第11章网络地址转换
在本章中,我打算简要介绍网络地址转换(Network Address Translation,N AT)、动态网络地址转换和端口地址转换(Port Address Translation,PAT),也称为网络地址
接着转换复用。当然,我将使用本书中已经用过的网络结构来举例说明网络地址转换,以使用SDM 结束本章,你将看到使用SDM 配置NAT 是非常容易的。在开始本章之前,阅读第10 章将很有帮助,因为在我们的NAT 配置中需要使用访问列表。
广东韶关学院王为群整理778
何时使用NAT
类似于无类域间路由选择(Classless InterDomain Routing,CIDR),NAT 的
最初目的是允许把私有IP 地址映射到外部网络的合法IP 地址,以减缓可
用IP 地址空间的消耗。
从那时开始发现,在移植和合并网络、服务器负载共享以及创建“虚拟服务器”中,NAT 是一个很有用的工具。因此本章中,我打算描述NAT 的基本功能和NAT 的常用术语。
有些时候,NAT 真的减少了网络环境对公网IP 地址数量的需要。当两个
具有相同内网地址配置的公司网络合并时,NAT 必不可少。当一个组织更换
它的互联网服务提供商(Internet Service Provider,ISP),而网络管理员不希
望更改内网配置方案时,NAT 同样很有用处。
以下是适于使用NAT 的各种情况:
你需要连接到因特网,但是你的主机没有公网IP 地址。
你更换了一个新的ISP,需要重新组织网络
你需要合并两个具有相同网络地址的内网。
NAT 一般应用在边界路由器中。图11.1 说明了NAT 的应用位置。现在你“NAT 真的很棒。它是最帅、最好的网络配件,我要拥有可能认为:
它。”好的,等一会儿。在NAT 使用中有一些真正的障碍。哦—不要搞错我的意思:有时我真的可以挽救你,但是有一些悲观的方面你必须要知道。关于使用NAT 的优缺点,请对照表11.1。
图11.1 配置NAT 的地
方
广东韶关学院王为群整理779
表11.1 实施NAT 的优点和缺点
说明:NAT 的最显著优点是节约你的合法注册地址。这也是我们为什么没有用完IPv4 地址的原因—想一想。
网络地址类型转换
在这一节,我打算和你一起学习三种类型的NAT。
静态NAT 这种类型的NAT 是为了在本地和全球地址间允许一对一映射而设计的。需要记住的是,静态NAT 需要网络中的每台主机都拥有一个真实的因特网IP 地址。
动态NAT 这种类型的NAT 可以实现映射一个未注册IP 地址到注册IP 地址池中的一个注册IP 地址。你不必要像使用静态NAT 那样,在路由器上静态映射内部到外部的地址,但是你必须保证拥有足够的真实IP,保证每个在因特网中收发包的用户都有真实的IP 可用。
复用这是最流行的NAT 配置类型。复用实际上是动态NAT 的一种形式,
它映射多个未注册的IP 地址到单独一个注册的IP 地址—一多对—通过使用不同的端口。现在,这种方式为什么这么特别?好的,因为它也被称为端口地址映射(PAT)。通过使用PAT(NAT 复用),可实现上千个用户仅通过一个真实的全球IP 地址连接到因特网—多么聪明,不是吗?认真地讲,使用NAT 复用是我们至今在互联网上没有使用完合法IP 地址的真实原囚。真的—我不是在开玩笑。
说明:别担心,在本章的后面将展示如何配臵这三种类型的NAT。
NAT命名
在NAT 中,使用的地址的名字描述起来很简单。在NAT 转换后使用的地址叫做全局地址。它们通常是使用在因特网上的公网地址,但是请记住,如果你不进入因特网,就不需要公网地址。
在NAT 转换之前的地址叫做本地地址。因此,内部本地地址实际上是尝试连接到因特网的发送端主机的私有地址,而外部本地地址则是目标主机的地址。目标主机地址通常是一个公网地址(网页地址、E-mail 服务器,等等),并且也是数据包如何开始其旅程的地方。
在转换之后,内部本地地址叫做内部全局地址,而且外部全局地址变为目标主机的名字。查看表11.2,表中列出了所有这些术语,让你对NA T 中使用的各种名字有一个更清晰的认识。
表11.2 NAT 术语
广东韶关学院王为群整理782
NAT工作原理
好的,现在我们看一下整个NAT 的工作过程。图11.2 描述了NAT 的基本
转换。
在图11.2 展示的例子中,主机10.1.1.1 发送一个外出数据包到配置了NAT 的边界路由器。边界路由器识别出此IP 地址为内部本地IP 地址。目标
是外部网络,它要转换内部本地IP 地址,并把转换结果记录到NAT 表中。
图11.2 基本的NAT 转换这个数据包使用转换后新
的源地址被发送到外部接口。外部主机返回此包到
目标主机,NAT 路由器使用NAT 表转换内部全局IP 地址为内部本地IP 地址。整个过程就是这么简单。
让我们看一个使用复用或被称为端口地址转换的比较复杂的配置。我将使用
图11.3 示范PAT 如何工作。
使用复用,全部的内部主机被转换为一个单独的IP 地址,因此叫做复用。再次强调,我们没有使用完因特网上可用IP 地址的原因就是因为复用(PAT)。再看一次图11.3 的NAT 表。除了内部本地IP 地址和外部全局IP 地址外,我们用到了端口号。这些端口号帮助路由器识别哪一台主机接收返回的流量。在此例中,端口号被用在传输层,用于识别本地主机。如果我们必须要使用
IP 地址来识别源主机,那将被称为静态NAT,而且我们将会使用完所有可用IP 地址。PAT 允许我们使用传输层来识别主机,同时允许多达65000 台主机(理论广东韶关学院王为群整理783
上)使用一个真实的IP。
图11.3 NAT 复用示例(PAT)
静态NAT 配置
让我们来看一个简单的基本静态NAT 配置:
ip nat inside source static 10.1.1.1 170.46.2.2
!
interface Ethernet0
ip address 10.1.1.10 255.255.255.0
ip nat inside
!
interface Serial0
ip address 170.46.2.1 255.255.255.0
ip nat outside
!
在上面的路由器输出中,ip nat inside source 命令识别哪一个IP 地址将被转换。在这个配置例子中,ip nat inside source 命令在内部本地IP 地址10.1.1.1 与外部全局IP 地址170.46.2.2 之间配置了一个静态转换。
在配置中继续向下看,我们会看到每个接口下方都有ip nat 命令。命令ip nat inside 识别接口为内部接口,命令ip nat outside 识别接口为外部接口。当你回过去看ip nat inside source 命令,会看到这个命令把内部接口作为源地址或转换的
开始点。这个命令也可能这样使用—ip nat outside source—把你指定的接口作为外部接口,并把这个外部接口作为源地址或是转换的开始点。
动态NAT 配置
动态NAT 意味着我们可以为内部的用户组提供真实的IP 地址池。我们不使用端口号,因此我们必须为每个尝试连接外网的用户提供真实的IP 地址。
下面是一个动态NAT 配置的示例输出:
ip nat pool todd 170.168.2.2 170.168.2.254 netmask 255.255.255.0
ip nat inside source list 1 pool todd
!
interface Ethernet0
ip address 10.1.1.10 255.255.255.0
ip nat inside
!
interface Serial0
ip address 170.168.2.1 255.255.255.0
ip nat outside
!
access-list 1 permit 10.1.1.0 0.0.0.255
!
