![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 網絡管理 > 網絡設備 > 正文 |
 |
| CISCO 2500、1600系列路由器使用手冊--NAT功能配置 |
| 不詳 (2001-05-02 01:32:48) |
8. NAT(Network Address Translation)功能配置
隨著internet的網絡以爆炸性的速度膨脹,IP地址短缺及路由規模越來越大已成為一個相當嚴重的問題。為了解決這個問題,出現了多種解決方案。一種在目前網絡環境中比較有效的方法即地址轉換(NAT)功能。
所謂的地址轉換,即NAT功能,就是指在一個組織網絡內部,根據需要可以隨意自定義的IP地址(不需要經過申請)即假的IP地址。在本組織內部,各計算機間通過假的IP地址進行通訊。而當組織內部的計算機要與外部internet網絡進行通訊時,具有NAT功能的設備(這裡是 cisco路由器)負責將其假的IP地址轉換為真的IP地址,即該組織申請的合法IP地址進行通信。
簡單地說,NAT就是通過某種方式將IP地址進行轉換。
NAT功能的國際標準協議為RFC1631。
NAT 有以下幾種應用:
你想連接Internet,但不想讓你的網絡內的所有計算機都擁有一個真正的internet IP地址。通過NAT功能,可以將申請的合法的Internet IP地址統一管理,當內部的計算機需要上Internet 時,動態或靜態地將假的IP轉換為合法的IP地址。
你不想讓外部網絡用戶知道你的網絡的內部結構,可以通過NAT將內部網絡與外部Internet 隔離開,則外部用戶根本不知道你的假IP地址。
你申請的合法Internet IP地址很少,而你的內部網絡用戶很多。可以通過NAT功能實現多個用戶同時公開一個合法IP與外部Internet 進行通信。
注意:Cisco2500及1600系列路由器在IOS為11.2版本以上支持NAT功能。
設置NAT功能的路由器至少要有一個Inside(內部)端口及至少一個Outside(外部)端口。內部端口連接的網絡內的用戶使用的是假的IP地址,及內部端口連接內部網絡。且內部端口可以為任意一個路由器端口。外部端口連接的是外部的網絡,如Internet 。外部端口可以為路由器上的任意端口。
典型的應用,NAT設置在內部網與外部公用網的連接處的路由器上。當IP數據包離開內部網時NAT負責將內部的假的IP源地址轉換成合法IP地址。當IP數據包進入內部網時,NAT將合法IP目的地址轉換成內部假的IP地址。
啟用NAT功能的路由器,一定不能將內部網絡路由信息廣播到外部。然而,從外部廣播來的路由信息,該路由器可以接受。
NAT的幾個概念:
內部本地地址(Inside local address):
分配給內部網絡中的計算機的假的IP地址
內部合法地址(Inside global address):
對外進入IP通信時,代表一個或多個內部本地地址的合法IP地址。
NAT設置可以分為靜態地址轉換、動態地址轉換、復用動態地址轉換。
靜態地址轉換
靜態地址轉換將內部本地地址與內部合法地址進行一對一的轉換,且需要指定和哪個合法地址進行轉換。如果內部網絡有E-mail服務器或FTP服務器等可以為外部用戶共的服務,這些服務器的IP地址必須採用靜態地址轉換,以便外部用戶可以使用這些服務。
動態地址轉換:
動態地址轉換也是將本地地址與內部合法地址一對一的轉換,但是是從內部合法地址池中動態地選擇一個末使用的地址對內部本地地址進行轉換。
復用動態地址轉換:
復用動態地址轉換首先是一種動態地址轉換,但是它可以允許多個內部本地地址共用一個內部合法地址。只申請到少量IP地址但卻經常同時有多合法地址個數的用戶上外部網絡的情況,這種轉換極為有用。
注意:當多個用戶同時使用一個IP地址,外部網絡如何進行識別呢?路由器內部會利用上層的如TCP或UDP端口號等唯一標識某台計算機。
靜態地址轉換基本配置步驟:
在內部本地地址與內部合法地址之間建立靜態地址轉換。
Ip nat inside source static 內部本地地址 內部合法地址
指定連接網絡的內部端口
在端口設置狀態下
ip nat inside
指定連接外部網絡的外部端口
在端口設置狀態下
ip nat outside
注意:你可以定義多個內部端口及多個外部端口。
動態地址轉換基本配置步驟:
在全局設置模式下,定義內部合法地址池
ip nat pool 地址池名稱 起始IP地址 終止IP地址 子網掩碼
其中地址池名字可以任意設定。
在全局設置模式下,定義一個標準的access-list規則以允許哪些內部地址可以進行動態地址轉換。
Access-list 標號 permit 源地址 通配符
其中標號為1-99之間的整數。
在全局設置模式下,將由access-list指定的內部本地地址與指定的內部合法地址池進行地址轉換。
ip nat inside source list access-list 標號 pool內部合法地址池名字
指定與內部網絡相連的內部端口在端口設置狀態下:
ip nat inside
指定與外部網絡相連的外部端口
Ip nat outside
復用動態地址轉換配置步驟:
在全局設置模式下,定義內部合地址池
ip nat pool 地址池名字 起始IP地址 終止IP地址 子網掩碼
