计算机网络工程实践教程—基于华为路由器和交换机

第1章交换机的基本配置和使用1 1.1交换机概述1 1.1.1交换机面板介绍1 1.1.2交换机基本原理4 1.2交换机口令清除和系统程序文件升级6 1.2.1操作内容和环境6 1.2.2背景知识7 1.2.3交换机Console口令和BootROM口令的设置 与清除7 1.2.4使用Xmodem协议升级BootROM程序文件9 1.2.5交换机主程序文件的备份(FTP)和升级(TFTP)10 1.3交换机Console口的配置13 1.3.1操作内容和环境13 1.3.2交换机Console口的连接配置13 1.3.3交换机常用命令行视图13 1.3.4实验常用命令介绍15 1.3.5设置用户访问控制权限16 1.4交换机Telnet的配置20 1.4.1操作内容和环境20 1.4.2相关知识介绍20 1.4.3仅使用密码的交换机Telnet配置24 1.4.4使用用户名和密码的交换机Telnet配置32 1.4.5利用debug查看信息34 1.5交换机端口的基本配置37 1.5.1操作内容和环境37 1.5.2操作中使用的重要命令介绍37 1.5.3操作步骤41 计算机网络工程实践教程——基于华为路由器和交换机目录第2章交换机VLAN配置55 2.1交换机VLAN的端口划分和配置55 2.1.1操作内容和环境55 2.1.2VLAN的划分56 2.1.3操作步骤57 2.2VLAN之间的路由协议配置58 2.2.1操作内容和环境58 2.2.2操作步骤58 2.3交换机端口Trunk属性配置73 2.3.1操作内容和环境73 2.3.2端口Trunk属性相关知识介绍74 2.3.3配置步骤76 2.4实现VLAN间第三层转发的交换机VLAN和路由器子接口配置84 2.4.1操作内容和环境84 2.4.2相关知识介绍85 2.4.3操作步骤86 第3章交换机STP的配置94 3.1生成树协议概述94 3.1.1配置消息94 3.1.2生成树协议的运行过程96 3.1.3临时环路99 3.1.4RSTP简介99 3.2STP配置实例100 3.2.1STP配置常用命令100 3.2.2STP配置的操作内容和环境101 3.2.3操作步骤101 第4章华为路由器的基本配置和使用124 4.1路由器面板介绍124 4.1.1AR4640路由器面板介绍124 4.1.2R2621路由器面板介绍127 4.2路由器口令清除和系统程序文件升级129 4.2.1操作内容和环境129 4.2.2背景知识129 4.2.3AR4640路由器Console口令和BootROM口令的设置与清除 …130 4.2.4R2621路由器Console口和BootROM口令设置与清除132 4.2.5使用Xmodem协议升级BootROM程序文件133 4.2.6AR4640路由器VRP主程序文件的备份(FTP)和升级(TFTP)…136 4.2.7R2621路由器VRP主程序文件的备份(FTP)和升级(TFTP)140 4.2.8AR4640路由器启动过程介绍143 4.3路由器的基本操作与配置145 4.3.1操作与配置的内容和环境145 4.3.2背景知识146 4.3.3通过Console口搭建路由器配置环境147 4.3.4通过Telnet方式搭建路由器配置环境149 4.3.5VRP软件基本操作151 4.3.6信息中心的显示与调试157 4.4路由器接口的配置163 4.4.1操作内容和环境163 4.4.2背景知识163 4.4.3操作步骤165 4.5路由器帧中继子接口的典型配置179 4.5.1操作内容和环境179 4.5.2背景知识180 4.5.3操作步骤182 4.6两个路由器模拟帧中继交换机的配置192 4.6.1操作内容和环境192 4.6.2操作步骤193 4.7帧中继综合配置199 4.7.1操作内容和环境199 4.7.2操作步骤200 第5章在华为路由器上配置静态路由和RIP协议214 5.1配置静态路由214 5.1.1操作内容和环境214 5.1.2背景知识215 5.1.3操作步骤216 5.2配置动态路由协议RIP232 5.2.1操作内容和环境232 5.2.2背景知识233 5.2.3操作步骤234 第6章在华为路由器上配置动态路由OSPF协议250 6.1OSPF协议简介250 6.1.1OSPF概述250 6.1.2OSPF协议有关的概念251 6.1.3OSPF包类型252 6.1.4建立邻接关系过程中的OSPF状态254 6.1.5OSPF的运行步骤255 6.2单区域OSPF配置——DR与BDR的选择255 6.2.1操作内容和环境255 6.2.2DR和BDR选择的相关知识介绍256 6.2.3DR和BDR选择的路由器配置256 6.3单区域广域网口OSPF配置265 6.3.1操作内容和环境265 6.3.2操作步骤266 6.4配置帧中继点对多点OSPF277 6.4.1操作内容和环境277 6.4.2相关知识介绍277 6.4.3操作步骤281 6.5在单区域内配置交换机与路由器混合设备的OSPF291 6.5.1操作内容和环境291 6.5.2操作步骤292 6.6配置多区域OSPF302 6.6.1操作内容和环境302 6.6.2多区域OSPF的工作原理302 6.6.3操作步骤307 6.7配置存根区域和完全存根区域317 6.7.1操作内容和环境317 6.7.2相关知识介绍317 6.7.3配置OSPF存根区域319 6.7.4配置OSPF完全存根区域324 6.8配置NSSA区域329 6.8.1操作内容和环境329 6.8.2相关知识介绍330 6.8.3操作步骤331 6.9配置OSPF邻居认证340 6.9.1操作内容和环境340 6.9.2相关知识介绍341 6.9.3操作步骤342 6.10配置OSPF路由聚合349 6.10.1操作内容和环境349 6.10.2相关知识介绍349 6.10.3操作步骤351 6.11配置OSPF虚链路358 6.11.1操作内容和环境358 6.11.2相关知识介绍358 6.11.3操作步骤359 第7章华为路由器的高级功能368 7.1设置路由器成为DHCP服务器368 7.1.1操作内容和环境368 7.1.2背景知识368 7.1.3操作步骤369 7.2访问控制列表的配置376 7.2.1访问控制列表的操作内容和环境376 7.2.2背景知识376 7.2.3操作步骤381 7.3配置GRE协议387 7.3.1GRE协议的操作内容和环境387 7.3.2背景知识387 7.3.3操作步骤390 7.4配置IPSec协议396 7.4.1操作内容和环境396 7.4.2背景知识397 7.4.3操作步骤405 7.5配置MPLS协议419 7.5.1操作内容和环境419 7.5.2背景知识419 7.5.3操作步骤424

网路设备模拟器Packet_Tracer教程

网路设备模拟器Packet Tracer教程 第一章　认识Packet Tracer软件 1 第二章　交换机的基本配置与管理 2 第三章　交换机的Telnet远程登陆配置 3 第四章　交换机划分Vlan配置 5 第五章　利用三层交换机实现VLAN间路由 7 第六章　快速生成树配置 10 第七章　路由器的基本配置 12 第八章　路由器单臂路由配置 14 第九章　路由器静态路由配置 16 第十章　路由器RIP动态路由配置 18 第十一章　路由器OSPF动态路由配置 21 第十二章　路由器综合路由配置 24 第十三章　标准IP访问控制列表配置 27 第十四章　扩展IP访问控制列表配置 29 第十五章　网络地址转换NAT配置 32 第十六章　网络端口地址转换NAPT配置 34

思科基础20个实验带过程代码PT模拟，CCNA网路设备模拟器Packet Tracer教程

第一章　认识Packet Tracer软件 1 第二章　交换机的基本配置与管理 2 第三章　交换机的端口配置与管理 3 第四章　交换机的Telnet远程登陆配置 5 第五章　交换机的端口聚合配置 7 第六章　交换机划分Vlan配置 9 第七章　三层交换机基本配置 12 第八章　利用三层交换机实现VLAN间路由 13 第九章　快速生成树配置 16 第十章　路由器的基本配置 19 第十一章　路由器单臂路由配置 21 第十二章　路由器静态路由配置 23 第十三章　路由器RIP动态路由配置 25 第十四章　路由器OSPF动态路由配置 29 第十五章　路由器综合路由配置 32 第十六章　标准IP访问控制列表配置 35 第十七章　扩展IP访问控制列表配置 37 第十八章　网络地址转换NAT配置 40 第十九章　网络端口地址转换NAPT配置 42 第二十章 交换机端口安全 45

Cisco路由器手册

目 录 译者序 前言 第1章 Cisco IOS软件 1 1.1 优点 1 1.2 软件包 3 1.3 所支持的特性 4 1.3.1 协议 4 1.3.2 管理 8 1.3.3 多媒体和QoS 8 1.3.4 安全数据传送 8 1.3.5 对IBM网络环境的支持 9 1.3.6 IP路由协议 9 1.3.7 桥接 10 1.3.8 报文交换 10 1.3.9 NetFlow交换 11 1.3.10 ATM 11 1.3.11 按需拨号路由 12 1.3.12 访问服务器 12 1.3.13 LAN扩展 13 第2章 Cisco路由器硬件 14 2.1 Cisco路由器网络分层 14 2.2 在线插拔 16 2.3 Cisco 12000系列 17 2.3.1 12000系列的使用 19 2.3.2 12000交换处理器 20 2.3.3 12000系列的存储器 20 2.3.4 12000系列的线卡 21 2.3.5 12000系列的软件支持 25 2.4 Cisco 7500系列 26 2.4.1 7500系列的使用 28 2.4.2 7500系列的系统处理器 28 2.4.3 7500系列的存储器 29 2.5 Cisco 7200系列 30 2.5.1 7200系列的使用 30 2.5.2 7200 系列的网络处理引擎 30 2.5.3 7200系列的存储器 30 2.6 Cisco 7000系列 31 2.6.1 7000系列的使用 32 2.6.2 7000系列的系统处理器 32 2.6.3 7000系列的存储器 33 2.6.4 Cisco 7x00系列接口处理器 33 2.6.5 7x00 ATM接口处理器 34 2.6.6 7x00通道接口处理器2 34 2.6.7 7x00通道化T3接口处理器 35 2.6.8 7x00以太网接口处理器 36 2.6.9 7x00快速以太网接口处理器和 FEIP2 37 2.7 7x00 FDDI接口处理器 38 2.8 7x00快速串行接口处理器 38 2.8.1 7x00“高速串行接口”接口处理器 39 2.8.2 7x00多通道接口处理器 39 2.8.3 7x00报文OC-3接口处理器 40 2.8.4 7x00服务提供者MIP 41 2.8.5 7x00标准串行接口处理器 41 2.8.6 7x00令牌环接口处理器 42 2.8.7 7x00多功能接口处理器2 43 2.9 Cisco 7x00系列的端口和服务适配器 43 2.9.1 7x00 ATM OC-3 44 2.9.2 7x00 ATM电路仿真服务 44 2.9.3 7x00 100VG-AnyLAN 45 2.9.4 7x00 ISDN基本速率接口 45 2.9.5 7x00通道化T1/E1 ISDN PRI 45 2.9.6 7x00 10BaseT以太网 46 2.9.7 7x00 10BaseFL以太网 46 2.9.8 7x00快速以太网 47 2.9.9 7x00同步串行 47 2.9.10 7x00单端口Molex 200针插座 48 2.9.11 7x00同步串行E1-G.703/G.704 48 2.9.12 7x00令牌环 48 2.9.13 7x00 FDDI 49 2.9.14 7x00 HSSI 49 2.9.15 压缩服务适配器 49 2.10 Cisco 4000系列 50 2.10.1 4000系列的使用 52 2.10.2 4000系列的处理器 52 2.10.3 4000系列的存储器 52 2.11 Cisco 3600系列 52 2.11.1 3600系列的使用 59 2.11.2 3600系列的处理器和存储器 59 2.12 Cisco 2600系列 60 2.12.1 2600系列的使用 61 2.12.2 2600系列的处理器 61 2.12.3 2600系列的存储器 61 2.13 Cisco 2500系列 62 2.13.1 2500系列的使用 69 2.13.2 2500系列的处理器和存储器 69 2.14 Cisco 1600系列 70 2.14.1 1600系列的使用 71 2.14.2 1600系列的处理器和存储器 71 2.15 700M家族的访问路由器 72 第3章 Cisco 路由器网络设

思科设备网络实验手册.doc

目录 实验一 交换机基本操作及VLAN配置 1 实验1 交换机基本操作 1 实验目的 1 实验拓扑 1 实验设备 1 本实验所用的命令 1 实验步骤 2 实验2 VLAN基本配置：交换机端口隔离（Port Vlan） 4 实验目的 4 背景描述 4 实现功能 4 实验拓扑 4 实验设备 4 本实验所用的命令 4 实验步骤 5 实验二 VLAN配置二 7 实验1 跨交换机实现VLAN（Tag Vlan） 7 实验目的 7 背景描述 7 实现功能 7 实验拓扑 7 实验设备 8 本实验所用的命令 8 实验步骤 8 实验2 通过路由器实现VLAN间通信（交换机Switch2950） 11 实验拓扑 11 实验目的 11 实验设备 11 本实验所用的命令 12 实验步骤 12 实验三 配置静态路由 15 网络拓扑 15 实验目的 15 实验内容及步骤 15 作业 18 实验四 配置路由器动态路由OSPF协议 19 实验目的 19 实验步骤 19 作业 22 实验五 IP访问控制列表（ACL） 23 实验1 标准IP访问列表 23 实验目的 23 背景描述 23 实现功能 23 实验拓扑 23 实验设备 23 实验步骤 24 注意事项 25 作业 25 实验2 扩展IP访问列表 26 实验目的 26 背景描述 26 实现功能 26 实验拓扑 26 实验设备 27 实验步骤 27 注意事项 28 作业 28 实验六 静态内部源地址转换NAT 29 实验目的 29 背景描述 29 实现功能 29 实验拓扑 29 实验设备 29 实验步骤 29 注意事项 31 作业 31 附录一 实验要求 32 附录二 实验成绩的考核与评定办法 33 附录三 实验项目设置与内容 34

《思科网络技术学院教程.CCNA2.路由器与路由基础》.CCNA2.rar

中文名: 思科网络技术学院教程 CCNA2 路由器与路由基础 原名: Cisco NetWorking Acadcmy 作者: Wendell Odom版本: 扫描版[rar] 出版社: 人民邮电书号: 9787115171979发行时间: 2009年 地区: 大陆 语言: 简体中文 简介: 内容提要 思科网络技术学院项目(Cisco NetWorking Acadcmy Program)是Cisco公司在全球范围推出的一个主要面向初级网络工程技术人员的培训项目。 本书为思科网络技术学院第2学期的配套书面教程，主要内容包括广域网介绍、路由器介绍、配置路由器、如何学习其他设备、Cisco IOS管理、路由和路由协议、距离矢量路由协议、TCP/IP协议、差错和控制消息、基本路由排错、TCP/UDP协议、访问控制列表等内容。每章的最后还提供了复习题。附录A给出了每章结尾复习题的答案，附录B(见光盘)提供了二进制/十进制数的转换表。术语表(见光盘)描述了书中使用的有关网络的术语和缩写。 本书为思科网络技术学院第2学期的指定教材，适合准备参加CCNA认证考试的读者，也适合各类网络技术人员参考阅读。 作者简介 Wendell Odom，CCIE#1624，是Skyline Advanced Technology Services的高级教师，他主讲QOS、CCIE、MPIS和CCNA课程。WendeH在网络界工作20多年，曾做过售前和售后技术咨询、教师和课程开发等工作，出版过多本Cisco Press的书，包括最畅销的CCNA ICND Exam Cenigcation Guide(中文版《CCNA ICND认证考试指南》已由人民邮电出版社出版)、Computer Networking First-Step(中文版《计算机网络第一阶》已由人民邮电出版社出版)和CCIE Routing and Switctffng Official Exam Certification Guide(英文影印版《CCIE路由与交换认证考试指南》(第2版)已由人民邮电出版社出版)。 Rick McDonald在阿拉斯加州凯奇坎的阿拉斯加东南大学教授计算机和网络课程，他拥有华盛顿斯波坎Gonzaga大学的英语学士学位和教育技术硕士学位。在航空界工作几年后，又成为全职教师。后来Rick开始在北卡罗来纳州思科网络技术学院教授CCNA和CCNP课程，并培训CCNA教师。此外，Rick 曾为网络学院写过学习指导，是CCNA 3 and 4 Companion GuideThird Edition(Cisco Press)(中文版《思科网络技术学院教程(第三、四学期)(第三版)》已由人民邮电出版社出版)的技术编辑。他目前在阿拉斯加负责开发用Web和 NE7LAB实现的远程试验项目。Rick喜欢和妻子Becky，儿子Greg、Paul和Sam一起旅游。 目录: 前言 第1章 广域网和路由器 学习目标 1.1 广域网路由介绍 1.1.1 连接路由器到广域网链路 1.1.2 在实验室中建立廉价的租用线路 1.1.3 广域网路由概述 1.1.4 路由器的硬件和软件组成 1.2 路由器的组成和电缆 1.2.1 路由器内部组成 1.2.2 路由器外部接口 1.2.3 路由器管理端口 1.3 总结

