路由、NAT的對(duì)比

NAT有三種類型：靜態(tài)NAT(Static NAT)、動(dòng)態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port－Level NAT）。

其中靜態(tài)NAT設(shè)置起來(lái)最為簡(jiǎn)單和最容易實(shí)現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而動(dòng)態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。

動(dòng)態(tài)地址NAT只是轉(zhuǎn)換IP地址，它為每一個(gè)內(nèi)部的IP地址分配一個(gè)臨時(shí)的外部IP地址，主要應(yīng)用于撥號(hào)，對(duì)于頻繁的遠(yuǎn)程聯(lián)接也可以采用動(dòng)態(tài)NAT。當(dāng)遠(yuǎn)程用戶聯(lián)接上之后，動(dòng)態(tài)地址NAT就會(huì)分配給他一個(gè)IP地址，用戶斷開(kāi)時(shí)，這個(gè)IP地址就會(huì)被釋放而留待以后使用。

網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面。NAPT與動(dòng)態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上，同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的TCP端口號(hào)。

在Internet中使用NAPT時(shí)，所有不同的信息流看起來(lái)好像來(lái)源于同一個(gè)IP地址。這個(gè)優(yōu)點(diǎn)在小型辦公室內(nèi)非常實(shí)用，通過(guò)從ISP處申請(qǐng)的一個(gè)IP地址，將多個(gè)連接通過(guò)NAPT接入Internet。實(shí)際上，許多SOHO遠(yuǎn)程訪問(wèn)設(shè)備支持基于PPP的動(dòng)態(tài)IP地址。這樣，ISP甚至不需要支持NAPT，就可以做到多個(gè)內(nèi)部IP地址共用一個(gè)外部IP地址上Internet，雖然這樣會(huì)導(dǎo)致信道的一定擁塞，但考慮到節(jié)省的ISP上網(wǎng)費(fèi)用和易管理的特點(diǎn)，用NAPT還是很值得的。

簡(jiǎn)單的說(shuō)，NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí)，就在網(wǎng)關(guān)（可以理解為出口，打個(gè)比方就像院子的門(mén)一樣）處，將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)（internet）上正常使用，NAT可以使多臺(tái)計(jì)算機(jī)共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問(wèn)題。通過(guò)這種方法，您可以只申請(qǐng)一個(gè)合法IP地址，就把整個(gè)局域網(wǎng)中的計(jì)算機(jī)接入Internet中。這時(shí)，NAT屏蔽了內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)計(jì)算機(jī)對(duì)于公共網(wǎng)絡(luò)來(lái)說(shuō)是不可見(jiàn)的，而內(nèi)部網(wǎng)計(jì)算機(jī)用戶通常不會(huì)意識(shí)到NAT的存在。這里提到的內(nèi)部地址，是指在內(nèi)部網(wǎng)絡(luò)中分配給節(jié)點(diǎn)的私有IP地址，這個(gè)地址只能在內(nèi)部網(wǎng)絡(luò)中使用，不能被路由（一種網(wǎng)絡(luò)技術(shù)，可以實(shí)現(xiàn)不同路徑轉(zhuǎn)發(fā)）。雖然內(nèi)部地址可以隨機(jī)挑選，但是通常使用的是下面的地址：10.0.0.0~10.255.255.255，172.16.0.0~172.31.255.255，192.168.0.0~192.168.255.255。NAT將這些無(wú)法在互聯(lián)網(wǎng)上使用的保留IP地址翻譯成可以在互聯(lián)網(wǎng)上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（網(wǎng)絡(luò)信息中心）或者ISP(網(wǎng)絡(luò)服務(wù)提供商)分配的地址，對(duì)外代表一個(gè)或多個(gè)內(nèi)部局部地址，是全球統(tǒng)一的可尋址的地址。

NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。比如Cisco路由器中已經(jīng)加入這一功能，網(wǎng)絡(luò)管理員只需在路由器的IOS中設(shè)置NAT功能，就可以實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的屏蔽。再比如防火墻將WEB Server的內(nèi)部地址192.168.1.1映射為外部地址202.96.23.11，外部訪問(wèn)202.96.23.11地址實(shí)際上就是訪問(wèn)訪問(wèn)192.168.1.1。另外資金有限的小型企業(yè)來(lái)說(shuō)，通過(guò)軟件也可以實(shí)現(xiàn)這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。

