路由器配置. 路由器和交换机的区别 工作层次不同 工作层次不同 数据转发所依据的对象不同 数据转发所依据的对象不同 传统的交换机只能分割冲突域，不能分 割 广播域；而路由器可以分割广播域。 传统的交换机只能分割冲突域，不能分 割 广播域；而路由器可以分割广播域。 路由器提供了防火墙的服务 路由器提供了防火墙的服务.

Presentation on theme: "路由器配置. 路由器和交换机的区别 工作层次不同 工作层次不同 数据转发所依据的对象不同 数据转发所依据的对象不同 传统的交换机只能分割冲突域，不能分 割 广播域；而路由器可以分割广播域。 传统的交换机只能分割冲突域，不能分 割 广播域；而路由器可以分割广播域。 路由器提供了防火墙的服务 路由器提供了防火墙的服务."— Presentation transcript:

1 路由器配置

2 路由器和交换机的区别 工作层次不同 工作层次不同 数据转发所依据的对象不同 数据转发所依据的对象不同 传统的交换机只能分割冲突域，不能分 割 广播域；而路由器可以分割广播域。 传统的交换机只能分割冲突域，不能分 割 广播域；而路由器可以分割广播域。 路由器提供了防火墙的服务 路由器提供了防火墙的服务 路由器的主要功能 数据包转发 数据包转发 路由选择 路由选择 协议转换、数据包的拆分与封装 协议转换、数据包的拆分与封装 防火墙功能 防火墙功能

3 路由器分类 按性能档次分 ：高、中、低档 按性能档次分 ：高、中、低档 按结构分：模块化结构与非模块化结构 按结构分：模块化结构与非模块化结构 按功能上划分：核心层（骨干级），分发层（企业级） 和访问层（接入级） 按功能上划分：核心层（骨干级），分发层（企业级） 和访问层（接入级） 按性能上划分：线速路由器和非线速路由器。所谓 " 线 速路由器 " 就是完全可以按传输介质带宽进行通畅传输， 基本上没有间断和延时。 按性能上划分：线速路由器和非线速路由器。所谓 " 线 速路由器 " 就是完全可以按传输介质带宽进行通畅传输， 基本上没有间断和延时。 路由器指标 管理方式 、所支持的路由协议、安全性保障 （防火墙、 NAT ）、丢包率 、背板容量、吞吐 量 、转发时延、路由表容量等。

4 典型的路由器产品 Cisco 公司的 Cisco 系列路由器 Cisco 公司的 Cisco 系列路由器 3Com 公司的 Office Connect NetBuilder 系 列 3Com 公司的 Office Connect NetBuilder 系 列 Nortel 公司的 Accelar 系列 Nortel 公司的 Accelar 系列 Intel 公司的 Express Router 系列 Intel 公司的 Express Router 系列 华为公司的 Quidway 系列 华为公司的 Quidway 系列

5 典型企业网结构

6 路由器提供了支持不同网络技术的物理接口，如支持各种局 域网技术的物理接口和支持各种广域网技术的接口。局域网 接口中，包括以太网接口、快速以太网接口、千兆以太网接 口、令牌环网接口、 ATM 接口等。在广域网接口中，有支 持广域网串行链路的串行口、支持 SDH 光纤连接的接口等， 上图为路由器 CISCO 2600 系列路由器的物理接口 路由器提供了支持不同网络技术的物理接口，如支持各种局 域网技术的物理接口和支持各种广域网技术的接口。局域网 接口中，包括以太网接口、快速以太网接口、千兆以太网接 口、令牌环网接口、 ATM 接口等。在广域网接口中，有支 持广域网串行链路的串行口、支持 SDH 光纤连接的接口等， 上图为路由器 CISCO 2600 系列路由器的物理接口

