思科NAT配置實(shí)例

1、wordCISCONAT 配置一、NAT簡介 NAT(Network Address Translation) 的功能，就是指在 一個(gè)網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義的IP地址，而不需要經(jīng)過申請(qǐng)。在網(wǎng)絡(luò)內(nèi)部，各計(jì)算機(jī)間通過內(nèi)部的IP地址進(jìn)展通訊。而當(dāng)內(nèi)部的計(jì)算機(jī)要與外部in ternet網(wǎng)絡(luò)進(jìn)展通訊時(shí)，具有NAT功能的 設(shè)備比如：路由器負(fù)責(zé)將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址即經(jīng)過申請(qǐng)的IP地址進(jìn)展通信。二、NAT的應(yīng)用環(huán)境：情況1： 一個(gè)企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過 NAT將內(nèi)部網(wǎng)絡(luò)與外部In ter net隔離開，如此外部用戶根本不知道 通過NAT設(shè)置的內(nèi)部IP

2、地址。情況 2 : 一個(gè)企業(yè)申請(qǐng)的合法 In ternetIP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多?？梢酝ㄟ^NAT功能實(shí)現(xiàn)多個(gè)用戶同時(shí)公用一個(gè)合法IP與外部In ternet 進(jìn)展通信。三、 設(shè)置NAT所需路由器的硬件配置和軟件配置：設(shè)置NAT功能的路由器 至少要有一個(gè)內(nèi)部端口 In side丨，一個(gè)外部端口 Outside。內(nèi)部 端口連接的網(wǎng)絡(luò)用戶使用的是內(nèi)部IP地址。內(nèi)部端口可以為任意一 個(gè)路由器端口。外部端口連接的是外部的網(wǎng)絡(luò)，女口In ternet 。外部端口可以為路由器上的任意端口。設(shè)置NAT功能的路由器的IOS應(yīng)支持NAT功能(本文事例所用路由器為C isco2501，其IOS為11.2

3、版本以上支持NAT功能)。四、關(guān)于NAT的幾個(gè)概念：內(nèi)部本地地址In side localaddress ：分配給內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)的內(nèi)部IP地址。內(nèi)部合法地址In side globaladdress：對(duì)外進(jìn)入IP通信時(shí)，代表一個(gè)或多個(gè)內(nèi)部本地地址的合法IP地址。需要申請(qǐng)才可取得的IP地址。五、NAT的設(shè)置方法：NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換、復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。1、靜態(tài)地址轉(zhuǎn)換適用的環(huán)境靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進(jìn)展一 對(duì)一的轉(zhuǎn)換，且需要指定和哪個(gè)合法地址進(jìn)展轉(zhuǎn)換。 如果內(nèi)部網(wǎng)絡(luò)有 服務(wù)器或FTP服務(wù)器等可以為外部用戶提供的服務(wù)，這些服務(wù)器的 IP地址必須采用靜態(tài)

4、地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。靜態(tài)地址轉(zhuǎn)換根本配置步驟：1、在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。在全局設(shè)置狀態(tài)下輸入：Ipnat in side source static內(nèi)部本地地址 內(nèi)部合法地址2、指定連接網(wǎng)絡(luò)的內(nèi)部端口在端口設(shè)置狀態(tài)下輸入：ip natin side 3、指定連接外部網(wǎng)絡(luò)的外部端口在端口設(shè)置狀態(tài)下輸入：ip nat outside注：可以根據(jù)實(shí)際需要定義多個(gè)內(nèi)部端口與多個(gè)外部端口。實(shí)例1:本實(shí)例實(shí)現(xiàn)靜態(tài)NAT地址轉(zhuǎn)換 功能。將2501的以太口作為內(nèi)部端口，同步端口 0作為外部端口。其中 , , 的內(nèi)

5、部本地地址采用靜態(tài)地址 轉(zhuǎn)換。其內(nèi)部合法地址分別對(duì)應(yīng)為 , , 。 路由器 2501 的配置：Current configuration:versio n 11.3 no service password-e ncryptio nhost name 2501 ip n at in side source static ip n at in side source static ip n at in side source static 192.1.

