1 实验目的及要求

掌握SSR2000路由式交换机的最基本的路由配置方法，掌握利用SSR2000进行网络地址转换的方法。

2 实验计划学时

本实验2学时完成。

3 实验器材

SSR2000路由式交换机1台，串口电缆1根，PC机2台及直通线若干。

4 实验内容

4.1 认识SSR2000路由式交换机

SSR2000是Smart Switch Router系列中面向小规模主干网、工作组和桌面应用的产品，可提供32个10/100Base-TX/FX交换端口或16个10/100 Base-TX与4个1000 Base-LX/SX端口，它与SSR其他产品一样，支持10/100/1000M以太网交换和PPP、帧中继广域网连接，支持第2、3及4层IP和IPX路由，能交换第4层应用信息流，提供网络应用层数据传输控制、NAT、QoS（品质保证）、网络安全及网络传输的帐目处理等功能。

4.2 了解网络地址转换（NAT）

网络地址转换，是通过将专用网络地址（如企业内部网Intranet）转换为公用地址（如互联网Internet），从而对外隐藏了内部管理的 IP 地址。这样，通过在内部使用非注册的 IP 地址，并将它们转换为一小部分外部注册的 IP 地址，从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPv4）。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。 

NAT功能通常被集成到路由器、防火墙、单独的NAT设备中。NAT设备（或软件）维护一个状态表，用来把内部网络的私有IP地址映射到外部网络的合法IP地址上去。每个包在NAT设备（或软件）中都被翻译成正确的IP地址发往下一级。与普通路由器不同的是，NAT设备实际上对包头进行修改，将内部网络的源地址变为NAT设备自己的外部网络地址，而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。

NAT分为三种类型：静态NAT（static NAT）、NAT池（pooled NAT）和端口NAT（PAT）。

其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址，而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络，端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。

4.3 访问SSR2000

【操作1】

（1）将串口电缆一端连接到SSR2000，另一端连接至PC机的串口。

（2）执行“开始”|“程序”|“附件”|“通讯”|“超级终端”，在“连接描述”对话框输入新建连接的名称，如：SSR2000，单击“确定”按钮。

（3）选择COM1连接，单击“确定”按钮。

（4）对COM1进行端口设置。此处单击“还原为默认值”按钮即可。然后，单击“确定”按钮。

（5）交换机通电，开始自检。自检结束后，超级终端命令窗口出现激活控制电缆的提示符，图20-1。按回车键激活控制电缆。

4.4 SSR2000命令模式切换

CLI（命令行接口）提供了进入交换机的三种访问模式。每一种模式提供一组相关的命令。

4.4.1 User模式

当登录SSR以后，你就自动地进入了User模式。用户可用的命令是在Enable模式下可用命令的一部分。一般来说，用户命令允许你显示基本的信息和使用基本的功能，例如Ping。

User模式的命令提示符由SSR的名字跟一个“>”组成，如“SSR>”

4.4.2 Enable模式

Enable模式提供比User模式更多的功能。在Enable模式中你能显示出关键的特性，包括路由配置、访问控制列表和SNMP统计。从User模式进入Enable模式，键入命令enable，当出现提示时，输入密码。如果没有配置密码，会出现一个警告信息建议你配置密码。

注意：切忌不要给交换机设置密码

Enable模式的命令提示符由SSR的名字跟一个“#”组成，如“SSR#”。

【操作1】

（1）输入命令：enable，进入Enable模式。

（2）输入命令：exit，返回到User模式。

4.4.3 Configure模式

Configure模式提供了能配置所有SSR特性和功能的能力。包括路由配置、访问控制列表和生成树。

【操作2】

（1）在Enable模式下，输入命令：config，进入Configure模式。

（2）输入命令：exit，返回到Enable模式

（3）再次输入命令：exit，返回到User模式。

4.5 SSR2000的端口表示

端口指的是在SSR2000中安装在线性卡上的一个物理连接。图20-2是在槽卡上10BASE-T/100BASE-TX的8个端口。

在命令行中，每个SSR2000端口表示为如下的方式：

<type>.<slot-number>.<port-number>

说明：

<type>指线性槽卡的种类:

at  ATM line card

et  10 Base-X/100 Base-X 以太网线性卡

gi  1000 Base-X Gigabit 以太网线性卡

hs  Dual HSSI WAN 线性卡

se  Serial WAN 线性卡

so  Packet-over-SONET 线性卡

<slot-number> 由SSR上安装的模块和线性卡所安装的物理插槽来决定。在SSR2000上，槽位的数字打印在每个槽位的边上。

<port-number> 是线性卡上分配给连接器的数字。数字范围和所分配的端口数随线性卡的不同而不同。

例如，et.2.8指位于第2槽位的以太网线性卡的第8个端口；gi.3.2指位于位于第3槽的千兆以太网线性卡的第2个端口。

这有一些简便的方法，通过指明端口的数字范围来指定一些列端口。例如：

et.(1-3).(1-8)指后面所示的所有端口：et.1.1到et.1.8，et.2.1到et.2.8，以及et.3.1到et.3.8

et.(1,3).(1-8)指后面所示的所有端口：et.1.1到et.1.8和et.3.1到et.3.8

et.(1-3).(1,8)指后面所示的所有端口：et.1.1到et.1.8，et.2.1到et.2.8和et.3.1到et.3.8

4.6 创建基于IP的VLAN

【操作3】

（1）进入Config模式

（2）输入命令：vlan create market ip，创建一个名字为market的基于IP协议的VLAN。

（3）输入命令：vlan add ports et.1.(1-3) to market，将插槽1的1-3号端口分配给该VLAN。

（4）输入命令：exit，进入Enable模式。

（5）输入命令：vlan show，显示VLAN信息。

4.7 给物理端口和VLAN创建IP接口

【操作4】

（1）输入命令：interface create ip int1 address-netmask 10.2.0.0/255.255.0.0 port et.1.4，给端口et.1.4配置IP地址为10.2.0.0/16，接口名字为int1。

