【问题1】（4分）

（1）NAT

（2）ACL

（3）静态NAT

（4）端口复用

【问题2】（7分）

（5）Deny

（6）permit ip any 202.102.100.0 0.0.0.255

（7）61.192.93.101 61.192.93.102

（8）202.102.100.101 202.102.100.102

（9）list 101 pool ISP-B overload

（10）192.168.1.100 80 61.192.93.100 80

（11）192.168.1.100 80 202.102.100.100 80

【问题3】（6分）

（12）IP NAT OUTSIDE

（13）IP NAT OUTSIDE

（14）IP NAT INSIDE

（15）IP ROUTE 61.192.93.0 255.255.255.0 S0

（16）IP?ROUTE 0.0.0.0 0.0.0.0 S1

（17）配置浮动默认路由

【问题4】（3分）

（18）区分服务

（19）尽力而为服务

（20）尽力而为服务

【问题1】（4分）

企业网络中使用私有地址，如果内网用户要访问互联网，一般使用NAT技术将私有网络地址转换为公网地址.在使用该技术时，往往是用ACL技术指定允许转换的内部主机地址范围。一般来说：企业内网服务器需要被外部用户访问，就必须对其做地址变换，内部服务器映射的公共地址不能随意更换，需要使用静态NAT技术。但是对于企业内部用户来讲，使用一一映射的技术为每个员工配置一个地址很不现实，一般使用端口复用NAT技术以提高管理效率。

【问题2】（7分）

一个公司会与两个Internet服务提供商连接.

这样做最大的作用是提高内网访问Internet的速度和外网访问内部服务器的速度。当今日新月异的网络发展，导致不同的ISP之间因为竞争关系互访缓慢。就延伸出了这样的网络。那么这就要解决公司如何科学的出外网的问题。

现在进入我们的正题——NAT的双线接入。首先来看一下拓扑图：

从图上可以看出：

公司的出口路由器NAT-Router将LAN和两个Internet服务提供商ISP-A和ISP-B连接。在LAN中有一台WEB服务器需要发布到Internet上，供外网访问。

NAT-Router上S0的接口地址是61.192.93.100/24，可用于NAT的地址是61.192.93.100-61.192.93.102，对端ISP-A的地址是61.192.93.200/24

NAT-Router上S1的接口地址是202.102.100.100/24，可用于NAT的地址是202.102.100.100--202.102.100.102，对端ISP-B的地址是202.102.100.200。

NAT-Router内网口的地址是192.168.1.1/24。

公司内部服务器需要分别转换成ISP-A地址和ISP-B地址，以便不同的ISP用户更快地访问服务器，并且内部访问Internet时，使用访问网站所在ISP的NAT地址进行地址转化。

第一步：配置接口地址，这里省略了。

第二步：配置PAT，实现内网访问外网

（1）定义访问控制列表，由于需要根据访问的IP地址的不同来选择进行转换的NAT地址，所以需要使用扩展访问控制列表，控制PAT转换使用的地址池：

Route-Switch(config)#access-list 100 permit ip any 61.192.93.0?0.0.0.255

／／定义到达ISP-A所有网段的ACL

Route-Switch(config)#access-Iist 101 deny?ip any 61.192.93.0 0.0.0.255

Route-Sw:itch(config)#access-Iist l01 permit ip any any

／／定义到达ISP-B所有网段的ACL

Access-list 100定义了到达ISP-A所有网段的ACL，此处以61.192.93.0代表ISP-A所有网段。access-list 101定义到达ISP-A所有网段以外的地址的ACL。也就是说只有目标是ISP-A的数据包才会去往ISP-A。

（2）定义合法的地址池，分别定义ISP-A、ISP-B两个合法的地址池：

Route-Switch(config)#ip nat pool ISP-A 61.192.93.100 61 192.93.102 netmask 255.255.255.0

／／定义访问ISP-A的合法地址池

Route-Switch(config)#ip nat pool ISP-B 202.102.100.100 202.102.100.102 netmask 255.255.255.0

／／定义访问ISP-B的合法地址池

（3）配置PAT转换：

Route-Switch(config)#ip nat inside source list 100 pool ISP-A overload

Route-Switch(confg)#ip nat inside source list 101 pool ISA-B overload

／／为内网用户实现区分目标运营商网络进行匹配的NAT转换，这样配置之后，满足access-list 100的数据包选择ISP-A的地址进行转换，满足access-list 101的数据包选择ISP-B的NAT地址池进行转换，转换后，数据包的源地址和目的地址便属于同一个ISP，这样的话大大加快了访问的速度。（注意：参数overload不要忘了配置）

