|
標簽:
NAT概述
網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)通過將內(nèi)部網(wǎng)絡(luò)的私有IP地址翻譯成全球唯一的公網(wǎng)IP地址,使內(nèi)部網(wǎng)絡(luò)可以連接到互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)上�����,廣泛應(yīng)用于各類型的互聯(lián)網(wǎng)接入方式和各種類型的網(wǎng)絡(luò)中��。
NAT的實現(xiàn)方式有一下三種
1�,靜態(tài)地址轉(zhuǎn)換:將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有的合法的IP地址,IP地址的對應(yīng)關(guān)系是一對一的���,而且是不變的�,即某個私有的IP地址只能轉(zhuǎn)換為某個固定的公有IP地址���。
2�,動態(tài)地址轉(zhuǎn)換:將內(nèi)部網(wǎng)絡(luò)的私有地址轉(zhuǎn)換為公有地址時,IP地址的對應(yīng)關(guān)系式不確定的�,而是隨機的,所有被授權(quán)訪問互聯(lián)網(wǎng)的私有地址可隨機轉(zhuǎn)換為任何指定的合法外部IP地址(注意:動態(tài)地址轉(zhuǎn)換需要配置私有IP地址池和公有IP地址池��,并且私有IP地址的數(shù)量不可以大于公有IP地址的數(shù)量)���。
3,端口多路復(fù)用:改變外出數(shù)據(jù)包的源IP地址和源端口并進行端口轉(zhuǎn)換�����,即端口地址轉(zhuǎn)換采用端口多路復(fù)用方式��。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法的外部IP地址實現(xiàn)互聯(lián)網(wǎng)的訪問���,從而可以最大限度地節(jié)約IP地址資源����。
配置三種NAT的語法如下
1����、配置靜態(tài)NAT
在內(nèi)部地址和路由器的外部接口地址之間建立靜態(tài)地址轉(zhuǎn)換的語法如下:
Router(config)#ip nat inside source static local-ip global-ip [extendable]
各參數(shù)解釋如下
inside source:表示從inside口進入的流量將源地址(source)進行靜態(tài)轉(zhuǎn)換。
local-ip:內(nèi)部IP地址
global-ip:外部IP地址
extendable:(可選)表示允許同一個內(nèi)部地址映射到多個外部地址����。
列如:配置將內(nèi)部服務(wù)器192.168.1.100映射到路由器的公有IP地址202.106.123.1上��。
Router(config)#ip nat inside source static 192.1681.100 202.106.123.1
2�����、配置NAT端口映射
將內(nèi)部地址的TCP或UDP端口映射到外部地址的語法如下:
Router(config)#ip nat inside source static protocol local-ip UDP/TCP-port global-ip UDP/TCP-port [extendable]
各參數(shù)解釋如下
inside source:表示從inside口進入的流量將源地址(source)進行靜態(tài)轉(zhuǎn)換��。
local-ip UDP/TCP-port:內(nèi)部IP地址和端口號���。
global-ip UDP/TCP-port:外部IP地址和端口號。
extendable:(可選)表示允許同一個內(nèi)部地址映射到多個外部地址�����。
列如:將內(nèi)部web服務(wù)器192.168.2.200的8080端口隱射到外部202.106.123.2的80端口上��。
Router(config)#ip nat inside source static tcp 192.1681.100 8080 202.106.123.1 80
3��、配置動態(tài)NAT
在配置動態(tài)的NAT時����,需要創(chuàng)建允許訪問外網(wǎng)的內(nèi)部地址池和需要映射的外部地址池,注意:內(nèi)部IP地址數(shù)不可以大于外部IP地址數(shù)�。
創(chuàng)建內(nèi)部允許訪問外網(wǎng)的地址池����,這里我們可以結(jié)合上一章我所學的ACL����。
列如:使用ACL定義一個允許訪問外網(wǎng)的網(wǎng)段。
Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255
定義外部地址池的語法如下:
Router(config)#ip nat pool pool-name start-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]
各參數(shù)解釋如下:
pool-name:放置外部地址的地址池名稱��。
start-ip/end-ip:地址池內(nèi)起始和終止IP地址�����。
netmask netmask:子網(wǎng)掩碼�����,以點分十進制數(shù)表示�����。
prefix-length prefix-length:子網(wǎng)掩碼�,以掩碼中1的數(shù)量表示(如:prefix-length 24等同于 netmask 255.255.255.0)���。
type rotary:(可選)地址池的地址為循環(huán)使用���。
列如:創(chuàng)建一個外部地址池��。
Router(config)#ip nat pool test 61.159.62.131 61.159.62.190 netmask 255.255.255.192
將創(chuàng)建好的內(nèi)部地址池和外部地址池進行地址轉(zhuǎn)換語法如下:
Router(config)#ip nat inside source list access-list-number pool poo-name [overload]
overload:(可選)表示使用地址復(fù)用��。
列如:將上面創(chuàng)建好的內(nèi)部地址池和外部地址池進行地址轉(zhuǎn)換��。
Router(config)#ip nat inside source list 1 pool test
配置端口多路復(fù)用(PAT)
端口多路復(fù)用可以針對外部地址進行轉(zhuǎn)換���,也可以直接使用路由器的外部接口IP地址進行轉(zhuǎn)換。
配置端口多路復(fù)用也需要創(chuàng)建內(nèi)部地址池和外部地址池����,方法和動態(tài)NAT一樣。
列如:配置端口多路復(fù)用�����,允許192.168.100.0/24網(wǎng)段的內(nèi)部IP通過202.106.123.1這個外部地址上網(wǎng)��。
1�����、創(chuàng)建內(nèi)部地址池
Router(config)#access-list 2 permit 192.168.100.0 0.0.0.255
2�����、創(chuàng)建外部地址池
Router(config)#ip nat pool test1 202.106.123.1 202.106.123.1 netmask 255.255.255.192
3、設(shè)置復(fù)用動態(tài)地址轉(zhuǎn)換
Router(config)#ip nat inside source list 2 pool test1 overload
也可以不創(chuàng)建外部地址池����,而直接使用路由器的外部接口。
Router(config)#ip nat inside source list 2 int f0/0 overload
不管配置的是那種類型的NAT���,最后都不要在路由器接口上啟用NAT��,否則配置無效���。
在路由器的接口上啟用NAT�。
Router(config)#int f0/0
Router(config-if)#ip nat outside
Router(config)#int f1/0
Router(config-if)#ip nat inside
設(shè)置NAT功能的路由器需要有一個內(nèi)部端口(inside)和一個外部端口(outside)。內(nèi)部端口連接的網(wǎng)絡(luò)使用的是內(nèi)部IP地址�����,外部端口連接的是外部的網(wǎng)絡(luò)��,如互聯(lián)網(wǎng)�����。
|
