网络互联技术教程.ppt

步骤2、指定连接内部网络的内部端口，在连接内网的端口设置状态下输入： ip nat inside 步骤3、指定连接外部网络的外部端口，在连接外网的端口设置状态下输入： ip nat outside 注：可以根据实际需要定义多个内部端口及多个外部端口。 动态地址转换 动态地址转换也是将内部本地地址与内部全局地址一对一地转换，但是动态地址转换是从内部全局地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。基本步骤如下： 步骤1、建立一个全局地址池 ip nat pool wyx 起始地址 结束地址 掩码 例如：ip nat pool wyx 25 30 netmask 40 步骤2、定义一个标准访问列表 access-list 10 permit 地址 通配符 any 例如：access-list 10 permit 55 any 步骤3、定义内部地址和内部全局地址池之间的转换 ip nat inside source list 10 pool wyx 步骤4、分别定义内部端口和外部端口（同上） 在连接内网端口设置： ip nat inside 在连接外网端口设定： ip nat outside 复用动态地址转换（PAT） 复用动态地址转换也是动态地址转换的一种形式，但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况，这种转换极为有用。基本步骤如下： 步骤1、建立一个全局地址池 ip nat pool wyx 起始地址 结束地址 掩码 例如：ip nat pool wyx 25 25 netmask 40 步骤2、定义一个标准访问列表 access-list 10 permit 地址 通配符 any 例如：access-list 10 permit 55 any 步骤3、定义内部地址和内部全局地址池之间的转换 ip nat inside source list 10 pool wyx overload 步骤4、定义内部端口和外部端口（同上） 在连接内网端口设置： ip nat inside 在连接外网端口设定： ip nat outside 8.2.4 NAT与其他技术的比较 1．与代理服务器的比较 用户经常把NAT和代理服务器相混淆。NAT设备对源机器和目标机器都是透明的。 代理服务器工作在OSI模型的第4层传输层，NAT则是工作在第3层网络层。 但是NAT占用路由器的CPU资源，隐藏了IP地址，跟踪起来比较困难，不利于管理员对内部用户对外部访问的跟踪管理和审计工作。 2．与防火墙比较 防火墙是基于网络层的安全系统，它在网络之间执行访问控制策略。一般的防火墙都具有NAT功能，或者能和NAT配合使用。是选用单纯的NAT技术还是带NAT技术的防火墙，要从几个方面考虑： 网络需要何种访问控制策略，是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务，还是为了访问提供一种计量和审计的方法； 网络需要何种程度的监视、冗余度以及控制水平； 网络的经费状况。一个高端完整的防火墙系统是十分昂贵的。是否采用防火墙需要在易用性、安全性和预算之间做出决策。 3.安全中的不安全 NAT的安全问题可以从以下几个方面进行讨论： NAT只对地址进行转换而不进行其他操作，因此，在建立了与外部网络的连接时，NAT不会阻止任何从外部返回的恶意破坏信息。 2 OSPF工作机制 在OSPF路由协议中，将一个路由域或者一个自治系统AS划分为几个区域。在OSPF中，由按照一定的OSPF路由算法组合在一起的一组网络或路由器的集合称为区域（AREA）。每一个区域中的路由器都按照该区域中定义的链路状态算法来计算网络拓扑结构，这意味着每一个区域都有着该区域独立的网络拓扑数据库及网络拓扑图。每一个区域内部网络拓扑结构在区域外是不可见的，这样做可以将域内的路由更新限制在域内，以便减少网络中链路状态数据包在全网范围内的广播。 3.虚拟链路 在OSPF路由协议中存在一个骨干区域（Backbone），该区域包括属于这个区域的网络及相应的路由器，骨干区域必须是连续的，同时也要求其余区域必须与骨干区域直接相连。骨干区域一般为区域0，其主要工作是在其余区域间传递路由信息。 7.9无类域间路由（CIDR）与可变长子网掩码 CIDR（Classless Inter-Domain Routing）是无类域间路由的英文缩写。骨干路由器提供服务的地址会有成千上万个IP地址，使得路由表急剧膨胀，从而导致路由收敛的低效性。然而，采用无类域