命令ip nat inside source list 1 pool todd 告诉路由器把匹配access-list 的IP 地址转换为名字叫todd 的IP NAT 地址池中的一个地址。在此情况中,访问列表并不像以往那样,为了安全原因通过允许或拒绝来过滤流量。在这里,访问列表被用来选择或指定触发流量。当触发流量与访问列表匹配时,触发流量被放入NAT 过程进行转换。这是访问列表常见的使用方法,访问列表并不是始终只在接口上做阻塞流量这种枯燥的工作。
命令ip nat pool todd 170.168.2.2 170.168.2.254 创建了一个地址池,这个地址池为那些需要NAT 的主机提供地址。
PAT(复用)配置
最后一个示例展示如何配置内部全局地址复用。这是今天我们使用的典型的NAT。现在很少使用静态或动态NAT,除非我们静态地映射一个服务器。
广东韶关学院王为群整理785
下面是一个PAT 配置的示例输出:
ip nat pool globalnet 170.168.2.1 170.168.2.1
netmask 255.255.255.0
ip nat inside source list 1 pool globalnet overload
!
interface Ethernet0/0
ip address 10.1.1.10 255.255.255.0
ip nat inside
!
interface Serial0/0
ip address 170.168.2.1 255.255.255.0
ip nat outside
!
access-list 1 permit 10.1.1.0 0.0.0.255
PAT 的好处是,存在于这种配置和前面的动态NAT 配置间的仅有差异是IP 地址池被缩减为一个IP 地址,并且在ip nat inside source 命令之后包含overload 命令。
注意,在示例中被用做地址池的那个IP 地址是外部接口IP 地址。在家里或是一个小的办公室里,你的ISP 仅为你提供一个ip,配置NAT 复用真的很棒。然而,你可以使用如170.168.2.2 这样的另外一个地址,如果地址是可用的。这在拥有很多内部用户以至于必须在外部接口有一个以上的复用IP 地址的大规模网络配置中非常有用。
NAT 的简单验证
一旦你配置一种需要类型的NAT,典型的是复用(PAT),你就要有能力对配置进行验证。
为了查看基本IP 地址转换信息,使用下面的命令:
Router#show ip nat translation
当查看IP NAT 转换信息的时候,你将看到许多转换是从相同的主机到相同的目的主机之间的转换。这是典型的到Web 的多个连接。
另外,可以使用debug ip nat 命令验证NAT 配置。输出结果中的每个调试行将显示发送端地址、转换、目的地址:
广东韶关学院王为群整理786
Router#debug ip nat
如何从转换表中清除NAT 条目?使用clear ip nat translation 命令。为了从
NAT 表中清除所有的条目,在命令的结尾使用星号(*)。
测试并诊断NAT故障
Cisco 的NAT 给你一些重要的能力—并且不需要费太多的力气,因为配置真的比较简单。但是我们都知道,没有什么事是完美的,因此为了防止出现错误,你需要对下列可能的障碍做出判断:
检查动态地址池—它们是否由正确的地址范围组成
检查动态地址池是否有重叠
检查被用来静态映射的地址与动态地址池中的地址是否重叠
确定你的访问列表指定正确的转换地址
确信列表中该出现的地址没有遗漏,不该出现的地址没有被加入
确信内部和外部接口都已经恰当地界定
需要记住的一点是,在配置新的NAT 时,最常见的问题和NAT 没有特别
的关系—它通常涉及到路由选择的问题。因此,确信那是因为你正在改变包中的
源和目的地址,路由器在转换后才知道如何处理新的地址!
想像NAT 表可以控制没有限制数量的映射。实际上,无论如何,这涉及到类似内存和CPU 或是可用地址或端口的边界设置等,实事上,正是这些因素导致在条目数量上有一些限制。每个NAT 映射占用大约160 字节的内存,并且有时候—但是不是很经常—条目的数景由于性能或是因为策略约束而必须被限制。对于此类情况,需要使用ip nat translation max-entries 命令来帮助。
另一个便于用来排除故障的命令是show ip nat statistics。执行此命令你会得到NAT 配置的汇总情况,并且对活动的转换类型进行计数。同时,会把计数
结果与存在的映射匹配,对于没有的—后来会为它尝试创建一个映射。这个命令
也会显示超过期限的转换。
如果你想检查动态地址池,包括它们的类型、可用地址的总数、已经分配了多少地址和失败了多少,加上已经转换的个数,可使用pool (refcount)命令。
你知道可以手工从NAT 表中清除动态NAT 条目吗?这样做非常方便,如果你需要去除一个特定的无用条目,就不用坐着等待其过期。手工清除在清除整个NAT 表重新配置地址池的时候非常有用。你同样也需要知道,如果地址池中的地址已经被映射,Cisco IOS 软件便不
允许你更改或删除NAT 表中的地址池。命令clear ip nat translations 用来清除条广东韶关学院王为群整理788
目—经由全局或本地地址,或是通过TCP 和UDP 转换(包括端口)指定一个单独条目,或者输入星号(*)删除整个条目表。但是要知道,如果你这么做了,仅动态条目被删除,因为此命令不删除静态条目。
哦,还有更多—对任何内部设备有响应的任何外部设备的数据包目的地址就是通常所说的IG 地址。这意味必须在NAT 表中保存初始化映射,这样,所有从特定连接到达的数据包才能一直被转换。在NAT 表中保存条目也将减少相同的机器发送数据包到相同的外部目标时进行重复查找的次数。
这就是我要表达的意思:当一个条目第一次被放入NAT 表中,计时器开始计时,计时器持续的时间就是转换的有效时间。每次包经过路由器被特定条目转换后,计时器被重置。如果计时器计时期满,条目将从NAT 表中删除,并且动态分配的地址将回到地址池中等待再次分配。Cisco 默认转换超时为86400 秒(24 小时),但是可以使用ip nat translation timeout 命令对此进行更改。
在我们继续介绍配置内容之前,实际使用一下刚刚讲到的命令,通过一些NAT 示例看看你是否可以根据需求规划配置。正式开始,观察图11.4 并且问自己两个问题:此例中在哪里实施NAT,配置何种类型的NAT?
图11.4 NAT 示例
在图11.4 中,NAT 配置被放在公司路由器上,并且使用动态NAT 复用(PAT) 配置。在这个NAT 示例中,使用了何种类型NAT?
ip nat pool todd-nat 170.168.10.10 170.168.10.20 netmask 255.255.255.0
上面的命令使用动态NAT。命令中pool 给出了答案,另外在地址池中有不止一个地址,也意味着我们可能不使用PAT 配置。在下一个NAT 示例中,我们在图11.5 中观察,测试是否可以规划出所需的配置。
广东韶关学院王为群整理789
图 11.5 的示例中展示了需要配置 NAT 的边界路由器,并且允许使用 6 个公
网 IP 地址,192.1.2.109~192.1.2.114。然而,在内部网络中,我们拥有 63 台主机, 使用的私有地址为 192.168.10.65~192.168.10.126。在边界路由器上应该使用什么 NAT 配置呢?
