分享

路由器NAT功能配置简介 - ★Beckham~23 - 51CTO技术博客

 leexingyuan5 2011-05-03

随着internet的网络迅速发展,IP地址短缺已成为一个十分突出的问题。为了解决这个问题,出现了多种解决方案。下面几绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。
bbs.tech-ccie.comC\E @jG2b0{
一、NAT简介泰克网络技术论坛【我们一起努力】yQ+tQl7uO

NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流4^sB&P&Z
p~\D


二、NAT 的应用环境:
bbs.tech-ccie.comRsk7Ci.? |5r
情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训
i_A a
G `D6S

bbs.tech-ccie.comaDK
l6L1^

情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流R F
Sk
z+NqqR

CCIE 培训,CCNP培训,CCNA培训AuwKK5|,LhB)nF
三、设置NAT所需路由器的硬件配置和软件配置:CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流,O+TTA        ?
}

"m;W
mJ8uB%b:@

设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。

内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流'\'BK(i)Om'MA
E

bbs.tech-ccie.com0E F)A.E*^F
  设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。泰克网络技术论坛【我们一起努力】'qm6^8I5B7h!I

四、关于NAT的几个概念:

  内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。bbs.tech-ccie.com%C,r+Eg(JO
CCIE 培训,CCNP培训,CCNA培训V5{P)X L@ Z{dlF
  内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。

五、NAT的设置方法:`$i/Eaj

  NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。泰克网络技术论坛【我们一起努力】 j7Bn7Q6Rm(Su

  1、静态地址转换适用的环境

静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流8rOi a5B)~)qL

  静态地址转换基本配置步骤:

   (1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入:

    Ip nat inside source static 内部本地地址 内部合法地址CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训D$L0_a
aO
a6JY

CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训,i@K3XZ}
  (2)、指定连接网络的内部端口 在端口设置状态下输入:CCIE 培训,CCNP培训,CCNA培训'BhK:D{!A*r

     ip nat insidev%a+XdT!O

  (3)、指定连接外部网络的外部端口 在端口设置状态下输入:

     ip nat outside
CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流%@i!\)SqA(oZ
  注:可以根据实际需要定义多个内部端口及多个外部端口。
CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流{mM6\[d,I.W+zM
实例1:
CCIE 培训,CCNP培训,CCNA培训
|W,`!bw

本实例实现静态NAT地址转换功能。将2501的以太口作为内部端口,同步端口0作为外部端口。其中10.1.1.2,10.1.1.3,10.1.1.4的内部本地地址采用静态地址转换。其内部合法地址分别对应为192.1.1.2,192.1.1.3,192.1.1.4。CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流Q,GngKB*j
CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流PE!}
EY5y

路由器2501的配置:Q2n        W7aj

Current configuration:CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流}*H:\)Y5N&f~-b

version 11.3

no service password-encryptionCCIE 培训,CCNP培训,CCNA培训"jH8A&S;l#s-ZF

hostname 2501CCIE 培训,CCNP培训,CCNA培训zIX
G0k


ip nat inside source static 10.1.1.2 192.1.1.2CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流d
],n/T(j;rqe

bbs.tech-ccie.comy$o+H*{^6i/lvE0LD
ip nat inside source static 10.1.1.3 192.1.1.3CCIE 培训,CCNP培训,CCNA培训,oyI-iC'o;V#N5G+F

ip nat inside source static 10.1.1.4 192.1.1.4CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训:|FF#Eb#s;AVW0\G
泰克网络技术论坛【我们一起努力】$Q7zu1g6f*Z        JG,b
interface Ethernet0

ip address 10.1.1.1 255.255.255.00iT.]:e5t7d@:r}5\&k

ip nat insideCCIE 培训,CCNP培训,CCNA培训)F]l$h:|o
CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训"|9b&Z1FQ
interface Serial0

ip address 192.1.1.1 255.255.255.0yQ9{FB
Q0tYsQ5ZWp3b
ip nat outside

no ip mroute-cache

bandwidth 2000-Kyh'zk+b(w

no fair-queue

clockrate 2000000
bbs.tech-ccie.coml
w\,v!M0E6d\pJ

interface Serial1
CCIE 培训,CCNP培训,CCNA培训(Qft!N"N5P*Y
no ip address

shutdown
tz;E0ABY ]
no ip classless

ip route 0.0.0.0 0.0.0.0 Serial0
泰克网络技术论坛【我们一起努力】X        evz@Eo+M
line con 0

line aux 0泰克网络技术论坛【我们一起努力】!l'p@3v9e8P
泰克网络技术论坛【我们一起努力】
`t4w+no
JwX

line vty 0 4
bbs.tech-ccie.comi9f*vW-B%aS(X
password ciscobbs.tech-ccie.com-z[FZ
x(J7t(|

CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流
F        ^qVpg|A

end
bbs.tech-ccie.com a)sK[2J7Ta+p
配置完成后可以用以下语句进行查看:
*|2HP(|;Z;vyfj4k
show ip nat statistcs

show ip nat translations CCIE 培训,CCNP培训,CCNA培训J#K"R3Nu(Yq

  2、动态地址转换适用的环境:

动态地址转换也是将本地地址与内部合法地址一对一的转换,但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。/hdb!j
s/l#h+Q XbpC        A

CCIE 培训,CCNP培训,CCNA培训n-Ci!DV%r[;U5{4`
  动态地址转换基本配置步骤:jx-{8n"PN-_o){9i[
bbs.tech-ccie.com`8`1l`-j0W*@
  (1)、在全局设置模式下,定义内部合法地址池l`M/A%P        S)Xv

   ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训2Dz{,[6~4A
泰克网络技术论坛【我们一起努力】
e+J&`Zi

   其中地址池名称可以任意设定。jfJ0ko9s0G3L
CCIE 培训,CCNP培训,CCNA培训kJ:LW-K
  (2)、在全局设置模式下,定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。

   Access-list 标号 permit 源地址 通配符CCIE 培训,CCNP培训,CCNA培训n-Z!z~
m4[

CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训.zR}G8|RGg
   其中标号为1-99之间的整数。
bbs.tech-ccie.com
yswbB Jv4P

  (3)、在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。
bbs.tech-ccie.com;P![]a Yv2p+`
   ip nat inside source list 访问列表标号 pool内部合法地址池名字CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流(@!|        [o VzRC
CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训u6]_J4Y
  (4)、指定与内部网络相连的内部端口在端口设置状态下:)T
Y:bK S+i4Y


   ip nat inside
CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流8zis7lcX
  (5)、指定与外部网络相连的外部端口

   Ip nat outside

实例2:
bbs.tech-ccie.com8vgsmd&k%O8a
   本实例中硬件配置同上,运用了动态NAT地址转换功能。将2501的以太口作为内部端口,同步端口0作为外部端口。其中10.1.1.0网段采用动态地址转换。对应内部合法地址为192.1.1.2~192.1.1.10CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训o7V:k4y5p;O
CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训)xng$O(ug Ndj+n3i
Current configuration:
CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训D,ZdW#`5^
version 11.3

no service password-encryption
CCIE 培训,CCNP培训,CCNA培训,k!UGY(nhc"l
hostname 2501
CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训A&@0Ib.H_G n
ip nat pool aaa 192.1.1.2 192.1.1.10 netmask 255.255.255.0bbs.tech-ccie.com}b~,wnls3y
CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流?$\AsV\:h
ip nat inside source list 1 pool aaa
CCIE 培训,CCNP培训,CCNA培训2v fDp} ~r
interface Ethernet0

ip address 10.1.1.1 255.255.255.0*Zs'p)jw.Zf g%Y7z"a

ip nat inside
{5Y3qu%r,_
interface Serial0
CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流;sn"[ hh!m2w
ip address 192.1.1.1 255.255.255.0
CCIE 培训,CCNP培训,CCNA培训:V!bS,Wo
ip nat outside

no ip mroute-cacheCCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训:D
x@ {oj/E

CCIE 培训,CCNP培训,CCNA培训4hc%n*]*p
JB

bandwidth 2000CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训*X%Sv^n2m;^

no fair-queue

clockrate 2000000
bbs.tech-ccie.com6Akj,O&LG4} AYT
interface Serial1CCIE 培训,CCNP培训,CCNA培训UD7M        yfh6N*W
CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流8{2O:d(_3A;Y
no ip addressCISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流#Yk'tC
C*d#Mrcor
Tu


shutdown
*OtWP
no ip classless
CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训
V:L1}4gk        DiO

ip route 0.0.0.0 0.0.0.0 Serial0bbs.tech-ccie.comHO!b ]O-~p#{(W0d
CCIE 培训,CCNP培训,CCNA培训$K7K9g.Z,s`q
access-list 1 permit 10.1.1.0 0.0.0.255

line con 0泰克网络技术论坛【我们一起努力】8T_8I HO
/C!L iH?
]5Uos~

line aux 0

line vty 0 4/il;Db*u5Z
bbs.tech-ccie.com
Fj)}T+D3U)M

password cisco

end

  3、复用动态地址转换适用的环境:

  复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况,这种转换极为有用。

  注意:当多个用户同时使用一个IP地址,外部网络通过路由器内部利用上层的如TCP或UDP端口号等唯一标识某台计算机。  Oi)x1cPp
CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训I;T/m_HxGNl
  复用动态地址转换配置步骤:泰克网络技术论坛【我们一起努力】g(S7a8i"}M!a
E


  在全局设置模式下,定义内部合地址池CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流O2shV.xqj

  ip nat pool 地址池名字 起始IP地址 终止IP地址 子网掩码

  其中地址池名字可以任意设定。
CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训6h8[OW0y-e#qh
  在全局设置模式下,定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换。CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训8O;q N^2[_lQ4fN
CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训 me!KV0p)Ln9psk
  access-list 标号 permit 源地址 通配符

  其中标号为1-99之间的整数。CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流P
^{+Nf6z


  在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训c?s1C)F
泰克网络技术论坛【我们一起努力】N&~&j        Nu3G
 ip nat inside source list 访问列表标号 pool 内部合法地址池名字 overload
CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训0m[W/i7W2ueG
  在端口设置状态下,指定与内部网络相连的内部端口
5Q_`c"W;X6wv-t
  ip nat insideCISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流%~'o7s,QRA3IbY
CCIE 培训,CCNP培训,CCNA培训@c\$x-P
LD
s

  在端口设置状态下,指定与外部网络相连的外部端口
CCIE 培训,CCNP培训,CCNA培训WCdB8N
  ip nat outside
5l;u#j0qa q'b"i%QM-n
实例:应用了复用动态NAT地址转换功能。将2501的以太口作为内部端口,同步端口0作为外部端口。10.1.1.0网段采用复用动态地址转换。假设企业只申请了一个合法的IP地址192.1.1.1。CCIE 培训,CCNP培训,CCNA培训c!AN2HU8U

2501的配置
CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训#M~'MtaF
Current configuration:
bbs.tech-ccie.com_? ~5uh\O
version 11.3CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流*vWI[9m*s6b}"[

no service password-encryptionCCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训"W {3RII;L'bI

hostname 2501CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训        QAvbz

ip nat pool bbb 192.1.1.1 192.1.1.1 netmask 255.255.255.0泰克网络技术论坛【我们一起努力】^ `b'j)Q)K

ip nat inside source list 1 pool bbb overload
CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流8d/U]6f;]2Y5u)|
interface Ethernet0泰克网络技术论坛【我们一起努力】,e"nSa/A/MfYJqbjd

ip address 10.1.1.1 255.255.255.0CCIE 培训,CCNP培训,CCNA培训C#sL4]~E@Fm

ip nat inside

interface Serial0
泰克网络技术论坛【我们一起努力】
\R ]l@

ip address 192.1.1.1 255.255.255.0CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训)@2fp*E;e/LRR

ip nat outside

no ip mroute-cachebbs.tech-ccie.comf:lOR+S2k!`

bandwidth 2000泰克网络技术论坛【我们一起努力】!|4|0VhECje

no fair-queue

clockrate 2000000CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训M$d$Z/ogJl
bbs.tech-ccie.com[/Y E"ux5t?m
D7q7b

interface Serial1
CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流M:UQb|
no ip address
CISCO技术,CCIE认证交流,CCNP认证交流,CCNA认证交流Er$L%NJ
shutdownCCIE 培训,CCNP培训,CCNA培训]dk,kP9dli
bbs.tech-ccie.comG*HJAVdwkB
no ip classlessbbs.tech-ccie.come#{g"L"ij{*?a

ip route 0.0.0.0 0.0.0.0 Serial0CCIE 培训,CCNP培训,CCNA培训$p Z|O\q\u%[
$jzx7w6fY9g(z p
access-list 1 permit 10.1.1.0 0.0.0.255
CCIE 培训,CCNP培训,CCNA培训.s)YEu)_ty0t&Gl
line con 0CCIE 培训,CCNP培训,CCNA培训{}}%k.d"\"ppCE

line aux 0CCIE培训,CCNA培训,CCNP培训,上海CCNA培训,上海CCNP培训,上海CCIE培训;vkB4CD:g
bbs.tech-ccie.com&J#B\:\3D        sN P
line vty 0 4-^(h E@2g%]
泰克网络技术论坛【我们一起努力】m        }`W6[3a:h%o
password cisco?*G6O Qw3_7Uc

v^I*]hK
l

end

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多