7 路由器的连接 配置端口连接 配置端口连接 一种是本地配置所采用的 "Console" 端口；另一 种是远程配置时采用的 "AUX" 端口 一种是本地配置所采用的 "Console" 端口；另一 种是远程配置时采用的 "AUX" 端口 （ 1 ） Console 端口的连接 （ 2 ） AUX 端口的连接方式 当需要通过远程访问的方式实现对路由器的 配置时，就需要采用 AUX 端口进行了。路由器 的 AUX 端口与 Modem 的连接方式如图。 当需要通过远程访问的方式实现对路由器的 配置时，就需要采用 AUX 端口进行了。路由器 的 AUX 端口与 Modem 的连接方式如图。

8 与局域网连接 与局域网连接 RJ-45 端口 （ RJ-45-to-RJ-45 ） RJ-45 端口 （ RJ-45-to-RJ-45 ） 10Base-T 标识为 "ETH" ， 100Base-TX 标识为 "10/100bTX" ， 10Base-T 标识为 "ETH" ， 100Base-TX 标识为 "10/100bTX" ， AUI 端口 （ AUI-to-RJ-45 ） AUI 端口 （ AUI-to-RJ-45 ） SC 端口 SC 端口

9 与广域网连接 与广域网连接 高速同步串口 高速同步串口 使用最普遍，这种端口主要是用于连接目前应用非常 广泛的 DDN 、帧中继（ Frame Relay ）、 X.25 、 PSTN （模拟电话线路）等网络连接模式。 使用最普遍，这种端口主要是用于连接目前应用非常 广泛的 DDN 、帧中继（ Frame Relay ）、 X.25 、 PSTN （模拟电话线路）等网络连接模式。 异步串口 异步串口 异步串口（ ASYNC ）主要是应用于 Modem 或 Modem 池的连接，用于实现远程计算机通过公用电话网拨入 网络。 异步串口（ ASYNC ）主要是应用于 Modem 或 Modem 池的连接，用于实现远程计算机通过公用电话网拨入 网络。 RJ-45 端口 RJ-45 端口 AUI 端口 AUI 端口

10 低端路由器 --- 家用、 SOHO 型 D-Link D-Link * 提供一个 10/100Mbps 自适应 WAN 端口，通过 DSL/cable modem 上联 internet * 提供一个 10/100Mbps 自适应 WAN 端口，通过 DSL/cable modem 上联 internet * 内置 4 个 10/100Mbps 自适应的 LAN 交换端口 * 内置 NAT 功能，允许多台 PC 和其他设备共享一个 internet 网络互连 *VPN 支持： PPTP/IPSec pass-through 。 * 内置防火墙，有效保护你的网络 * 基于 WEB 界面的配置和管理，易于安装调试 * 支持 MAC 存取控制 * 内置 4 个 10/100Mbps 自适应的 LAN 交换端口 * 内置 NAT 功能，允许多台 PC 和其他设备共享一个 internet 网络互连 *VPN 支持： PPTP/IPSec pass-through 。 * 内置防火墙，有效保护你的网络 * 基于 WEB 界面的配置和管理，易于安装调试 * 支持 MAC 存取控制

11 作用：搭建小型网络和共享 Internet 接入 作用：搭建小型网络和共享 Internet 接入 （ 1 ）作为交换机 （ 1 ）作为交换机 （ 2 ）作为宽带共享器 （ 2 ）作为宽带共享器 DI-604 的 WAN 端口与 ADSL MODEM 、 CABLE MODEM 或 PPPOE 的进线相连。它内 置了拔号功能，可以直接通过 DI-604 拔号。 DI-604 的 WAN 端口与 ADSL MODEM 、 CABLE MODEM 或 PPPOE 的进线相连。它内 置了拔号功能，可以直接通过 DI-604 拔号。 设置 设置 DI-604 的设置使用基于 WEB 的界面。设置 时将一台电脑通过局域网端口与 DI-604 互联。 DI-604 的出厂默认 IP 是 192.168..0.1 ，将设置 机器的 IP 设为与它在同一网段的地址如 192.168.0.X ，然后访问 http://192.168.0.1 ，这 时会弹出登录对话框。初始用户名为 admin ， 密码为空。 DI-604 的设置使用基于 WEB 的界面。设置 时将一台电脑通过局域网端口与 DI-604 互联。 DI-604 的出厂默认 IP 是 192.168..0.1 ，将设置 机器的 IP 设为与它在同一网段的地址如 192.168.0.X ，然后访问 http://192.168.0.1 ，这 时会弹出登录对话框。初始用户名为 admin ， 密码为空。 http://192.168.0.1