图 11.5 另一个 NAT 示例 这里两个不同的
答案都可以工作,但是下面的将是我的第一选择:
ip nat pool Todd 192.1.2.109 192.1.2.109 netmask 255.255.255.248
access-list 1 permit 192.168.10.64 0.0.0.63 ip nat inside source list 1 pool Todd overload
命令 ip nat pool Todd 192.1.2.109 192.1.2.109 netmask 255.255.255.248 设置地 址池的名字为 Todd ,并且为 NAT 使用地址 192.1.2.109 创建了一个动态地址池。 为了替换 netmask 命令,你可以使用 prefix-length 29 语句(我知道你在想什么, 但是不行,不能在路由器的接口上也这么做)。第二个答案将与第一个具有相同 的结果,也仅使用 192.1.2.109 作为你的内部全局地址,但是你可以这么输入并 使它工作:ip nat pool Todd192.1.2.109 192.1.2.114 netmask 255.255.255.248。这么 做是在浪费,因为第二个到第六个地址只有在 TCP 端口号冲突的情况下才会被 使用。
如果你不理解设置 access-list 的第二行命令,请查看第 10 章“安全”。 命令 ip nat inside source list 1 pool Todd overload 通过 overload 命令使用端口 地址转换(PAT)设置了动态地址池。
但是要根据适当的接口确定添加 ip nat inside 和 ip nat outside 语句。
广东韶关学院 王为群整理
790
在网络中配置NAT
好的,现在继续开始配置,并且使用64.1.1.4/30 网络连接Corp 路由器和R3 路由器,使用64.1.l.8/30 网络把LAN F0/0 连接至R3 路由器。在NAT 开始工作后,通过本章,你将学会如何使用验证命令。
网络如图11.6 所示,在表11.3 中列出了正在使用的内部本地地址。
图11.6 用新地址的互联网络
我知道—图11.6 展示了我们曾使用的相同的网络,但是这里有一些不同。在Corp 路由器和R3 路由器之间的连接现在使用了全局PAT 地址。它们不能通信,因为其他的Corp 连接使用私有IP 地址。(在真实的环境中,ISP 将会阻塞这些私有IP 地址,对吗?所以让我们使它们工作吧!)记住,当使用NAT 时,我们称
它们为“内部本地”
,意思是在转换之前,我们的ISP 阻塞私有IP 地址范围。我们将怎么办?我们首先需要在Corp 路由器上配置NAT,让我们开始吧。
表11.3 IP 网络中的网络地址
现在我们都知道,我们需要所有连接到 Corp 路由器的网络可以和所有连接到使用64.1.1.5/30 新全局地址的R3 路由器的网络进行通信,对吗?你点头认为是—好的!我们开始吧:
Corp#config t
Corp(config)#ip nat pool Todd 64.1.1.5 64.1.1.5 net 255.255.255.252
Corp(config)#access-list 1 permit 10.1.0.0 0.0.255.255
Corp(config)#ip nat inside source list 1 pool Todd overload
在添加接口配置之前,
注意我使用Corp 路由器的外部接口的IP 地址64.1.1.5 作为地址池的开始和结束地址。我这么做是因为,使用PAT 时它可以很好地工
作。
无论如何,不要忘记在所有接口配置NAT:
Corp(config)#int s0/2/0
Corp(config-if)#ip nat outside
Corp(config-if)#int f0/1
Corp(config-if)#ip nat inside
Corp(config-if)#int s0/0/0
Corp(config-if)#ip nat inside
Corp(config-if)#int s0/0/1
Corp(config-if)#ip nat inside
Corp(config-if)#int s0/1/0
Corp(config-if)#ip nat inside
Corp(config-if)#
现在PAT 已经配置,而且所有的接口已经设置完毕,让我们从主机 C 远程登录到主机D 等等,首先应该从一台主机ping 另一台主机,接着再telnet:Corp#sh ip nat trans
Pro Inside global Inside local Outside local Outside global icmp 64.1.1.5:271 10.1.9.2:271 64.1.1.10:271
64.1.1.10:271 tcp 64.1.1.5:11000 10.1.9.2:11000 64.1.1.10:23
64.1.1.10:23
Corp#
现在我将在Corp 路由器上开始debug ip nat,接着从主机 B telnet 至主机D。我们看一看Corp 路由器的输出:
Corp#debug ip nat
*May 9 22:57:47.679: NAT*: TCP s=11000->1024, d=23
*May 9 22:57:47.679: NAT*: s=10.1.6.2->64.1.1.5, d=64.1.1.10 [0]
*May 9 22:57:47.683: NAT*: TCP s=23, d=1024->11000
*May 9 22:57:47.683: NAT*: s=64.1.1.10, d=64.1.1.5->10.1.6.2 [0]
*May 9 22:57:47.699: NAT*: TCP s=11000->1024, d=23
*May 9 22:57:47.699: NAT*: s=10.1.6.2->64.1.1.5, d=64.1.1.10 [1]
*May 9 22:57:47.703: NAT*: TCP s=23, d=1024->11000
*May 9 22:57:47.703: NAT*: s=64.1.1.10, d=64.1.1.5->10.1.6.2 [1]
*May 9 22:57:47.707: NAT*: TCP s=11000->1024, d=23
*May 9 22:57:47.707: NAT*: s=10.1.6.2->64.1.1.5, d=64.1.1.10 [2]
*May 9 22:57:47.711: NAT*: TCP s=11000->1024, d=23
*May 9 22:57:47.711: NAT*: s=10.1.6.2->64.1.1.5, d=64.1.1.10 [3]
*May 9 22:57:47.719: NAT*: TCP s=23, d=1024->11000
*May 9 22:57:47.719: NAT*: s=64.1.1.10, d=64.1.1.5->10.1.6.2 [2]
*May 9 22:57:47.723: NAT*: TCP s=23, d=1024->11000
*May 9 22:57:47.723: NAT*: s=64.1.1.10, d=64.1.1.5->10.1.6.2 [3]
*May 9 22:57:47.723: NAT*: TCP s=11000->1024, d=23
*May 9 22:57:47.723: NAT*: s=10.1.6.2->64.1.1.5, d=64.1.1.10 [4]
*May 9 22:57:47.731: NAT*: TCP s=11000->1024, d=23
*May 9 22:57:47.731: NAT*: s=10.1.6.2->64.1.1.5, d=64.1.1.10 [5]
*May 9 22:57:47.735: NAT*: TCP s=23, d=1024->11000
*May 9 22:57:47.735: NAT*: s=64.1.1.10, d=64.1.1.5->10.1.6.2 [4]
*May 9 22:57:47.735: NAT*: TCP s=11000->1024, d=23
*May 9 22:57:47.735: NAT*: s=10.1.6.2->64.1.1.5, d=64.1.1.10 [6]
*May 9 22:57:47.747: NAT*: TCP s=11000->1024, d=23
*May 9 22:57:47.747: NAT*: s=10.1.6.2->64.1.1.5, d=64.1.1.10 [7]
*May 9 22:57:47.951: NAT*: TCP s=11000->1024, d=23
*May 9 22:57:47.951: NAT*: s=10.1.6.2->64.1.1.5, d=64.1.1.10 [8]
*May 9 22:57:48.103: NAT*: TCP s=23, d=1024->11000
*May 9 22:57:48.103: NAT*: s=64.1.1.10, d=64.1.1.5->10.1.6.2 [5]
Corp#
好的,至少这是一个很有趣的输出结果!在第一行显示主机 B 使用的源和目的端口号。第二行显示通过使用最后列出的外部本地/全局地址,将内部源地址转换为内部全局地址—接着,从外部主机返回到主机B。我们使用show ip nat translation 命令验证所有的转换:
Corp#sh ip nat trans
Pro Inside global Inside local Outside local Outside global tcp 64.1.1.5:11000 10.1.9.2:11000 64.1.1.10:23 64.1.1.10:23 Corp#
现在,我们在Corp 路由器上使用show ip nat statistics 命令:
Corp#sh ip nat stat
Total active translations: 2 (0 static, 2 dynamic; 2 extended)
Outside interfaces:
Serial0/2/0
Inside interfaces:
FastEthernet0/1, Serial0/0/0, Serial0/0/1, Serial0/1/0
Hits: 269 Misses: 13
CEF Translated packets: 227, CEF Punted packets: 0
Expired translations: 27
Dynamic mappings:
广东韶关学院王为群整理794
-- Inside Source
[Id: 1] access-list 1 pool Todd refcount 2
pool Todd: netmask 255.255.255.252
start 64.1.1.5 end 64.1.1.5
type generic, total addresses 1, allocated 1 (100%), misses 0 Queued Packets: 0
Corp#
这里我们可以看到我们的配置汇总、两个活动的转换,以及正在使用的内部和外部接口。输出结果的底部列出了地址池。所有这些看起来都很正常,因此是使用SDM 配置NAT 的时候了。
使用SDM配置NAT
使用SDM 配置NAT 比想像的要容易得多—当然对你来说更是如此,因为通过第10 章学习你对此已有所了解。无论如何,你所要做的就是单击Configure→NAT,出现很方便的向导,它会手把手教你创建一个NAT 规则。这个向导类似于第 10 章中创建防火墙时的那个向导,同时也像第 10 章一样,有不止一个向导,你需要选择基本的和高级的向导。
基本NAT 如果你的可信网需要访问因特网,且可信网中有一些基本PC/ 主机,则使用这个向导。此向导将引导你创建一个基本的NAT 配置。
高级NAT 如果你的内部网络中拥有隔离区(DMZ)或是服务器,同时接受外网的访问,你绝对需要选择高级NAT 配置。
第一个屏幕是创建NAT 配置屏幕。
从这里开始,我将简单地连接并创建一个基本NAT。之后,单击Launch the Selected Task 按钮,得到下一个屏幕,告诉我们基本NAT 向导接下来要做的事。
广东韶关学院王为群整理796
像你猜到的一样,它很棒—所有我要做的就是单击Next 按钮,得到一个可以选择内部和外部地址的屏幕。看起来熟悉?好的—这说明你很用心。
在选择了内部和外部接口之后,单击Next 按钮。NAT 地址池创建完成,所有接口指派了内部或外部配置,就像刚才一样!