其中地址池名字可以任意設定。
在全局設置模式下,定義一個標準的access-list規則以允許哪些內部本地地址可以進行動態地址轉換。
Access-list 標號 permit 源地址 通配符
其中標號為1-99之間的整數。
在全局設置模式下,設置在內部的本地地址與內部合法IP地址間建立復用動態地址轉換。
ip nat inside source list access-list 標號 pool 內部合法地址池名字 overload
在端口設置狀態下,指定與內部網絡相連的內部端口
ip nat inside
在端口設置狀態下,指定與外部網絡相連的外部端口
ip nat outside
實例: 本實例中採用兩台路由器直連方式。其中一台作為內部網絡的路由器,另一台相當外部網絡上的路由器。本實例同時應用了三種NAT地址轉換功能。將2511的以太口作為內部端口,同步端口0作為外部端口。其中10.1.1.10,10.1.1.11,10.1.1.12的內部本地地址採用靜態地址轉換。而10.1.2.0網段採用動態地址轉換。而10.1.3.0網段採用復用動態地址轉換。為了証實地址復用功能,復用地址池只用了一個IP地址,即192.31.1.31。在本實例中,採用了10.1.3.0上的兩台PC同時長時間Ping另一台路由器。通過debug可以發現內部路由器相當在分時復用IP。
2511的配置
Current configuration:
!
version 11.3
no service password-encryption
!
hostname 2511
!
ip nat pool kim 192.1.1.20 192.1.1.30 netmask 255.255.255.0
ip nat pool lab 192.1.1.31 192.1.1.31 netmask 255.255.255.0
ip nat inside source list 1 pool kim
ip nat inside source list 2 pool lab overload
ip nat inside source static 10.1.1.10 192.1.1.10
ip nat inside source static 10.1.1.11 192.1.1.11
ip nat inside source static 10.1.1.12 192.1.1.12
!
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip nat outside
no ip mroute-cache
bandwidth 2000
no fair-queue
clockrate 2000000
!
interface Serial1
no ip address
shutdown
!
no ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
access-list 1 permit 10.1.2.0 0.0.0.255
access-list 2 permit 10.1.2.0 0.0.0.255
!
line con 0
line 1 8
line aux 0
line vty 0 4
password cisco
!
end
2514的配置
!
interface Ethernet0
no ip address
!
interface Ethernet1
no ip address
interface Serial0
ip address 192.1.1.2 255.255.255.0
!
interface Serial1
no ip address
shutdown
!
no ip classless
ip route 192.1.1.0 255.255.255.0 Serial0
!
line con 0
line 1 8
line aux 0
line vty 0 4
login
!
end
調試手段: show ip nat statistcs
show ip nat translations
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
cisco的異步回撥命令集 (2001-10-18 08:00:00)
Cisco PIX防火牆的安裝流程 (2001-10-18 07:00:00)
Cisco IOS 基本命令集 (2001-10-17 15:00:02)
Cisco HSRP的配置 (2001-10-17 12:00:01)
備份Cisco路由器用戶配置 (2001-08-17 15:00:01)
Cisco路由器密碼忘了該怎辦? (2001-07-22 16:12:35)
Linux 網管 123 --- 第8章. 備份及回存程序 -3.Cisco 路由器組態備份 (2001-07-02 20:10:00)
CISCO2501,2522的詳細配置與調試 (2001-06-28 10:08:00)
Cisco路由器上如何防止DDoS (2001-06-25 07:00:00)
Cisco路由器配置實例 --反轉多路復用的妙用 (2001-06-08 17:04:00)
|
===更多相關=== |
|
|
|
★ 樊強制作 歡迎分享 ★ |