网络互连_网桥.路由器.交换机和互连协议

前 言本书讲述了在互联网上传送数据的“盒子”的内部是如何工作的，这些“盒子”有不同的名称：网桥、路由器、交换机和集线器。本书也讲述了连接到网络上的设备。在这个领域有不少的混乱。大多数术语的定义不准确，使用时相互抵触；术语及规范的数量惊人；一些知识分布在不同的文档中，还有很多非书面的民间智慧。引起混乱的还有教条。信念被当成真理，对任何教条的置疑都会引起不满的回应。但良好的工程要求我们懂得我们在做什么，以及为什么这样做；要求我们保持开放的思想，从经验中获得知识。在本书中，我没有直接讨论某个协议的细节，而是首先集中在所要解决的问题上。我考查了每个问题的多种解决方法，讨论其中涉及的工程折衷。然后我检查已经应用的方案，对这些方案进行比较。对任何观点，我都给出了技术上的理由，如果你认为我遗落了某些论据，欢迎通过电子邮件与我进行讨论。我的电子邮件地址附在书后，希望你从头到尾读过本书后才能找到它。在本书第1版中，我的意图是帮助人们理解问题和通常的解决方案，而假定他们会去阅读规范以得到特定协议的细节。但人们不仅利用本书来理解问题，还把它当作参考书。因此在本版中，我收录了更多的协议细节。我认为，要深入了解某件东西必须把它与其它东西作比较。第1版是“最小化”的，因为我常只举两个例子：两种网桥，网桥与路由器，面向连接的与无连接的网络层协议，两个无连接的协议（CLNP和IP）。在本版中我增加了更多的例子，包括ATM、IPv6、IPX、AppleTalk和DECnet。这样做，部分是因为这些协议存在着，并且较难找到相关的信息。但更主要的，是因为这些协议体现了不该错过的有趣的想法。当我们设计新协议时，应该学习以前的想法，无论是好的还是坏的。另外，在对问题作了一般描述之后，就很容易讨论一些例子。本书导读前四章与第1版中的相应部分没有明显的不同，但其余部分已大量重写。第1章至第4章包括了一般网络概念、数据链路问题（如编址和复用）、透明桥和生成树算法及源路由网桥。第5章是全新的，解释了交换的概念如何演变到重新发现网桥。它也包括了VLAN和快速以太网。余下部分集中在第三层（网络层）。第6章是网络层概览，第7章涉及面向连接的网络，包括ATM和X.25。第8章讨论无连接网络层的一般问题，第9章包括了第三层中的一般编址技术，详尽比较了IP、IPv6、CLNP、DECnet、AppleTalk和IPX。第10章谈到在网络层报头中应出现的信息及几种协议报头的对比。第11章涉及自动配置和近邻发现，包括ARP和DHCP协议。第12章是一般的路由选择算法。第13章讨论最长前缀匹配问题，这在快速转发IP包时需要。第14章讨论各种路由选择协议的特点，包括RIP、IS-IS、OSPF、PNNI、NLSP和BGP。第15章是网络层组播。第16章说明如何设计免受破坏的网络，这在将来会有用。最后两章总结了本书，我希望它们是轻松有趣的。第17章探究了将网桥和路由器区别开来的秘密，第18章试图收集人们有关如何设计协议的经验知识。最后有一张术语表。我在第一次使用某个术语时会给出定义，但如果我没有给出定义，你也可以从术语表中找到。 本书被认为是讲述网络理论和实践的主要书籍之一。除介绍了一般的网络概念外，对路由算法和协议、编址、网桥、路由器、交换机和集线器的功能结构等都提供了权威和全面的信息。包括网络领域的最新发展，如交换和桥接技术、VLAN、快速以太网、DHCP、ATM以及IPv6等。作者以专家的洞察力分析了网络的运作过程和工作机理，并深入到技术背后的概念和原理，帮助读者获得对可用的解决方案的更深理解。本书适用于作为大专院校计算机专业本科生网络课程的教材，也适用于从事网络研究的技术人员和其他对网络技术有兴趣的人员。 译者序 前言 第1章 网络基本概念 1 1.1 网络分层模型 1 1.2 服务模型 5 1.3 网络的重要特性 7 1.4 可靠的数据传输协议 9 第2章 数据链路层 14 2.1 一般的LAN 14 2.1.1 什么是局域网 14 2.1.2 轮转 15 2.2 IEEE 802 LAN 16 2.3 名字、地址与路由 17 2.4 局域网地址 18 2.5 组播地址与单播地址 19 2.6 广播地址 20 2.7 复用字段 20 2.8 位序 23 2.9 逻辑链路控制 24 2.10 802.3中的问题 25 2.11 802.5中的问题 27 2.12 包的突发性 28 2.13 需要网桥的理由 28 2.14 点对点链路 29 第3章 透明网桥 32 3.1 纯网桥 32 3.2 学习式网桥 33 3.3 生成树算法 41 3.3.1 配置消息 42 3.3.2 计算根ID以及到根网桥的费用 44 3.3.3 选择生成树的端口 44 3.3.4 一个例子 45 3.4 生成树算法的改进 45 3.4.1 故障 46 3.4.2 避免临时循环 47 3.4.3 站点缓冲区超时值 49 3.4.4 网络范围的参数 50 3.4.5 端口ID 51 3.4.6 分配端口号 52 3.4.7 性能问题 53 3.4.8 单向连通 53 3.4.9 可设参数 54 3.5 网桥报文格式 55 3.5.1 配置信息格式 55 3.5.2 拓扑变化通告信息的格式 56 3.6 其他的网桥问题 57 3.6.1 多连接的站点 57 3.6.2 配置过滤器 58 3.6.3 网桥的不完全透明 60 3.7 远程网桥 62 第4章 源路由网桥 68 4.1 纯源路由 68 4.1.1 路由信息报头 68 4.1.2 网桥编号 69 4.1.3 网桥算法 72 4.2 SR-TB网桥 74 4.2.1 从TB端口发出的包 74 4.2.2 从SR端口发出的包 75 4.2.3 环 76 4.3 SRT网桥 77 4.4 端系统算法 78 4.4.1 什么时候寻找路由 78 4.4.2 怎样发现一个路由 79 4.4.3 通过目的端发现路由 83 4.4.4 路由选择 83 4.5 源路由与透明网桥 83 4.5.1 带宽费用 83 4.5.2 配置难易度 84 4.5.3 普遍性 84 4.5.4 网桥的费用和性能 85 4.6 改善源路由网桥的方法 85 4.6.1 源路由网桥的自动配置 85 4.6.2 使指数级的开销固定 86 第5章 集线器、交换机、虚拟局域网与 快速以太网 90 5.1 集线器 90 5.1.1 学习式HUB和安全性 91 5.1.2 存储-转发和生成树 91 5.1.3 混合L1和L2的交换机 92 5.1.4 产品与标准，L1与L2 93 5.2 快速LAN 93 5.3 虚拟局域网 95 5.3.1 为什么需要虚拟局域网 96 5.3.2 映射端口到虚拟局域网 97 5.3.3 举例：虚拟局域网使用独立路由器 转发 97 5.3.4 举例：虚拟局域网使用交换机作为 路由器转发 98 5.3.5 动态绑定链路到虚拟局域网 99 5.3.6 动态虚拟局域网绑定，交换机- 交换机 101 第6章 网络接口：服务模型 104 6.1 什么是网络层 104 6.2 网络服务类型 104 6.2.1 性能保证 105 6.2.2 服务模型选择举例 105 6.2.3 混合策略 106 6.2.4 无连接与面向连接 107 第7章 面向连接的网络：X.25和ATM 110 7.1 一般的面向连接的网络 110 7.2 X.25：可靠的面向连接服务 111 7.2.1 基本思想 112 7.2.2 虚电路号 113 7.2.3 呼叫建立 113 7.2.4 数据转发 114 7.2.5 流控制 117 7.2.6 功能 119 7.2.7 呼叫释放 119 7.2.8 中断 120 7.3 在网络内部实现X.25 120 7.3.1 电路方法 120 7.3.2 基于数据报的可靠连接方法 121 7.3.3 比较 121 7.4 异步传输模式 121 7.4.1 信元大小 122 7.4.2 虚电路和虚路径 122 7.4.3 ATM服务种类 124 7.4.4 ATM信元头部格式 124 7.4.5 连接的建立与释放 125 7.4.6 ATM适应层 126 第8章 一般的无连接的服务 129 8.1 数据传输 129 8.2 地址 129 8.3 跳计数 129 8.4 服务类型信息 130 8.4.1 优先级 130 8.4.2 带宽预留和服务保证 131 8.4.3 特别的路由计算 131 8.5 网络反馈 132 8.6 分段和重组 132 8.7 最大包的发现 133 第9章 网络层地址 135 9.1 有固定边界的分层地址 135 9.2 有活动边界的分层地址 136 9.3 自有地址和租用地址 137 9.4 地址类型 138 9.5 IP 138 9.5.1 IP地址规定 140 9.5.2 IP地址文字表示 141 9.6 IPX 141 9.6.1 采用唯一ID的保密性问题 142 9.6.2 对IPX恶意的中伤 142 9.6.3 IPX地址管理 142 9.6.4 内部IPX网络号 143 9.7 IPX+ 144 9.8 IPv6 145 9.8.1 IPv6版本编号由来 146 9.8.2 IPv6地址的书写表示 146 9.8.3 IPv6前缀的书写表示 146 9.8.4 EUI-64 147 9.8.5 IPv6中用的EUI-64类型 148 9.8.6 IPv6地址约定 148 9.8.7 从IPv4到IPv6的转换 149 9.9 CLNP网络层地址 149 9.9.1 自动配置 151 9.9.2 内嵌的DTE地址 151 9.10 AppleTalk网络层地址 152 9.11 DECnet Phase 3和Phase 4 153 9.11.1 位的来由 153 9.11.2 DECnet Phase 4地址 153 9.11.3 从DECnet 地址到以太网地址的 映射 153 9.12 NAT/NAPT 154 第10章 无连接数据包格式 156 10.1 无连接网络层的几个部分 156 10.2 数据包 156 10.3 包格式汇总以便参阅 157 10.3.1 IP 157 10.3.2 IPX 157 10.3.3 IPX+ 158 10.3.4 AppleTalk 159 10.3.5 IPv6 160 10.3.6 DECnet 160 10.3.7 CLNP 161 10.4 数据包格式的技术特征与比较 162 10.4.1 目的地址 162 10.4.2 源地址 163 10.4.3 目标与源套接字 163 10.4.4 报头长度 163 10.4.5 包长度 163 10.4.6 报头校验和 164 10.4.7 允许分段 164 10.4.8 包标识 165 10.4.9 分段偏移 165 10.4.10 预分段长度 166 10.4.11 多分段 166 10.4.12 寿命 166 10.4.13 版本号 168 10.4.14 填充 168 10.4.15 协议 168 10.4.16 类型 169 10.4.17 错误报告要求 169 10.4.18 拥塞反馈：源抑制与DEC位 170 10.4.19 服务类型 171 10.4.20 选项 173 10.5 源路由 176 10.5.1 松源路由和紧源路由 177 10.5.2 用一个外出的链路地址重写源 路由 178 10.5.3 用外出的链路地址重写一个目的 地址 178 10.5.4 有源路由选项的安全漏洞 178 10.6 IPX帧格式的大秘诀 179 10.6.1 IPX的四种帧格式 179 10.6.2 多重IPX帧格式的处理 180 10.7 给端节点的出错报告和其他网络 反馈 181 10.7.1 CLNP错误报文 181 10.7.2 ICMP：IP错误报文 182 10.7.3 IPv6错误报文 185 第11章 邻机问候和自动配置 188 11.1 经由点到点链路相连的端节点 188 11.2 经由LAN相连的端节点 189 11.2.1 ES-IS：CLNP的解决方案 190 11.2.2 IP的解决方案 192 11.2.3 IPX的解决方案 197 11.2.4 DECnet的解决方案 198 11.2.5 AppleTalk的解决方案 198 11.2.6 IPv6的解决方案 200 11.2.7 回顾和比较 200 11.2.8 比较 201 11.3 通过非广播的多路访问媒体相连的 端节点 202 11.3.1 不同的解决方案 202 11.3.2 在协议Y的网络中提供组播 203 11.3.3 LAN仿真 205 11.3.4 传统的IP及ARP over ATM 206 11.3.5 去除额外的跳 207 11.4 查找 208 11.4.1 一般性的查找服务 208 11.4.2 AppleTalk的方案 209 11.4.3 NetWare的服务通告协议 210 第12章 路由选择算法概念 212 12.1 距离向量路由 212 12.2 链路状态路由 217 12.2.1 与邻机会话 218 12.2.2 构建一个LSP 218 12.2.3 给所有路由器散播LSP 218 12.2.4 计算路由 224 12.3 链路状态和距离向量路由的比较 225 12.3.1 内存 225 12.3.2 带宽耗费 227 12.3.3 计算量 227 12.3.4 对计算成本的说明 228 12.3.5 健壮性 228 12.3.6 功能性 229 12.3.7 收敛速度 229 12.4 负载分割 230 12.5 链路代价 231 12.6 迁移路由算法 233 12.6.1 运行两个算法 233 12.6.2 人工逐个节点切换 233 12.6.3 转换 234 12.7 LAN 234 12.7.1 把LAN当成一个节点 234 12.7.2 散布路由信息 236 12.8 服务类型 237 12.8.1 处理指令 237 12.8.2 多种度量 237 12.8.3 基于策略的路由和约束 239 12.8.4 静态路由 240 12.8.5 过滤器 240 12.8.6 源路由 240 12.8.7 路由域特有的策略 240 12.8.8 服务类别特有的策略 241 12.9 划分修复：第1层子网划分 242 第13章 快速包转发 245 13.1 使用附加报头 245 13.2 地址前缀匹配 246 13.3 使用Trie算法的最长前缀匹配 247 13.3.1 倒塌一个无分支的长路径 248 13.3.2 以存储空间换取查找时间 248 13.3.3 前缀长度的二分查找 251 13.3.4 利用特殊硬件实现并行性 252 13.4 二分查找 255 13.4.1 前缀排序 255 13.4.2 给用1填充的前缀增加前缀长度 255 13.4.3 排除重复的填充前缀 256 13.4.4 k-ary查找 257 13.4.5 做一次查询 257 第14章 特定的路由协议 259 14.1 域内路由协议简史 259 14.2 RIP 260 14.3 RTMP、IPX-RIP和DECnet 262 14.4 IS-IS、OSPF、NLSP和PNNI 263 14.4.1 层次结构 263 14.4.2 区域地址 268 14.4.3 LAN与指定路由器 269 14.4.4 LAN上LSP的可靠传播 270 14.4.5 参数同步 272 14.4.6 每个包的目的地数目 273 14.4.7 LSP数据库过载 273 14.4.8 认证 274 14.4.9 IS-IS细节 275 14.4.10 OSPF 288 14.4.11 PNNI细节 300 14.5 域间路由协议 301 14.5.1 静态路由 301 14.5.2 EGP 302 14.5.3 BGP 307 第15章 广域网组播 317 15.1 简介 317 15.1.1 第2层组播 317 15.1.2 第3层组播的原因 317 15.1.3 需要考虑的方面 318 15.1.4 （非IP中的）多跳组播 319 15.2 IP中的组播 319 15.2.1 集中式的组播与分散式的组播 320 15.2.2 可以不用第3层组播吗 321 15.2.3 映射NL组播到DL组播 321 15.2.4 IGMP协议 322 15.2.5 IGMP探听 323 15.2.6 反向路径转发 323 15.2.7 距离向量组播路由协议 324 15.2.8 组播OSPF 325 15.2.9 基于核心的树 327 15.2.10 PIM-DM 328 15.2.11 PIM-SM 328 15.2.12 BGMP/MASC 329 15.2.13 组播源分布协议 330 15.2.14 简化组播 330 第16章 防破坏的路由 337 16.1 问题 337 16.2 需要了解的密码系统知识 337 16.3 方法概述 339 16.3.1 强健扩散 339 16.3.2 强健路由 340 16.4 方法的详细描述 340 16.4.1 再谈强健扩散 340 16.4.2 强健的包路由器 343 16.4.3 其他的动态数据库 343 16.5 小结 345 16.6 其他参考资料 345 第17章 路由、桥接，还是交换： 是问题吗 347 17.1 交换机 347 17.2 网桥与路由器 347 17.3 网桥的扩展 349 17.3.1 不只是使用生成树 349 17.3.2 分段网桥 349 17.3.3 IGMP探听 349 17.4 路由器的扩展 350 17.4.1 更快的路由器 350 17.4.2 多协议路由器 350 17.4.3 单协议主干 351 17.4.4 Brouter 352 第18章 协议设计中的诀窍 353 18.1 简单性、灵活性与最优性 353 18.2 了解需要解决的问题 354 18.3 开销与升级 354 18.4 超出能力时的操作 355 18.5 紧凑ID与对象标识符 355 18.6 最普遍或最重要情况的最优化 356 18.7 向前兼容 357 18.7.1 足够大的字段 357 18.7.2 层的独立性 357 18.7.3 保留字段 358 18.7.4 单个版本号字段 358 18.7.5 分割版本号字段 358 18.7.6 选项 359 18.8 迁移：路由算法与编址 359 18.9 参数 360 18.9.1 避免参数 361 18.9.2 合法的参数设置 361 18.10 使多协议操作成为可能 362 18.11 在第3层与第2层上运行 363 18.12 健壮性 364 18.13 决定性与稳定性 365 18.14 实现正确性的性能要求 365 18.15 结束语 366 术语 367

CISCO模拟一看就会教程Cisco-Packet-Tracer.doc

网路设备模拟器Packet Tracer教程 第一章　认识Packet Tracer软件 1 第二章　交换机的基本配置与管理 2 第三章　交换机的端口配置与管理 3 第四章　交换机的Telnet远程登陆配置 5 第五章　交换机的端口聚合配置 7 第六章　交换机划分Vlan配置 9 第七章　三层交换机基本配置 12 第八章　利用三层交换机实现VLAN间路由 13 第九章　快速生成树配置 16 第十章　路由器的基本配置 19 第十一章　路由器单臂路由配置 21 第十二章　路由器静态路由配置 23 第十三章　路由器RIP动态路由配置 25 第十四章　路由器OSPF动态路由配置 28 第十五章　路由器综合路由配置 31 第十六章　标准IP访问控制列表配置 34 第十七章　扩展IP访问控制列表配置 36 第十八章　网络地址转换NAT配置 39 第十九章　网络端口地址转换NAPT配置 41

Packet_Tracer使用教程

Packet_Tracer使用教程 网路设备模拟器 Packet Tracer 教程 第一章 认识 Packet Tracer 软件... . 1 第二章 交换机的基本配置与管理... ... 2 第三章 交换机的 Telnet 远程登陆配置... . 3 第四章 交换机划分 Vlan 配置... ... 5 第五章 利用三层交换机实现 VLAN 间路由... . 7 第六章 快速生成树配置... .. 10 第七章 路由器的基本配置... . 12 第八章 路由器单臂路由配置... ... 14 第九章 路由器静态路由配置... ... 16 第十章 路由器 RIP 动态路由配置... . 18 第十一章 路由器 OSPF 动态路由配置... ... 21 第十二章 路由器综合路由配置... .. 24 第十三章 标准 IP 访问控制列表配置... .. 27 第十四章 扩展 IP 访问控制列表配置... .. 29 第十五章 网络地址转换 NAT 配置... .. 32 第十六章 网络端口地址转换 NAPT 配置... . 34