12

13 DI-604 对宽带共享功能提供了两种设置方式。 一种是向导方式（ Wizard ），另一种是手工方 式分别对局域网（ LAN ）和广域网（ WAN ）进 行设置。 DI-604 对宽带共享功能提供了两种设置方式。 一种是向导方式（ Wizard ），另一种是手工方 式分别对局域网（ LAN ）和广域网（ WAN ）进 行设置。

14 在广域网设置部分，我们可以设置广域网连接 的类型以及拔号用户名和密码， 在广域网设置部分，我们可以设置广域网连接 的类型以及拔号用户名和密码， DI-604 支持动态 IP （多数 CABLE MODERN 采 用），静态 IP ， PPPOE 等多种接入方式。 DI-604 支持动态 IP （多数 CABLE MODERN 采 用），静态 IP ， PPPOE 等多种接入方式。

15 在局域网设置部分，可以设置 DI-604 的局域网 IP ，以 及是否打开 DHCP 为局域网的机器自动分配 IP 等 在局域网设置部分，可以设置 DI-604 的局域网 IP ，以 及是否打开 DHCP 为局域网的机器自动分配 IP 等 这些选项设置完成以后点 "Apply" 键，页面会提示你 " 设 置要重启路由器才会生效，是否立刻重启 " ，同时页面 上会出来 "Restart" 按钮。点该按钮重启 DI-604 后设置 生效。 这些选项设置完成以后点 "Apply" 键，页面会提示你 " 设 置要重启路由器才会生效，是否立刻重启 " ，同时页面 上会出来 "Restart" 按钮。点该按钮重启 DI-604 后设置 生效。

16 需要通过 DI-604 上网的局域网机器只要把 IP 设 为与 DI-604 处于同一网段并将网关 IP 设为 DI- 604 的 IP 即可。如果 DI-604 启用了 DHCP ，则 客户机的设置更为简单，只要把客户机设为 “ 自 动获取 IP 地址 ” 接在 DI-604 的局域网端口上就可 以上网了。 需要通过 DI-604 上网的局域网机器只要把 IP 设 为与 DI-604 处于同一网段并将网关 IP 设为 DI- 604 的 IP 即可。如果 DI-604 启用了 DHCP ，则 客户机的设置更为简单，只要把客户机设为 “ 自 动获取 IP 地址 ” 接在 DI-604 的局域网端口上就可 以上网了。 作为防火墙 作为防火墙 DI-604 有较强的过滤功能，可以对向内或向外 的数据访问进行筛选。选择 “ advance ” 菜单下 的 “ filter ” 选项 DI-604 有较强的过滤功能，可以对向内或向外 的数据访问进行筛选。选择 “ advance ” 菜单下 的 “ filter ” 选项 DI-604 提供了 MAC 地址，入站 IP 地址，出站 IP 地址和域名这四种过滤方式。入站 IP 地址用来 限制外界对局域网的访问，而其余几个选项用 来限制局域网对外界的访问。 DI-604 提供了 MAC 地址，入站 IP 地址，出站 IP 地址和域名这四种过滤方式。入站 IP 地址用来 限制外界对局域网的访问，而其余几个选项用 来限制局域网对外界的访问。

