思科路由器NAT配置詳解s

一、 NAT簡介：NAT(NetworkAddressTranslation)網(wǎng)絡(luò)地址轉(zhuǎn)換。最早出現(xiàn)在思科11.2IOS中，定義在RFC1631和RFC3022中。NAT最主要的作用是為了緩解IPv4地址空間的不足。同時也帶來了一些問題，如每個數(shù)據(jù)包到達路由器后都要進行包頭的轉(zhuǎn)換操作，所以增加了延遲；DNS區(qū)域傳送，BOOTP/DHCP等協(xié)議不可穿越NAT路由器；改動了源中，失去了跟蹤到端IP流量的能力，所以使責任不明確了。但是利還是要大于弊的，不然也不會學習它了！最新的CCNA640-802學習指南中依然有專門的一章來講解NAT，它的重要性可見一斑。二、 NAT術(shù)語：比較難理解，所以這里用最明了的語言總結(jié)如下內(nèi)部本地地址(insidelocaladdress):局域網(wǎng)內(nèi)部主機的地址，通常是RFC1918地址空間中的地址，稱為私有地址。(待轉(zhuǎn)換的地址)內(nèi)部全局地址(insideglobaladdress):內(nèi)部本地地址被NAT路由器轉(zhuǎn)換后的地址，通常是一個可路由的公網(wǎng)地址。外部全局地址(outsideglobaladdress):是與內(nèi)部主機通信的目標主機的地址，通常是一個可路由的公網(wǎng)地址。外部本地地址(outsidelocaladdress):是目標主機可路由的公網(wǎng)地址被轉(zhuǎn)換之后的地址，通常是RFC1918地址空間中的地址。三、 NAT配置詳解：1.靜態(tài)NAT：將一個私有地址和一個公網(wǎng)地址一對一映射的配置方法，這種方式不能節(jié)省IP，通常只為需要向外網(wǎng)提供服務(wù)的內(nèi)網(wǎng)服務(wù)器配置。51CT0.com本圖片來自51CTO博客Eilcig.51ctci.c：cim若未注明出處則為非法轉(zhuǎn)載如圖所示：PC1地址：192?168?0?2/24PC2地址：/24R1E0/0地址：/24R1S0/0地址：/24R2S0/0地址：/24R2E0/0地址：/24PC3地址：/24(模擬公網(wǎng)服務(wù)器)各接口地址按上面配置好之后，在R1和R2上配置路由(注意不要為網(wǎng)絡(luò)增加路由項，因為私有網(wǎng)絡(luò)不可以出現(xiàn)在公網(wǎng)路由表中，不然也不叫私有地址了)路由配置好之后在R1上可以ping通PC3，但是PC1只能ping到R1的S0/0,再向前就ping不通了。因為沒有網(wǎng)絡(luò)的路由表項，所以被丟棄了！下面在R1上配置靜態(tài)NAT讓PC1可以和PC3通信。Router(config)#intfa0/0Router(config-if)#ipnatinside〃將該接口標記為內(nèi)部接口Router(config-if)#ints0Router(config-if)#ipnatoutside〃將該接口標記為外部接口Router(config-if)#exitRouter(config)#ipnatinsidesourcestatic〃將來自標記為內(nèi)部接口的地址做為轉(zhuǎn)換源，將一對一的轉(zhuǎn)換成2、 動態(tài)政氏現(xiàn)在PC1就可以和PC3通信了。但是PC2不能，因為R1并沒有為PC2提供地址轉(zhuǎn)換。當然我們可以在R1上像給PC1做靜態(tài)轉(zhuǎn)換一樣也給PC2做一個，可如果我們有100臺機器工作量就太大了。下面在R1上再繼續(xù)配置：Router(config)#access-list10permit55〃定義標準訪問控制列表10只允許定義的地址能夠被轉(zhuǎn)換Router(config)#ipnatpoolout4netmask〃定義名稱為out的地址池。Router(config)#ipnatinsidesourcelist10poolout//將訪問控制列表定義的地址和地址池關(guān)聯(lián)這樣就有前21個內(nèi)部主機能夠得到公網(wǎng)地址?，F(xiàn)在PC2也可以和PC3通信了。這就是動態(tài)NAT，這種方式也不能節(jié)約IP地址。有一百臺主機就要100個公網(wǎng)IP，不常用。3、 PAT(PortAddressTranslation)端口地址轉(zhuǎn)換：用一個或多個公網(wǎng)IP為多個私有地址提供轉(zhuǎn)換，能夠節(jié)省大量IP地址，這種方式在現(xiàn)實網(wǎng)絡(luò)環(huán)境中最常用。Router(config)#ipnatinsidesourcelist10pooloutoverload只需要在動態(tài)NAT的基礎(chǔ)上多出一個“overload”就可以讓上面的21個公網(wǎng)地址反復(fù)使用。如果我們只有一個公網(wǎng)地址且已經(jīng)分配給了R1的S0/0口，可以使用下面的命令來對這僅有的一個公網(wǎng)地址反復(fù)利用或叫超載。Router(config)#ipnatinsidesourcelist10interfaceserial0overload//就是在R1上不設(shè)置地址池，因為只有一個公網(wǎng)地址，而只對S0/0接口的地址超載。注意：一條NAT轉(zhuǎn)換條目要占用160字節(jié)內(nèi)存，因此NAT的轉(zhuǎn)換數(shù)目受路由器的內(nèi)存限制。4、配置端口映射：看配置就明白了還是上面的圖和IP，看下面的配置Router(config)#intfa0/0Router(config-if)#ipnatinside//將該接口標記為內(nèi)部接口Router(config-if)#ints0Router(config-if)#ipnatoutside〃將該接口標記為外部接口Router(config-if)#exitRouter(config)#ipnatinsidesourcestatictcp8080//將的80端口一對一的轉(zhuǎn)換成的80端口，也就外網(wǎng)用戶在瀏覽器里輸入時，會打開上的WWW服務(wù)。這里公網(wǎng)地址也可以改成interfaceSerial1/080，如下：Router(config)#ipnatinsidesourcestatictcp21interfaceSerial1/021//如果只有一個公網(wǎng)地址還可以這樣來轉(zhuǎn)換。這樣外網(wǎng)訪問的不同服務(wù)就會定向到不同的內(nèi)網(wǎng)服務(wù)器。5、配置TCP負載平衡：還是上圖IP也不變，假如PC1和PC2提供的是相同的WWW服務(wù)，為了實現(xiàn)負載平衡可以做如下配置：Router(config)#ipnatpoolwwwnetmasktyperotary//配置地址池www并設(shè)成旋轉(zhuǎn)。Router(config)#accessTist10permitRouter(config)#i