入门学习Linux常用必会60个命令实例详解doc/txt

文件为doc版，可自行转成txt，在手机上看挺好的。 本资源来自网络，如有纰漏还请告知，如觉得还不错，请留言告知后来人，谢谢！！！！！ 入门学习Linux常用必会60个命令实例详解 Linux必学的60个命令 Linux提供了大量的命令，利用它可以有效地完成大量的工作，如磁盘操作、文件存取、目录操作、进程管理、文件权限设定等。所以，在Linux系统上工作离不开使用系统提供的命令。要想真正理解Linux系统，就必须从Linux命令学起，通过基础的命令学习可以进一步理解Linux系统。 不同Linux发行版的命令数量不一样，但Linux发行版本最少的命令也有200多个。这里笔者把比较重要和使用频率最多的命令，按照它们在系统中的作用分成下面六个部分一一介绍。 ◆ 安装和登录命令：login、shutdown、halt、reboot、install、mount、umount、chsh、exit、last； ◆ 文件处理命令：file、mkdir、grep、dd、find、mv、ls、diff、cat、ln； ◆ 系统管理相关命令：df、top、free、quota、at、lp、adduser、groupadd、kill、crontab； ◆ 网络操作命令：ifconfig、ip、ping、netstat、telnet、ftp、route、rlogin、rcp、finger、mail、 nslookup； ◆ 系统安全相关命令：passwd、su、umask、chgrp、chmod、chown、chattr、sudo ps、who； ◆ 其它命令：tar、unzip、gunzip、unarj、mtools、man、unendcode、uudecode。 本文以Mandrake Linux 9.1(Kenrel 2.4.21)为例，介绍Linux下的安装和登录命令。 immortality按：请用ctrl+f在本页中查找某一部分的内容或某一命令的用法。 -------------------------------------------------------------------------------- Linux必学的60个命令(1)-安装与登陆命令 login 1.作用 login的作用是登录系统，它的使用权限是所有用户。 2.格式 login [name][－p ][－h 主机名称] 3.主要参数 －p:通知login保持现在的环境参数。 －h:用来向远程登录的之间传输用户名。 如果选择用命令行模式登录Linux的话，那么看到的第一个Linux命令就是login：。 一般界面是这样的： Manddrake Linux release 9.1(Bamboo) for i586 renrel 2.4.21－0.13mdk on i686 / tty1 localhost login:root password: 上面代码中，第一行是Linux发行版本号，第二行是内核版本号和登录的虚拟控制台，我们在第三行输入登录名，按“Enter”键在Password后输入账户密码，即可登录系统。出于安全考虑，输入账户密码时字符不会在屏幕上回显，光标也不移动。 登录后会看到下面这个界面（以超级用户为例）： [root@localhost root]# last login:Tue ,Nov 18 10:00:55 on vc/1 上面显示的是登录星期、月、日、时间和使用的虚拟控制台。 4.应用技巧 Linux 是一个真正的多用户操作系统，可以同时接受多个用户登录，还允许一个用户进行多次登录。这是因为Linux和许多版本的Unix一样，提供了虚拟控制台的访问方式，允许用户在同一时间从控制台（系统的控制台是与系统直接相连的监视器和键盘）进行多次登录。每个虚拟控制台可以看作是一个独立的工作站，工作台之间可以切换。虚拟控制台的切换可以通过按下Alt键和一个功能键来实现，通常使用F1-F6 。 例如，用户登录后，按一下“Alt+ F2”键，用户就可以看到上面出现的“login:”提示符，说明用户看到了第二个虚拟控制台。然后只需按“Alt+ F1”键，就可以回到第一个虚拟控制台。一个新安装的Linux系统允许用户使用“Alt+F1”到“Alt+F6”键来访问前六个虚拟控制台。虚拟控制台最有用的是，当一个程序出错造成系统死锁时，可以切换到其它虚拟控制台工作，关闭这个程序。 shutdown 1.作用 shutdown命令的作用是关闭计算机，它的使用权限是超级用户。 2.格式 shutdown [－h][－i][－k][－m][－t] 3.重要参数 －t：在改变到其它运行级别之前，

CISCO 技术大集合

CISCO 技术大集合 {适合你们的技术} 二、命令状态 1. router> 路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。 2. router# 在router>提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。 3. router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。 4. router(config-if)#; router(config-line)#; router(config-router)#;… 路由器处于局部设置状态，这时可以设置路由器某个局部的参数。 5. > 路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。 6. 设置对话状态 这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态，这时可通过对话方式对路由器进行设置。 　 返回目录 三、设置对话过程 1. 显示提示信息 2. 全局参数的设置 3. 接口参数的设置 4. 显示结果 利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。 进入设置对话过程后，路由器首先会显示一些提示信息： --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. 这是告诉你在设置对话过程中的任何地方都可以键入“？”得到系统的帮助，按ctrl-c可以退出设置过程，缺省设置将显示在‘[]’中。然后路由器会问是否进入设置对话： Would you like to enter the initial configuration dialog? [yes]: 如果按y或回车，路由器就会进入设置对话过程。首先你可以看到各端口当前的状况： First, would you like to see the current interface summary? [yes]: Any interface listed with OK? value "NO" does not have a valid configuration Interface IP-Address OK? Method Status Protocol Ethernet0 unassigned NO unset up up Serial0 unassigned NO unset up up ……… ……… … …… … … 然后，路由器就开始全局参数的设置： Configuring global parameters: 1．设置路由器名： Enter host name [Router]: 2．设置进入特权状态的密文(secret)，此密文在设置以后不会以明文方式显示： The enable secret is a one-way cryptographic secret used instead of the enable password when it exists. Enter enable secret: cisco 3．设置进入特权状态的密码(password)，此密码只在没有密文时起作用，并且在设置以后会以明文方式显示： The enable password is used when there is no enable secret and when using older software and some boot images. Enter enable password: pass 4．设置虚拟终端访问时的密码： Enter virtual terminal password: cisco 5．询问是否要设置路由器支持的各种网络协议： Configure SNMP Network Management? [yes]: Configure DECnet? [no]: Configure AppleTalk? [no]: Co

TCP.IP路由技术[第二卷](CCIE职业发展系列).pdf

中文名: TCP.IP路由技术[第二卷](CCIE职业发展系列) 原名: Routing TCP.IP,Volume 2 作者: Jeff Doyle译者: 毕立波资源格式: PDF 版本: 扫描版 出版社: 人民邮电出版社书号: 9787115100962发行时间: 2002年 地区: 大陆 语言: 简体中文,英文 简介: 掌握BGP-4（事实上的域间路由协议标准）的操作、配置及故障检测与排除：理解NAT的操作、配置及故障检测与排除： 　　通过一系列案例研究及练习题来理解IP多播路由的部署、配置及故障检测与排除； 　　熟悉IPv6（下一代IP协议）的设计目标以及当前的发展状态；通过大最经专家验证的方法来管理路由器： 　　通过大量实用且全面的复习题、配置练习题及故障检测与排除练习题来测试和验证各种所学知识： 　　在掌握高级TCP／IP路由技术的同时。还可以进一步加强CCIE的认证准备工作。 为了管理日益增大的互连网络，需要全面理解路由器的操作行为，理解外部网关协议的各种复杂运行机制，包括TCP连接、消息状态、路径属性、内部路由协议互操作。以及建立邻居连接等内容。本书为读者全面理解BGP一4（边界网关协议版本4）、多播路由、NAT（网络地址转换）、IPv6，以及有效管理路由器等提供了各种翔实的专业知识。Jeff Doyle丰富的实践经验，易于阅读的写作风格及内容全面的论述。使得本书成为所有网络专家的案头宝典。 本书大大扩展了第一卷的主题内容：网络增长所带来的可扩展性和管理性要求。第二卷从第一卷的内部网关协议扩展到了自治系统间的路由协议，以及包括多播和IPv6在内的许多特殊路由问题，并且沿用了在第一卷中所采取的有效的信息组织结构。即在讨论完主题基础知识之后，辅之以一系列能充分展现现实网络世界中各种概念的配置案例。并通过各种经过验证的故障检测与排除方法来解决网络中可能出现的各种问题。本书不但可以帮助广大读者在自己的名字之后获得极具价值的CCIE。号。而且还能帮助大家掌握现实网络中所需的大量专家级网络知识和技巧。无论您是在准备CCIE认证考试。还是在准备CClE再认证考试，或是在寻求有关高级路由问题的专家建议。本书都将帮助您理解各种基本概念，并应用各种最佳实践技巧来应对网络的日益增长和有效管理等问题。内容简介本书在《TCP/IP路由技术（第一卷）》的基础上，深入系统地阐述了TCP/IP相关高级路由技术，包括BGP、多播、IPv6以及网络管理等内容。为便于读者深入掌握各章所学知识，本书提供了大量的案例分析材料，内容涵盖协议配置、故障检测与排除等方方面面。并且，在各章结束时都提供了大量的复习题和练习题，以加强读者对所学知识的记忆与理解。 　　本书除了面向众多备考的准CCIE以及需要通过再认证的CCIE之外，还非常适合从事大型IP网络规划、设计和实施工作的工程技术人员及网络管理员参考。 作者简介 Jeff Doyle，（CCIE#1919）是科罗拉多州丹佛市JuniperNetworks公司的专业服务咨询师，其主要研究方向是IP路由协议和MPLS流量工程技术。Jeff曾经设计和实现的大规模Intemet服务提供商网络遍及北美、欧洲和亚洲?并且在NANOG（NorthAmerican Network Operators’Group，北美网络运营团体）和APRICOT（Asia Pacific Regional Internet Conference onOperational Technologies，亚太地区互联网运营技术协会）等服务提供商论坛讲授高级网络互联技术。在加入Juniper Neworks公司之前，Jeff曾经是INS（Intemational Network Services，国际网络服务）公司的高级网络系统咨询师。 书摘与插图第1部分　外部网关协议 　　第1章　外部网关协议 　　聪明的读者一定会问（也应该问）：“为什么要浪费纸张专门花一个章节来描述像EGP（Exterior Gateway Protocol，外部网关协议）这样一种已经被废除了的协议？”毕竟EGP已经被’BGP（Border-Gateway Protocol，边界网关协议）协议广泛替代了。该问题的答案有二。 　　首先，虽然目前已经很少有人在用EGP了，但某些特殊场合仍然会遇到。例如，在写作本书时仍然可以在某些美国军用互联网络中见到EGP的影子。因而作为一名CCIE，仍然应该为这种罕见应用做好知识储备。 　　其次，本章内容作为一种历史铺垫，其目的是解释外部网关协议的发展驱动力，并说明最初的外部网关协议存在的不足，以便引出后面两章的内容。而且，在了解了BGP的演进根源之后，可以更好地认识到BGP的重要性。 　　1.1　EGP的起源 　　在20

CISCO路由器手册

本书作为Cisco 路由器的权威参考手册，剖析了在实际项目中各种常用网络场景的Cisco路由器技术解决方案。通过大量的网络拓扑图和实例，详细讲解Cisco 路由器网络的设计与构建。全面阐述和分析了Cisco 路由器的各类路由协议配置及其常用参数。 本书适用于不同程度的Cisco 网络设计与管理专业人员，也可供Cisco 认证考试和大专院校网络专业师生参考。 第1章 Cisco IOS软件 1 1.1 优点 1 1.2 软件包 3 1.3 所支持的特性 4 1.3.1 协议 4 1.3.2 管理 8 1.3.3 多媒体和QoS 8 1.3.4 安全数据传送 8 1.3.5 对IBM网络环境的支持 9 1.3.6 IP路由协议 9 1.3.7 桥接 10 1.3.8 报文交换 10 1.3.9 NetFlow交换 11 1.3.10 ATM 11 1.3.11 按需拨号路由 12 1.3.12 访问服务器 12 1.3.13 LAN扩展 13 第2章 Cisco路由器硬件 14 2.1 Cisco路由器网络分层 14 2.2 在线插拔 16 2.3 Cisco 12000系列 17 2.3.1 12000系列的使用 19 2.3.2 12000交换处理器 20 2.3.3 12000系列的存储器 20 2.3.4 12000系列的线卡 21 2.3.5 12000系列的软件支持 25 2.4 Cisco 7500系列 26 2.4.1 7500系列的使用 28 2.4.2 7500系列的系统处理器 28 2.4.3 7500系列的存储器 29 2.5 Cisco 7200系列 30 2.5.1 7200系列的使用 30 2.5.2 7200 系列的网络处理引擎 30 2.5.3 7200系列的存储器 30 2.6 Cisco 7000系列 31 2.6.1 7000系列的使用 32 2.6.2 7000系列的系统处理器 32 2.6.3 7000系列的存储器 33 2.6.4 Cisco 7x00系列接口处理器 33 2.6.5 7x00 ATM接口处理器 34 2.6.6 7x00通道接口处理器2 34 2.6.7 7x00通道化T3接口处理器 35 2.6.8 7x00以太网接口处理器 36 2.6.9 7x00快速以太网接口处理器和 FEIP2 37 2.7 7x00 FDDI接口处理器 38 2.8 7x00快速串行接口处理器 38 2.8.1 7x00“高速串行接口”接口处理器 39 2.8.2 7x00多通道接口处理器 39 2.8.3 7x00报文OC-3接口处理器 40 2.8.4 7x00服务提供者MIP 41 2.8.5 7x00标准串行接口处理器 41 2.8.6 7x00令牌环接口处理器 42 2.8.7 7x00多功能接口处理器2 43 2.9 Cisco 7x00系列的端口和服务适配器 43 2.9.1 7x00 ATM OC-3 44 2.9.2 7x00 ATM电路仿真服务 44 2.9.3 7x00 100VG-AnyLAN 45 2.9.4 7x00 ISDN基本速率接口 45 2.9.5 7x00通道化T1/E1 ISDN PRI 45 2.9.6 7x00 10BaseT以太网 46 2.9.7 7x00 10BaseFL以太网 46 2.9.8 7x00快速以太网 47 2.9.9 7x00同步串行 47 2.9.10 7x00单端口Molex 200针插座 48 2.9.11 7x00同步串行E1-G.703/G.704 48 2.9.12 7x00令牌环 48 2.9.13 7x00 FDDI 49 2.9.14 7x00 HSSI 49 2.9.15 压缩服务适配器 49 2.10 Cisco 4000系列 50 2.10.1 4000系列的使用 52 2.10.2 4000系列的处理器 52 2.10.3 4000系列的存储器 52 2.11 Cisco 3600系列 52 2.11.1 3600系列的使用 59 2.11.2 3600系列的处理器和存储器 59 2.12 Cisco 2600系列 60 2.12.1 2600系列的使用 61 2.12.2 2600系列的处理器 61 2.12.3 2600系列的存储器 61 2.13 Cisco 2500系列 62 2.13.1 2500系列的使用 69 2.13.2 2500系列的处理器和存储器 69 2.14 Cisco 1600系列 70 2.14.1 1600系列的使用 71 2.14.2 1600系列的处理器和存储器 71 2.15 700M家族的访问路由器 72 第3章 Cisco 路由器网络设计 75 3.1 网络基础结构的生命周期 76 3.2 设计准则 77 3.2.1 当今LAN/园区网的趋势 78 3.2.2 广域网设计趋势 80 3.2.3 远程网络趋势 80 3.2.4 可用性与成本效能 81 3.2.5 应用概貌 81 3.2.6 成本效能 82 3.3 网络设备和性能 83 3.3.1 桥接和路由 83 3.3.2 交换 84 3.3.3 骨干的考虑 85 3.3.4 分布式服务 87 3.3.5 本地服务 88 3.4 选择路由协议 89 3.4.1 网络拓扑 89 3.4.2 编址和路由汇总 90 3.4.3 路由选择 90 3.4.4 收敛的概念 91 3.4.5 网络可扩展性 91 3.4.6 安全 92 第4章 IP路由协议设计 93 4.1 RIP、RIP2和IGRP网络设计 94 4.1.1 RIP、RIP2和IGRP的拓扑结构 94 4.1.2 RIP、RIP2和IGRP编址和路由 汇总 95 4.1.3 RIP、RIP2和IGRP路由选择和 收敛 95 4.1.4 RIP、RIP2和IGRP网络可扩展性 96 4.2 EIGRP网络设计 96 4.2.1 EIGRP的拓扑结构 96 4.2.2 EIGRP编址和路由汇总 96 4.2.3 EIGRP路由选择 97 4.2.4 EIGRP收敛性 97 4.2.5 EIGRP可扩展性 97 4.2.6 EIGRP安全性 97 4.3 OSPF网络设计 98 4.3.1 OSPF的拓扑结构 99 4.3.2 OSPF编址和路由汇总 100 4.3.3 OSPF路由选择 101 4.3.4 OSPF收敛性 102 4.3.5 OSPF可扩展性 102 4.3.6 OSPF安全性 103 第5章 帧中继网络设计 104 5.1 帧中继互联网络的层次设计 104 5.2 帧中继网络拓扑 105 5.2.1 帧中继星形拓扑 105 5.2.2 帧中继完全连通拓扑 106 5.2.3 帧中继部分连通拓扑 107 5.2.4 帧中继完全连通层次拓扑 108 5.2.5 帧中继混合连通层次拓扑 109 5.3 广播流量问题 110 5.4 性能考虑 110 5.4.1 决定最大速率 111 5.4.2 交付信息率 111 5.4.3 FECN／BECN拥塞协议 111 5.4.4 虚拟子接口和多协议管理 111 5.5 SNA支持 111 5.5.1 边界网络结点 112 5.5.2 边界访问结点 112 5.5.3 FRAS主机支持 113 第6章 ATM网络互联设计 114 6.1 LAN仿真 114 6.1.1 LAN仿真客户机 115 6.1.2 LAN仿真配置服务器 115 6.1.3 LAN仿真服务器 115 6.1.4 广播和未知服务器 116 6.1.5 LANE设计考虑 116 6.1.6 网络支持 116 6.1.7 编址 116 6.1.8 LANE ATM地址 117 6.1.9 Cisco自动分配ATM地址的方法 117 6.1.10 使用ATM地址模板 117 6.1.11 分配组件到接口和子接口的 规则 118 6.1.12 LANE环境中的冗余 118 6.2 数据交换接口 120 6.2.1 支持的模式 120 6.2.2 DXI编址 120 6.3 传统IP 121 6.4 ATM上的多协议 121 6.4.1 多协议客户机 122 6.4.2 多协议服务器 123 6.4.3 MPOA指导方针 123 6.5 路由器上的带宽支持 123 6.6 配置流量参数 124 第7章 交换式LAN设计 125 7.1 交换式LAN因素 125 7.1.1 广播扩散 126 7.1.2 良好行为的VLAN 126 7.1.3 VLAN内部的可用带宽 126 7.1.4 管理边界 126 7.2 Cisco对VLAN实现的支持 126 7.2.1 IEEE 802.10 128 7.2.2 IEEE 802.1d 129 7.2.3 Inter-Switch Link 130 7.2.4 LAN仿真 131 7.2.5 虚拟多穴服务器 131 7.3 交换式局域网拓扑 131 7.3.1 标度交换 132 7.3.2 多交换／少路由 132 7.3.3 分布式路由／交换 133 第8章 SRB/RSRB网络设计 134 8.1 高效SRB设计的步骤 134 8.1.1 决定SRB协议 134 8.1.2 决定并行链路需求 134 8.1.3 指定适当的RSRB封装技术 134 8.1.4 决定WAN帧尺寸要求 135 8.1.5 决定本地回应需求 135 8.1.6 选择适当的IP路由协议 135 8.1.7 探测报文的控制 135 8.1.8 NetBIOS流量管理 136 8.2 典型的SRB拓扑 136 8.2.1 层次 136 8.2.2 分布 137 8.2.3 平面 138 8.3 虚环概念 139 8.3.1 多端口桥接 139 8.3.2 冗余星形拓扑 140 8.3.3 完全连通拓扑 141 8.3.4 层次虚环拓扑 141 8.3.5 虚环上的探测报文 141 8.4 代理探测 142 8.5 NetBIOS广播控制 143 8.5.1 NetBIOS名字缓冲 143 8.5.2 NetBIOS数据报广播 144 8.5.3 NetBIOS广播节流 144 8.5.4 NetBIOS广播筛选 144 8.6 远程SRB封装技术 145 8.6.1 直接封装 145 8.6.2 TCP封装 146 8.6.3 快速顺序传送封装 146 8.7 并行WAN链路问题 147 8.7.1 过程交换 147 8.7.2 快速交换 148 8.7.3 IP路由协议的影响 148 8.7.4 本地回应 148 8.7.5 设计推荐意见 149 8.8 IP路由协议与SRB 149 8.8.1 链路失效影响 149 8.8.2 IGRP网络设计 150 8.8.3 EIGRP网络设计 150 8.8.4 OSPF网络设计 150 8.9 排队和优先级 150 8.9.1 优先级排队 150 8.9.2 自定义排队 150 8.9.3 SAP优先次序 151 8.9.4 LU地址优先次序 151 8.9.5 WAN链路的SAP过滤器 151 第9章 DLSw+网络设计 152 9.1 DLSw标准 152 9.1.1 对等连接 153 9.1.2 能力互换 153 9.1.3 电路建立 153 9.1.4 流量控制 154 9.2 Cisco DLSw+ 154 9.2.1 对等组概念 156 9.2.2 探测帧防火墙 157 9.2.3 容错 157 9.2.4 负载平衡 158 9.3 Cisco DLSw+传送 159 9.3.1 TCP封装 159 9.3.2 快速顺序传送 159 9.3.3 直接封装 159 9.3.4 DLSw Lite 160 9.3.5 封装开销 160 9.4 Cisco操作的增强模式 160 9.4.1 双模式 160 9.4.2 标准模式 160 9.4.3 增强模式 160 9.5 可用性配置 161 9.5.1 负载平衡 161 9.5.2 冗余 162 9.5.3 备份对等 162 9.6 性能特性 163 9.6.1 端口列表 164 9.6.2 使用边界对等和按需对等的 对等组 164 9.6.3 动态对等 165 第10章 APPN网络设计 166 10.1 Cisco对APPN的支持 167 10.2 使用APPN的决策因素 168 10.2.1 主要协议SNA 168 10.2.2 服务等级 169 10.2.3 办公室到办公室的连接 169 10.2.4 非APPN兼容的SNA资源 170 10.3 相关逻辑单元请求者/服务器 171 10.4 网络结点的放置 171 10.5 性能考虑 172 10.5.1 拓扑数据库更新 173 10.5.2 连接网络 173 10.5.3 CP-CP会晤数目 174 10.5.4 网络结点数目 175 10.5.5 LOCATE搜索 176 10.6 恢复技术 176 10.6.1 从WAN链路 176 10.6.2 双路由器／双WAN链路 176 10.6.3 高性能路由 176 10.6.4 SSCP接替DLUR 177 10.7 排队和优先级 178 10.8 APPN缓冲区和内存管理 178

