CISCO 2500、1600系列路由器使用手册--NAT功能配置
8.NAT(NetworkAddressTranslation)功能配置随着internet的网络以爆炸性的速度膨胀,IP地址短缺及路由规模越来越大已成为一个相当严重的题目。为了解决这个题目,出现了多种解决方案。一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。所谓的地址转换,即NAT功能,就是指在一个组织网络内部,根据需要可以随意自定义的IP地址(不需要经过申请)即假的IP地址。在本组织内部,各计算机间通过假的IP地址进行通讯。而当组织内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(这里是 cisco路由器)负责将其假的IP地址转换为真的IP地址,即该组织申请的正当IP地址进行通讯。简单地说,NAT就是通过某种方式将IP地址进行转换。NAT功能的国际标准协议为RFC1631。 NAT有以下几种应用: 你想连接Internet,但不想让你的网络内的所有计算机都拥有一个真正的internetIP地址。通过NAT功能,可以将申请的正当的InternetIP地址同一治理,当内部的计算机需要上Internet时,动态或静态地将假的IP转换为正当的IP地址。你不想让外部网络用户知道你的网络的内部结构,可以通过NAT将内部网络与外部Internet隔离开,则外部用户根本不知道你的假IP地址。你申请的正当InternetIP地址很少,而你的内部网络用户很多。可以通过NAT功能实现多个用户同时公然一个正当IP与外部Internet进行通讯。 留意:Cisco2500及1600系列路由器在IOS为11.2版本以上支持NAT功能。 设置NAT功能的路由器至少要有一个Inside(内部)端口及至少一个Outside(外部)端口。内部端口连接的网络内的用户使用的是假的IP地址,及内部端口连接内部网络。且内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet。外部端口可以为路由器上的任意端口。典型的应用,NAT设置在内部网与外部公用网的连接处的路由器上。当IP数据包离开内部网时NAT负责将内部的假的IP源地址转换成正当IP地址。当IP数据包进入内部网时,NAT将正当IP目的地址转换成内部假的IP地址。启用NAT功能的路由器,一定不能将内部网络路由信息广播到外部。然而,从外部广播来的路由信息,该路由器可以接受。 NAT的几个概念:内部本地地址(Insidelocaladdress):分配给内部网络中的计算机的假的IP地址内部正当地址(Insideglobaladdress):对外进入IP通讯时,代表一个或多个内部本地地址的正当IP地址。NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 静态地址转换静态地址转换将内部本地地址与内部正当地址进行一对一的转换,且需要指定和哪个正当地址进行转换。假如内部网络有E-mail服务器或FTP服务器等可以为外部用户共的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 动态地址转换:动态地址转换也是将本地地址与内部正当地址一对一的转换,但是是从内部正当地址池中动态地选择一个末使用的地址对内部本地地址进行转换。 复用动态地址转换:复用动态地址转换首先是一种动态地址转换,但是它可以答应多个内部本地地址共用一个内部正当地址。只申请到少量IP地址但却经常同时有多于正当地址个数的用户上外部网络的情况,这种转换极为有用。 留意:当多个用户同时使用一个IP地址,外部网络如何进行识别呢?路由器内部会利用上层的如TCP或UDP端口号等唯一标识某台计算机。 静态地址转换基本配置步骤:在内部本地地址与内部正当地址之间建立静态地址转换。Ipnatinsidesourcestatic内部本地地址内部正当地址指定连接网络的内部端口在端口设置状态下ipnatinside指定连接外部网络的外部端口在端口设置状态下ipnatoutside留意:你可以定义多个内部端口及多个外部端口。动态地址转换基本配置步骤:在全局设置模式下,定义内部正当地址池ipnatpool地址池名称起始IP地址终止IP地址子网掩码其中地址池名字可以任意设定。在全局设置模式下,定义一个标准的access-list规则以答应哪些内部地址可以进行动态地址转换。Access-list标号permit源地址通配符其中标号为1-99之间的整数。在全局设置模式下,将由access-list指定的内部本地地址与指定的内部正当地址池进行地址转换。ipnatinsidesourcelistaccess-list标号pool内部正当地址池名字指定与内部网络相连的内部端口在端口设置状态下:ipnat& 1/3 123下一页尾页
页:
[1]