第三步：配置静态NAT，实现外网访问内网服务器：

Route-Switch(config)#ip nat inside source static tcp 192.168.1.100 80 61.192.93.100 80 extendable

／／为内网WEB服务器配置ISP-A的静态NAT转换

Route-Switch(config)#ip nat inside source static tcp 192.168.1.100 80 202.102.100.100 80 extendable

／／为内网WEB服务器配置ISP-B的静态NAT转换

这里192.168.1.100是内网WEB服务器的地址，61.192.93.100是外接口s0上ISP-A的地址，202.102.100.100是外接口s1上ISP-B的地址。（注意：参数extendable不可忽略，因为此处是将同一个内部局部地址转换到多个内部全局地址，注意需要带上端口号。）

【问题3】（6分）

第四步：在内部和外部接口上启用NAT

Route-Switch(config)#int s0

Route-Switch(config)#ip nat outside／／指定NAT的外部转换接口

Route-Switch(config)#int s1

Route-Switch(config)#ip nat outside／／指定NAT的外部转换接口

Route-Switch(config)#int f0/1

Route-Switch(config)#ip nat inside／／指定NAT的内部转换接口

第五步：配置静态路由，实现对内网访问外网路由的控制

Route-Switch(config)#ip route?61.192.93.0 255.255.255.0 S0／／配置到达ISP-A的流量从s0口转发

Route-Switch(config)#ip route 0.0.0.0 0.0.0.0 S1／／配置默认路由指定从s1口转发

Route-Switch(config)#ip route 0.0.0.0 0.0.0.0 s0 120／／配置浮动默认路由

（注意：通过路由选择原则，将ISP-A的目的地址配置静态路由并且下一跳指向ISP的路由器，再配置一条默认路由并且下一跳指向ISP-B的路由器，最后再配置一条管理距离为120的默认路由，用以对外出路由备份，当第二条出现问题的时候，走下面S0出去）

现在公司内部的服务器被转换成了两个不同的ISP地址，不同的ISP用户可以更加快速便捷的访问服务器。公司内部访问Internet时，将会使用目的网站所在的ISP的NAT地址池进行地址转化。大大加快了员工访问外网的速度。

【问题4】（3分）

QoS（Quality of Service，服务质量）指一个网络能够利用各种基础技术，为指定的网络通信提供更好的服务能力,是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。在RFC 3644上有对QoS的说明。

通常QoS提供以下三种服务模型：

Best-Effort service（尽力而为服务模型）

Integrated service（综合服务模型，简称Int-Serv）

Differentiated service（区分服务模型，简称Diff-Serv）

Best-Effort服务模型是一个单一的服务模型，也是最简单的服务模型。对Best-Effort服务模型，网络尽最大的可能性来发送报文。但对延时、可靠性等性能不提供任何保证。

Best-Effort服务模型是网络的缺省服务模型，通过FIFO（first in first out先入先出）队列来实现。它适用于绝大多数网络应用，如FTP、E-Mail等。

2．Int-Serv服务模型Int-Serv是一个综合服务模型，它可以满足多种QoS需求。该模型使用资源预留协议（RSVP），RSVP运行在从源端到目的端的每个设备上，可以监视每个流，以防止其消耗资源过多。这种体系能够明确区分并保证每一个业务流的服务质量，为网络提供最细粒度化的服务质量区分。

但是，Inter-Serv模型对设备的要求很高，当网络中的数据流数量很大时，设备的存储和处理能力会遇到很大的压力。Inter-Serv模型可扩展性很差，难以在Internet核心网络实施。

3．Diff-Serv服务模型Diff-Serv是一个多服务模型，它可以满足不同的QoS需求。与Int-Serv不同，它不需要通知网络为每个业务预留资源。区分服务实现简单，扩展性较好。

QoS（服务质量）主要用来解决网络延迟和阻塞等问题，它主要有三种工作模式，分别为区分服务模型、Integrated service（或集成服务）模型及尽力而为模型，其中使用比较普遍的方式是尽力而为模型。