RouterOS2.9.6.with.crack及配置动画

MikroTik RouterOS是一种路由操作系统，并通过该软件将标准的PC电脑变成专业路由器，在软件RouterOS 软路由图的开发和应用上不断的更新和发展，软件经历了多次更新和改进，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。 桥接功能 　　RouterOS能将多张网卡组建为一个桥模式，使路由器变成一个透明的桥设备，同样也实行三层交换的作用，MAC层的以太网桥、EoIP 、Prism、Atheros和RadioLAN 等都是支持的。所有802.11b和802.11a 客户端的无线网卡（如station模式的无线）受802.11 的限制无法支持桥模式，但可以通过EoIP协议的桥接方式实现。 　　为防止环路出现在网络中，可以使用生成树协议(STP) ，这个协议同样使冗余线路成为可能。 　　包括特征如下： 　　l 生成树协议(STP) 　　l 多桥接接口功能 　　l 该协议能选择转发或者丢弃 　　l 能实时监控MAC地址 　　l 桥防火墙 　　l 多线路支持 　　RouterOS基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力，路由器用从路由协议派生出来的路由表，根据目的地址进行报文的转发。 　　在负载均衡下也可以根据带宽的比例调整两条线路的流量。RouterOS提供了多种方式的路由功能，使其路由功能更强大，更灵活。RouterOS的路由功能主要为： 　　l 基于源地址的路由 　　l 基于目标地址的路由 　　l 基于端口的路由 　　l 基于定义用户类的路由 　　l 基于负载均衡的路由 　　l 基于端口的负载均衡 　　l 隧道协议 　　RouterOS支持多种隧道协议如PPP、PPPoE、PPTP、EoIP、IPIP以及IPsec，这些隧道协议可以为远程资源访问和企业间的连接提供很好的解决方案，如： 　　l 通过PPTP或IPIP实现通网络资源互用 　　l EoIP或PPTP的远程局域网解决方案 　　l 支持PPPoE服务器 　　l Hotspot热点认证服务 　　热点服务认证系统是一种web的认证方式，在此种认证方式中，用户可以通过自设IP地址或DHCP获得一个地址，打开浏览器，无论输入一个什么地址，都会被强制到一个认证界面，要求用户进行认证，认证通过后，就可以访问其他站点了。主要特征： 　　l 用户通过时间与流量认证计费 　　l Cookie (存储用户的账号和密码) 带宽控制功能 　　l 定额控制（连接超时时间, 下载/上传传输限制） 　　l 实时用户状态信息显示 　　l 自定义认证HTML页(可以由你自己设计认证页) 　　l DHCP服务器分配IP地址 　　l 简单的RAIUS客户端配置 　　l RouterOS 能与PPTP隧道、IPsec以及其它的一些功能配合使用。 　　l 可以通过Access Point与以太网接入用户。 　　l 定时广播指定的URL链接 　　l 脚本控制 　　RouterOS提供了可以编写的脚本功能，脚本的加入使RouterOS在处理很多网络方案、自动检查故障和动态生成策略等，都可以通过脚本很好的解决。使得在处理很多网络问题上更加的灵活和智能化。 　　具体功能： 　　TCP/IP协议组： 　　l Firewall和NAT–包状态过滤；P2P协议过滤；源和目标NAT；对源MAC、IP地址、端口、IP协议、协议（ICMP、TCP、MSS等）、接口、对内部的数据包和连接作标记、ToS 字节、内容过滤、顺序优先与数据频繁和时间控制、包长度控制... 　　l 路由 – 静态路由；多线路平衡路由；基于策略的路由(在防火墙中分类); RIP v1 / v2, OSPF v2, BGP v4 　　l 数据流控制 – 能对每个IP、协议、子网、端口、防火墙标记做流量控制；支持PCQ, RED, SFQ, FIFO对列; Peer-to-Peer协议限制 　　l HotSpot – HotSpot认证网关支持RADIUS验证和记录；用户可用即插即用访问网络；流量控制功能；具备防火墙功能；实时信息状态显示；自定义HTML登录页；支持iPass；支持SSL安全验证；支持广告功能。 　　l 点对点隧道协议 – 支持PPTP, PPPoE和L2TP访问控制和客户端； 支持PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议； 支持RADIUS验证和记录；MPPE加密；PPPoE压缩；数据流控制；具备防火墙功能；支持PPPoE按需拨号。 　　l 简单隧道 – IPIP隧道、EoIP隧道 (Ethernet over IP) 　　l IPsec – 支持IP安全加密AH和ESP协议； 　　l Proxy – 支持FTP和HTTP缓存服务器；支持HTTPS代理；支持透明代理 ； 支持SOCKS协议； DNS static entries; 支持独立的缓存驱动器；访问控制列表；支持父系代理。 　　l DHCP – DHCP服务器；DHCP接力；DHCP客户端; 多DHCP网络；静态和动态DHCP租约；支持RADIUS。 　　l VRRP – 高效率的VRRP协议（虚拟路由冗余协议） 　　l UPnP – 支持即插即用 　　l NTP – 网络对时协议服务器和客户端；同步GPS系统 　　l Monitoring/Accounting – IP传输日志记录；防火墙活动记录；静态HTTP图形资源管理。 　　l SNMP – 只读访问 　　l M3P – MikroTik分包协议，支持无线连接和以太网。 　　l MNDP – MikroTik邻近探测协议；同样支持思科的CDP。 　　l Tools - ping; traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer; DDNS。 二层链接 　　l Wireless - IEEE802.11a/b/g wireless client和访问节点（AP）；Nsetreme和 Nstreme2 协议；无线分布系统(WDS)；虚拟AP功能；40和104 bit WEP; WPA pre-shared key加密; 访问控制列表；RADIUS服务器验证；漫游功能(wireless客户端); 接入点桥接功能。 　　l Bridge – 支持生成树协议（STP）；多桥接口；桥防火墙；MAC NAT功能。 　　l VLAN - IEEE802.1q Virtual LAN，支持以太网和无线连接；多VLAN支持；VLAN桥接。 　　l Synchronous - V.35, V.24, E1/T1, X.21, DS3 (T3)媒体类型； sync-PPP, Cisco HDLC, 帧中继协议; ANSI-617d (ANDI or annex D)和Q933a (CCITT or annex A) 帧中继LMI类型 　　l Asynchronous – 串型PPP dial-in / dial-out；PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议；RADIUS验证和记录；支持串口；modem池支持128个端口。 　　l ISDN - ISDN dial-in / dial-out; PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议；RADIUS验证和记录；Cisco HDLC, x75i, x75ui, x75bui 队列支持。 X86硬件要求 　　CPU和主板 – 核心频率在100MHz或更高的单核心X86处理器，以及与兼容的主板。 　　RAM – 最小32 MiB, 最大1 GB; 推荐64 MB或更高。 　　ROM – 标准ATA/IDE接口(SCSI和USB控制器不支持；RAID控制器驱动不支持; SATA不完全支持) 最小需要64 Mb空间； Flash和一些微型驱动器使用ATA接口能连接使用。 MIPS硬件要求 　　支持系统 - RouterBOARD 500 series (532, 512 and 511) 　　RAM – 最小 32 MB 　　ROM – 板载NAND驱动，最小64Mb 　　配置 　　RouterOS提供了强大的命令配置接口。你同样可以通过简易的Windows远程图形软件WinBox管理路由器。Web 配置提供了多数常用的功能上。 主要特征： 　　l 完全一至的用户接口 　　l 运行时配置和监控 　　l 支持多个连接访问 　　l 用户策略配置 　　l 活动历史记录，undo/redo操作 　　l 安全模式操作 　　l Scripts能事先安排执行时间和执行内容，脚本支持所有的命令操作。 　　l 路由器可用通过下面的接口进行管理 　　l 本地teminal console - PS/2或USB键盘和VGA显示卡进行控制 　　l Serial console – 任何 (默认为COM1) RS232异步串口，串口默认设置为9600bit/s, 8 data bits, 1 stop bit, no parity, hardware (RTS/CTS) flow control。 　　l Telnet – telnet服务默认运行在23TCP端口 　　l SSH - SSH (安全shell) 服务默认运行在22 TCP端口 　　l MAC Telnet - MikroTik MAC Telnet协议被默认启用在所以类以太网卡接口上。 　　l Winbox – Winbox是RouterOS的一个Windows远程图形管理软件，同样也可用通过MAC地址连接。 　　ROS高级企业宽带路由防火墙系统产品概述 　　routerOS高级路由器是针对我国企业宽带接入特点特别优化设计，具备满足良好的网络兼容性，整体性能优越，配置简单，提供多方面的管理功能，极具性价比。可全面满足政府、机关、企业、宽带社区、校园网对高性能、多功能、高可靠性、高安全性、高性价比的需求。 　　产品集宽带路由 (Router)、专业级防火墙、QoS带宽流量管理、多线路负载均衡、VPN、上网行为管理等多项功能于一身，支持功能模块扩展，是一个安装简单、稳定性高、易维护、投资低的一体化智能路由产品。 编辑本段优良的性能 　　RouterOS高级路由器从底层系统核心、核心安全模块和硬件兼容性等各个层次进行了精心的的设计和优化，使得这款路由产品在性能上具有出众的优势。线速转发的高吞吐量可满足大型企业/网吧等机构的绝大部分应用，也可为运营商的以太网接入提供高负载的支持，高转发低时延为增加用户数量提供了强有力的保障。 支持双线负载均衡、策略路由 　　支持2个或以上WAN口接入，可以实现ADSL、光纤等方式的自由组合。具备实时备份功能，能实现多线路带宽负载均衡，可根据源或目的地址指定优先线路，还可依据出口带宽分配流量，使线路利用率达最高。内置电信和网通的最新路由表，多线路接入不同的运营商可以有效地解决由于单个线路接入引起的运营商互联互通问题。 VPN功能 　　系统支持PPTP_VPN和SSL_VPN两种方式接入。通过VPN使企业里的电脑工作在同一个安全的虚拟局域网内，为程序共用（如ERP）、数据安全共享、VOIP等功能提供高效的平台 QoS带宽管理控制 　　系统提供基于HTB (Hierarchical Token Bucket)算法的流量管理功能，可有效提高带宽利用率和限制P2P等海量下载软件的使用：对于正常上网的内网主机，系统将允许它偶然突破最大限速；相反，对于长期使用P2P等软件的内网主机，系统将会减小它的带宽，使其对其他主机的影响降到最低。支持根据IP地址、协议、端口等信息对数据流进行优先级设置，然后针对不同类别的数据流进行带宽控制。指定主机或服务预留带宽、限制最高带宽，也能实现平均分配带宽，并进行优先级管理，特别适合语音视频和数据混合的网络。 防火墙功能 　　系统提供强大的防护功能，支持内/外部攻击防范，提供扫描类、DoS类、可疑包和含有IP选项的包等攻击保护，能侦测及阻挡IP欺骗、源路由攻击、DoS等网络攻击，能有效的阻止端口扫描、防SYN flood , UDP flood , ICMP flood,Smurf/Fraggle攻击，分片报文攻击等，为网吧提供可靠的安全保障。提供MAC和IP地址绑定功能，可以有效防范ARP攻击，并且监视局域网内的ARP数据包，发现有攻击自动报警，并且在控制页面显示相关攻击信息，让网管能够立即查出有问题的机器。 　　支持端口映射 　　系统支持端口映射功能，可在内网架设WEB、Mail、FTP服务器对外网开放服务。 　　PPPOE服务器功能 　　PPPOE 拨号服务为用户提供另外一种局域网访问 Internet 的方式，这种方式如同 ADSL 宽带上网，每个工作站访问 Internet 是相对独立的，互不干扰，可以有效解决局域网 ARP 攻击等带来的问题。支持PPPOE与传统以太网混合接入。 支持上网行为管理 　　系统支持外网访问权限管理、上网时段管理；支持封杀局域网内的P2P软件（如BT、kugoo，电驴，迅雷）、IM聊天软件（如QQ、MSN、Skype等）的使用。支持基于内容和URL的过滤功能? 针对公司/企业的应用 　　1.上网时段控制 　　2.上网行为管理 　　3.应用协议特征过滤(限制程序的) 　　4.ssl vpn企业互联和pptp 拨入vpn支持 　　5.多网段隔离 　　6.路由初步过滤常见网页病毒 　　7.日志分析系统 　　8.支持DSL，FTTX+LAN和Cable Modem连接，特别适合光纤接入 　　9.支持快速转发，吞吐量最高可达200M，最多210K PPS 　　10.基于IP的内网主机上行和下载速率限制 　　11.支持DHCP（Server&Client;&Relay;）功能 　　12.基于地址，协议和端口的包过滤 　　13.基于站点、URL和关键字的应用层过滤 　　14.支持网络时间同步 　　15.支持UPnP 　　16.支持IP/MAC绑定 　　17.支持DNS代理 　　18.支持动态DNS 　　19.支持PPPOE服务器 　　20.静态路由，动态路由RIP I和RIP II 　　21.支持SSL-VPN/PPTP-VPN。 针对网吧的特有功能 　　1、多网络的支持，支持电信、网通、联通、铁通等多WAN口接入，实现自动切换，无需另加切换软件，实现电信的网站走电信，网通的网站走网通，真正实现南北互联互通；实现电信线路断开，自动切换到网通，网通线路断开自动走电信 　　2、多种网吧特需功有，如IP-MAC绑定，或是利用PPPOE-SERVER功能，解决ARP攻击问题；单IP限速，解决BT/QQ直播占用大量网络带宽，影响网速等问题 　　3、最精细的单IP限速，合理分配网络带宽，避免网络扔堵，拒绝掉线！ 小区,学校,酒店作宽带二级运营的ISP商功能 　　1.PPPoE用户认证+Radius或者利用内置的User Manage 功能管理用户，多种灵活的计费模式 　　2.HotSpot热点认证或叫Web认证，强制弹出认证页，跨平台，不依赖第三方软件或者操作系统，非常先进 　　3.非常先进，功能完善的限速模式，支持用户限速管理，IP限速管理，等等。 编辑本段Routeros路由器管理软件 　　Routeros软路由的强大功能与容易上手的主要原因之一来自于Routeros路由器管理软件----winbox。winbox将复杂的路由器命令融合到一个类似于客户端类的软件，使得用户在合用routeros软路由时感到非常得直观、易用。Winbox是一个可视化的路由器管理工作，目前版本也有中文版的，但大多数routeros管理者因为使用习惯的原因还是比较喜欢使英文版的Winbox。

