这项特性在绝大多数具有NAT功能的路由器上都可以配置，在cisco IOS上可以很简单地完成端口映射的配置，以我遇到的情况为例：

一个公司使用一台2621xm路由器作为网关通过ADSL上网，并在网关上启用PAT，但内网有一个监控摄像头需要被外网访问，并且需要通过特定的端口实现。所以这里有必要为监控摄像头所监听的端口进行静态的端口映射。先给出重点配置：

interface FastEthernet0/0
description LAN
ip address 192.168.1.1 255.255.255.0
ip access-group upload_flow in
ip nat inside

interface FastEthernet0/1
description WAN
no ip address
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable

interface Dialer0
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
no snmp trap link-status
ppp pap sent-username xxxxx  password 0 xxxxxx

ip route 0.0.0.0 0.0.0.0 Dialer0

ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.234 23 interface Dialer0 3011

上面的配置可以看出，f0/0被定义为nat inside，连接内部网络。dialer 0接口被定义为nat outside

其中：ip nat inside source list 1 interface Dialer0 overload  这句的意思是匹配ACL 1将内部网络地址转换为Dialer 0接口的地址，并且是进行PAT。

ip nat inside source static tcp 192.168.1.19 800 interface Dialer0 800

这句才是端口映射中的重点，其意思是，对于来自内网原地址是192.168.1.19 端口号为800的IP包，静态地将其源地址和端口号转换为Dialer0的地址 和800源端口。而更重要的是，这句话还有另一种含义！对于来自dialer0，目的端口为800的数据包静态地转换为192.168.1.19 目的端口也为800。这种IP、传输层协议、端口的组合也被称为套接字（socket）。你也可以认为静态端口映射是将一个外网的端口静态映射为内网某个IP与端口的组合（套接字），当路由器从outside口收到目的端口为800的包时，就静态将其目的地址转换为192.168.1.19:800，而来自inside口的源地址为192.168.1.19:800的包，将其源地址静态的转换为dialer 0的地址，源端口也设置为所设置的端口800。

很简单但很实用的一个技术，这也是非常基础的网络技术，但有不少人还是不会配置，所以特意发上来给有需要的人看。

Firefox sync原名好像是 Weave Browser Sync，是官方推出的一个专门用于firefox数据同步的插件。通过它，用户可以方便地与服务器同步自己Firefox上的数据，如：书签、密码、浏览器设置、浏览历史记录、Tabs。而且这些数据是需要用户提供的加密密钥进行加密的，所有上传至服务器的数据都会经过这条密钥加密后存放，这可以最大程度上保证用户的隐私安全！

Firefox sync在这里安装：Get firefox sync！

安装完毕之后，在firefox的选项设置窗口中就会多出了一个Sync的选项卡，而且除此安装成功之后，sync会提示你进行账户和同步内容的设置，只需一步一步完成就可以了！firefox的忠实用户们赶快装上吧！

最后希望大墙可以对这个服务手下留情……

影片的摄影师名为 Scott Andrews，在所有的航天飞机任务中只有两个任务他没拍到过。为了替即将退休的航天飞机留下难得的记录，他特地向有关单位取得许可，从各种平常到不了 的地方拍下画面，最多的时候同时架了九台 5DII 在拍呢！

然后是一个视觉欺骗的视频：圆球向上滚？

Google logo上多了一把锁，而且该服务还是处于测试阶段的。

快去体验一把吧：https://www.google.com/

至于Https逃过大墙法眼的原理也不用我讲太多了吧，简单地说我们在搜索框中输入的内容和服务器反馈过来的页面内容都不再以明文进行传输，所以大墙也就没办法知晓我们在传输什么内容，也就自然不会出现“连接被重置”，有兴趣可以抓包看一看。

不知道“相关部门”会采取什么行动呢？

有一个月没写了，最近被那些毕业设计忙得焦头烂额……以后更新会逐渐恢复

我身边有些朋友反映https被自动跳转至没加密的http，我在自己的Firefox没这个问题，但在chrome上还真的被跳转了，在网上找了下方法，步骤如下：

如果访问 https://www.google.com 自动跳转Google.com.hk的话，选择页面底部的Google.com in English，然后再在地址栏上将http修改为https后重新打开应该就可以看到上面截图中所看到的页面了

Chrome默认搜索引擎使用SSL：在地址栏右键选择“修改搜索引擎”，在弹出的对话框中选择“添加”，在添加对话框中的网址中输入（引号里面的内容）：”https://www.google.com/search?hl=zh-CN&q=% “   名称和关键字可以随便填，然后点击右侧的”设为默认搜索引擎“，就是这么简单，其他浏览器设置方法类似。

一如既往地，送给有需要的朋友。

请用你最常使用的邮箱联系我，来信最好能注明自己玩了多久高清，带宽状况，也欢迎跟我交流一下。

由于前几次有部分网友向我索取了，但没有及时注册，浪费了几个邀请。如果你不是热衷于高清影视或者还没有混PT站的心理准备，又或者你只是贪新鲜想随便看看，请将机会留给有需要的人。至于什么是PT站，我就不多说了，自己google一下吧。

