路由器NAT的應(yīng)用環(huán)境及其配置簡介

2019-11-05 00:18:39

字體：大中小

供稿：網(wǎng)友

隨著Internet的網(wǎng)絡(luò)迅速發(fā)展，ip地址短缺已成為一個十分突出的問題。為了解決這個問題，出現(xiàn)了多種解決方案。下面幾紹一種在目前網(wǎng)絡(luò)環(huán)境中比較有效的方法即地址轉(zhuǎn)換(NAT)功能。

一、NAT簡介

NAT(NetworkAddressTranslation)的功能，就是指在一個網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義的IP地址，而不需要經(jīng)過申請。在網(wǎng)絡(luò)內(nèi)部，各計算機間通過內(nèi)部的IP地址進行通訊。而當內(nèi)部的計算機要與外部internet網(wǎng)絡(luò)進行通訊時，具有NAT功能的設(shè)備（比如：路由器）負責將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址（即經(jīng)過申請的IP地址）進行通信。

二、NAT的應(yīng)用環(huán)境：

情況1：一個企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet隔離開，則外部用戶根本不知道通過NAT設(shè)置的內(nèi)部IP地址。

情況2：一個企業(yè)申請的合法InternetIP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多。可以通過NAT功能實現(xiàn)多個用戶同時公用一個合法IP與外部Internet進行通信。

三、設(shè)置NAT所需路由器的硬件配置和軟件配置：

設(shè)置NAT功能的路由器至少要有一個內(nèi)部端口（Inside），一個外部端口（Outside）。內(nèi)部端口連接的網(wǎng)絡(luò)用戶使用的是內(nèi)部IP地址。

內(nèi)部端口可以為任意一個路由器端口。外部端口連接的是外部的網(wǎng)絡(luò)，如Internet。外部端口可以為路由器上的任意端口。

設(shè)置NAT功能的路由器的IOS應(yīng)支持NAT功能(本文事例所用路由器為Ｃisco2501，其IOS為11.2版本以上支持NAT功能)。

四、關(guān)于NAT的幾個概念：

內(nèi)部本地地址（Insidelocaladdress）：分配給內(nèi)部網(wǎng)絡(luò)中的計算機的內(nèi)部IP地址。

內(nèi)部合法地址（Insideglobaladdress）：對外進入IP通信時，代表一個或多個內(nèi)部本地地址的合法IP地址。需要申請才可取得的IP地址。

五、NAT的設(shè)置方法：

NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、復(fù)用動態(tài)地址轉(zhuǎn)換。

1、靜態(tài)地址轉(zhuǎn)換適用的環(huán)境

靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進行一對一的轉(zhuǎn)換，且需要指定和哪個合法地址進行轉(zhuǎn)換。假如內(nèi)部網(wǎng)絡(luò)有E-mail服務(wù)器或FTP服務(wù)器等可以為外部用戶提供的服務(wù)，這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。

靜態(tài)地址轉(zhuǎn)換基本配置步驟：

（1）、在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。在全局設(shè)置狀態(tài)下輸入：

Ipnatinsidesourcestatic內(nèi)部本地地址內(nèi)部合法地址

（2）、指定連接網(wǎng)絡(luò)的內(nèi)部端口在端口設(shè)置狀態(tài)下輸入：

ipnatinside

（3）、指定連接外部網(wǎng)絡(luò)的外部端口在端口設(shè)置狀態(tài)下輸入：

ipnatoutside

注：可以根據(jù)實際需要定義多個內(nèi)部端口及多個外部端口。

實例1：

本實例實現(xiàn)靜態(tài)NAT地址轉(zhuǎn)換功能。將2501的以太口作為內(nèi)部端口，同步端口０作為外部端口。其中10.1.1.2，10.1.1.3，10.1.1.4的內(nèi)部本地地址采用靜態(tài)地址轉(zhuǎn)換。其內(nèi)部合法地址分別對應(yīng)為192.1.1.2，192.1.1.3，192.1.1.4。

路由器2501的配置：

Currentconfiguration：

version11.3

noservicepassWord-encryption

hostname2501

ipnatinsidesourcestatic10.1.1.2192.1.1.2

ipnatinsidesourcestatic10.1.1.3192.1.1.3

ipnatinsidesourcestatic10.1.1.4192.1.1.4

interfaceEthernet0

ipaddress10.1.1.1255.255.255.0

ipnatinside

interfaceSerial0

ipaddress192.1.1.1255.255.255.0

ipnatoutside

noipmroute-cache

bandwidth2000

nofair-queue

clockrate2000000

interfaceSerial1

noipaddress

shutdown

noipclassless

iPRoute0.0.0.00.0.0.0Serial0

linecon0

lineaux0

linevty04

passwordcisco

end

配置完成后可以用以下語句進行查看：

showipnatstatistcs

showipnattranslations

2、動態(tài)地址轉(zhuǎn)換適用的環(huán)境：

動態(tài)地址轉(zhuǎn)換也是將本地地址與內(nèi)部合法地址一對一的轉(zhuǎn)換，但是動態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動態(tài)地選擇一個末使用的地址對內(nèi)部本地地址進行轉(zhuǎn)換。

動態(tài)地址轉(zhuǎn)換基本配置步驟：

（1）、在全局設(shè)置模式下，定義內(nèi)部合法地址池

ipnatpool地址池名稱起始IP地址終止IP地址子網(wǎng)掩碼

其中地址池名稱可以任意設(shè)定。

（2）、在全局設(shè)置模式下，定義一個標準的 access-list規(guī)則以答應(yīng)哪些內(nèi)部地址可以進行動態(tài)地址轉(zhuǎn)換。

Access-list標號permit源地址通配符

其中標號為1-99之間的整數(shù)。

（3）、在全局設(shè)置模式下，將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進行地址轉(zhuǎn)換。

ipnatinsidesourcelist訪問列表標號pool內(nèi)部合法地址池名字

（4）、指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口在端口設(shè)置狀態(tài)下：

ipnatinside

（5）、指定與外部網(wǎng)絡(luò)相連的外部端口

Ipnatoutside