策略路由是網(wǎng)絡(luò)中使用比較普遍的技術(shù)。策略路由，顧名思義，即是根據(jù)一定的策略進(jìn)行報(bào)文轉(zhuǎn)發(fā)，因此策略路由是一種比目的路由更靈活的路由機(jī)制。在路由器轉(zhuǎn)發(fā)一個(gè)數(shù)據(jù)報(bào)文時(shí)，首先根據(jù)配置的規(guī)則對(duì)報(bào)文進(jìn)行過(guò)濾，匹配成功則按照一定的轉(zhuǎn)發(fā)策略進(jìn)行報(bào)文轉(zhuǎn)發(fā)。這種規(guī)則可以是基于標(biāo)準(zhǔn)和擴(kuò)展訪問(wèn)控制列表，也可以基于報(bào)文的長(zhǎng)度；而轉(zhuǎn)發(fā)策略則是控制報(bào)文按照指定的策略路由表進(jìn)行轉(zhuǎn)發(fā)，也可以修改報(bào)文的IP優(yōu)先字段。因此，策略路由是對(duì)傳統(tǒng)IP路由機(jī)制的有效增強(qiáng)。

策略路由一般基于route-map表、多策略路由表以及多轉(zhuǎn)發(fā)表實(shí)現(xiàn)的。

Route-map是由一組match子句和set子句構(gòu)成，當(dāng)需做策略路由的報(bào)文匹配route-map中的match子句定義的規(guī)則時(shí)，將按照set子句的配置決定該報(bào)文的路由方式，包括控制報(bào)文的發(fā)送下一跳、發(fā)送接口以及設(shè)置報(bào)文的IP優(yōu)先權(quán)字段。

路由器通常實(shí)現(xiàn)的策略路由對(duì)報(bào)文的發(fā)送下一跳、發(fā)送接口的控制是基于多策略路由表和多轉(zhuǎn)發(fā)表實(shí)現(xiàn)的，每一個(gè)策略路由表對(duì)應(yīng)一個(gè)轉(zhuǎn)發(fā)表。路由器可實(shí)現(xiàn)多轉(zhuǎn)發(fā)表機(jī)制，系統(tǒng)缺省時(shí)存在兩個(gè)轉(zhuǎn)發(fā)表：main和local，或稱為系統(tǒng)轉(zhuǎn)發(fā)表和本地轉(zhuǎn)發(fā)表。main轉(zhuǎn)發(fā)表存放系統(tǒng)路由表產(chǎn)生的路由，用以指導(dǎo)報(bào)文的轉(zhuǎn)發(fā)。local轉(zhuǎn)發(fā)表則存放所有本地路由。路由器操作系統(tǒng)提供給用戶創(chuàng)建策略路由表的接口，在策略路由表中配置靜態(tài)路由，并采用同路由管理一樣的機(jī)制將策略路由表中的選中路由刷新到對(duì)應(yīng)的轉(zhuǎn)發(fā)表中。

在route-map表中定義規(guī)則和報(bào)文所使用的轉(zhuǎn)發(fā)表表號(hào)，當(dāng)報(bào)文匹配規(guī)則（包括訪問(wèn)控制列表和報(bào)文長(zhǎng)度）時(shí)，就按照指定的轉(zhuǎn)發(fā)表進(jìn)行路由查找。如果查找成功，則正常轉(zhuǎn)發(fā)；如果查找失敗，則繼續(xù)在系統(tǒng)轉(zhuǎn)發(fā)表中查找，成功則繼續(xù)轉(zhuǎn)發(fā)，失敗則丟棄報(bào)文。

因此，路由器的策略路由通過(guò)route-map表、多策略路由表以及多轉(zhuǎn)發(fā)表實(shí)現(xiàn)了對(duì)報(bào)文路由方式的控制。

現(xiàn)在歸納一下二級(jí)路由的設(shè)置：

1 以上說(shuō)過(guò)，在一級(jí)路由下面找一臺(tái)能正常上網(wǎng)的電腦，然后把二級(jí)路由接在它們中間。再?gòu)倪@臺(tái)電腦登陸二級(jí)路由，注意，現(xiàn)在這部二級(jí)路由還是出廠狀態(tài)，在沒(méi)有進(jìn)行LAN口設(shè)置之前，登陸時(shí)的地址是初始的192.168.1.1

2 選擇自動(dòng)從網(wǎng)絡(luò)服務(wù)商獲取IP地址（動(dòng)態(tài)IP），這一項(xiàng)其實(shí)也就是WAN口的設(shè)置。

3 LAN設(shè)置：設(shè)置LAN的IP為192.168.10.1 子網(wǎng)掩碼255.255.255.0（如果系統(tǒng)自設(shè)默認(rèn)就行），

網(wǎng)關(guān)192.168.10.1或192.168.10.10

4 MAC地址：使用本機(jī)（這臺(tái)電腦）的MAC地址。

最后說(shuō)一點(diǎn)常識(shí)：登錄路由器在瀏覽器輸入192.168.1.1 用戶名:admin 密碼:admin

在這種網(wǎng)絡(luò)布局中雙絞線的通用接線順序：橙白 橙 綠白 藍(lán) 藍(lán)白 綠 棕白 棕

現(xiàn)在，看完以原理為主的說(shuō)明解釋，你應(yīng)該能明白路由器的工作原理了，以后你就可以在二級(jí)路由下面再接個(gè)三級(jí)路由，原理是一樣的"。"