17 端口映射功能 端口映射功能 支持端口映射，可以向外开放特定的端口并将之指向 局域网内特定的服务器。这一功能使它可以向互联网 提供各种网络服务并提供 VPN passthough 功能。在 “ advance-virtual server ” 菜单下设置。 支持端口映射，可以向外开放特定的端口并将之指向 局域网内特定的服务器。这一功能使它可以向互联网 提供各种网络服务并提供 VPN passthough 功能。在 “ advance-virtual server ” 菜单下设置。

18 设置静态路由表 设置静态路由表 在 “Advance-Routing” 选项下，可以设置目的地址，子 网掩码，网关和跳数（ Hop ）。对路由表的设置和更 换在选 'Apply' 按纽后立即生效更无需重启 DI-604 。 在 “Advance-Routing” 选项下，可以设置目的地址，子 网掩码，网关和跳数（ Hop ）。对路由表的设置和更 换在选 'Apply' 按纽后立即生效更无需重启 DI-604 。

19 Cisco 路由器配置 世界上占领先地位的网间网互联技术和 产品服务供应商。 世界上占领先地位的网间网互联技术和 产品服务供应商。 1984 年成立于加州 Menlo Park 。 1984 年成立于加州 Menlo Park 。 取名于 San Francisco 取名于 San Francisco 全球重要的网络厂商 全球重要的网络厂商 交换机份额： 35 ％ 交换机份额： 35 ％ 路由器份额： 60 ％ 路由器份额： 60 ％ Internet 骨干网路由器： 80 ％ Internet 骨干网路由器： 80 ％

20 全系列产品满足不同用户的要求 全系列产品满足不同用户的要求 Cisco1600 Cisco2500 Cisco2600 Cisco3600 Cisco4000 As5200/5300 As5800 Cisco7200 Cisco7500 Cisco12000 部门级： 1600 、 2500 部门级： 1600 、 2500 多媒体： 2600 、 3600 多媒体： 2600 、 3600 企业级： 4000 、 7200 企业级： 4000 、 7200 骨干级： 7500 骨干级： 7500 电信运营级： 12000 电信运营级： 12000 访问服务： 5200 、 5300 、 5800 访问服务： 5200 、 5300 、 5800

21 路由器配置的用户模式 路由器配置的用户模式 配置路由器有 2 种主要的方式：一种是手工配置，这种 方式是进入到路由器的 IOS 后，通过命令行的方式进行 路由器配置；另一种是运行路由器所带的配置软件中 的 "Setup.exe" 程序，这是一个 IOS 提供的交互式配置 软件，适用于对 IOS 命令不太熟悉的新用户。采用手工 方式对路由器进行配置可大大提高效率。 配置路由器有 2 种主要的方式：一种是手工配置，这种 方式是进入到路由器的 IOS 后，通过命令行的方式进行 路由器配置；另一种是运行路由器所带的配置软件中 的 "Setup.exe" 程序，这是一个 IOS 提供的交互式配置 软件，适用于对 IOS 命令不太熟悉的新用户。采用手工 方式对路由器进行配置可大大提高效率。 IOS 有多个级别的操作，在不同的级别上，使用的命令 不同，能够进行的配置工作也不同。区分不同的级别 时主要看路由器 IOS 的提示符号是什么，不同的操作级 别对应有不同的提示符号。 IOS 有多个级别的操作，在不同的级别上，使用的命令 不同，能够进行的配置工作也不同。区分不同的级别 时主要看路由器 IOS 的提示符号是什么，不同的操作级 别对应有不同的提示符号。