CISCONAT配置 一、NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 二、NAT 的应用环境: 情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。 情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置: 设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用
路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。四、关于NAT的几个概念: 内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。 内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法: NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 静态地址转换基本配置步骤: (1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入: Ip nat inside source static 内部本地地址内部合法地址(2)、指定连接网络的内部端口在端口设置状态下输入:ip nat inside (3)、指定连接外部网络的外部端口在端口设置状态下输入:
你想不想成为思科的网络认证专家呢?答案肯定是想了。你想不想参加思科的认证培训呢? 那更不用说,更是想了。但是,即使参加一个短期培训班,最少也要几千块钱,一本原版的英文思科认证培训教材,就要RMB300大洋,实在不适合我们这些腰包还不鼓的老百姓。再说参加培训,一般还得脱产学习,谁能搭上这个时间。 有没有一种花钱少,培训时间比较短,学习时间由自己把握的培训方式呢?答案仍然是肯定的,那就是自学。 通过自学,完全可以掌握所有知识,通过CCNA认证。 自学CCNA,一条很重要的经验就是选择一本好的教材。市面上CCNA教材林林种种、鱼龙混杂,既有思科自己出的英文原版教材,也有一些水货出版社跟风出的XX指南,每一本书的价格都不菲,让人望而却步。建议大家从网上下载一个电子版本的CCNA教材,本人稍做计算,即使把每一页都用打印机打下来,也比买一本书划的来。 推荐下载的电子图书有:《TROY TECHNOLOGIES USA: CCNA STUDY GUIDE 3》(以下简称《CCNA STUDY 3》)、《CCNA2.0学习指南》中文版、思科出的英文原版教材等。 CISCO的英文原版教材,写得最好,也最详细,但全是E文,英文不好的还是省省吧。《CCNA STUDY 3》也很不错,但有的地方太省略了,初学者看得时候会很不适应。《CCNA 学习指南》则是全中文版,写得非常详细,重点安排的又很合理,我极力推荐大家下载这本书,做为我们自学时的主要参考书。 自学的时候,以《CCNA学习指南》、《CCNA STUDY 3》为主。《CCNA学习指南》讲的比较详细,在每一章中,有针对认证目标的详细说明、有关认证的总结信息、2分钟练习和自我测试题,可帮助读者更好地理解认证的内容;《CCNA STUDY 3》短小精悍,它所强调的地方,都是考试重点、难点;思科的原版教材为辅,它书里的试题不做也罢,没什么实际价值。 《CCNA学习指南》、《CCNA STUDY 3》都附有详细的测试题及答案,建议每天抽出3个小时看书、做题。通过做题、研究错题,把我们那些在看书的时候模模糊糊、一知半解的地方,强化、弄懂、搞通。再带着问题,去反复研究教材。CCNA的考试比较灵活,死记硬背的地方很少。千万不能指望看了一遍书,做了两道题就可以参加考试了。为了能更好的通过考试,我们还需要大量的做题。 另外要指出一点,思科认证一直被认为是比较难过的,不是因为别的,就是因为思科的路由器比较贵,动辄成千上万,非普通老百姓所能承受起的。可是考CCNA,一定要考思科路由器的操作,没有见过思科的路由器怎么参加考试?好在有人发明了路由器模拟软件,操作起来跟真的思科路由器没什么两样。下载boson Software Router EMU这个软件。这个软件最多可以把五个路由器有效的连接起来,构成一个虚拟的路由环境,为大家自学CCNA 提供方便。
华为认证与思科认证区别:考试内容比较 CISCO公司也称思科公司,在几年前它是路由交换设备的王中之王,它的地位就好比现在软件方面的微软公司一样,在路由器、交换机很多层次的产品上处于垄断地位。可以毫不夸张地说只要有网络的地方就有CISCO公司的路由交换设备。虽然最近几年CISCO公司的垄断地位受到了来自多方的冲击,自身也分化出了Juniper公司,但其产品的稳定及性能方面还是非常不错的。其产品技术和标准都具有权威性。本文比较了华为认证与思科认证考试内容。P> 华为公司是国内企业,虽然在国际方面名声不如CISCO,但在国内的名声有赶超CISCO 的趋势。毕竟政府和事业单位都支持国有品牌,政府采购的也都是华为公司的产品。在国家大力支持下,华为公司的未来会更加光明更加灿烂。而且华为公司的产品已经不光局限在国内销售,在东南亚甚至在欧洲非洲都已经拥有了华为公司的分部,产品销售的国际化一方面体现了华为公司的强大经济实力技术实力,另一方面也说明了华为产品的性价比很高,深得国外公司的信赖。 就天时而言虽然现在CISCO公司受到了多方面的影响,地位不如从前但其权威性仍然不可动摇,很多技术标准都是由CISCO公司制定的。而华为公司在产品市场占有率、质量、影响力等诸多方面都处在一个上升的时期,前景非常乐观,而这往往是认证含金量的重要参考指标。 华为认证与思科认证考试内容比拼 CISCO公司的认证体系共分为三个级别,从CCNA到CCNP最后到CCIE,难度逐步升高,所考内容也从理论到与实际工作结合紧密的动手实验。费用方面,考取CCNA 1门的考试费用为1125元,CCNP要在获得CCNA之后再考取4门,费用为1125×4=4500元,CCIE就更加昂贵,一次考试费用在15000 元左右,一般考生需要考三次才能通过。 思科认证考试内容也是从简单的理论基础到路由协议,再到路由策略、VLAN划分等等,最后到详细的排除故障操作及部分VPN、VOIP配置。不过由于CISCO公司有很多技术是专有的,例如IGRP、EIGRP等,这些技术其他厂商是不支持的,这些内容也都包含在认证教材中。 华为公司的认证体系是刚刚推出不久的,很多方面都在逐步健全和完善中。采用的也是分级别的考试,从HCNE到 HCSE,HCTE再到HCIE。其中HCNE相当于CCNA水平,只需要考1门。HCSE嗟庇贑CNP水平,需要考3门。HCTE(排错专家)和 HCIE(相当于CCIE)都是刚刚推出的高级考试。在考试费用方面总体要比CISCO便宜很多,各类考试的费用通常只有CISCO的40%左右。 还有一个大家比较关心的问题就是考试的通过率,由于CISCO认证推出的时间比较久,网络中流传的考试真题比较丰富,因此CCNA与CCNP考试的通过率还是很高的,一般可以达到75%。而华为认证推出时间不长,模拟题比较少,再加上华为的路由交换设备配置指令刚刚更新,总体命令语句变动较大,所以考试通过率相对要低一些,基本在50%上下。
Isp no ena config t host ISP no ip domain-lookup line con 0 exec-timeout 0 0 inter e0/1 ip add 202.1.1.2 255.255.255.0 no shut inter e0/2 ip add 203.1.1.1 255.255.255.0 no shut router1 no ena config t no ip domain-lookup host Router1 line con 0 exec-timeout 0 0 host R1 inter e0/0 ip add 192.168.10.1 255.255.255.0 no shut inter e0/1