用TCP/IP进行网际互联 第二卷：设计、实现与内核（第三版）(ANSI C版)--详细书签版

CruiseYoung提供的带有详细书签的电子书籍目录 http://blog.csdn.net/fksec/article/details/7888251 用TCP/IP进行网际互联第二卷：设计、实现与内核（第三版） 基本信息 原书名：Internetworking With TCP/IP Vol Ⅱ：Design，Implementation，and Internals Third Edition 作者： （美）Douglas E.Comer David L.Stevens 译者： 张娟 王海 黄述真 丛书名： 国外计算机科学教材系列 出版社：电子工业出版社 ISBN：7505366300 上架时间：2001-5-28 出版日期：2001 年4月 页码：518 版次：1-1 所属分类：计算机 > 计算机网络 > 网络协议 > TCP/IP 教材 > 计算机教材 > 本科/研究生 > 计算机专业教材 > 计算机专业课程 > 计算机网络 内容简介 　　 本书是一部有关计算机网络的经典教科书。它是目前美国大多数大学里所开设的计算机网络课程的主要参考书。目前国内外能见到的各种有关TCP/IP的书籍，其主要内容均出自本书。本书的特点是：强调原理、概念准确、深入浅出、内容丰富且新颖。 　　 全书共分为三卷。第一卷介绍了TCP／IP的基本概念，第二卷在第一卷的基础上，进一步详细讨论了TCP／IP的实现过程，这一卷的突出特点是非常注重实际。本书作者利用程序代码实现了TCP/IP的每一个具体细节，并且所有的代码在书中均可找到，这对于读者深入了解并掌握TCP/IP的细节内容大有帮助。各章之后附有很多习题，内容全面且结合实际。全书最后还有三个附录，分别给出了过程调用交叉参考表、程序代码中用到的c数据结构交叉参考表以及xinu函数和常量。本书可供计算机和通信专业的研究生、高年级本科生作为教科书和学习参考书，也可供各种从事科研的人员参考。 　　 作译者 　　 Douglas Comer博士是TCP/IP协议和因特网的国际公认专家。自20世纪70年代末、80年代初形成因特网以来，他就一直致力于因特网的研究工作，他也是负责指导因特网开发的因特网结构委员会(IAB)的成员，该委员会是确定互联网发展标准的权威机构, 还是CSNET技术委员会的主席和CSNET执行委员会的成员。 Comer为一些公司提供网络设计和实现的咨询，还给全世界的技术和非技术人员开TCP/IP和互联网络的专业讲座。他的操作系统Xinu以及TCP/IP协议的实现在他的书中都有介绍，并且应用到了商业产品中. 　　 Comer是Purdue大学计算机科学系的教授,他主要教授计算机网络、互联网络和操作系统的课程,并进行相关的研究.除了撰写一系列畅销的技术书籍外,他还是《Software—PracticecandcExperience》杂志的北美地区编辑.Comer是ACM会员(Fellow). 　　 其他的信息可查询以下网址：www.cs.purdue.deu/people/comer 目录 封面 -24 封底 -23 书名 -22 版权 -21 出版说明 -20 前言 -17 序言 -16 目录 -14 第1章 引言与概述 1 1.1 TCP/IP协议 1 1.2 了解细节的必要性 1 1.3 协议间交互作用的复杂性 1 1.4 本书采用的方法 2 1.5 研究代码的重要性 2 1.6 Xinu操作系统 2 1.7 本书其余部分的组织 3 1.8 小结 3 深入研究 4 第2章 操作系统中的TCP/IP软件结构 5 2.1 引言 5 2.2 进程的概念 5 2.3 进程的优先级 6 2.4 进程的同步通信 6 2.5 进程间通信 8 2.5.1 端口 8 2.5.2 消息传送 9 2.6 设备驱动程序和输入、输出程序 9 2.7 网络的输入和中断 10 2.8 向高层协议传递分组 11 2.9 IP协议与传输协议之间的数据报传递 12 2.9.1 将传入的数据报发送给TCP 12 2.9.2 将传入的数据报发送给UDP 12 2.10 向应用程序的传递操作 13 2.11 输出时的信息流 13 2.12 从TCP经过IP到网络输出 14 2.13 UDP输出处理 15 2.14 小结 15 深入研究 16 习题 16 第3章 网络接口层 18 3.1 引言 18 3.2 网络接口抽象模型 18 3.2.1 接口数据结构 18 3.3 以太网的基本定义 21 3.3.1 应用中的统计数据 24 3.4 接口的逻辑状态 24 3.5 本地主机接口 24 3.6 缓冲区管理 25 3.6.1 大缓冲区方案 25 3.6.2 链表方案(mbuf) 26 3.6.3 方案举例 26 3.6.4 有关缓冲区的其他议题 26 3.7 传入分组的多路分解 27 3.8 小结 28 深入研究 29 习题 29 第4章 地址的发现及绑定(ARP) 30 4.1 引言 30 4.2 ARP软件在理论上的结构 30 4.3 ARP设计方案举例 30 4.4 ARP高速缓存的数据结构 31 4.5 ARP输出处理 34 4.5.1 搜索ARP高速缓存 34 4.5.2 ARP请求分组的广播 35 4.5.3 输出过程 36 4.6 ARP输入处理 38 4.6.1 向表中增加已转换的表项 38 4.6.2 发送等待发送的分组 39 4.6.3 ARP输入过程 40 4.7 ARP高速缓存的管理 42 4.7.1 高速缓存表项的分配 42 4.7.2 高速缓存的定期维护管理 43 4.7.3 释放队列中的分组 44 4.8 ARP初始化 45 4.9 ARP参数配置 46 4.10 小结 46 深入研究 47 习题 47 第5章 IP：软件的总体结构 48 5.1 引言 48 5.2 中心环节 48 5.3 IP软件设计思想 48 5.4 IP软件结构和数据报流程 49 5.4.1 选择传入数据报的策略 49 5.4.2 允许IP进程被阻塞 51 5.4.3 IP使用的常量的定义 54 5.4.4 校验和的计算 57 5.4.5 处理定向广播 57 5.4.6 识别一个广播地址 59 5.5 IP首部中的字节顺序 60 5.6 向IP发送数据报 61 5.6.1 发送本地生成的数据报 61 5.6.2 发送传入数据报 63 5.7 表格的维护 63 5.8 小结 65 深入研究 65 习题 65 第6章 IP：选路表和选路算法 67 6.1 引言 67 6.2 路由维护和查找 67 6.3 选路表结构 67 6.4 选路表数据结构 68 6.5 路由的生成源及保持时间 70 6.6 为数据报选择路由 70 6.6.1 实用过程 70 6.6.2 获得一个路由 73 6.6.3 数据结构初始化 74 6.7 选路表的定期维护 75 6.7.1 增加路由 77 6.7.2 删除路由 80 6.8 IP选项处理 82 6.9 小结 83 深入研究 83 习题 84 第7章 IP：分片与重组 85 7.1 引言 85 7.2 数据报的分片 85 7.2.1 为一个数据报片再次分片 85 7.3 分片的实现 85 7.3.1 发送一个数据报片 87 7.3.2 复制数据报首部 89 7.4 数据报的重组 90 7.4.1 数据结构 90 7.4.2 互斥操作 91 7.4.3 在链表中加入一个数据报片 91 7.4.4 溢出时的丢弃 93 7.4.5 测试一个完整的数据报 94 7.4.6 将数据报片组装成完整的数据报 96 7.5 数据报片链表的维护管理 97 7.6 初始化 99 7.7 小结 99 深入研究 100 习题 100 第8章 IP：差错处理(ICMP） 101 8.1 引言 101 8.2 ICMP报文格式 101 8.3 ICMP报文的实现 101 8.4 传入ICMP报文的处理 103 8.5 ICMP重定向报文的处理 105 8.6 设置子网掩码 107 8.7 为一个ICMP分组选择源地址 108 8.8 生成ICMP差错报文 109 8.9 避免出现关于差错报文的差错报文 111 8.10 为ICMP报文分配缓冲区 112 8.11 ICMP报文中的数据部分 114 8.12 ICMP重定向报文的生成 116 8.13 小结 117 深入研究 117 习题 117 第9章 IP：组播处理(IGMP） 119 9.1 引言 119 9.2 维护组播主机群的成员信息 119 9.3 主机群表 119 9.4 查找一个主机群 121 9.5 向主机群表中增加一个表项 122 9.6 为一个组播地址设置网络接口 124 9.7 IP组播地址和硬件组播地址之间的转换 125 9.8 从主机群表中删除一个组播地址 126 9.9 加入一个主机群 127 9.10 维持与一个组播路由器的联系 129 9.11 IGMP成员关系报告的实现 130 9.12 计算随机时延 131 9.13 发送IGMP报告的进程 132 9.14 处理输入的IGMP报文 133 9.15 脱离主机群 134 9.16 IGMP数据结构的初始化 136 9.17 小结 137 深入研究 137 习题 137 第10章 UDP：用户数据报 138 10.1 引言 138 10.2 UDP端口和多路分解处理 138 10.2.1 成对通信使用的端口 138 10.2.2 多对一通信使用的端口 138 10.2.3 操作模式 139 10.2.4 多路分解处理中的细节问题 139 10.3 UDP的输入处理 141 10.3.1 UDP数据结构的说明 141 10.3.2 传入数据报队列的说明 142 10.3.3 UDP端口号与队列的映射 144 10.3.4 分配空闲队列 144 10.3.5 网络字节顺序与本机字节顺序之间的相互转换 145 10.3.6 处理一个已到达的数据报 146 10.3.7 UDP校验和的计算 148 10.4 UDP输出的处理 149 10.4.1 一个UDP数据报的发送 150 10.5 小结 151 深入研究 152 习题 152 第11章 TCP：数据结构和输入处理 153 11.1 引言 153 11.2 TCP软件概览 153 11.3 传输控制块 153 11.4 TCP报文段格式 158 11.5 序列空间中的比较 159 11.6 TCP有限状态机 160 11.7 状态变迁举例 160 11.8 有限状态机的说明 161 11.9 TCB的分配及初始化 163 11.9.1 分配一个TCB 163 11.9.2 释放一个TCB 164 11.10 有限状态机的实现 165 11.11 处理一个输入报文段 165 11.11.1 将TCP首部转换为本地字节顺序 167 11.11.2 计算TCP的校验和 168 11.11.3 为报文段查找对应的TCB 169 11.11.4 检查报文段的有效性 171 11.11.5 为当前状态选择一个过程 172 11.12 小结 173 深入研究 173 习题 173 第12章 TCP：有限状态机的实现 175 12.1 引言 175 12.2 CLOSED状态处理 175 12.3 从容关闭 175 12.4 关闭后的延迟计时 176 12.5 TIME-WAIT状态处理 177 12.6 CLOSING状态处理 178 12.7 FIN-WAIT-2状态处理 179 12.8 FIN-WAIT-1状态处理 180 12.9 CLOSE-WAIT状态处理 181 12.10 LAST-ACK状态处理 182 12.11 ESTABLISHED状态处理 183 12.12 处理报文段中的紧急数据 184 12.13 处理报文段中的其他数据 186 12.14 经常注意已接收的八位组 188 12.15 终止一个TCP连接 190 12.16 建立TCP连接 191 12.17 初始化TCB 191 12.18 SYN-SENT状态处理 193 12.19 SYN-RECEIVED状态处理 194 12.20 LISTEN状态处理 196 12.21 为一个新TCB初始化窗口变量 197 12.22 小结 199 深入研究 199 习题 199 第13章 TCP：输出处理 200 13.1 引言 200 13.2 TCP输出控制的复杂性 200 13.3 TCP输出的四种状态 200 13.4 作为一个进程的TCP输出 201 13.5 TCP输出报文 201 13.6 对输出状态和TCB编号的编码 202 13.7 TCP输出进程的实现 202 13.8 互斥操作 203 13.9 IDLE状态的实现 203 13.10 PERSIST状态的实现 204 13.11 TRANSMIT状态的实现 205 13.12 RETRANSMIT(重发)状态的实现 206 13.13 发送一个报文段 206 13.14 计算TCP数据长度 210 13.15 序号计算 210 13.16 其他TCP过程 211 13.16.1 发送复位 211 13.16.2 转换成网络字节顺序 213 13.16.3 等待输出缓冲空间 213 13.16.4 唤醒等待TCB的进程 214 13.16.5 选择初始序号 216 13.17 小结 217 深入研究 217 习题 217 第14章 定时器管理 218 14.1 引言 218 14.2 定时事件的通用数据结构 218 14.3 TCP事件使用的数据结构 219 14.4 定时器、事件和报文 220 14.5 TCP定时器进程 220 14.6 删除TCP定时器事件 222 14.7 删除一个TCB的所有事件 223 14.8 确定出现一个事件的尚需时间 224 14.9 插入TCP定时器事件 225 14.10 启动无时延的TCP输出 227 14.11 小结 227 深入研究 228 习题 228 第15章 流量控制和自适应重发 229 15.1 引言 229 15.2 自适应重发中的难题 229 15.3 自适应重发的调整 229 15.4 重发定时器和退避 230 15.4.1 Karn算法 230 15.4.2 重发输出状态的处理 230 15.5 基于窗口的流量控制 231 15.5.1 糊涂窗口综合症 232 15.5.2 接收方预防糊涂窗口 232 15.5.3 零窗口之后的性能优化 233 15.5.4 调整发送方的窗口 233 15.6 最大报文段长度的计算 235 15.6.1 发送方的最大报文段长度 235 15.6.2 选项处理 236 15.6.3 通告一个最大输入报文段长度 238 15.7 网络拥塞预防与控制 239 15.7.1 成倍递减法 239 15.8 慢启动和拥塞预防 239 15.8.1 慢启动 239 15.8.2 超过上限后减速递增 240 15.8.3 递增拥塞窗口尺寸的实现 240 15.9 平均往返时间估值及超时 242 15.9.1 一种快速平均值更新算法 242 15.9.2 传入确认的处理 243 15.9.3 为窗口外的数据创建确认报文段 245 15.9.4 接收到一个确认后改变输出状态 246 15.10 技巧和注意事项 247 15.11 小结 247 深入研究 248 习题 248 第16章 紧急数据处理和推功能 250 16.1 引言 250 16.2 带外信令 250 16.3 紧急数据 250 16.4 标准的解释 250 16.4.1 带外数据的解释法 251 16.4.2 数据标记解释法 252 16.5 为Berkeley紧急指针解释法而进行的配置 252 16.6 通知应用程序 253 16.6.1 多个并发应用程序 253 16.7 从TCP中读取数据 254 16.8 发送紧急数据 255 16.9 TCP的推功能 256 16.10 在失序交付时对推数据的解释 257 16.11 输入时推功能的实现 257 16.12 小结 258 深入研究 258 习题 259 第17章 套接层的接口 260 17.1 引言 260 17.2 通过设备形成的接口 260 17.2.1 单字节I/O 261 17.2.2 其他一些非传送的函数 261 17.3 作为设备的TCP连接 262 17.4 TCP客户程序举例 262 17.5 TCP服务器程序举例 263 17.6 TCP主设备的实现 265 17.6.1 TCP主设备打开功能 265 17.6.2 被动TCP连接的形成 266 17.6.3 主动TCP连接的形成 267 17.6.4 分配一个未使用的本地端口 268 17.6.5 主动连接的完成 269 17.6.6 TCP主设备的控制 271 17.7 TCP从设备的实现 271 17.7.1 由TCP从设备输入数据 271 17.7.2 由TCP从设备输入单字节 273 17.7.3 通过TCP从设备的输出 274 17.7.4 TCP连接的关闭 276 17.7.5 TCP从设备的控制操作 278 17.7.6 接受来自被动设备的连接 279 17.7.7 改变LISTEN队列的长度 279 17.7.8 获取从设备中的统计数据 280 17.7.9 设置或清除TCP选项 282 17.8 从设备的初始化 283 17.9 小结 284 深入研究 