（2）输入命令：interface create ip int2 address-mask 10.20.3.42/24 vlan market，给名字为market的VLAN分配IP地址，并创建IP接口，接口名字为int2。

4.8 静态路由配置及路由再分配

【经典实例模拟】

有图20-3网络拓扑结构图，其中图中的路由器R1就是SSR2000路由式交换机。试配置其静态路由表，并将配置后的路由表重新分配到RIP路由协议。

【操作5】创建R1的各个IP接口。

（1）进入Config模式。

（2）输入命令：interface create ip to-r2 address-netmask 120.190.1.1/16 port et.2.2

（3）输入命令：interface create ip to-r3 address-netmask 130.1.1.1/16 port et.2.3

（4）输入命令：interface create ip to-r41 address-netmask 140.1.1.1/24 port et.2.4

（5）输入命令：interface create ip to-r42 address-netmask 140.1.2.1/24 port et.2.5

（6）输入命令：interface create ip to-r6 address-netmask 160.1.1.1/16 port et.2.6

（7）输入命令：interface create ip to-r7 address-netmask 170.1.1.1/16 port et.2.7

【操作6】创建默认路由

输入命令：ip add route default gateway 170.1.1.7

【操作8】创建到135.3.0.0/24网络的静态路由

（1）输入命令：ip add route 135.3.1.0/24 gateway 130.1.1.3

（2）输入命令：ip add route 135.3.2.0/24 gateway 130.1.1.3

（3）输入命令：ip add route 135.3.3.0/24 gateway 130.1.1.3

【操作9】创建到其余网络的静态路由

（1）输入命令：ip add route 202.1.0.0/16 gateway 120.190.1.2

（2）输入命令：ip add route 160.1.5.0/24 gateway 120.190.1.2

（3）输入命令：ip add route 10.51.0.0/16 gateway 140.1.1.4

【操作10】RIP协议与接口配置

（1）输入命令：rip start

（2）输入命令：rip set default-metric 2

（3）输入命令：rip add interface to-r41

（4）输入命令：rip add interface to-r42

（5）输入命令：rip add interface to-r6

（6）输入命令：rip set interface to-r41 version 2 type multicast

（7）输入命令：rip set interface to-r42 version 2 type multicast

（8）输入命令：rip set interface to-r6 version 2 type multicast

【操作11】输出所有的静态路由到所有的RIP接口

输入命令：ip-router policy redistribute from-proto static to-proto rip network all

4.9 静态NAT配置

【经典实例模拟与测试】

在图20-4中，所用路由器为SSR2000，现需要配置NAT服务，使内网的IP地址10.1.1.2/24在进行外网访问时，被转换为192.50.20.2。

【操作12】创建接口

（1）进入Config模式

（2）输入命令：interface create ip 10-net address-netmask 10.1.1.1/24 port et.2.1

（3）输入命令：interface create ip 192-net address-netmask 192.50.20.1/24 port et.2.2

【操作13】定义接口角色

（1）输入命令：nat set interface 10-net inside

（2）输入命令：nat set interface 192-net outside

【操作14】定义NAT规则

（1）输入命令：nat create static protocol ip local-ip 10.1.1.2 global-ip 192.50.20.2

（2）输入命令：exit，返回到Enable模式。

（3）系统提示是否激活配置，输入yes即可。

【操作15】查看设置

在Enable模式下，输入命令：nat show translation all，将显示所有的转换项目，图20-5

【操作15】转换效果测试

（1）将PC1端口et.2.2上，设置其IP地址为192.50.20.3/24，默认网关为192.50.20.1。

（2）在PC1上执行“开始”|“控制面板”|“管理工具”|“服务”，找到Telnet服务，并将其开启，图20-3。

（3）PC1关闭防火墙。

 

（4）将PC2连接在et.2.1端口上，设置其IP地址为10.1.1.2/24，默认网关为10.1.1.1。

（5）在PC2上打开命令提示符窗口，输入命令：telnet 192.50.20.3

（6）在PC1上打开命令提示符窗口，输入命令：netstat -a –n，查看系统连接情况，图20-7。

观察图20-7，发现当前计算机（PC1）的23号端口，即Telnet服务端口被一个IP为192.50.20.2的TCP连接占用着。而实际连接在该端口的计算机为PC2，其IP地址为10.1.1.2。由于NAT服务器的转换，导致10.1.1.2在对外访问时，无法显示器真实IP地址。测试结果表明，静态NAT配置成功。

NAT与【实验4】中Proxy型的代理有什么异同？

 

（1）SSR2000的三种命令模式之间如何相互切换？

（2）在SSR2000上如何配置VLAN？

（3）静态路由表的配置方法。

（4）静态NAT配置方法。