支持NAT功能)。5.2靜態(tài)地址轉(zhuǎn)換適用的環(huán)境靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進行一對一的轉(zhuǎn)換，且需要指定和哪個合法地址進行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡有E-mail服務器或FTP服務器等可以為外部用戶提供的服務，這些服務器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務。靜態(tài)地址轉(zhuǎn)換基本配置步驟：（1）、在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。在全局設置狀態(tài)下輸入：Ipnatinside

16、sourcestatic內(nèi)部本地地址內(nèi)部合法地址（2）、指定連接網(wǎng)絡的內(nèi)部端口在端口設置狀態(tài)下輸入：ipnatinside（3）、指定連接外部網(wǎng)絡的外部端口在端口設置狀態(tài)下輸入：ipnatoutside注：可以根據(jù)實際需要定義多個內(nèi)部端口及多個外部端口。實例1：本實例實現(xiàn)靜態(tài)NAT地址轉(zhuǎn)換功能。將2501的以太口作為內(nèi)部端口，同步端口作為外部端口。其中，，的內(nèi)部本地地址采用靜態(tài)地址轉(zhuǎn)換。其內(nèi)部合法地址分別對應為，，。路由器2501的配置：Currentconfiguration：version

17、11.3noservicepassword-encryptionhostname2501ipnatinsidesourcestaticipnatinsidesourcestaticipnatinsidesourcestaticinterfaceEthernet0ipaddressipnatinsideinterfaceSerial0ipaddressipnatoutsidenoipmroute-cacheba

18、ndwidth2000nofair-queueclockrate2000000interfaceSerial1noipaddressshutdownnoipclasslessiprouteSerial0linecon0lineaux0linevty04passwordciscoend 配置完成后可以用以下語句進行查看：showipnatstatistcsshowipnattranslations5.3 動態(tài)地址轉(zhuǎn)換適用的環(huán)境動態(tài)地址轉(zhuǎn)換也是將本地地址與內(nèi)部合法地址一對一的轉(zhuǎn)換，但是動態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動態(tài)地選擇一個末使用的地址對內(nèi)部本地地址進行轉(zhuǎn)換。動態(tài)地址轉(zhuǎn)換基本配置步驟：（1）、在全局設置模式下，定義內(nèi)部合法地址池ipnatpool地址池名稱起始IP地址終止IP地址子網(wǎng)掩碼其中地址池名稱可以任意設定。（2）、在全局設置模式下，定義一個標準的access-list規(guī)則以允許哪些內(nèi)部地址可以進行動態(tài)地址轉(zhuǎn)換。Access-list標號permit源地址通配符其中標號為1-99之間的整數(shù)。（3）、在全局設置模式下，將由access-list指定的內(nèi)部本地地址