284 习题 284 第18章 RIP：主动路由传播和被动获取 286 18.1 引言 286 18.2 主动和被动模式的参与者 286 18.3 基本的RIP算法和费用度量 286 18.4 不稳定性及解决方案 287 18.4.1 计数到无穷大 287 18.4.2 网关瘫痪和路由超时 288 18.4.3 水平划分 288 18.4.4 毒性逆转 288 18.4.5 具有毒性逆转的路由超时 289 18.4.6 触发更新 289 18.4.7 随机化以防止广播风暴 289 18.5 报文类型 290 18.6 协议特性 290 18.7 RIP的具体实现 291 18.7.1 实现的两种形式 291 18.7.2 定义 291 18.7.3 输出的理论结构 293 18.8 基本RIP进程 294 18.8.1 “必须为零”的字段内容必须为零 295 18.8.2 处理一个传入响应 296 18.8.3 在更新期间的锁定 298 18.8.4 验证一个地址 298 18.9 对输入请求的响应 299 18.10 生成更新报文 300 18.11 初始化一个更新报文的副本 301 18.11.1 向更新报文的副本中添加路由 302 18.11.2 计算一个待通告的费用值 304 18.11.3 为RIP报文分配数据报 305 18.12 生成定期的RIP输出 306 18.13 RIP的局限性 307 18.14 小结 307 深入研究 307 习题 307 第19章 OSPF：使用SPF算法的路由传播 308 19.1 引言 308 19.2 OSPF配置和选项 308 19.3 OSPF的图论模型 308 19.4 OSPF的说明 311 19.4.1 OSPF分组格式的说明 311 19.4.2 OSPF接口说明 313 19.4.3 全局常量和数据结构的说明 314 19.5 邻接关系和链路状态信息的传播 316 19.6 用Hello发现相邻网关 317 19.7 Hello分组的发送 319 19.7.1 Hello分组的一个模板 320 19.7.2 Hello分组输出进程 321 19.8 指定路由器 323 19.9 选出一个指定路由器 324 19.10 变动之后重建邻接关系 327 19.11 处理到达的Hello分组 329 19.12 在相邻网关表中增加一个网关 331 19.13 相邻网关状态的变迁 332 19.14 OSPF定时器事件和重发 333 19.15 判断是否允许邻接关系 335 19.16 OSPF输入的处理 336 19.17 链路状态处理中的说明和过程 339 19.18 数据库描述分组的生成 341 19.19 创建一个模板 343 19.20 传送数据库描述分组 344 19.21 处理到达的数据库描述分组 345 19.21.1 处理EXSTART状态下的分组 347 19.21.2 处理EXCHNG状态下的分组 348 19.21.3 处理FULL状态下的分组 349 19.22 处理链路状态请求分组 350 19.23 建立链路状态概要信息 352 19.24 OSPF实用过程 354 19.25 小结 356 深入研究 357 习题 357 第20章 SNMP：MIB变量、表示形式和绑定 358 20.1 引言 358 20.2 服务器的组织和名字的映射 358 20.3 MIB变量 359 20.3.1 表格中的字段 359 20.4 MIB变量名 360 20.4.1 变量名的数字表示形式 360 20.5 名字之间的字典顺序 360 20.6 除去前缀 361 20.7 在MIB变量上执行的操作 361 20.8 表格名 362 20.9 名字体系概念上的线索 362 20.10 MIB变量的数据结构 363 20.10.1 使用独立的函数完成操作 365 20.11 用于快速查找的数据结构 365 20.12 散列表的实现 366 20.13 MIB绑定的描述 366 20.14 绑定中使用的内部变量 373 20.15 散列表的查找 374 20.16 SNMP的结构和常量 376 20.17 ASN.1表示形式的处理 382 20.17.1 长度表示法 382 20.17.2 将整数转换为ASN.1格式 384 20.17.3 将对象标识符转换为ASN.1格式 386 20.17.4 用于转换对象值的例程 389 20.18 小结 391 深入研究 391 习题 392 第21章 SNMP：客户与服务器 393 21.1 引言 393 21.2 服务器中数据的表示形式 393 21.3 服务器的实现 393 21.4 对SNMP报文的分析 396 21.5 绑定链表中ASN.1名字的转换 400 21.6 解析一个请求 401 21.7 对get-next操作的解释 404 21.8 操作的间接执行 404 21.9 表格的间接寻址 407 21.10 应答报文的反向生成 408 21.11 将内部格式转换为ASN.1表示形式 410 21.12 服务器使用的实用函数 412 21.13 一个SNMP客户的实现 413 21.14 变量初始化 415 21.15 小结 417 深入研究 417 习题 417 第22章 SNMP:表格访问函数 419 22.1 引言 419 22.2 表格访问 419 22.3 表格的对象标识符 419 22.4 地址人口表函数 420 22.4.1 对地址人口表的get操作 421 22.4.2 对地址人口表的get-first操作 423 22.4.3 对地址人口表的get-next操作 424 22.4.4 地址入口表中的递增搜索 425 22.4.5 对地址人口表的set操作 426 22.5 地址转换表函数 426 22.5.1 对地址转换表的get操作 428 22.5.2 对地址转换表的get-first操作 429 22.5.3 对地址转换表的get_next操作 431 22.5.4 地址转换表中的递增搜索 432 22.5.5 乱中有序 433 22.5.6 对地址转换表的set操作 434 22.6 网络接口表的函数 435 22.6.1 接口表标识符的匹配 435 22.6.2 对网络接口表的get操作 436 22.6.3 对网络接口表的get-first操作 440 22.6.4 对网络接口表的get-next操作 441 22.6.5 对网络接口表的set操作 442 22.7 选路表函数 443 22.7.1 对选路表的get操作 444 22.7.2 对选路表的get-first操作 446 22.7.3 对选路表的get-next操作 447 22.7.4 选路表中的递增搜索 449 22.7.5 对选路表的set操作 450 22.8 TCP连接表函数 452 22.8.1 对TCP连接表的get操作 453 22.8.2 对TCP连接表的get-first操作 455 22.8.3 对TCP连接表的get-next操作 456 22.8.4 TCP连接表中的递增搜索 457 22.8.5 对TCP连接表的set操作 458 22.9 UDP Listener表 460 22.9.1 对UDP Listener表的get操作 461 22.9.2 对UDP Listener表的get-first操作 462 22.9.3 对UDP Listener表的get-next操作 463 22.9.4 UDP Listener表中的递增搜索 464 22.9.5 对UDP Listener表的set操作 465 22.10 IP地址转换的实用例程 466 22.11 小结 467 深入研究 467 习题 468 第23章 实现的回顾 469 23.1 引言 469 23.2 程序代码统计分析 469 23.3 各个协议的程序代码行数 469 23.4 每个协议所需的函数和过程 470 23.5 小结 471 习题 471 附录1 过程调用交叉参考表 473 附录2 程序代码中使用到的C数据结构交叉参考表 493 附录3 程序代码中使用到的Xinu函数和常量 498 参考文献 513 附录页 前言 　　 很荣幸Doug Comer给我这个机会，让我能在他的这本书第三版付印时与诸位探讨一些个人的想法。在过去的十年期间，Internet以惊人的速度发展着。Internet上主机的数目从1989年的100000台发展到1998年的30000 000台。在本书第二版出版的时候，连接到Intemet的网络大约有26000个。到1998年，这个数字大约在200000到350000之间，这还不包括那些利用互联网技术但未连接到公共网络上的专用内联网。 　　 除了规模上的变化，Internet在应用上也发生了惊人的变化。Internet技术与正在蓬勃发展的WWW作为一个完整的、不可缺少的系统已被人们所认可。而WWW在商业、学术和政府等部门都掀起了一场革命。在WWW上每天出现的“网页”可达3．2亿之多，并且还在不断涌现。有些学校大约四分之一的入学申请都是通过电子邮件或其他网页申请形式进行的。Dell公司透露，他们通过网站每天销售价值大约600万美元的PC机。Amazon网上书店以季度盈利达6600万美元而成为历史上发展最快的公司，这也是第一个在一年之内销售额超过2．5亿美元的公司。 　　 目前，至少有两千多家无线电台将其音频服务推向了Internet，许多网站也开始提供音频甚至低质量的视频服务。随着访问速度提高到兆比特的范围以及主干网容量的增加，视频服务质量也将得到提高。 　　 随着1996年网络电视和1997年Nokia推出的支持网络功能的手机的问世，其他支持网络功能的产品也不断地涌现。更多的实用产品实现了相似的网络功能，例如水暖加热器既可以由家用电脑来控制，也可以由电力公司来控制，以满足适度的调峰需求。尽管智能代理还没有成为主流，但是XML近来的发展也表明Internet上有关事务处理的应用正在急剧增多。SML的标准“文档”表示方式以及一致的常用解释格式构成了一种可传输对象，该对象已形成所有商业、金融事务、数据库事务及其他需要标准表示方式和解释格式的交易的基础。 　　 再回头看看电话产品的发展，无论传统的服务商还是现代企业都在将支持网络的电话产品推向市场。“Soft PBX”系统利用LAN和Internet实现传统的专用交换机的功能，基于微处理器的电话机也正在改变远程通信的经济情况和可操作性。具有IP功能的传真机已经出现。网关把原有的模拟世界与现在的Intemet世界联系在一起，起着非常重要的作用。 　　 对Internet服务需求量的增长速度赶上甚至超过了网络本身的增长。主干网络的速度达到622MM/s已是很平常的事。利用硬件IP交换机的新一代路由器可望以10Gb／s(OC192)以上的速度处理Internet分组。下一个挑战是利用单模光纤处理每秒兆兆字节的信息量。 　　 网络的安全性过去总是处于后台操作状态，随着更多领域依赖于Internet，安全性已逐渐走向前台。防火墙技术、端—端加密、密钥管理、证书系统和鉴别系统已成为成功管理Internet的关键因素。 　　 再向未来展望，网络协议和结构已经朝着星际互联的方向发展，也许会形成和互联网一样的形式。域名系统如果还存在，还要考虑将不同的行星计人命名体系。“互联的Internet”协议将能够处理更高的延迟，传统的TCP概念也将被更多的单向过程取代。未来的网际邀游者回看这十年，一定会觉得这是个充满挑战但技术相对落后的时代。在他们看来，这段前言中的观点可能已经过时又难以理解，因为他们所面对的是经历了另外二十年变革的Internet。 　　 Vinton Cerf 　　 Camelot 　　 Northern Virginia 　　 　　 序言 　　 用TCP/IP进行网际互联第二卷提供了第一卷所没有包含的关于TCP/IP协议的一些细节问题。第二卷如同将TCP/IP置于放大镜下，考察每个协议的具体细节。它讨论了协议的实现方案，并着重于介绍协议软件的内部机制。第三版包含了对某些协议的修改和更新的内容。其中的代码改用C++语言的ANSI标准C子集，包含了函数原型和参数的声明。另外还纠正了一些错误。我们将SNMP更新为SNMPv2，其中包括替换了地址转换表，增加了UDP listener列表。在本书的最后，还增加了附录2，给出了书中代码所用到的主要数据结构的声明及变量的交叉参考表，并扩充了附录1中的过程调用交叉参考的内容。 　　 书中的范例代码用Gnu C++编译器在Intel体系平台编译通过，也在Pentium TM系统上经过测试。所有的代码均可在以下网址得到： 　　 ftP：//ftp.cs．purdue．edu/pub／comer/TCPIP—vol2．dist．tar．Z 　　 虽然本书受到版权保护，但书中的代码可供读者使用，而且已经在许多商业产品中实现。这些代码使用的惟一限制是不得在公开出版物中出版。 　　 我们鼓励读者利用计算机工具来查看、修改、编译和测试这些代码。事实上，尽管附录1和附录2中提供了定位代码条目的有效途径，但在查看大段代码时，UNIXgrep程序的价值更是不可估量。 　　 对于各种正式的协议规范，以及对协议的实现和使用的讨论，可参见请求评论文档(RFC)。尽管一些RFC文档对初学者来讲难以理解，但这些文档是信息详尽的权威性资源，没有哪个作者能够做到在自己编写的书中包含RFC文档中的所有内容。尽管RFC文档涉及了每一个协议，但有时它们对协议之间的交互问题并未加以说明。例如，选路信息协议(RIP或OSPF)之类的选路协议规定了网关如何将路由置人IP路由表中，以及如何将表中的路由通知其他网关。RIP还规定路由必须设立定时机制，一旦某条路由超时，就将其删除。但是，我们在RFC文档中并不容易看出RIP和其他协议之间是如何交互作用的，随之而来的问题是：“路由超时机制将如何影响路由表中那些由ICMP设置的路由呢?”我们可能还会考虑这样一个问题：“当RIP更新路由时，应不应该推翻那些由管理员直接输入的路由呢?” 　　 为了有助于解释协议之间的交互作用，并确保我们的方案能协调工作，我们设计并构造了一个工作系统，作为全书的中心范例。该系统提供了TCP/IP协议族中的大部分协议，包括：TCP、IP、ICMP、IGMP、UDP、ARP、RIP、SNMPv2以及OSPF的主要部分。另外，该系统还有一个finger服务的客户和服务器范例。由于本书包括了每一个协议的程序代码，读者可以研究其实现方法并了解其内部结构。最重要的是，由于范例系统将所有协议软件集成为一个工作整体，读者可以清楚地了解协议之间的交互作用。 　　 范例的程序代码试图做到一方面遵守协议标准，另一方面引入一些新的思想。例如，我们的TCP程序代码中包含了“糊涂窗口预防”技术、Jacobson—Karels的“慢启动”和“拥塞预防”等优化技术，诸如此类的性能可能在商业实现中被忽略。但同时我们也清楚地认识到商业领域并不总是遵从已经公布的标准，因此我们也努力将系统调整到能够在现实环境中使用。例如，程序代码中包含了一个配置参数，使得它既可以采纳Internet标准，也可以采纳BSD UNIX中“TCP紧急数据指针”的实现方法。 　　 我们并不认为书中所提供的程序代码都是准确无误的，甚至不能断言它肯定比其他实现方法要好。事实上，经过多年使用，我们仍然在不断完善这套软件，同时，也希望读者跟我们一起继续改进它。 　　 本书可以作为网络工程人员的高级教程或者作为研究生教材使用。在作为本科教程使用时，应将重点放在前几章，而忽略有关OSPF、SNMP和RIP这几章内容。研究生可能会在有关TCP的章节中发现一些最为有趣和最难理解的概念。为保证其高性能而采用的自适应重发和相关的试探法尤为重要，应当仔细加以研究。纵观全书，绝大部分习题都向大家提示了其他可选择的实现方案及其大致情况，这些内容并不要求死记硬背，学生们可能需要阅读本书以外的其他资料，才能解答这些习题。 　　 正如任何耗费甚巨的工程一样，本书中包含了许多人的心血，对此我们表示衷心的感谢。作者．之一David Stevens完成了大部分软件的编制工作，其中包括一个完整的TCP版本。Shawn Ostermann为本书付出了许多努力。Shawn将TCPAP代码集成到xinu版本8中，并将其从最初的Sun 3平台移植到DECstion 3100上。在这一版本中，他还对上一版中由Vic Norman编写的SNMP软件进行了大量的修改，以符合第二版的标准并有助于代码的调试。John Lin对书中的技术细节进行了校对，纠正了一些错误。 　　 珀杜(Purdue)大学的网际互联研究小组(Internetworking Research Group)的许多成员对程序代码的早期版本做过很多贡献。Andy Muckelbauer和Steve Chapin建立了一个UNIX兼容库，并与Shawn Ostermann和Scott Mark合作，使用TCP代码运行一个X window服务器。他们对TCP做了大量的测试工作，并指出其性能上存在的几个问题。Scott M．Ballew参与了一些软件的开发工作。 　　 我的妻子Christine对本书手稿进行了编辑，并提出了许多建议。最后，我们感谢珀杜大学的计算机科学系和计算个L1所提供的帮助。 　　 Douglas E．Comer 　　 David L.Stevens