5.6：CHDBits人数达到上限，邀请暂时无法发出，敬请期待下一次的邀请

首先是外观：前面板，一个Flash卡槽，两个USB口，1个Console口，1个AUX口，中部还有个外置冗余电源接口，07年的机器了，不过还看起来还很新。

内部图，图片偏下方那条巨型“跳线”是用来连连接主板和前面板接口板卡的

两条内存插槽，原配是128的DDR内存，旁边那条白色插槽是用来插PVDM模块用的，通过扩展PVDM模块上的DSP，路由器可以同时处理更多的音频流。而又手边的白色插座是用作安装AIM模块的（2811有两个），通过添加不同的AIM模块可以加强路由器在VPN、语音方面的性能。当然，额外的性能是需要付出高昂的代价的！

后面板，自带两个E口，1个NM扩充位、4个WIC卡口，图中已加上了一块WIC-1T

图片下方的三个黑色的物体是散热风扇，由于风叶小，所以转速比较高，工作时噪音非常大！

图片上方的是电源，台达代工的，好像有200W功率

64M的compact Flash卡，cisco原装的，价钱比市面上普通的CF卡贵多了！

看完后大家应该对路由器的内部有个大概了解吧？很多人说路由器只不过是台配置非常低的PC，但我不觉得两者有可比性。

等下次有空再放几张cisco IDS防火墙的图，相比路由器，它更像PC！

MPLS是怎样工作的？

MPLS在转发数据包时使用了FEC（Forwarding Equivalence Class，转发等价类）这一概念，转发等价类是一组或者一系列沿相同路径转发的，且都按照相同的规则进行交换的数据流，属于同一个FEC的所有报文都使用相同的标签，需要注意，并不是所有拥有相同标签的报文都属于同一个FEC。所有运行MPLS的路由器（LSR、LER）为每一个FEC分配标签，并且使用标签分发协议（如LDP ，Label Distribution Protocol）把标签跟FEC的捆绑关系发送给邻居。最终， 某个FEC会在该MPLS区域内形成一条LSP（Label Switched path）。

一个Packet可能起源于MPLS区域的外部，从MPLS区域的边缘路由器进入，也有可能是起源于内部，这里假设Packet起源于外部。当入口路由器收到一个Packet时，它将会根据FIB表和LFIB表决定下一跳、为这个Packet打上一个或者多个的标签（当然可能因为PHP或者其他原因也有可能不打标签，以后再探讨）。打上标签的Packet被发送到下一条路由器（下游）。当下游路由器收到该Packet，它会检查Packet中的顶层标签，然后根据LFIB（Label Forward Information Base）确定对标签实施哪种操作（可能是交换、弹出或者添加标签等）和决定Packet的下一跳。

在经过LSP中的所有LSR之后，数据包最终到达LSP的末端，这时根据PHP机制，一般来说到达MPLS网络边缘的Packet应该不带标签以IP报文的形式发给出口路由器，然后出口路由器对Packet进行常规的IP查找和交换。但根据MPLS应用的不同，Packet到达最后一跳路由器时还可能包含标签（如显式空），这时就不得不为数据包进行两次查找了（题外话）。

下面是一个例子：

1. R1通过IGP通告了前缀10.10.10.0/24，这里假设R1是去往该子网的唯一路径；

2. 一个目的地为10.10.10.1的IP Packet进入R4（LER）；

3. R4会查找FIB和LFIB（cisco IOS中只需对CEF进行查找即可），确定下一跳为R3，然后为Packet压入一个由R3为10.10.10.0这一FEC分配的标签L4；

4. R3从R4收到这一Packet查看二层报头，发现这是一个带标签的报文，于是查看LFIB表，将L4的标签交换为由R3分配的标签L3，进而发给R2；

5. 同样地，R2收到Packet并确认其为带标签报文，查找LFIB表，对标签进行操作，这里是典型的例子，R2作为LSP的倒数第二跳，R1为FEC分配了隐式空标签3并传给R2，但R2并不会把这个标签值为3的标签压入报文，而是采取弹出一层标签的行为。而在这个例子中只有一层报文，所以标签被弹出后，就露出了原来的IP报文，这个Packet最终被R2以IP报文的形式发给了R1，这样当R1接收到Packet之后只需进行IP查找就可以确定Packet的去向，这也就是MPLS中的PHP机制。

6. R1从R2收到IP Packet，查看IP头，并转发报文，Packet顺利穿越MPLS网络并到达目的地！

由此可以体现出的好处就是，MPLS区域内的路由器可以设计成由此至终都使用标签作为转发依据，因此区域内的LSR根本不用理会标签以后的内容是什么，这有利于运营商使用MPLS去运载不同的流量。而且标签交换在大多数环境下比IP查找要快，开销要少。