22 第 1 级：用户模式 第 1 级：用户模式 以终端进入路由器时系统会提示用户输入口令，输入口令 后便进入了用户模式级别。此时，系统提示符为 ">" 。用户 只能查看路由器的一些基本状态，不能进行设置。 以终端进入路由器时系统会提示用户输入口令，输入口令 后便进入了用户模式级别。此时，系统提示符为 ">" 。用户 只能查看路由器的一些基本状态，不能进行设置。 第 2 级：特权模式 第 2 级：特权模式 在用户模式下先输入 “ enable ” ，再输入相应的口令，进入特 权模式。特权模式的系统提示符是 “ # ” ，此时用户可以使用 show 和 debug 命令进行配置检查。还不能进行路由器配置 的修改。 在用户模式下先输入 “ enable ” ，再输入相应的口令，进入特 权模式。特权模式的系统提示符是 “ # ” ，此时用户可以使用 show 和 debug 命令进行配置检查。还不能进行路由器配置 的修改。 第 3 级 : 配置模式 第 3 级 : 配置模式 这种模式下，允许用户真正修改路由器的配置。进入的方法 是在特权模式中输入命令 "config terminal" ，相应提示符为 "(config)#" 。 这种模式下，允许用户真正修改路由器的配置。进入的方法 是在特权模式中输入命令 "config terminal" ，相应提示符为 "(config)#" 。 第 4 级 : 端口配置模式 第 4 级 : 端口配置模式 路由器中有各种端口，如 10/100Mbps 以太网端口和同步端 口等。要对这些端口进行配置，需要进入端口配置模式。 路由器中有各种端口，如 10/100Mbps 以太网端口和同步端 口等。要对这些端口进行配置，需要进入端口配置模式。

23 CISCO 路由器上的各模式提示符 模式的名称提示符 用户模式 Router> 特权模式 Router# 全局配置模式 Router(config)# 路由配置模式 Router(config-router)# 接口配置模式 Router(config-if)# 线路配置模式 Router(config-line)#

24 简单配置实例 定义路由器机器名 定义路由器机器名 如果要将路由器机器名定义为 cisco2611 ，进入路由器 的 IOS 后，使用以下命令 : 如果要将路由器机器名定义为 cisco2611 ，进入路由器 的 IOS 后，使用以下命令 : router> enable password://////////// router# config terminal router(config)# hostname isco2611 router> enable password://////////// router# config terminal router(config)# hostname isco2611 配置以太网端口信息 配置以太网端口信息 在配置模式中输入以下命令： 在配置模式中输入以下命令： router(config)# interface ethernet 0/0 router(config-if) # ip address 202.102.224.25 255.255.255.0 router(config)# interface ethernet 0/0 router(config-if) # ip address 202.102.224.25 255.255.255.0 第 1 条命令进入端口配置模式，第 2 条命令配置该端口的 IP 地址和子网掩码。 第 1 条命令进入端口配置模式，第 2 条命令配置该端口的 IP 地址和子网掩码。

25 需要指出的是，目前 Cisco 公司生产的路由器大多是基 于模块化的，每个模块上可以有多个端口。比如一个 具有 2 个以太网接口的网络模块，如果插在路由器槽位 0 上，则 2 个以太网端口就要用 “ ethernet 0/0 ” 和 “ ethernet 0/1 ” 来表示，在 “ / ” 符号的左边是模块的槽位 号，右边是端口编号。 需要指出的是，目前 Cisco 公司生产的路由器大多是基 于模块化的，每个模块上可以有多个端口。比如一个 具有 2 个以太网接口的网络模块，如果插在路由器槽位 0 上，则 2 个以太网端口就要用 “ ethernet 0/0 ” 和 “ ethernet 0/1 ” 来表示，在 “ / ” 符号的左边是模块的槽位 号，右边是端口编号。 配置同步端口 配置同步端口 router(config)# interface serial 0/0 router(config-if)# ip address 202.102.211.108 255.255.255.248 router(config)# interface serial 0/0 router(config-if)# ip address 202.102.211.108 255.255.255.248 DDN 专线一般接入路由器的同步口，用 "serial 0/0" 表示，其中 "0/0" 代表端口位置。使用上面第 1 条命令进 入端口配置模式，使用上面第 2 条命令配置该端口的 IP 地址和子网掩码。 DDN 专线一般接入路由器的同步口，用 "serial 0/0" 表示，其中 "0/0" 代表端口位置。使用上面第 1 条命令进 入端口配置模式，使用上面第 2 条命令配置该端口的 IP 地址和子网掩码。