ip add 202.1.1.1 255.255.255.0 no shut ip route 0.0.0.0 0.0.0.0 202.1.1.2 int e0/0 //静态NAP ip nat inside int e0/1 ip nat outside ip nat inside source static 192.168.10.10 202.1.1.3 ip nat pool hello 202.1.1.10 202.1.1.12 netmask 255.255.255.0 //动态NAP access-list 1 permit 192.168.10.0 0.0.0.255 ip nat inside source list 1 pool hello ip nat inside source list 1 pool hello overload //PAT技术
CCNA认证指南 [编辑本段]宣传语 考点解析、仿真环境、动手实践、真题解析 与传统的教科书和一般的培训教材有本质的区别,它呈现给读者的不仅仅是一本教材,更是提供了一个综合的网络试验环境,仅仅通过一台电脑,便可以亲自动手完成本书涉及的所有路由器和交换机的实验配置及测试。 一书在手,CCNA认证、实践、能力提高全不愁 [编辑本段]内容简介 本书是专为备考思科CCNA认证的人员量身定做的冲刺指南。全书紧贴640-802考试大纲,全面而系统地分析和介绍了CCNA考试中涵盖的各个知识点。对每个知识点在考试中的重要程度均有标注,每章最后还有近期CCNA真题的解析。全书共分22章,内容涉及三大方面,局域网部分:网络互联基础知识和网络参考模型,思科路由器和交换机介绍,静态和动态路由协议(包括RIP、EIGRP、OSPF)原理及配置,VLAN和VLAN间路由的实现,CDP、VTP和STP协议的使用,无线网络互联和IPv6等;广域网部分:广域网接入技术,PPP和帧中继的使用,DHCP和NAT等;网络安全部分:网络安全介绍,访问控制列表的使用和安全远程办公的实现等。 本书特别适用于那些渴望取得CCNA认证的读者,取得认证的同时,真正具备CCNA的能力;同时也可以作为高校计算机网络技术的教材,弥补实验设备的不足,改善现有学历教育重理论轻实践的现状;更是那些想掌握网络技术,提高动手能力,并能应用于实践的网络爱好者,难得一见的实验指导用书。 作者介绍 崔北亮,现任职于南京工业大学信息中心,从事网络方面的教学和研究工作整10年,负责全校的服务器架设和网络管理工作。 2000年取得微软MCSE认证;2001年取得思科CCNA认证;2006年取得思科 R&S CCIE认证;2007年取得锐捷RCSI讲师认证;2008年通过思科Security CCIE 笔试。 受聘于江苏省电教馆,负责全省中小学网管课程的讲授,2003年至今开班39期;受聘于工大瑞普培训机构,负责CCNA、CCNP课程的讲授;受聘于锐捷公司,负责RCNA、RCSI课程的讲授;受聘于IBM兼职工程师,负责扬州京华城网络项目的设计和实施。受邀为江苏省电信、南京市移动等多家单位进行行业培训。 曾在《电脑报》和《电脑教育报》等报刊发表文章10多篇,如“远程自动备份”、“Winroute远程管理您的网络”、“网络的远程管理”、“自制软盘快速恢复机房系统”、“针对校园网中ARP攻击的切实可行的防御”等。 曾负责多个大型网络项目的组建:2002年南京水利水文自动化研究所网络组建;2003年常州市海鸥集团网络组建;2006年江苏省教育和科研计算机网络的测试和验
欢迎共阅 CCNA 考试640-802的简介 考试编号:640-802 考试时间:90分钟 考题数目:50-60题 及格分数:825 考试题型:模拟题;少数连线题;多项选择题及单项选择题。 新版的认证内容包括: WAN 的连接;网络安全实施;网络类型;网络介质;路由和交换原理;TCP/IP 和OSI 参考模型等旧版 一、通过新版CCNA 1.◆ ◆ ◆ 用OSI ◆ ◆ 描述◆ ◆ ◆ ◆ ◆ ◆ 2.◆ ◆ ◆ ◆ 解释基础交换的概念和思科交换机的作用 ◆ 完成并检验最初的交换配置任务包括远程访问控制 ◆ 用基本的程序(包括:ping ,traceroute ,telnet.SSH ,arp ,ipconfig )和SHOW&DEB UG 命令检验网络和交换机的工作状态 ◆ 识别、指定和解决常见交换网络的介质问题、配置问题、自动协商和交换硬件故障 ◆ 描述高级的交换技术(包括:VTP ,RSTP ,VLAN ,PVSTP ,802.1q ) ◆ 描述VLANs 如何创建逻辑隔离网络和它们之间需要路由的必要性 ◆ 配置、检验和检修VLANs ◆ 配置、检验和检修思科交换机的trunking
◆配置、检验和检修VLAN间路由 ◆配置、检验和检修VTP ◆配置、检验和检修RSTP功能 ◆通过解释各种情况下SHOW和DEBUG命令的输出来确定思科交换网络的工作状态 ◆实施基本的交换机安全策略(包括:端口安全、聚合访问、除VLAN1之外的其他VLAN 的管理等等) 3.在中等规模的公司分支办公室网络中实现满足网络需求的IP地址规划及IP服务 ◆描述使用私有IP和公有IP的作用和好处 ◆解释DHCP和DNS的作用和优点 ◆在路由器上配置、检验和排错DHCP和DNS操作(包括命令行方式和SDM方式) ◆ ◆在支持 ◆使用 要求 ◆ 方式) ◆描述 ◆ 4. ◆ ◆ 成) ◆ ◆RIPv2 ◆ ◆ ◆ ◆ ◆管理 ◆ ◆ ◆OSPF配置,检查和排错 ◆EIGRP配置,检查和排错 ◆检查网络连接性(包括使用ping,traceroute,telnet,SSH等命令) ◆路由故障排错 ◆使用show和debug命令检查路由器的硬件及软件运作状态 ◆实施静态路由器安全 5.解释并选择适当的可管理无线局域网(WLAN)任务 ◆描述跟无线有关的标准(包括IEEE,WIFI联盟,ITU/FCC) ◆识别和描述小型无限网络组成结构的用途(包括:SSID,BSS,ESS) ◆确定无线网络设备的基本配置以保证它连接到正确的介入点
网络的组成和分类 计算机网络:通过通信线路和通信设备将不同地理位置上的计算机系统互连起来的一个计算机系统的集合,通过运行特定的操作系统和通信协议来实现数据通信和资源共享。 组成部分: 1.通信线路双绞线、同轴电缆、光纤、电磁波...... 2.通信设备网卡、交换机、路由器、硬件防火墙 3.计算机系统:PC、服务器 4.操作系统: PC:Windows 7 / XP 服务器: Windows server 2008、Unix、Linux 交换机:CISCO – IOS,H3C-Comware。华为VRP(Versatile Routing Platform)通用路由平台。 路由器:同上 5.通信协议:(计算机网络的语言) OSI 协议 OSI七层参考模型 TCP/IP Internet 企业网教育网行业网 IPX/SPX 6.网络应用软件: IE IIS、SMTP POP3、FTP、QQ、 OA办公系统 网络的分类 局域网LAN 企业内部办公网络,目前主要采用的是以太网技术。 速率:10M/100M/1000M 10G 40G 100G 双工:半双工/全双工
广域网WAN 为不同城市间的局域网提供远程连接服务,由电信运营商组建和维护,为用户提供服务。 接入技术: 1.异步拔号Modem 33K----56K 2.ISDN(综合业务数字线)64K----128K 以上两种方式通过公用交换电话网PSTN实现,带宽较低, 现在已淘汰。 3. 帧中继64K----2048K 现在已淘汰 4. DDN(数字数据网)铜缆64k-----2048k 5. SDH 专线光纤2M---155M---622M 2.5G 10G 6. VPN(虚拟专用网络)通过Internet来实现两个远程站点间的安全连接。