6、1.4 in terface Ethernet。ip address ip nat in sidein terface Serial0ip address ip nat outsideno ip mroute-cacheban dwidth 2000no fair-queueclockrate 2000000in terface Serial1no ip addressshutdow nno ip classlessip route Serial0line con 0lin

7、e aux 0line vty 0 4password cisco end配置完成后可以用以下語句進(jìn)展查看:show ip nat statistcsshow ip nat tran slati ons2、動(dòng)態(tài)地址轉(zhuǎn)換適用的環(huán)境：動(dòng)態(tài)地址轉(zhuǎn)換也是將本地地址與內(nèi)部合法地址一對(duì)一的轉(zhuǎn)換，但是動(dòng)態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池 中動(dòng)態(tài)地選擇一個(gè)末使用的地址對(duì)內(nèi)部本地地址進(jìn)展轉(zhuǎn)換。動(dòng)態(tài)地址轉(zhuǎn)換根本配置步驟：1、在全局設(shè)置模式下，定義內(nèi)部合法地址池ip nat pool地址池名稱 起始IP地址 終止IP地址子網(wǎng)掩碼其中地址池名稱可以任意設(shè)定。2、在全局設(shè)置模式下，定義一個(gè)標(biāo)準(zhǔn)的access-list 規(guī)如此

8、以允許哪些內(nèi)部地址可以進(jìn)展動(dòng)態(tài)地址轉(zhuǎn)換。 通配符其中標(biāo)號(hào)為模式下，將由access-list 址池進(jìn)展地址轉(zhuǎn)換。Access-list 標(biāo)號(hào) permit 源地址1-99之間的整數(shù)。3、在全局設(shè)置指定的內(nèi)部本地地址與指定的內(nèi)部合法地號(hào)pool內(nèi)部合法地址池名字 端口在端口設(shè)置狀態(tài)下： 部網(wǎng)絡(luò)相連的外部端口con figuratio nversio n 11.3no service password-e ncryptio n host name 25014、指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部5、指定與外Ip nat outside 實(shí)例 2 : Currentip nat in sideipnat in

9、side source list訪問列表標(biāo)9 / 8ip n at pool aaa 0 netmask ip n at in side source list 1 pool aaain terface Ethernet。ip address ip nat in sidein terface Serial0ip address ip nat outsideno ip mroute-cacheban dwidth 2000no fair-que

10、ueclockrate 2000000in terface Serial1no ip addressshutdow nno ip classlessip route Serial0access-list 1 permit 55line con 0line aux 0line vty 0 4password cisco end3、復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換適用的環(huán)境：復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換首先是一種動(dòng)態(tài)地址轉(zhuǎn)換，但是它可以允許多個(gè)內(nèi)部本地地址共用一個(gè)內(nèi) 部合法地址。只申請(qǐng)到少量IP地址但卻經(jīng)常同時(shí)有多于合法地址個(gè) 數(shù)的用戶上外部網(wǎng)絡(luò)的情況，這種轉(zhuǎn)換

11、極為有用。注意：當(dāng)多個(gè)用戶同時(shí)使用一個(gè)IP地址，外部網(wǎng)絡(luò)通過路由器內(nèi)部利用上層的如 TCP或 UDP端口號(hào)等唯一標(biāo)識(shí)某臺(tái)計(jì)算機(jī)。復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換配置步驟：在全局設(shè)置模式下，定義內(nèi)部合地址池ip natpool地址池名字起始IP地址 終止IP地址 子網(wǎng)掩碼其中地址池名字可以任意設(shè)定。在全局設(shè)置模式下，定義一個(gè)標(biāo)準(zhǔn)的access-list規(guī)如此以允許哪些內(nèi)部本地地址可以進(jìn)展動(dòng)態(tài)地址轉(zhuǎn)換。 access-list 標(biāo)號(hào)permit 源地址通配符 其中標(biāo)號(hào)為 1 - 99之間的整數(shù)。在全局設(shè)置模式下，設(shè)置在內(nèi)部的本地地址與內(nèi)部合法IP地址間建立復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。ip nat in sidesource

12、list 訪問列表標(biāo)號(hào) pool內(nèi)部合法地址池名字 overload 在端口設(shè)置狀態(tài)下，指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口ip n atin side在端口設(shè)置狀態(tài)下，指定與外部網(wǎng)絡(luò)相連的外部端口ip nat outside實(shí)例：應(yīng)用了復(fù)用動(dòng)態(tài) NAT地址轉(zhuǎn)換功能。將2501的以太口作為內(nèi) 部端口，同步端口0作為外部端口。 網(wǎng)段采用復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。假設(shè)企業(yè)只申請(qǐng)了一個(gè)合法的IP地址。2501的配置 Current configuration:versio n 11.3no service password-e ncryptio nhost name 2501ip n at pool bbb n etmask ip nat in side source list 1 pool bbb overloadin terface Ethernet。ip address ip nat in sidein terface Serial0ip address ip nat outsideno ip mroute-cacheban dwidth 2000no fai