26 添加静态路由表 添加静态路由表 在这种 Internet 接入方式中，采用的是静态路 由方式，因此需要将一条静态路由记录加入， 内容如下： 在这种 Internet 接入方式中，采用的是静态路 由方式，因此需要将一条静态路由记录加入， 内容如下： router(config)# ip router 0.0.0.0 0.0.0.0 202.102.211.107 这条命令表示，将内部网段上发给路由器 的包转发给 DDN 专线另一端的地址 202.102.211.107 。 router(config)# ip router 0.0.0.0 0.0.0.0 202.102.211.107 这条命令表示，将内部网段上发给路由器 的包转发给 DDN 专线另一端的地址 202.102.211.107 。

27 查看配置 查看配置 router# show running-config Building configuration... Current configuration: ! version 12.0 service config service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname cisco2611 ! enable secret 5 $1$MJrb$o3NCu6DPwG/TGFBT7xiLv/ ! ip subnet-zero ip domain-name pcworld.com.cn ip name-server 202.102.224.1 ! router# show running-config Building configuration... Current configuration: ! version 12.0 service config service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname cisco2611 ! enable secret 5 $1$MJrb$o3NCu6DPwG/TGFBT7xiLv/ ! ip subnet-zero ip domain-name pcworld.com.cn ip name-server 202.102.224.1 !

28 interface Ethernet0/0 ip address 202.102.224.25 255.255.255.0 ! interface serial0/0 ip address 202.102.211.108 255.255.255.248 ! 。。。 ! end interface Ethernet0/0 ip address 202.102.224.25 255.255.255.0 ! interface serial0/0 ip address 202.102.211.108 255.255.255.248 ! 。。。 ! end 上面列出的是路由器的当前配置，使用 show running- config 命令可以进行查看，若要查看存在 NVRAM 中的配置， 需要使用 show startup-config 命令。 上面列出的是路由器的当前配置，使用 show running- config 命令可以进行查看，若要查看存在 NVRAM 中的配置， 需要使用 show startup-config 命令。 保存配置 保存配置 当我们对路由器的配置进行修改之后，一定要将其存入 NVRAM 中才能在下一次启动时生效，为此，需要使用如下命 令： 当我们对路由器的配置进行修改之后，一定要将其存入 NVRAM 中才能在下一次启动时生效，为此，需要使用如下命 令： router# copy running-config startup-config router# copy running-config startup-config

29 NAT 设置 思科路由器上 NAT 通常有 3 种应用方式，分别 适用于不同的需求： 思科路由器上 NAT 通常有 3 种应用方式，分别 适用于不同的需求： 1. 静态地址转换：适用于企业内部服务器向 企业网外部提供服务（如 WEB ， FTP 等），需 要建立服务器内部地址到固定合法地址的静态 映射。 2. 动态地址转换：建立一种内外部地址的动 态转换机制，常适用于租用的地址数量较多的 情况；企业可以根据访问需求，建立多个地址 池，绑定到不同的部门。 3. 端口地址复用：适用于地址数很少，多个 用户需要同时访问互联网的情况。 1. 静态地址转换：适用于企业内部服务器向 企业网外部提供服务（如 WEB ， FTP 等），需 要建立服务器内部地址到固定合法地址的静态 映射。 2. 动态地址转换：建立一种内外部地址的动 态转换机制，常适用于租用的地址数量较多的 情况；企业可以根据访问需求，建立多个地址 池，绑定到不同的部门。 3. 端口地址复用：适用于地址数很少，多个 用户需要同时访问互联网的情况。