思科认证体系介绍
思科认证体系 1、简介 思科公司(Cisco System INC) 于1993年设立了思科认证互联网工程师初级到高级,即从CCNA到CCNP到CCIE的一系列课程,旨在满足全世界对经过更多培训的计算机网络专业人员不断增加的需求。 思科公司是全球领先的互联网设备供应商。提供业界范围最广的网络硬件、互联网操作系统(IOS)、网络设计和实施等专业技术支持,还提供全球最权威的网络解决方案 思科公司针对其产品的网络规划和网络支持推出了工程师资格认证计划(Cisco Care 思科认证证书 er Certification Program,简称CCCP),并要求其在各国的代理拥有这样的工程师,以提高对用户的服务质量,建立Cisco产品网络工程师的资格认证体系。
获得思科认证,首先要参加由思科推荐并授权的培训中心(Cisco Training Partner,简称CTP)所开设的培训课程。完成学业后再到由全球考试机构Sylvan Prometric授权的考试中心参加由思科指定的科目的认证考试。经过指定的系列科目考试后,学员就能够获得相应分支系列等级的资格认证。 思科认证的考试内容包括笔试和实验。笔试包括选择题和填空题,在全球认证的考试中心进行,时间为两个小时。由于采用了计算机联网的标准化考试,因此考试一结束,学员马上就能够知道自己的成绩。实验考试只限于思科在全世界范围内指定的5个考点,分别位于美国、澳大利亚、比利时、日本以及北京的新世纪饭店。实验室考试分为2天,第一天要求学生利用实验室提供的设备建立网络。第二天由考官故意破坏学员的网络,学员则要想办法查出故障并加以解决。 2、认证体系与技术方向 思科认证体系有CCNA、CCDA、CCNP、CCDP、CCSP、CCIP、CCVP、CCIE(又分为针对路由和交换;语音;存储网络;安全;电信运营商)等多种不同级别、不同内容、不同方向的各种认证。比较常见的、社会需求量比较大的CCNA、CCNP、路由交换类CCIE 三种认证。 思科认证的技术方向:
CISCONAT配置 一、NAT简介NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 二、NAT 的应用环境:情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置:设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。
设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。 四、关于NAT的几个概念: 内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。 内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法: NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 静态地址转换基本配置步骤:(1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入:Ip nat inside source static 内部本地地址内部合法地址 (2)、指定连接网络的内部端口在端口设置状态下输入:
网络系统构建技术总复习 一、不定项选择题 1、在Windows 2003/2008 的TCP/IP 网络中,IP 地址有两种设定方法,它们分别是(B、D)。 A. 通过DHCP 和DNS 设定 B. 通过DHCP 及人工指定 C. 通过子网掩码和缺省网关给定 D. 通过网络自动生成 2、如果所在的局域网中存在DHCP 服务器,那么在Windows 平台下安装TCP/IP网络时,就可以(B )。 A. 去掉IP 地址的设置 B. 从DHCP 服务器中自动获得一个IP 地址 C. 设置一个有效的固定IP 地址 D. 任意设置一个IP 地址 3、如果用户所安装的TCP/IP 网络与其他网络或与Internet 相连,则必须(D )。 A. 设定DHCP B. 设置WINS C. 给定任意一个IP 地址 D. 指定缺省网关 4.在Windows 2003/2008 的TCP/IP 网络中,要求各个连网计算机的IP 地址在本域范围内( B )。 A. 使用同一个IP 地址 B. 惟一 C. 任意设定 D. 不惟一 5、在设置静态ip地址时,(A、C、D )参数有时是可以不设置的。(选择三项) A. 网关 B. 子网掩码 C. 首选域名服务器 D. 备用域名服务器 6、在邮件地址mackenzre@https://www.doczj.com/doc/c818278017.html,中,(B)表示域名。(选择一项) A. Mackenzre B. https://www.doczj.com/doc/c818278017.html, C. mackenzre@https://www.doczj.com/doc/c818278017.html, 7、一台服务器准备作为网络的文件服务器,管理员正在对该服务器的硬盘进行规划。如果用户希望读写速度最快,他应将硬盘规划为(C ),如果用户希望对系统分区进行容错,他应将硬盘规划为(D ),如果用户希望对数据进行容错,并保证较高的磁盘利用率,他应将硬盘规划为( E )。 A. 简单卷 B. 跨区卷 C. 带区卷 D. 镜像卷 E. RAID-5卷 8、使用域控制器来集中管理域账户,你安装域控制器必须具备以下条件(A、B )。(选择二项) A. 操作系统版本是Windows server 2003或者Windows Server 2008 B. 本地磁盘至少有一个NTFS分区 C. 本地磁盘必须全部是NTFS分区 D. 有相应的DNS服务器支持 9、一位系统管理员在安装Windows Server 2003/2008的过程中,在安装向导的网络设置页面中选择了“典型设置”,那么当服务器安装完成后将其连接到公司的网络,它的IP地址会( B )。(选择一项) A. 是192.168.0.1 B. 从DHCP服务器自动获得
动态、静态NAT 体会: 1.静态路由: (1)将各个接口的IP地址配置好(并在serial接口设置“clock rate 9600”,各个serial接口的clock rate 值必须一样)。 Router(config)#interface serial 2/0 Router(config-if)#ip address 192.168.2.1 255.255.255.0 Router(config-if)#clock rate 9600 Router(config-if)#no shutdown (2)配置静态路由。要连通几个与该路由器不直接相连的网段就必须设置几条路由。 Router(config)# ip route 192.168.1.0255.255.255.0192.168.3.1 目标网段目标网络子网掩码下一跳IP地址 (3)查看路由表: Router#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set C 192.168.1.0/24 is directly connected, FastEthernet1/0
