路由網(wǎng)絡地址轉換NAT配置實例
NAT包括有靜態(tài)NAT、動態(tài)地址NAT和端口多路復用地址轉換三種技術類型。靜態(tài) NAT是把內部網(wǎng)絡中的每個主機地址永久映射成外部網(wǎng)絡中的某個合法地址;動態(tài)地址NAT是采用把外部網(wǎng)絡中的一系列合法地址使用動態(tài)分配的方法映射到內部網(wǎng)絡;端口多路復用地址轉換是把內部地址映射到外部網(wǎng)絡的一個IP地址的不同端口上。根據(jù)不同的需要,選擇相應的NAT技術類型。
由1994年NAT技術問世以來,NAT技術很快在企業(yè)LAN領域得到廣泛應用。目前,NAT技術主要用于連接和安全方面。目前企業(yè)內部網(wǎng)絡用戶數(shù)量大,而能申請的合法的全球唯一IP地址有限。NAT能夠有效的解決企業(yè)IP地址短缺問題,利用NAT技術能夠實現(xiàn)多個用戶共同使用一個合法的IP地址連接互聯(lián)網(wǎng)。而另一種需要出于安全方面來考慮,在一定程度上防范網(wǎng)絡攻擊的發(fā)生。企業(yè)期望隱藏LAN內部網(wǎng)絡結構,NAT可以將內部LAN與外部 Internet隔離,使外部網(wǎng)絡用戶無法了解通過NAT設置的內部IP地址。
NAT技術在企業(yè)中都采取兩種技術類型結合應用,比較好的還是和端口復用地址轉換。結合起來的技術如:端口復用地址轉換、TCP/UDP端口NAT映射、靜態(tài)地址轉換+端口復用地址轉換、動態(tài)地址轉換+端口復用地址轉換。
假如ISP提供的合法IP地址數(shù)量較多,當然可以采用靜態(tài)地址轉換+端口復用動態(tài)地址轉換技術得以完美實現(xiàn)。然而,假如只獲得1個合法IP地址,雖然可以采用端口復用地址轉換技術,實現(xiàn)整個網(wǎng)絡的Internet接入。但是,由于服務器也采用動態(tài)端口,Internet中的計算機將無法訪問到網(wǎng)絡內部的服務器。有沒有好的解決問題的方案呢?當然,這就是TCP/UDP端口NAT映射。既然只有一個可用的合法IP地址,當然采用端口復用方式來實現(xiàn)NAT.不過,由于同時有要求網(wǎng)絡內部的服務器要被Internet訪問到,因此必須采用PAT創(chuàng)建TCP/UDP端口的NAT映射。
我們知道,不同應用程序使用TCP/UDP端口是不同的,例如,WEB服務器使用80、 FTP服務使用21、SMTP服務使用25、POP3服務使用110等。由于每種應用服務器都有自己默認的端口,所以這種NAT方式下,網(wǎng)絡內部每種應用服務器成為Internet中的主機,例如,只能有一臺WEB服務器、一臺E-mail服務、一臺FTP服務器。盡管可以采用改變默認端口的方式創(chuàng)建多臺應用服務器,但這種服務器在訪問時比較困難,要求用戶必須先了解某種服務采用的新TCP端口。因此,可以將不同的TCP端口綁定至不同的內部IP地址,從而只使用一個IP地址,即可在答應內部所有服務器被Internet訪問的同時,實現(xiàn)內部所有主機對Internet的訪問。
根據(jù)企業(yè)的網(wǎng)絡環(huán)境利用TCP/UDP端口映射的應用,如企業(yè)網(wǎng)絡采用1000Mbps光纖接入Internet.路由器選用擁有2個 10/100/1000Mbps自適應端口的Cisco2821.內部網(wǎng)絡使用的IP地址段為192.168.1.1~192.168.1.254(根據(jù)內部網(wǎng)絡規(guī)模而定),局域網(wǎng)端口Ethernet 0 的IP地址為192.168.1.1,子網(wǎng)掩碼為255.255.255.0.網(wǎng)絡分配的合法IP地址范圍為 202.99.16.128~202.99.160.135,子網(wǎng)掩碼為255.255.255.248,連接ISP的端口Ethernet 1的IP地址為211.82.220.129,子網(wǎng)掩碼為255.255.255.252,可用于轉換IP地址為211.82.220.130.可以配置相同類型的多個服務器,如多個WEB服務器,多個E-mail服務器等。
具體配置文件如下:
Interface fastethernet 0/0
Ip address 192.168.100.1 255.255.255.0
!—-定義本地端口IP地址
Ip nat inside
!—-定義為本地端口
Interface fastethernet 0/1
Ip address 202.99.160.129 255.255.255.252
!—-定義廣域網(wǎng)端口IP地址
Ip nat outside
!—-定義為廣域網(wǎng)端口
Access-list 1 permit 192.168.100.0 0.0.0.255
!—-定義本地訪問列表
Ip nat pool multiip 202.99.160.130 202.99.160.134 netmask 255.255.255.248
!—-定義multiip地址池的IP范圍
Ip nat inside source list 1 mullitip overload
Ip nat inside source static tcp 192.168.1.11 80 202.99.16.130 80
Ip nat inside source static tcp 192.168.1.12 80 202.99.16.131 80
Ip nat inside source static tcp 192.168.1.13 80 202.99.16.132 80
!—-將80端口映射為192.168.1.11~13的80端口(WEB1-3)
Ip nat inside source static tcp 192.168.1.14 21 202.99.16.130 21
Ip nat inside source static tcp 192.168.1.15 21 202.99.16.131 21
!—-將21端口映射為192.168.1.14~15的21端口(FTP1-2)
Ip nat inside source static tcp 192.168.1.16 25 202.99.16.133 25
Ip nat inside source static tcp 192.168.1.16 110 202.99.16.133 110
Ip nat inside source static tcp 192.168.1.17 25 202.99.16.134 25
Ip nat inside source static tcp 192.168.1.17 110 202.99.16.134 110
!—-將25和110端口映射為192.168.1.16~17的25和110端口(mail1-2)
關鍵詞:路由網(wǎng)絡地址,NAT配置
閱讀本文后您有什么感想? 已有 人給出評價!
- 1
- 1
- 1
- 1
- 1
- 1