30 例： 企业从 ISP 获得 6 个有效 IP 地址 （ 202.103.100.128~202.103.100.135, 掩码为 255.255.255.248 ， 128 和 135 为网络地址和广播地址， 不可用），通过路由器接入互联网。内部网络根据职 能分成若干子网，并期望服务器子网对外提供 WEB 服 务，财务部门使用独立的地址池接入互联网，其它部 门共用剩余的地址池。地址具体分配如下表： 例： 企业从 ISP 获得 6 个有效 IP 地址 （ 202.103.100.128~202.103.100.135, 掩码为 255.255.255.248 ， 128 和 135 为网络地址和广播地址， 不可用），通过路由器接入互联网。内部网络根据职 能分成若干子网，并期望服务器子网对外提供 WEB 服 务，财务部门使用独立的地址池接入互联网，其它部 门共用剩余的地址池。地址具体分配如下表：

31 具体配置步骤如下： 具体配置步骤如下： 1. 选择 E0 作为内部接口， S0 作为外部接口 1. 选择 E0 作为内部接口， S0 作为外部接口 interface e0 ip address 192.168.10.1 255.255.255.0 ip nat inside/* 配置 e0 为内部接口 */ interface e0 ip address 192.168.10.1 255.255.255.0 ip nat inside/* 配置 e0 为内部接口 */ interface s0 ip address 202.103.100.129 255.255.255.248 ip nat outside/* 配置 s0 为外部接口 */ interface s0 ip address 202.103.100.129 255.255.255.248 ip nat outside/* 配置 s0 为外部接口 */ 2. 为各部门配置地址池（ finance －财务部门； other －其它 部门）： 2. 为各部门配置地址池（ finance －财务部门； other －其它 部门）： ip nat pool finance 202.103.100.131 202.103.100.131 netmask 255.255.255.248 ip nat pool other 202.103.100.132 202.103.100.134 netmask 255.255.255.248 ip nat pool finance 202.103.100.131 202.103.100.131 netmask 255.255.255.248 ip nat pool other 202.103.100.132 202.103.100.134 netmask 255.255.255.248

32 3. 用访问控制列表检查数据包的源地址并映射到不同的地址池 3. 用访问控制列表检查数据包的源地址并映射到不同的地址池 ip nat inside source list 1 pool finance overload/*overload －启用端口复用 */ ip nat inside source list 2 pool other/* 动态地址转换 */ ip nat inside source list 1 pool finance overload/*overload －启用端口复用 */ ip nat inside source list 2 pool other/* 动态地址转换 */ 4. 定义访问控制列表 4. 定义访问控制列表 access-list 1 permit 192.168.20.0 0.0.0.255 access-list 2 permit 192.168.30.0 0.0.0.255 access-list 1 permit 192.168.20.0 0.0.0.255 access-list 2 permit 192.168.30.0 0.0.0.255 5. 建立静态地址转换，并开放 WEB 端口 (TCP 80) 5. 建立静态地址转换，并开放 WEB 端口 (TCP 80) ip nat inside source static tcp 192.168.10.2 80 202.103.100.130 80 ip nat inside source static tcp 192.168.10.2 80 202.103.100.130 80 6. 设置缺省路由 6. 设置缺省路由 ip route 0.0.0.0 0.0.0.0 s0 ip route 0.0.0.0 0.0.0.0 s0 经过上述配置后，互联网上的主机可以通过 202.103.100.130:80 访问到企业内部 WEB 服务器 192.168.10.2 ；财务部门的接入请求将映射到 202.103.100.131 ；其它部门的接入请求被映射到 202.103.100.131~134 地址段。 经过上述配置后，互联网上的主机可以通过 202.103.100.130:80 访问到企业内部 WEB 服务器 192.168.10.2 ；财务部门的接入请求将映射到 202.103.100.131 ；其它部门的接入请求被映射到 202.103.100.131~134 地址段。