思科职业认证体系简介 思科职业认证体系简介思科职业认证体系简介思科系统公司(cisco system,inc)自1984年正式成立以来,已经成为引领当今世界intranet和internet网络互联产品的巨头。从20世纪90年代开始,随着网络产品的应用范围出现了突飞猛进的扩展,随之而来的问题是如何找到足够的相关技术人员并加以认定,以适应日益增长的各类技术服务的需求。在1993年,思科公司正式推出了业界最受尊敬的网络认证项目ccie(cisco certified internetwork expert),到了1998年,思科公司推出了完整的包括初、中、高不同级别的认证体系,认证体系有两个分支:一支网络支持,包括ccna、ccnp、ccie;另一支是网络设计,包括ccda、ccdp。 国际认证英文名称:ccna 国际认证中文名称:思科网络支持工程师 课程名称:interconnecting cisco network devices(icnd)互联cisco设备 课程简介:介绍多协议互连网络中配置cisco 交换机和路由器所需的概念、命令和相关实验。 通过讲解、讨论、演示、练习和实验设计,学员能够为中小型
企业分析、设计、确定和实现最佳解决方案,能为最常用的可路由和路由协议建立使用局域网和广域网端口的多路由、多组网络。该课程提供技术支持人员所需的关于安装、配置、故障排除、管理以及使用简单路由局域网、路由广域网和交换局域网所需的技能。 具备能力: 培训能够设计、建立和维护支持全国及全球性机构网络的工程师,学完此课程后,学员将具备以下能力: 确定集线器、以太网交换机或路由器的最佳使用环境; 确定多种互连的cisco 设备的网络中的
实验三十三:静态路由-网络地址转换 一、实验介绍: 1、实验名称: 2、实验目的: 3、实验设备: 4、实验时间:30 实验步骤: 二、多网段的NAT 地址转换 1、路由器 R2600 >enable !进入全局模式 # configure terminal !进入特权模式 (config)# interface fastethernet 0 !进入路由器B 的以太网接口 (config-if)# ip address 192.168.19.18 255.255.255.0 !定义路由器以太网接口IP 地址 (config-if)# no shutdown !开启以太网接口 (config-if)# exit !退出以太网口,返回到特权模式 (config)# interface S 2 !进入广域网口WAN0配置模式 (config-if)# ip address 10.20.30.2 255.255.255.0 !定义DCE 的W AN0口IP 地址 (config-if)# no shutdown !开启DCE 的WAN0口 (config-if)# exit !退出W AN0口,返回到特权模式 (config)# ip route 0.0.0.0 0.0.0.0 192.168.19.100 (config)# ip route 172.16.0.0 255.255.0.0 10.20.30.1 PC1 IP:172.16.1.2/24 GW:172.16.1.1 PC2 IP:172.16.2.2/24 GW:172.16.2.1 PC3 IP:172.16.3.2/24 GW:172.16.3.1
CCNA学习参考文档CCNA learning reference document
CCNA学习参考文档 前言:个人简历是求职者给招聘单位发的一份简要介绍,包括个人的 基本信息、过往实习工作经验以及求职目标对应聘工作的简要理解, 在编写简历时,要强调工作目标和重点,语言精简,避免可能会使你 被淘汰的不相关信息。写出一份出色的个人简历不光是对找工作很有 用处,更是让陌生人对本人第一步了解和拉进关系的线。本文档根据 个人简历内容要求和特点展开说明,具有实践指导意义,便于学习和 使用,本文下载后内容可随意调整修改及打印。 我是中专学历,马上面临找工作。看看现在社会的竞争 这么激烈,连大学生的就业都已经很不容易了,何况我们,竞争更激烈呀。 我记得毕业时我的计算机老师建议我们学习一些有用的 实际技术,所以我打算学习并拿下it方面的认证。给同要学 习cisco的人一个建议:如果你想考ccna,但又担心过不了,学不会,可以先去培训。培训为我提供了良好的学习和实践的机会,也是我吸取传统教材以外的知识的开端虽然我一开始能做的只是很基本、很普通的工作,但我从中得到了难得的实践机会。培训所提供的是对于计算机网络知识的初步认知和知识点的推广。由于思科公司在网络界的领先地位,使得培训不只
是一个知识和技能的集中学习过程,同时也能为个人创造更多的发展机会。 选择教材对考试的成功非常的重要,如果你参加培训, 可能就不是什么问题,只要选推荐的cisco student guide就可以了。cisco的教材是最好的最权威的。考试的内容大纲以cisco为准。书一定要细看,不可有侥幸心理。概念要清晰,“万变不离其宗”!题再怪,也不会偏离原理。学习过程要注意方法,更重要的是需要毅力,如果有相关的工作经验,学起来可能轻松一点,否则的话,你需要付出更多的劳动。 cisco网页上提供的相关信息都要看,不可抱侥幸心理,总的看来,cisco的考试考题比较灵活,虽然有一部分是死的 东西,但比例不大,考的方式主要是要你从它列出的几十个命令中挑选出符合条件的命令。重要的还是要对各种路由协议彻底的了解,避免一知半解,否则在实际考试中会觉得无法选择,好象哪条都对。 总复习的时候,我将每一章后的命令总结背下来,作用 不小。因为每一章节都有不同的侧重,对命令的见解自然不同。况且,你也可以对每一章涉及到的重要命令一目了然。
Cisco认证就业七大走向及职业发展方向 参加认证考试是相当多的人寻求职业发展的必经之路。对于绝大多数人来说,没有证书,是"万万不能"的。在国外,每增加一个认证证书都会带来薪水的提高。国内的薪资水平虽然没有国外那么高,但是相比较国内其他行业,也十分可观。如果能够合理地规划好认证证书的学习与考试,就既能学到全面系统的知识,又容易找到适合自己发挥特长的工作环境。但市场上的证书多如牛毛,你该参加哪一个? 本文Cisco认证为有志于在网络管理与设计方面发展的人做了一个认证道路规划,cisco 认证网,加入收藏让你全面了解Cisco认证,对各位颇有借鉴意义。 认证篇 哪些人需要获得Cisco认证 A. 大学生面对激烈竞争,每个大学生都在为使自己在人才市场上脱颖而出而努力,多一张国际通行证无疑是为他们在就业及其他竞争中在同学中脱颖而出的法宝。 B. 欲转行网络业者重新择业欲进入网络业,CISCO认证是互联网界具有极大声望的网络技能认证,获得CISCO认证无疑是入行网络业的敲门砖。 C. 出国留学移民者在华人在欧美普遍不好找工作的情况下,Cisco认证是进入国外高薪行业IT业的法宝,而在国内学考Cisco认证,培训费、考试费都比国外便宜几倍,还避免了到国外参加培训计算机技术和语言的双重障碍 D. 网络专业技术人员在中国,Cisco认证被恰当地称为"获得高技术,高薪水的头等舱船票". Cisco认证之路怎么走? 第一步:拿下CCNA展开网络全面接触 CCNA——(Cisco Certified Network Associate)Cisco认证网络支持工程师 考试号:640-802 费用:250美金 认证难度:★★☆☆☆ 参加CCNA认证考试。考试内容只有一门课程,如果工作中有机会,可以多接触一下Cisco 路由器的具体操作。实在没有把握,可以参加一些实验室环境比较好的培训,多看一些英文资料,在相关论坛上多交流,都有利于准备好这个认证的考试。 近日Cisco公司发布了三项CCNA新专项方向认证:安全(Security)、语音(V oice)和无线(Wireless)。若想获得专项方向的认证,除了要通过标准CCNA考试外,考生还需要通过一门专项附加的考试。安全考试(640-553)和语音考试(640-460)目前已经在Pearson VUE考试中心生效,面对全世界所有考生开放,考试费用为250美元,和标准CCNA考试费用相同。而无线考试(640-721)会在7月26日开始实施。 第二步:获取CCNP 做个资深网络高手 CCNP-(Cisco Certified Network Perfessional)Cisco认证资深网络支持工程师 考试号642-901 BSCI费用:150美元 考试号642-812 BCMSN 费用:150美元 考试号642-825 ISCW费用:150美元 考试号642-845 ONT费用:150美元 认证难度:★★★☆☆ 下面需要考虑的是CCNP考试了。CCNP需要通过的考试科目有四门,需要你仔细地学习,认真地实验。我们不推荐背考题的学习方法,但可以在考试以前看一些题目以检测学习