将于近期更新part3，有关MPLS标签的操作。如果对本文有任何疑问或建议，请留言指出，谢谢！

To be continue……

MPLS Label的结构及其作用：

MPLS label是一个固定长度4Byte，被入口路由器添加在L2和L3报头之间，主要用于识别数据包目的地的标识符。这个标识符被那些MPLS网络内部（非边缘）路由器所使用，这些内部路由器只需要根据数据包中这个处于L2.5（2.5层）的标识符就可以知道它的目的地，而不用进行任何的三层路由表查找，这也意味着可以带来一定性能上的提升！

在入口路由器处，一个或多个标签被压（pushed）进了包里面，我们通常称第一个标签为顶层标签或者传输（transport）标签，根据不同MPLS应用（如MPLS VPN），这个顶层标签后可能还有其他标签。

上图是一个完整的标签结构，一共32位，可见除了标签（Label）之外，还有一些其他的字段。这里简单介绍一下这四个字段：

• Label：“真正”的标签，20bits的标签值；
• EXP：Experimental bits 实验位，3bits，主要用于区分流量，也是在MPLS网络中实施QoS的依据；
• S Bit：Botton栈底位，1bit，用于标识当前标签是否为标签栈中的最后一个标签（栈底），值为“1”时表示当前标签为栈底，值为“0”时当前标签后面还有后续标签；
• TTL：Time to live生存时间，8bits，跟IP报头中的TTL一样，主要用于防环，MPLS label与label，label与IP之间的TTL行为有详细定义，具体可参考相关文档；

MPLS的一些术语：

• DownStream router：下游路由器，该路由器是某目的网络前缀的通告者，举个例，从下游路由器（A）收到网络前缀（N）的路由器的路由器（B）将以A作为该目的网络N的下一跳路由器，而这个前缀的接受者B向网络N发送数据时，数据流必须发送到A，因此我们称之为下游路由器，由此也可以看出，“下游”这一概念是相对于去往某特定网络前缀的数据流和路由器而言的。一路由器作为某网络前缀的下游路由器，但同时它也可能是另一网络前缀的上游路由器。
• UpStream router：上游路由器，正如上面所说的，上游路由器是某网络前缀的被通告者（接收者），通俗一点，“下游”和“上游”的意思就是某网络前缀的“通告方”和“被通告方”。

我们可以通过路由信息的方向和数据流的方向对上游和下游进行区分，路由信息是从下游路由器传给上游路由器的，而针对某特定前缀的数据流是从上游路由器流向下游路由器的。关于这两个概念很多都容易搞混了，所以我就花一些周章说明一下。

• Label Edge Router（LER）：边缘路由器，处于MPLS网络的边缘，一般地，他们根据IP报头作出转发决定；
• Label Switch Router（LSR）：标签交换路由器，处于MPLS网络的内部的路由器根据标签作出转发决策。

本文参考：What is MPLS，在结合自己的见解后在内容上稍作扩张和修改，如有错漏之处敬请提出

未完，待续。

刚看完“血战太平洋”。打开www.g.cn想查一下地图，意外发现自动跳转至：http://www.google.com.hk/！
虽然页面还是简体字，但页面中赫然写着：”欢迎您来到谷歌搜索在中国的新家“字样！

首页语言显示多出了：Google.com.hk 使用下列语言： 中文（繁體） English
尝试重新打开www.google.cn同样被跳转至：http://www.google.com.hk/
难道Google真的要退出中国了？谷歌将安家在HK？那么不过滤的搜索结果会被和谐吗？
目前为止还没看到官方声明，大家拭目以待！

学校接入层用的是锐捷的方案，基于802.1x的接入认证，必须先使用客户端进行认证，才可以接入网内。Windows下锐捷的客户端很方便，但Linux下呢？我没试过……直接就找来了兼容锐捷认证特性的工具——Mentohust

因为Linux下经常需要开模拟器做实验，锐捷的官方客户端可能会对此有所限制（出现断网、dynamips崩溃等问题）。于是找来Mentohust试试，虽然无GUI，但习惯了Linux的用户应该不会抱怨这一点，因为它就时这样……

使用方法很简单，第一次用，先用 mentohust –help 看看怎么使

里面列出了非常详细的说明，基本上一看就会！

例如我进行认证时使用的命令：sudo mentohust -u0731040000 -p00000 -neth0 -d2 -b1

命令就时这么简单，-u后面是用户名；-p后面是密码；-n后面时网卡的标识符，这里是有线网卡eth0；-d后面指定使用那种DHCP获取方式，2代表再认证之后获取，3时认证后，如果认证通过后还是连不了外网多半是在获取地址时出了问题，可以试试其他参数；最后一个-b1是使mentohust在后台运行，就不用额外打开一个窗口了，当然参数2也可以。

如果你嫌麻烦不想记这么多参数，大可以直接sudo mentohust，然后根据提示一步一步输入用户名密码等信息。

就这样，没什么技术性可言的，又作了一篇软文～