H3CNE ppt.zip

内含： 第1章 计算机网络概述 第2章 OSI参考模型与TCP IP模型 第3章 局域网基本原理 第4章 广域网基本原理 第5章 IP基本原理 第6章 TCP和UDP基本原理 第7章 路由器、交换机及其操作系统介绍 第8章 命令行操作基础 第9章 网络设备文件管理 第10章 网络设备基本调试 第11章 以太网交换机工作原理 第12章 配置VLAN 第13章 生成树协议 第14章 交换机端口安全技术 第15章 配置链路聚合 第16章 IP子网划分 第17章 DNS 第18章 文件传输协议 第19章 DHCP 第20章 IPv6基础 第21章 IP路由原理 第22章 直连路由和静态路由 第23章 路由协议概述 第24章 RIP原理 第25章 配置RIP 第26章 OSPF基础 第27章 用访问控制列表实现包过滤 第28章 网络地址转换 第29章 配置HDLC 第30章 配置PPP 第31章 配置帧中继

TCP拦截和网络地址转换

TCP拦截和网络地址转换 本书将讨论与访问表相关的技术，而非访问表本身。这些技术提供了控制网络中数据流 量的附加功能。这些功能特性会使读者能够加强进出网络报文的附加功能。通过智能地对数 据本身进行操作，例如，可以操纵 I P报文中的源和目的地址，或者给某种通信报文分配较多 的带宽，读者就能够进一步加强进出网络的报文的安全性和控制能力。本章将讨论两种特性： T C P拦截和网络地址转换（Network Address Tr a n s l a t i o n，N AT），它们可以大大加强对网络中 数据流量的控制能力。先介绍 T C P拦截，并讨论其特性以及它是如何在网络中实现的。还将 介绍有关T C P拦截的所有配置和调试命令。在 T C P拦截这一部分，最后给出几个使用该特性的 示例。之后，介绍 N AT的整体概念，包括 N AT的引入、 N AT特性以及如何将其用于网络中。 最后将讨论有关N AT的配置和调试命令，并介绍许多详细的示例。 8.1 TCP拦截概述 T C P拦截（TCP intercept）从IOS 11 . 3开始引入，现在的所有路由器平台都有该功能。设 计该特征的目的是防止 S Y N攻击内部主机（第 7章已简要地讨论了 S Y N攻击）。S Y N泛洪攻击 是简单的。 T C P三路握手的第一个报文设置了 S Y N位。当某台设备接收到一个请求服务的初 始报文时，该设备响应这个报文，发回一个设置了 S Y N和A C K位的报文，并等待源端来的 A C K应答。如果请求的发出者不作响应，主机就会因为超时而结束连接。当主机在等待这个 事务完成时，这种 h a l f - o p e n的连接消耗了主机的资源。在等待三路握手时资源被耗尽就是攻 击的本质所在。 成千上万个设置了 S Y N位的报文被发往一台主机，以便在设备的侦听端口上建立一个 T C P连接。但是，这些报文中的源 I P地址是伪造的。这些报文中所设置的源地址都是不可达 的地址；在大多数情况下，源地址要么是来自 R F C 1 9 1 8（即，1 0 . 0 . 0 . 0 / 8，1 7 2 . 1 6 . 0 . 0 / 1 5以及 1 9 2 . 1 6 8 . 0 . 0 / 1 6）的未注册地址，要么是不存在的主机地址。从被攻击的主机到初始源 I P地址 主机的返回报文就永远不能到达一个真实的主机。这样，被攻击的主机就永远也收不到完成 三路握手的应答报文。因此，它必然因为成千上万个连接的超时而要关闭这些连接。最终， 被攻击的主机资源被耗尽，主机也就没什么用处了。如果发送有足够数量的 S Y N报文，则某 些操作系统也会崩溃，并且需要重启系统。 这就是常见的D o S攻击，这种攻击本身破坏性极强，而且它有时也作为更复杂的攻击的一 部分。例如，攻击者知道用户的某台服务器信任来自防火墙外面另一台服务器的报文，则他 会先攻击防火墙外面的那台服务器，并设置一个嗅探程序来查看用户网络报文。如果攻击者 不能攻破防火墙外面的这台服务器，他就无法打破防火墙，或者这时他就会尝试获取这两台 主机之间的信任关系。 第一步就是对防火墙外面的这台可信主机发起 S N Y泛洪，以阻止其响应任何新的网络会 话。攻击者而后使用外部服务器的源 I P地址向内部服务器发送报文。内部服务器就会响应该 可信外部服务器的I P地址，但外部服务器会由于 D o S攻击而不能响应内部服务器。攻击者的机  92 C i s c o访问表配置指南 下载 92 C i s c o访问表配置指南 下载 器可能看不到报文，但如果攻击者能够预测内部服务器所用的.. T C P顺序号，就会成功地完成.. T C P的三路握手，从而进一步地攻击到了内部服务器。根据所允许通过防火墙的服务类型，攻 击者可以将对外部可信主机的.. D o S攻击和I P欺骗结合起来，从而对内部主机实施攻击。图.. 8 - 1 说明了这种攻击。 中心问题是.. S Y N泛洪的危险性远不止只是攻破一个单一主机，它可以与其他攻击方法相 结合来攻破网络中的其他主机。 已攻陷的主机 使用源IP地址171.10.1.1 发送报文 信任主机 泛洪 路由器 内部主机 图8-1 对外部主机的DoS攻击。攻击过程分为两个阶段：(1) 用SYN泛洪“麻醉”主机使其不能响应；.. (2) 发送报文到内部主机，并欺骗源IP地址，这样内部主机就会相信来自可信主机的报文 在T C P连接请求到达目标主机之前，.. T C P拦截通过对其进行拦截和验证来阻止这种攻击。 这个特征可以在两种模式上工作：拦截和监视。在拦截模式下（.. intercept mode），路由器拦截 所有到达的.. T C P同步请求，并代表服务器建立与客户机的连接，并代表客户机建立与服务器 的连接。如果两个连接都成功地实现，路由器就会将两个连接进行透明的合并。路由器有更 为严格的超时限制，以防止其自身的资源被.. S Y N攻击耗尽。在监视模式下，路由器被动地观 察h a l f - o p e n连接（没有完成.. T C P三路握手的连接）的数目。如果超过了所配置的时间，路由 器也会关闭连接。访问表则用来定义要进行.. T C P拦截的源和目的地址。.. 8.1.1 开启TCP拦截 开启T C P拦截，有两个步骤是必需的：.. 1) 配置访问表，以开启需要保护的 I P地址。.. 2)开启.. T C P拦截 在第1步中，读者可以使用一个扩展的.. I P访问表。通常指定a n y作为源I P地址，因为我们一..  第 8章 TCP拦截和网络地址转换 93 下载 般都希望T C P拦截检查所有到达脆弱主机的向内连接。在第 2步中，则真正地开启 T C P拦截特 性。如果第 2步中的访问表没有定义，则 T C P拦截将不会检查任何向内连接。 8.1.2 设置模式 T C P拦截可以在拦截和监视两种模式下工作，缺省为拦截模式。在这种模式下，路由器 响应到达的S Y N请求，并代替服务器发送一个响应初始源 I P地址的S Y N - A C K报文，然后等待 客户机的A C K。如果收到A C K，再将原来的 S Y N报文发往服务器，路由器代替原来的客户机 与服务器一起完成三路握手过程。这种模式增加了路由器的内存和 C P U的额外开销，并且增 加了一些初始会话的延时。 在监视模式下，路由器允许 S Y N请求直接到达服务器。如果这个会话在 3 0秒钟内（缺省 值）没有建立起来，路由器就给服务器发送一个 R S T，以清除这个连接。路由器等待的时间 是可以配置的。其模式可以使用下面的命令设置： 缺省模式是i n t e r c e p t。 8.1.3 主动门槛值 当一个路由器因为其所定义的门槛值而确认服务器正遭受攻击时，路由器就主动删除连 接，直到 h a l f - o p e n的连接值降到小于门槛值。首先关闭的是最早的连接，除非使用了“ ip tcp intercept drop-mode random”命令。当所设置的门槛值被超时时，路由器进行下面的动作： 1) 每一个新的连接导致一个最早的（或随机的）连接被删除。 2) 初始的重传超时时间被减少一半，直到 0 . 5秒。 3) 如果处于监视模式，则超时时间减半，直到 1 5秒。 有两个因素用来判断路由器是否正在遭受攻击。如果超过了两个高门槛值中的一个，则 表明路由器正遭受攻击，直到门槛值已经降至两个低门槛值以下。下面显示了有关的参数及 其缺省值，并对其加以简单描述。 1) ip tcp intercept max-incomplete high number 11 0 0 在路由器开始删除连接之前，能够存在的 h a l f - o p e n连接的最大数目。 2) ip tcp inercept max-incomplete low number 900 在路由器停止删除h a l f - o p e n连接之前，能够存在的最大 h a l f - o p e n连接数目。 3) ip tcp intercept one-minute high number 11 0 0 在路由器开始删除连接之前，每分钟内能存在的最大 h a l f - o p e n连接数目。 4) ip tcp intercept one-minute low number 900 在路由器停止删除连接之前，每分钟内能存在的最小 h a l f - o p e n连接数目。 h a l f - o p e n连接总数与每分钟 h a l f - o p e n连接的数量比率是相联系的。任何一个最大值到达， T C P拦截就被激活并且开始删除 h a l f - o p e n连接。一旦T C P拦截被激活，这两个值都必须下降到 T C P拦截的低设置值，以便停止删除连接。 8.1.4 其他命令 还有一些其他有用的命令可用于检查有关 T C P拦截的信息。下面给出了这些命令，并附  94 C i s c o访问表配置指南 下载 94 C i s c o访问表配置指南 下载 带了一个T C P拦截的简单示例： 下一节将介绍使用上述格式的.. T C P拦截的详细示例。.. 8.2 TCP拦截应用：示例1 在本例中，某公司使用一台路由器，将其一个E t h e r n e t连接到内部.. L A N，并将一个串行接 口连接到一个I S P。在E t h e r n e t上有一台.. We b服务器，其所用的.. I P地址为1 9 8 . 5 0 . 1 . 1 0 0，并且希 望使用.. T C P拦截功能来保护该服务器。该路由器是一个低端服务器，所以我们希望：在能够 监视进来的T C P连接的同时，尽可能多地保留资源（见图.. 8 - 2）。 服务器 工作站 内部网络 客户路 由器 提供者的 路由器 拥有198.50.1.100目的地址的 报文被TCP拦截所监视 图8-2 网络方案：示例1 8.2.1 解决方案 8.2.2 分析 在本方案中，先定义访问表.. 1 0 1，用以指出需要查看的报文，这些报文是到达.. 1 9 8 . 5 0 . 1 . 1 0 0的报文。而后定义.. T C P拦截命令，并将访问表.. 1 0 1用于匹配被监视的报文。还定 义了T C P拦截的操作模式是监视模式，这会比缺省的拦截模式使用更少的路由器资源。这些..  第 8章 TCP拦截和网络地址转换 95 下载 步骤就是启用T C P拦截保护We b服务器的所有操作。 8.3 TCP拦截应用：示例2 在本例中，公司与示例 1中的公司相同，使用一台路由器，将其一个 E t h e r n e t接口连接到 内部L A N中，并将一个串行接口连接到一个 I S P。但本例中公司不是使用一个简单的 We b服务 器，而是使用一组 We b服务器，其 I P地址从1 9 8 . 5 0 . 1 . 1到1 9 8 . 5 0 . 5 0 . 1 0 0。在本网段中不再使用 其他的I P地址。我们希望使用 T C P拦截来保护所有的 We b服务器。由于使用了一台高性能路由 器，所以路由器资源并不是关键因素，我们有 1 0 0台We b服务器，并且期望有大量的 T C P请求 进来（见图8 - 3）。 目的地址198.50.1.1到198.50.1.100 的报文被TCP拦截所监测。 图8-3 网络方案：示例2 8.3.1 解决方案 8.3.2 分析 在这个方案中，定义了访问表 1 0 1，用来指定匹配目的 I P地址的范围在 1 9 8 . 5 0 . 1 . 0到 1 9 8 . 5 0 . 1 . 1 2 8之间的所有报文。注意到匹配上的地址比实际使用的地址要多，因为 We b服务器 的I P地址只用到 . 1 0 0，但这也不会产生任何问题。而后我们定义 T C P拦截命令来指定访问表 1 0 1用于匹配 T C P所监视到的报文。我们还改变了 T C P拦截的缺省阈值设置，因为我们期望在 大量的 We b服务器中应能够在任何时刻都有大量的 S Y N请求。我们保留拦截模式的缺省值， 因为有足够的资源来管理每个 T C P连接。 至此已介绍完了T C P拦截。下一节将讨论网络地址转换（ N AT）。 8.4 网络地址转换概述 网络地址转换可以动态改变通过路由器的 I P报文的内容，以便修改报文的源 I P地址和  96 C i s c o访问表配置指南 下载 96 C i s c o访问表配置指南 下载 （或）目的I P地址。离开路由器的报文的源地址或目的地址会转换成与原来不同的地址。这种 功能使得管理员可以隐藏内部网络的 I P地址，并要求路由器可以执行 N AT。这项对于那些使 用来自 R F C 1 8 1 9的未注册地址空间的公司是必需的，或者对于那些为其他公司进行 I P注册的 组织也十分有用。 8.4.1 特征 N AT可以用来修改I P报文头中的源 I P地址和目的 I P地址。I P校验和由N AT处理过程自动进 行修改。有些应用程序将源 I P地址嵌入到了I P报文的数据部分中，所以需要对报文进行修改。 对于这些应用程序， N AT进程也必须修改报文的数据部分，以匹配 I P头中已修改过的源 I P地 址。N AT的C i s c o版本可以处理许多的应用，这些应用的报文数据部分包含 I P地址。C i s c o版本 也允许共享负载的T C P流量，这可以通过允许对单个 I P地址的T C P请求来实现。这些特性将在 本章后面介绍。 在诸如I n t e r n e t，或不同组织互连的管理域边界上， N AT使用得十分普遍。某些组织虽然 申请了一些地址空间，但上网主机的数目超过了 I P地址的数目，此时 N AT就十分有用。没有 注册的地址可以在内部使用，而注册地址只用于报文与外部网络通信。 N AT处理过程对于源 端和目的端主机都是透明的。 8.4.2 局限性 尽管N AT是一个很有用的工具，它还是有一些缺陷。 N AT所面临的最主要的困难在于： 有些应用程序将源I P地址嵌入到了I P报文的数据部分中。这样，报文的源 I P地址在经过N AT的 转换之后，就与报文数据部分的 I P地址不匹配。如果I P头中的源I P地址不匹配报文数据部分的 源I P地址，则这些在报文的数据部分嵌入 I P地址的应用程序不能正常工作。 C i s c o实现的N AT 能够处理许多将 I P地址包含在报文数据部分的应用程序。一个特别例子是 N e t B I O S会话服务。 N e t B I O S服务用于 Windows NT，所以它在数据网络中应用得很普遍。 C i s c o可以支持全部的 N e t B I O S服务。表8 - 1列举了C i s c o目前所支持的应用。 表8-1 Cisco NAT所支持的应用 任何非源和目的的T C P / U D P报文 在I P报文的数据部分中的I P地址 I C M P F T P T C P上的N e t B i o s（除了会话服务） R e a l A u d i o White Pines CUSeeMe S t r e a m w o r k s DNS “A”和 “ P T R”查询 H . 3 2 3① N e t M e e t i n g① V D O L i v e V x t r e m e ①在IOS 12.0.1或更高版本中支持。 Cisco NAT不支持表 8 - 2中的应用。如果读者要使用这些应用，就要知道当路由器执行  下载下载 第 8章 TCP拦截和网络地址转换 97 N AT时它们很可能工作不正常。 表8-2 Cisco NAT不支持的应用 I P组播 路由表更新 D N S域的迁移 B O O T P Talk, ntalk S N M P N e t S h o w 8.5 NAT的术语 讨论N AT时，要用到几个术语： 1) 内部本地地址（ inside local address）——分配给内部网络上主机的 I P地址。这些地址 通常只有内部主机知道。 2) 内部全局地址（inside global address）——分配给内部主机的以用于 N AT处理的地址； 这种内部主机的地址可以被外部主机看到。 3) 外部本地地址（ outside local address）——分配给外部主机的以用于 N AT处理的I P地 址；这些外部主机的地址可以被内部主机看到。 4) 外部全局地址（outside global address）——分配给外部网络上主机的 I P地址。这类地 址可以被外部主机知道，但不能被内部主机知道。 内部地址被内部网络所使用，这些地址可能要进行转换。外部地址被外部网络所使用， 也可能需要进行转换。术语“本地（ l o c a l）”指的是其地址可以被内部主机看到。而术语“全 局（g l o b a l）”指的是地址可以被外部主机看到。注意，如果外部地址没有经过 N AT转换的话， 外部本地地址和外部全局地址可能是一样的。也就是说，外部主机地址在外部网络和内部网 络上可能是相同的，而实际情况也是如此。 理解这些术语的简单方法是抓住其第一个词语：内部或外部，它反映了报文的来源。内 部本地地址（inside local address）和内部全局地址（outside global address）这两个术语都表 明报文是来自内部网络的。第二个词语，本地或全局，则表明地址的可见范围。本地地址是 在本地网络中可见。全局地址则在外部网络上可见。这样，一个内部本地地址来自内部网络， 并且只在内部网络中可见。由于这些地址是在内部网络中，并且只对内部设备可见，因此不 需要进行 N AT操作。相反地，内部全局地址来自内部网络，但却在外部网络中可见。这些地 址一般都要进行N AT操作。 8.6 启用NAT 在路由器上启用 N AT功能需要了解几个命令。首先，读者需要确定在哪个接口上启用 N AT，以及该接口是内部接口还是外部接口。通常，连接到用户内部网络的接口是 N AT内部 接口，而连接到外部网络，例如 I n t e r n e t的接口，是N AT外部接口。这些约定很重要，因为在 后面将要介绍的其他N AT命令配置过程中要参考这些约定。每种接口命令的语法如下：  98 C i s c o访问表配置指南 下载 98 C i s c o访问表配置指南 下载 示例： 在确定启用 N AT的接口之后，接下来就要确定内部全局地址。根据已有的定义，具有这 些地址的报文从内部网络流出到外部网络以后，报文的地址在外部网络上是可见的。这通常 是转换地址。 地址转换可以是动态的或静态的。如果我们不关心哪些内部本地址应该转换为哪些内部 全局地址，则可以允许路由器从地址缓冲池中选取一个可用的地址。使用 ip nat pool命令来定 义该地址缓冲池： 示例： 注意，上述这些命令是等价的。另外我们已定义了将从 . 1到. 5 0的地址放在内部全局地址 缓冲池中。即使我们指定将掩码用于整个子网， < s t a r t - i p >和< e n d - i p >将地址范围限制在 . 1 到. 5 0之间。 定义了 N AT池之后，当需要将一个内部本地地址映射为内部全局地址时，路由器就从池 中取出第一个地址项。用户不能事先指定取池中的哪个地址。如果需要指定映射的 I P地址， 则需要使用静态映射。我们在后面提供了相关的示例。 在ip nat pool命令的语法中， r o t a r y关键字用于一个可用的内部本地 I P地址池，以将其中 的内部本地 I P地址映射到相同的内部全局地址。该关键字是很有用的，例如，读者拥有一个 繁忙的We b站点，并且希望多个服务器响应对同一 I P地址的We b请求，就应该使用该关键字。 我们将在后面给出示例。 一旦创建了内部全局地址池，读者就需要指定允许哪些报文获得池中的地址。这可以使 用ip nat inside source命令来完成。读者也可以在内部本地和内部全局地址间指定静态映射。 这两种方法都可用命令 ip nat iside source来实现，如下所示： 示例： 当使用 l i s t关键字时，该命令允许那些匹配访问表 l i s t的报文可以从名为 n a m e的N AT池中 获取地址。o v e r l o a d关键字启用端口地址转换（ Port Address Translation, PAT）。通过在N AT转 换表中维持 T C P / U D P端口信息和 I P地址信息， PAT允许将多个内部本地地址转换为一个单一 的内部全局地址。当内部全局地址数目有限时，这种特性十分有用。单一的 PAT地址可以与  第 8章 TCP拦截和网络地址转换 99 下载 N AT外部接口的I P地址相同，这在公司只有一个来自 I S P的可用地址时十分有用。在大多数的 配置中，路由器所连接的 I n t e r n e t必须具有一个全局可路由的 I P地址，因此使用与 PAT相同的 地址是有用的。这种情况下还可以使用一种语法格式： 读者也可以将外部全局地址转换为外部本地地址，这在相互连系的公司之间各自所使用 的外部地址存在重叠时是十分有用的。例如，如果两个公司使用 RFC 1918中重叠的地址，例 如1 0 . 0 . 0 . 0 / 2 4网络，则转换外部全局地址的语法如下： 示例： 这些命令的示例，将在后面介绍。 8.7 其他命令 在路由器上配置 N AT时，应该了解一些其他命令。首先，可以使用命令来配置几个超时 值，用以节省地址和路由器内存空间。这里每个 N AT转换都需要一定的内存空间。如果不使 用端口地址转换，只使用如下的一个命令即可： 超时时间的单位是秒，缺省值是 2 4小时或者3 6 4 0 0秒。在需要大量 N AT转换的环境中，最 好将此超时值设为 1 ~ 2小时，或者更小，因为路由器可能没有足够的内存来使用。如果使用 PAT，则还需要其他的命令，这时路由器要查看其 N AT表中的端口号和I P地址（注意，如果不 使用PAT，则不会查看N AT表中的端口号）。要启用PAT功能，可使用如下的定时器： 这些值大多数都是含义自明的。 f i n r s t - t i m e o u t表示在路由器看到 F I N或RST TCP报文之后 的超时值。p o r t - t i m e o u t值用于T C P和U D P。s y n - t i m e o u t值在看到SYN TCP报文时启用。这些 超时值中绝大多数都很小，一般是几分钟，可以使用其缺省值。例外的是 T C P，其超时值为 2 4小时。如前面所述，我们希望 T C P超时值是1 ~ 2小时，或者更低。 如果使用PAT，随着计数器的增值计数， N AT表中的不活跃表项只能存在很短一段时间。 例如，即使 T C P超时值为2 4小时，如果在 N AT转换中出现了 F I N或R S T报文，则表项会在 1分 钟内被删除。由于正常终止的会话能看到一个 F I N或R S T报文，因此只有那些非正常结束的 T C P连接才会在N AT表中保留一段时间。这就是我们建议使用较低的 T C P超时值的原因。非正 常结束的连接在N AT表中转换时使用较小的超时值。  100 C i s c o访问表配置指南 下载 100 C i s c o访问表配置指南 下载 除了超时命令外，还有其他一些有用的命令。下面给出每个的简短描述和示例输出： 另一个极有用的其他N AT命令是： 该命令用于消除.. N AT表中的转换，这对于调试诊断有用。在后面的示例中，将不再提及 这睦命令，以免重复，但读者最好熟悉它们并在自己的应用中查看其输出。下一节将给出使 用N AT的几个详细示例。.. 8.8 NAT应用：示例1 在本例中，某公司使用一台具有两个E t h e r n e t的路由器。.. E t h e r n e t 0连接到内部网络，而..  第 8章 TCP拦截和网络地址转换 101 下载 E t h e r n e t 1则连接到一个L A N网段。公司与其I S P的路由器共享该网段。在内部网络中，公司使 用1 0 . 0 . 0 . 0 / 2 4地址空间中的地址。公司为自己提供一个 I P地址或1 7 1 . 1 0 0 . 1 . 0 / 2 4。