盛年不重来,一日难再晨。及时宜自勉,岁月不待人。 思科认证体系 1、简介 思科公司(Cisco System INC) 于1993年设立了思科认证互联网工程师初级到高级,即从CCNA到CCNP到CCIE的一系列课程,旨在满足全世界对经过更多培训的计算机网络专业人员不断增加的需求。 思科公司是全球领先的互联网设备供应商。提供业界范围最广的网络硬件、互联网操作系统(IOS)、网络设计和实施等专业技术支持,还提供全球最权威的网络解决方案 思科公司针对其产品的网络规划和网络支持推出了工程师资格认证计划(Cisco Care 思科认证证书 er Certification Program,简称CCCP),并要求其在各国的代理拥有这样的工程师,以提高对用户的服务质量,建立Cisco产品网络工程师的资格认证体系。 获得思科认证,首先要参加由思科推荐并授权的培训中心(Cisco Training Partner,简称CTP)所开设的培训课程。完成学业后再到由全球考试机构Sylvan Prometric授权的考试中心参加由思科指定的科目的认证考试。通过指定的系列科目考试后,学员就可以获得相应分支系列等级的资格认证。 思科认证的考试内容包括笔试和实验。笔试包括选择题和填空题,在全球认证的考试中心进行,时间为两个小时。由于采用了计算机联网的标准化考试,因此考试一结束,学员马上就可以知道自己的成绩。实验考试只限于思科在全世界范围内指定的5个考点,分别位于美国、澳大利亚、
比利时、日本以及北京的新世纪饭店。实验室考试分为2天,第一天要求学生利用实验室提供的设备建立网络。第二天由考官故意破坏学员的网络,学员则要想办法查出故障并加以解决。 2、认证体系与技术方向 思科认证体系有CCNA、CCDA、CCNP、CCDP、CCSP、CCIP、CCVP、CCIE (又分为针对路由和交换;语音;存储网络;安全;电信运营商)等多种不同级别、不同内容、不同方向的各种认证。比较常用的、社会需求量比较大的CCNA、CCNP、路由交换类CCIE三种认证。 思科认证的技术方向: ①、路由和交换:适用于那些在采用了LAN和WAN路由器和交换机的环境中,安装和支持基于思科技术的网络的专业人士。 ②、网络设计:适用于那些在采用了LAN和WAN路由器和交换机的环境中,设计基于思科技术的网络的专业人士。 ③、网络安全:针对的是负责设计和实施思科安全网络的网络人士。 ④、存储网络:适用于那些利用多种传输方式在扩展的网络基础设施上部署存储解决方案的专业人士。 ⑤、语音:针对的是在IP网络上安装和维护语音解决方案的网络人士。 ⑥、服务提供商:针对的是在一个思科端到端环境中,使用基础设施或者接入解决方案的专业人士,https://www.doczj.com/doc/c818278017.html,提示他们主要分布在电信行业。 3、适用对象 凡具有DOS、Windows和一定英语水平的在职人员、各大专院校在校学生及要求获得网络关键设备技术知识的人员均可报名参加Cisco培训。通过国际认证考试可获得Cisco国际认证证书。 4、认证等级 一般性认证和专业认证思科提供了三个一般性认证等级,它们所代表的专业水平逐级上升:工程师、资深工程师和专家(CCIE)。
实验报告 项目12 静态NAT配置 1 任务概述 静态NAT是设置内部IP和外部IP一对一的转换,将某个私有IP地址固定的映射成为一个合法的公有IP。如下图配置计算机和路由器,设置RouterA的IP地址:s0/0: 60.1.1.1/24 ,f0/0: 10.65.1.1/16 ,将接口f0/0设置为内部接口,接口s0/0设置为外部接口,静态映射私有IP为公网IP,映射规则如下: 私有IP ——> 公网IP 10.65.1.2 60.1.1.33 10.65.1.3 60.1.1.34 10.65.1.4 60.1.1.35 2 方案设计 2.1需求分析 网络地址转换(NA T,Network Address Translation)被广泛应用于各种类型Internet 接入方式和各种类型的网络中。原因很简单,NAT 不仅完美地解决了lP 地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。NAT 的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。 2.2 方案设计示意图(可以用Office的Visio软件画图): 2.3设备清单 搭建如上图所示的网络环境,需要如下的设备及材料: (1)Cisco2621路由器(2台); (2)PC机2台; (3)双绞线(若干根); 2.4 规划路由器各接口IP地址、子网掩码如下表所示: 路由器名称接口IP地址子网掩码描述 Router A F0/0 10.65.1.1/16 255.255.0.0 连接内网 Router A F0/1 60.1.1.1/30 255.255.255.252 连接外网 Router B F0/0 60.1.1.2/16 255.255.0.0 连接外网 Router B F0/1 133.0.0.2/24 255.255.255.0 连接外网 2.5 规划各计算机的IP地址、子网掩码和网关如下表所示: 计算机IP地址子网掩码网关
教材图书 https://www.doczj.com/doc/c818278017.html,NA中文图书 思科网络技术学院教程(上、下册)人民邮电出版社 ISBN7-115-08773-3/TP.1816 ¥78 Cisco CCNA认证考试(640-507)考试指南人民邮电出版社 ISBN7-115-09105-6/TP.2068 ¥83 Cisco CCNA认证考试(640-607)考试指南英文版已出,中文版代定Cisco网络设备互联解决方案电子工业出版社 ISBN7-5053-6531-2/TP.3598 ¥36 https://www.doczj.com/doc/c818278017.html,NP中文图书 组建或扩展的Cisco网络人民邮电出版社 ISBN7-115-09156-0/TP.2111 ¥75 对应503(BSCN) 组建Cisco多层交换网络人民邮电出版社 ISBN7-115-08884-5/TP.1901 ¥39 对应504(BCMSN) 组建Cisco远程接入网络人民邮电出版社 ISBN7-115-08666-4/TP.1739 ¥63 对应505(BCRAN) CCNP Support认证考试指南电子工业出版社 ISBN7-5053-6959-8/TP.3972 ¥36 对应506(CIT) Cisco 互联网络故障查找与排除电子工业出版社 IsBN7-5053-5812-X/TP.3032 ¥42 对应506(CIT) (此书即电子工业出版社的网络工程丛书系列中的一本,红皮黄页A5幅面,推荐) 3._CCDA/CCDP中文图书 CCDA认证考试指南人民邮电出版社 ISBN7-115-09123-4/TN.1695 ¥58 对应441(DCN) Cisco互连网络设计人民邮电出版社ISBN7-115-08880-2/TP.1897 ¥62 对应025(CIT) 思科网络设计工程师标准教材(DCN)希望电子出版社¥65 对应441(DCN) 注:以上图书均为中文版,并标有Cisco Systems的Cisco Press标示。 若在当地书店找不到上述图书的朋友,推荐到dangdang看一下,有折扣的哦。 三、学习材料