網絡地址轉換（NAT）配置

2019-11-04 20:33:02

字體：大中小

來源：轉載

供稿：網友

　　遠程接入方式主要有上面講到的三類，不過在遠程接入治理方面卻有很多技術，我們從中選擇兩個最常用的也是最輕易上手的——NAT與VPN。相信聽說過這兩個名詞的朋友一定很多，究竟如何配置呢？我們先來說說網絡地址轉換NAT的配置。
　　
　　所謂網絡地址轉換不外乎兩種，一種是將內網地址轉換為外網地址，一種是多個計算機轉換成一個ip地址，節省資源。而NAT還有另一個非常重要的功能就是充當防火墻，可以有效的保護內網計算機被外界攻擊。NAT的配置非常簡單：
　　
　　配置實例：
　　
　　內網用戶IP地址為10.83.91.0/255.255.255.0，網口一連接外網，IP地址為公網地址；網口二連接內網，IP地址為私網地址。
　　
　　配置命令：
　　
　　在路由器上配置NAT功能，讓內網中的用戶使用NAT訪問外網。首先在路由器上配置外網接口IP為61.51.3.103(公網IP地址），內網接口IP地址為10.83.91.254。
　　
　　1、ip nat pool xxzx 61.51.3.103 61.51.3.103 netmask 255.255.255.252
　　
　　定義一個外網地址池名為xxzx，頭一個IP為地址池起始地址，后一個IP為地址池的終止地址。假如公網IP地址不夠用的話，可以都用同一個IP地址。NETMASK后是子網掩碼。
　　
　　2、access-list 1 permit 10.83.91.0 0.0.1.255
　　
　　定義容許NAT的網段，同樣采用反向掩碼進行描述，0.0.1.255代表的子網掩碼255.255.255.0。
　　
　　3、ip nat inside source list 1 pool xxzx overload
　　
　　啟用NAT，容許NAT的地址為ACL 1中定義的，而轉換后使用的IP地址為XXZX地址池中定義的，最后的overload表示所有內網計算機都使用同一個外網IP地址，多臺機器復用一個IP。
　　
　　4、進入內網接口輸入ip nat inside命令
　　
　　5、進入外網接口輸入ip nat outside命令
　　
　　經過上面五步命令就完成了全部的NAT配置工作。假如公網地址比較多的話我們還可以不使用overload命令多個復用一個IP地址，在定義地址池時設置好可用的IP地址段，在宣告NAT時取消最后的overload參數即可。
　　
　　小提示：假如希望宣告專門的WWW服務器或MAIL服務器給外網的話，對于這些服務器來說不能使用NAT進行映射，因為NAT后假如沒有采用其他諸如端口映射的方法外網用戶是不能正常訪問WWW和MAIL服務器的。這時可以在路由器上對主機進行宣告。例如上面的公司假如其WWW服務器的IP地址內網是10.83.91.2，公網發布地址為61.51.3.104的話，可以使用如下命令宣告：ip nat inside source static 61.51.3.104 10.83.91.2
　　
　　總結：有了網絡地址轉換NAT功能，一方面節省了我們購買防火墻的費用，另一方面我們只要向電信申請少量甚至一兩個公網IP地址就可以實現整個公司上百臺計算機對外網的正常訪問了。

上一篇：2948G-L3配置樣例－全設備配置(1)

下一篇：2948G-L3配置樣例－全設備配置(3)