公司路由器 的接口使用 I P地址 1 7 1 . 1 0 0 . 1 . 1，而 I S P路由器接口则使用 I P地址 1 7 1 . 1 0 0 . 1 . 2，而将那些从 1 7 1 . 1 0 0 . 1 . 0 / 2 4开始的其余地址留给 N AT转换。公司希望在路由器上使用必要的命令，以使其 内部用户能够使用 I S P所提供的地址空间中的有效，全局可路由的地址，以访问 I n t e r n e t（见图 8 - 4）。 外部网络 内部网络 客户路由器 提供者的 路由器 图8-4 NAT应用方案：示例1 8.8.1 解决方案 8.8.2 分析 在该方案中定义了用于 N AT的接口。通过将相应的命令放在每个接口下面，指定该接口 是一个 N AT外部接口或内部接口。这是配置 N AT的第一步。如果读者不将接口指定为一个 N AT内部或N AT外部接口，或者指定的不正确，则 N AT就不能正确工作。如果不定义 N AT接 口，N AT根本不工作，并且debug ip nat detail命令也不会输出任何结果。如果读者已定义了所 有其他的N AT命令，但N AT还是不工作，则确认每个接口下面的所放的 N AT命令是否合理。 在每个接口下面定义了合适的 N AT命令之后，就可以定义存放内部全局地址的 N AT池。 我们定义的起始 I P地址是1 7 1 . 1 0 0 . 1 . 3，而结束地址为 1 7 1 . 1 0 0 . 1 . 2 5 4。我们不使用. 1和. 2地址是 因为这两个地址分别用于用户路由器和 I S P路由器。由于这两个地址也与用户路由器上的 E t h e r n e t 1接口所在的子网是同一子网地址，用户路由器将使用自己的 M A C地址回答来自 I S P 路由器的 A R P请求。这允许I S P路由器从N AT池中解析出I P地址，并使用从 N A P池中取出的目 的I P地址将报文发送给用户路由器。  102 C i s c o访问表配置指南 下载 102 C i s c o访问表配置指南 下载 注意，M AT地址池并非必须来自与用户路由器接口上所配置的子网相同。下一个示例显 示了一个类似的配置，其中 N AT池不是该用户路由器地址空间的一部分。 8.9 NAT应用：示例2 在本例中，公司使用一台具有两个接口的路由器，分别是以太网和串行接口。 E t h e r n e t 0 连接到内部网络，而串行接口则通过点到点协议（ P P P）链路连接到 I S P路由器。在内部网络 中，公司使用的地址来自地址空间 1 0 . 0 . 0 . 0 / 2 4，该地址空间在 I n t e r n e t上是不可路由的。公司 自己使用I P地址范围1 7 1 . 1 0 0 . 1 . 0 / 2 4。到I S P的P P P链路使用来自 1 9 8 . 5 0 . 1 . 0 / 3 0子网的地址。公 司希望在路由器上配置合适的命令，以便内部用户可以通过使用有效的、全局可路由的地址 访问I n t e r n e t。这些地址应该是来自 I S P所提供的地址空间 1 7 1 . 1 0 0 . 1 . 0 / 2 4。我们打算与上游的 I S P路由器交换O S P F（开放式最短路径优先）更新信息。从而可以从该路由器接收缺省路由， 并将其通知I S P路由器，该路由正在公司路由器上使用（见图 8 - 5）。 池 串行链接 提供者的路由器 内部网络 用户路由器 图8-5 NAT应用方案：示例2 8.9.1 解决方案1 8.9.2 解决方案2  第 8章 TCP拦截和网络地址转换 103 下载 8.9.3 分析 在解决方案1中，先定义了用于 N AT的接口，并通过将合适的命令放在每个接口下面，来 指定该接口是一个 N AT内部或外部接口。在每个接口下面定义了适当的 N AT命令之后，再定 义内部全局地址所在的 N AT池。定义全局地址的起始 I P地址为 1 7 1 . 1 0 0 . 1 . 1，结束 I P地址为 1 7 1 . 1 0 0 . 1 . 2 5 4。我们使用除. 1和. 2地址之外的所有主机地址，是因为这些主机地址都不用于路 由器接口。通过在 N AT池中使用与用户路由器接口所用子网不同的子网，可以获得一些主机 地址。但这又引入了一个新的问题。 在前一个示例中， I S P路由器直接连接到分配给 N AT池的子网上。这种情况下， I S P路由 器只发出一个 A R P请求，以请求 N AT池中的单个 N AT地址，而用户路由器则使用自己的 M A C 地址来响应，此时工作正常。但是，上游的 I S P路由器并不直接连接到 N AT地址池子网 1 7 1 . 1 0 0 . 1 . 0 / 2 4，所以必须告诉它如何通过路由协议或静态路由的方法到达 N AT池所在的子网。 在解决方案1中，我们启用了O S P F并且为1 7 1 . 1 0 0 . 1 . 0 / 2 4重新分配一个静态路由到 O S P F中。上 游的I S P路由器会接收到该路由，并且将所有目的地址为 N AT池中地址的报文转发到我们的路 由器中。 可选地，I S P可以在其路由器上安装一个静态路由，用来将所有 1 7 1 . 1 0 0 . 1 . 0 / 2 4网络的报文 指向我们的路由器。但是，我们希望：当 N AT池地址不是直接从相连的子网上取出时，能够 显示出路由信息的传播路径。注意，我们将整个 1 7 1 . 1 0 . 1 . 0 / 2 4子网的 N AT地址表置为 n u l l 0。 由于我们要指定 N AT地址表中的某些表项，而非整个 1 7 1 . 1 0 0 . 1 . 0 / 2 4子网，这时路由器并不丢 弃这些报文，而是将它们转发到 N AT表中所定义的内部主机上。 在解决方案 2中，我们使用了另一种方法来通知 I S P路由器有关 N AT池的信息。这种方法 是创建一个闭环（ l o o p b a c k）接口，并给其分配一个 N AT池中的 I P地址。通过将 n e t w o r k 171.100.1.0 0.0.0.255 area 0语句包含在我们的 O S P F路由进程下面，可以将该闭环地址作为 O S P F路由的一部分。注意，我们将 . 1地址从N AT池中删除，而使用主机地址 . 2作为N AT池的 起始地址，这样就减少了 N AT池地址和用于闭环接口上的 I P地址重叠的可能性。另外，我们 在闭环接口下面使用接口命令 ip ospf ntwork point-to-point。一般地，O S P F将闭环接口看成是 一个 O S P F桩（ s t u b）网络，并且将接口的 3 2位表项作为路由，而非整个子网。在本例中， O S P F进程会发送 1 7 2 . 1 0 0 . 1 . 1 / 3 2而非表 1 7 2 . 1 0 0 . 1 . 0 / 2 4。在这种情况下，由于需要将整个  104 C i s c o访问表配置指南 下载 104 C i s c o访问表配置指南 下载 1 7 1 . 1 0 0 . 1 . 0 / 2 4子网信息传送给上游的 I S P路由器，所以该地址转换过程不能工作。 O S P F接口 命令告诉 O S P F传送该接口的路由，就像该网络是点到点网络一样，而不像是一个桩（ s t u b） 网络。这意味着它将通过 O S P F传送整个 1 7 1 . 1 0 0 . 1 . 0 / 2 4子网信息（ ip ospf network point-top o i n t命令在I O S版本11 . 3或更高版本中使用），这两种方法都能正常工作，但使用哪一种则是 读者的偏好问题了。 注意：我们知道一个公司通常会在其路由器和 I S P路由器之间运行边界网关协议 （Border Gateway Protocol, BGP）。在本例中，我们选择了O S P F路由协议，目的是为了 分析ip ospf network point-to-point命令。 8.10 NAT应用：示例3 在本例中，公司与示例 2中的公司相同，但情况稍有不同。这里公司处于 I n t e r n e t环境中， 它决定提供一个能从 I n t e r n e t访问的We b服务器，以便那些浏览 We b的用户能够了解公司。该 服务器位于内部网络中，并且能够从 I n t e r n e t上的主机访问该服务器。这样它将拥有 I P地址 1 0 . 1 . 1 . 1 0 0。由于 We b服务器必须能够通过 I n t e r n e t来访问，所以这个源 I P地址在转发给 I S P路 由器之前，必须被转换成内部全局缓冲池中的地址。我们为公司 We b服务器选择 1 7 1 . 1 0 0 . 1 . 1 0 0作为其转换成的内部全局地址。 如示例2那样，E t h e r n e t 0连接到内部网络，而串行接口则通过 P P P链路连接到I S P路由器。 在内部网络中，公司使用 1 0 . 0 . 0 . 0 / 2 4中的地址，而全局池中的 I P地址范围是 1 7 1 . 1 0 0 . 1 . 0 / 2 4。 在本例中，我们将假定 I S P使用静态路由来找到我们的路由器，其中路由器地址在 1 7 2 . 1 0 0 . 1 . 0 / 2 4地址范围内。并且I S P将该路由传送到I n t e r n e t上（见图8 - 6）。 服务器 内部网络 客户路 由器 串行链接提供者的 路由器 拥有171.100.1.100目的地址的 报文被传输到10.1.1.100 图8-6 NAT应用：示例3 8.10.1 解决方案  第 8章 TCP拦截和网络地址转换 105 下载 8.10.2 分析 如其他示例那样，我们在使用任何其他 N AT命令之前，应先定义 N AT内部和外部接口。 而后需要配置N AT池地址和N AT源列表，以允许能够从池中获得地址。本例与示例 2的不同之 处在于：我们需要为 We b服务器设置I P地址1 7 1 . 1 0 0 . 1 . 1 0 0。另外，必须在内部全局地址和内部 本地地址之间给出静态映射关系。不然的话，就不能保证 N AT表中的 N AT转换会将N AT池中 的特定I P地址映射到 We b服务器。这也意味着无法从 I n t e r n e t上知道应该使用哪个地址才能到 达We b服务器，显然这是毫无用处的。 注意，我们在配置中使用 ip nat inside source static命令，以建立 1 0 . 1 . 1 . 1 0 0和 1 7 1 . 1 0 0 . 1 . 1 0 0之间的静态映射。注意到在本例中 N AT池的语法有些不同。 C i s c o已扩展了 N AT 语法，所以可以拆分 N AT池所用的 I P地址范围。我们定义了两个不同的地址范围：从 1 7 1 . 1 0 0 . 1 . 1到1 7 1 . 1 0 0 . 1 . 9 9，以及从 1 7 1 . 1 0 0 . 1 . 1 0 1到1 7 1 . 1 0 0 . 1 . 2 5 4。所以我们可以将 I P地址 1 7 1 . 1 0 0 . 1 . 1 0 0从N AT池中排除出去，因为我们使用该地址进行静态转换。我们使用 ip nat inside source list命令来定义I P地址，以允许该I P地址从N AT池中获取相应的I P地址。注意，至 此，只使用了标准I P访问表来定义I P地址。也可以使用一个扩展的 I P访问表，在本章后面的示 例中会涉及到。 8.11 NAT应用：示例4 在本例中，公司有一台三端口路由器、一个以太网端口和两个串行端口。每个串行端口 连接到不同的 I S P，而每个 I S P给本公司分配一个独立的 C类地址。 I S P 1为公司分配 1 7 1 . 1 0 0 . 1 . 0 / 2 4；而I S P 2则为公司分配1 9 8 . 5 0 . 1 . 0 / 2 4。公司通过B G P路由协议实现从每个 I S P的 完全路由过程，并且允许路由器将报文转发到具有到达目的地的最佳路由的 I S P上。为了报文 能够从原来发出报文的同一个 I S P路由回来，路由器在发送报文到相应 I S P之前，需要从每个 提供者的地址空间转换外出报文的源 I P地址。发送给 I S P 1路由器的报文，其源地址将被转换 为I S P 1地址空间中的地址；而发送给 I S P 2路由器的报文，其源地址则被转换为 I S P 2地址空间 中的地址。 除了允许内部主机能够从每个相应的提供者地址空间中获得地址，根据所选择的路由器 不同，该公司希望可以从任何一个提供者都能够访问内部的 We b服务器。这样所需的就是将 每个提供者的地址空间中的一个静态 I P地址分配给We b服务器，以便每个提供者都可用于到达 We b服务器的I P地址。换句话说， I S P 1的用户使用来自I S P 1的地址到达We b服务器；而I S P 2的 用户则使用来自 I S P 2的地址到达该服务器。如前面的示例那样，内部 E t h e r n e t使用1 0 . 0 . 0 . 0 / 2 4 地址空间，而 We b服务器的内部本地地址是 1 0 . 1 . 1 . 1 0 0。从I S P 1来看其地址是 1 7 1 . 1 0 0 . 1 . 1 0 0， 而从I S P 2来看则为1 9 8 . 5 0 . 1 . 1 0 0。每个I S P将保证能够使用合适的 D N S表项来将We b服务器名称  106 C i s c o访问表配置指南 下载 106 C i s c o访问表配置指南 下载 解析为每个相应的 I P地址（见图 8 - 7）。 服务器 静态： 静态： 池 池 提供者1的 路由器 客户路 由器 提供者2的 路由器内部网络 图8-7 NAT应用方案：示例4 8.11.1 解决方案  第 8章 TCP拦截和网络地址转换 107 下载 8.11.2 分析 该示例应该是比前面的几个示例要更加复杂些，并且有一些很吸引人的地方。先定义.. N AT内部和外部接口。在本例中，路由器有两条.. I n t e r n e t连接，每条连接分别位于一个串行接 口上，这样我们就需要两个外部接口。接下来是.. N AT池，内部客户使用该池获取内部全局地 址。如前所述，我们有两池地址，每个地址池来自一个提供者。这样我们就创建两个独立的.. N AT池，分别称为.. I S P 1和I S P 2。注意，由于我们使用每个.. N AT池中的。.. 1 0 0来创建We b服务器 的静态N AT映射，每个N AT池都不包含。.. 1 0 0主机。在前面的示例中已经介绍了.. N AT池语句的 语法。 在创建了.. N AT池之后，就需要定义源列表，用以告诉路由器我们允许哪些.. I P地址能够从 池中获取地址。注意，这里使用.. ip nat source route-map命令，而非ip nat source list命令。我们 使用一个路由映射，而不单单使用访问表。这样不仅能够使用.. I P地址来选择.. N AT池，而且还 可以使用诸如下一跳.. I P地址以及路由器的输出接口等此类内容来选择.. N AT池。我们定义了两 个路由映射语句，i s p - 1和i s p - 2。i s p - 1路由映射匹配访问表1和接口serial 0。这意味着如果I P报 文匹配列表1并且目的接口是serial 0，则表明匹配了i s p - 1路由映射。从接口serial 0上离开路由 器的报文流向.. I S P 1，这样就符合了我们的要求。.. i s p - 2路由映射的定义类似。我们的路由器持 有一组来自每个提供者的路由，这将告诉路由器：报文应从哪个接口离开。根据我们的.. B G P 配置，可以从向外的报文中获得一些负载平衡。注意我们定义.. N AT池的方法。.. ip nat inside source route-map语句允许路由器在将报文发送到.. I S P路由器之前，从每个.. I S P地址空间中选择 一个地址。这将会保证当报文返回时，它们将沿着原先离开内部网络时所用的.. I S P返回。通常 每个I S P只将自己地址空间中的.. I P地址通告给其他提供者。来自.. I S P 1的地址空间的报文将流回.. I S P 1；而来自I S P 2地址空间的报文也将流回到.. I S P 2。 配置的最后一步是允许.. I n t e r n e t上的设备访问公司的.. We b服务器。我们需要在一个内部全 局地址和内部本地地址之间建立一个静态的.. N AT映射。但是，这种情况下，我们需要定义两 个映射，分别用于从两个不同的内部全局地址映射到公司的.. We b服务器。该过程的关键是使 用可选的关键字e x t e n d a b l e。.. e x t e n d a b l e关键字告诉路由器将创建一个扩展的.. N AT映射，该映射是从每个内部全局地址 到单一的内部本地地址的映射；并且它不仅使用.. I P地址，而且还使用源和目的端口。对于从.. N AT内部接口流到.. N AT外部接口的报文而言，动态路由映射表将用于创建扩展的转换操作。 如果不使用e x t e n d a b l e关键字，路由器将不会允许我们将多个内部全局地址映射到一个单一的 内部本地地址。.. 8.12 NAT应用：示例5 在本例中，公司使用一台两接口路由器，一个E t h e r n e t和一个串行接口。其中.. E t h e r n e t 0连 接到内部网络，而串行接口则通过.. P P P链路连接到.. I S P路由器。在内部网络中，公司使用.. 1 0 . 0 . 0 . 0 / 2 4地址空间中的地址，该地址在.. I n t e r n e t上不能路由。公司还提供了.. I P地址范围.. 1 7 1 . 1 0 0 . 1 . 0 / 2 4，用以创建全局可访问的.. We b服务器。公司认为他们将有大量的.. We b服务器连 接，但服务器只是一个低端服务器。并且公司并不打算买更多的机器，因为公司已经花费了 大量资金来购买硬件设备。公司希望只使用少数几台服务器，并且对于外界看来应该就像是  108 C i s c o访问表配置指南 下载 108 C i s c o访问表配置指南 下载 一台服务器一样。换句话说，公司希望发送到一个内部全局地址上的报文能被转换成多个内 部本地地址（见图8 - 8）。 服务器 服务器 服务器 内部网络 客户路 由器 提供者的 路由器 拥有171.100.1.100为目的地址 的报文采用轮循的方法发送到 10.1.1.2-10.1.1.4的机器上 图8-8 NAT应用方案：示例5 8.12.1 解决方案 8.12.2 分析 我们先定义用于 N AT的接口，并通过将合适的命令放在每个接口下面，来确定这些接口 是N AT内部接口，还是外部接口。在每个接口下面定义了合适的 N AT命令之后，接着定义 N AT池。在非本例的情况下，N AT池的We b地址标识了公司所有的 We b服务器的内部本地地址。 注意，在本例中我们使用参数 p r e f i x - l e n g t h而非n e t m a s k。值为2 9的p r e f i x - l e n g t h等价于掩码参 数值2 5 5 . 2 5 5 . 2 5 5 . 2 4 8。再注意 r o t a r y关键字的使用。这表明了我们打算使用 r o u n d - r o b i n策略从 N AT池中取出相应的I P地址用于转换进来的I P报文。 在定义了N AT池之后，我们继续定义将从 r o t a r y池中选中的 I P地址。我们定义一个 i n s i d e  第 8章 TCP拦截和网络地址转换 109 下载 destination list语句，而不使用inside source list语句。其中.. inside destination list语句定义了其.. I P的地址匹配访问表.. 1的报文将使用.. r o u n d - r o b i n策略，将其目的地址转换成.. r o t a r y池中定义的 池地址。在这种情况下访问表.. 1将匹配一个单一的.. I P地址.. 1 7 1 . 1 0 0 . 1 . 1 0 0。这样，具有.. 1 7 1 . 1 0 0 . 1 . 1 0 0目的地址的报文会将其目的.. I P地址修改为：路由器使用轮询策略从.. r o t a r y池中所 取出的地址。这允许使用.. 3个内部服务器来接收目的地址为.. 1 7 1 . 1 0 0 . 1 . 1 0 0的向内报文。所有这 三个内部.. We b服务器将分担发送到该单一全局地址上的请求。着重指出的是路由器不会保证 三台We b服务器都是正常的。如果某台服务器故障，路由器仍会向该服务器发送报文。如果 需要功能更完善的解决方案，则.. C i s c o有一种称为本地导向器（.. Local Director）的产品，它可 以用来确定池中的服务器是否正常工作。对本地导向器的讨论已超出了本书所讨论的范围， 不过读者可以查看.. C i s c o文档，或者与本地的供应商联系来获得这方面的更多信息。.. 8.13 NAT应用：示例6 在本例中，公司使用一台两接口路由器，一个是E t h e r n e t，另一个是串行接口。.. E t h e r n e t 0 连接到内部网络，而串行接口则通过.. P P P链路连接到.. I S P路由器。在内部网络中，公司使用.. 1 0 . 0 . 0 . 0 / 2 4地址范围内的地址。公司已从其供应商那里获得了一个单一的全局可路由的.. I P地址.. 1 7 1 . 1 0 0 . 1 . 1，并且该地址用于路由器的串行接口上。公司使用.. PAT将其所有的内部本地地址转 换成单一的内部全局地址.. 1 7 1 . 1 0 0 . 1 . 1。公司希望提供可以从.. I n t e r n e t访问的F T P和We b服务器， 并且对We b服务器的请求应被送到.. We b服务器所在的地址.. 1 0 . 1 . 1 . 1 0 0，而F T P请求则被送到F T P 服务器所在的地址1 0 . 1 . 1 . 1 0 1（见图8 - 9）。 服务器 服务器 内部网络 客户路 由器 串行链接提供者的 路由器 拥有171.100.1.1为目的地址的 报文基于不同的部分被传输 图8-9 NAT应用方案：示例6 8.13.1 解决方案  110 C i s c o访问表配置指南 下载 110 C i s c o访问表配置指南 下载 8.13.2 分析 先定义.. N AT所用的接口，并通过将合适的命令放在每个接口下面来定义接口是.. N AT内部 或外部接口。通常，在定义.. N AT接口之后，就要定义.. N AT池来指定所用的内部全局地址。但 是，在本例中只使用了一个单一的内部全局地址，并且将该单一内部全局地址用于路由器的.. serial 0接口上。由于只有一个单一内部全局地址并且用于路由器自己的接口上，所以我们不 需要定义N AT池。我们只简单地使用示例中所示的.. inside source list语句即可。所定义源列表 使用路由器接口的.. I P地址，并且超载该单一.. I P地址。该命令允许来自.. 1 0 . 0 . 0 . 0 / 2 4网络的内部主 机访问I n t e r n e t。路由器执行.. PAT来创建T C P / U D P端口的N AT映射。完成该步以后，接下来需 要为内部We b和F T P服务器创建静态映射。 由于只有一个单一的内部全局.. I P地址，因此要根据I P地址以及T C P或U D P端口来定义静态 映射。在本例中，将目的地址为.. 1 7 1 . 1 0 0 . 1 . 1和目的T C P端口为8 0的报文地址转换成.. T C P端口8 0 上的1 0 . 1 . 1 . 1 0 0内部主机地址。我们还将目的地址为.. 1 7 1 . 1 0 0 . 1 . 1和目的T C P端口为2 1的报文地 址转换成T C P端口2 1上的1 0 . 1 . 1 . 1 0 1内部主机地址。这样我们就在不同的内部服务器上提供了.. We b和F T P服务，虽然我们只有一个单一的内部全局地址。注意，由于该命令语法允许指定内 部服务器的I P地址和端口，所以可以在内部提供多个.. We b和F T P服务器。例如，可以创建如下 的静态映射： 该转换操作将所有目的地址为.. 1 7 1 . 1 0 0 . 1 . 1且目的端口为2 7的向内报文的地址转换为.. F T P端 口上的地址1 0 . 1 . 1 . 1 0 2。当然，我们必须保证，外部用户能够知道我们的.. F T P服务器使用非标 准的端口，而大多数的.. F T P客户机都提供这一能力。显然公司可以使用各种不同的端口转换方 法来提供服务，即使公司只有一个全局可路由的.. I P地址。这些方法使Cisco NAT的功能更加强 大。..