思科路由器 NAT 的介绍与配置
一、什么是NAT
NAT(Network Address Translation)顾名思义就是网络IP地址的转换。NAT的出现是为了解决IP日益短缺的问题,将多个内部地址映射为少数几个甚至一个公网地址。这样,就可以让我们内部网中的计算机通过伪IP访问INTERNET的资源。
设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。
内部端口连接的网络用户使用的是内部IP地址(非法IP);外部端口连接的是外部的网络,使用电信部门分配给我们的IP地址。一般来说,内部端口应使用ETHERNET 端口,外部端口使用SERIAL 端口。另外,想要使用NAT功能,路由器的IOS必须支持NAT功能。
二、NAT种类
NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。
1.静态地址转换
静态地址转换将内部本地地址与内部合法地址进行一对一地转换,且需要指定和哪个合法地址进行转换。如果内部网络有WWW服务器或FTP服务器等可以为外部用户提供服务,则这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
2.动态地址转换
动态地址转换也是将内部本地地址与内部合法地址一对一地转换,但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。
3.复用动态地址转换
复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况,这种转换极为有用。
三、NAPT
PAT(Port Address Translation)也称为NAPT,就是将多个内部地址映射为一个公网地址,但以不同的协议端口号与不同的内部地址相对应。这种方式常用于拨号上Internet网。
四、关于NAT的几个概念
NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。
Inside local,即内部局部地址——在内部网络上一个主机分配到的IP地址,是网管人员自己定义的私有地址
Inside global,即内部全局地址——一个合法的IP地址,向外部网络描述一个或多个本地合法IP地址。
Outside local,即外部局部地址——出现在内部网络的一个外部主机的IP地址。不一定是合法地址,它可以在内部网络中,从可路由的地址空间进行分配。
Outside global,即外部全局地址——主机的拥有者在外部网络上分配给主机的IP地址。该地址可以从全局可路由地址或网络空间进行分配
五、NAT的配置任务列表如下:
1. 配置地址池
ip nat pool nat-poolname 218.27.84.252 218.27.84.254 netmask 255.255.255.248
命令格式:ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码
2. 配置访问控制列表和地址池的关联
ip nat inside source list 1 pool nat-pool overload
ip classless
3. 配置访问控制列表和接口的关联(EASY IP特性)
ip nat inside source static 192.168.2.254 218.27.84.249
4. 配置内部服务器
Nat serverglobal global-addr [ global-port] inside inside-addr inside-port protocol
例子: 202.38.160.101-103为公网IP,
设置内部FTP服务器
#conf t
#int s0
# nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp //设置内部WWW服务器1
# nat server global 202.38.160.102 inside 10.110.10.2 www tcp //设置内部WWW服务器2
# nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp //设置内部SNMP服务器
# nat server global 202.38.160.103 inside 10.110.10.4 snmp udp
5. 配置地址转换的有效时间
nat timeout tcp 300
六、动态地址转换基本配置步骤:
(1)、在全局设置模式下,定义内部合法地址池
ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码 (其中地址池名称可以任意设定。)
(2)、在全局设置模式下,定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。
Access-list 标号 permit 源地址 通配符 (其中标号为1-99之间的整数。)
(3)、在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。
ip nat inside source list 访问列表标号 pool内部合法地址池名字
(4)、指定与内部网络相连的内部端口在端口设置状态下:
ip nat inside
(5)、指定与外部网络相连的外部端口
Ip nat outside
八、有关NAT 的配置命令
access-list normal 101 permit ip 202.0.0.2 0.0.0.0 any //允许特定主机访问外部网络
access-list normal 101 permit ip 202.0.0.3 0.0.0.0 any //允许内部服务器访问外部网络
access-list normal 101 deny ip any any //禁止所有包通过
access-list normal 102 permit tcp 202.0.1.2 0.0.0.0 192.0.0.1 0.0.0.0 //允许特定外部主机访问内部服务器
access-list normal 102 deny tcp any 192.0.0.1 0.0.0.0 //禁止其他外部用户访问内部服务器
interface Serial0
nat inside 102 interface //使列表与接口关联
nat server global 192.0.0.1 ftp inside 202.0.0.3 ftp tcp //配置内部ftp服务器
ip access-group 102 in
nat timeout tcp 300 //设定地址转换有效时间
nat pool 192.0.0.3 192.0.0.4 ddd //配置地址池
interface ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface ethernet1
ip address 171.100.1.1 255.255.255.0
ip nat outside
!
ip access-list 1 permit 10.0.0.0 0.255.255.25
!
ip nat pool internet 171.100.1.3 171.100.1.254 netmask 255.255.255.0
ip nat inside source list 1 pool internet