路由網(wǎng)絡(luò)地址轉(zhuǎn)換NAT配置實(shí)例
NAT包括有靜態(tài)NAT、動(dòng)態(tài)地址NAT和端口多路復(fù)用地址轉(zhuǎn)換三種技術(shù)類型。靜態(tài) NAT是把內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)地址永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法地址;動(dòng)態(tài)地址NAT是采用把外部網(wǎng)絡(luò)中的一系列合法地址使用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò);端口多路復(fù)用地址轉(zhuǎn)換是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要,選擇相應(yīng)的NAT技術(shù)類型。
由1994年NAT技術(shù)問(wèn)世以來(lái),NAT技術(shù)很快在企業(yè)LAN領(lǐng)域得到廣泛應(yīng)用。目前,NAT技術(shù)主要用于連接和安全方面。目前企業(yè)內(nèi)部網(wǎng)絡(luò)用戶數(shù)量大,而能申請(qǐng)的合法的全球唯一IP地址有限。NAT能夠有效的解決企業(yè)IP地址短缺問(wèn)題,利用NAT技術(shù)能夠?qū)崿F(xiàn)多個(gè)用戶共同使用一個(gè)合法的IP地址連接互聯(lián)網(wǎng)。而另一種需要出于安全方面來(lái)考慮,在一定程度上防范網(wǎng)絡(luò)攻擊的發(fā)生。企業(yè)期望隱藏LAN內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),NAT可以將內(nèi)部LAN與外部 Internet隔離,使外部網(wǎng)絡(luò)用戶無(wú)法了解通過(guò)NAT設(shè)置的內(nèi)部IP地址。
NAT技術(shù)在企業(yè)中都采取兩種技術(shù)類型結(jié)合應(yīng)用,比較好的還是和端口復(fù)用地址轉(zhuǎn)換。結(jié)合起來(lái)的技術(shù)如:端口復(fù)用地址轉(zhuǎn)換、TCP/UDP端口NAT映射、靜態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換。
假如ISP提供的合法IP地址數(shù)量較多,當(dāng)然可以采用靜態(tài)地址轉(zhuǎn)換+端口復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換技術(shù)得以完美實(shí)現(xiàn)。然而,假如只獲得1個(gè)合法IP地址,雖然可以采用端口復(fù)用地址轉(zhuǎn)換技術(shù),實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的Internet接入。但是,由于服務(wù)器也采用動(dòng)態(tài)端口,Internet中的計(jì)算機(jī)將無(wú)法訪問(wèn)到網(wǎng)絡(luò)內(nèi)部的服務(wù)器。有沒(méi)有好的解決問(wèn)題的方案呢?當(dāng)然,這就是TCP/UDP端口NAT映射。既然只有一個(gè)可用的合法IP地址,當(dāng)然采用端口復(fù)用方式來(lái)實(shí)現(xiàn)NAT.不過(guò),由于同時(shí)有要求網(wǎng)絡(luò)內(nèi)部的服務(wù)器要被Internet訪問(wèn)到,因此必須采用PAT創(chuàng)建TCP/UDP端口的NAT映射。
我們知道,不同應(yīng)用程序使用TCP/UDP端口是不同的,例如,WEB服務(wù)器使用80、 FTP服務(wù)使用21、SMTP服務(wù)使用25、POP3服務(wù)使用110等。由于每種應(yīng)用服務(wù)器都有自己默認(rèn)的端口,所以這種NAT方式下,網(wǎng)絡(luò)內(nèi)部每種應(yīng)用服務(wù)器成為Internet中的主機(jī),例如,只能有一臺(tái)WEB服務(wù)器、一臺(tái)E-mail服務(wù)、一臺(tái)FTP服務(wù)器。盡管可以采用改變默認(rèn)端口的方式創(chuàng)建多臺(tái)應(yīng)用服務(wù)器,但這種服務(wù)器在訪問(wèn)時(shí)比較困難,要求用戶必須先了解某種服務(wù)采用的新TCP端口。因此,可以將不同的TCP端口綁定至不同的內(nèi)部IP地址,從而只使用一個(gè)IP地址,即可在答應(yīng)內(nèi)部所有服務(wù)器被Internet訪問(wèn)的同時(shí),實(shí)現(xiàn)內(nèi)部所有主機(jī)對(duì)Internet的訪問(wèn)。
根據(jù)企業(yè)的網(wǎng)絡(luò)環(huán)境利用TCP/UDP端口映射的應(yīng)用,如企業(yè)網(wǎng)絡(luò)采用1000Mbps光纖接入Internet.路由器選用擁有2個(gè) 10/100/1000Mbps自適應(yīng)端口的Cisco2821.內(nèi)部網(wǎng)絡(luò)使用的IP地址段為192.168.1.1~192.168.1.254(根據(jù)內(nèi)部網(wǎng)絡(luò)規(guī)模而定),局域網(wǎng)端口Ethernet 0 的IP地址為192.168.1.1,子網(wǎng)掩碼為255.255.255.0.網(wǎng)絡(luò)分配的合法IP地址范圍為 202.99.16.128~202.99.160.135,子網(wǎng)掩碼為255.255.255.248,連接ISP的端口Ethernet 1的IP地址為211.82.220.129,子網(wǎng)掩碼為255.255.255.252,可用于轉(zhuǎn)換IP地址為211.82.220.130.可以配置相同類型的多個(gè)服務(wù)器,如多個(gè)WEB服務(wù)器,多個(gè)E-mail服務(wù)器等。
具體配置文件如下:
Interface fastethernet 0/0
Ip address 192.168.100.1 255.255.255.0
!—-定義本地端口IP地址
Ip nat inside
!—-定義為本地端口
Interface fastethernet 0/1
Ip address 202.99.160.129 255.255.255.252
!—-定義廣域網(wǎng)端口IP地址
Ip nat outside
!—-定義為廣域網(wǎng)端口
Access-list 1 permit 192.168.100.0 0.0.0.255
!—-定義本地訪問(wèn)列表
Ip nat pool multiip 202.99.160.130 202.99.160.134 netmask 255.255.255.248
!—-定義multiip地址池的IP范圍
Ip nat inside source list 1 mullitip overload
Ip nat inside source static tcp 192.168.1.11 80 202.99.16.130 80
Ip nat inside source static tcp 192.168.1.12 80 202.99.16.131 80
Ip nat inside source static tcp 192.168.1.13 80 202.99.16.132 80
!—-將80端口映射為192.168.1.11~13的80端口(WEB1-3)
Ip nat inside source static tcp 192.168.1.14 21 202.99.16.130 21
Ip nat inside source static tcp 192.168.1.15 21 202.99.16.131 21
!—-將21端口映射為192.168.1.14~15的21端口(FTP1-2)
Ip nat inside source static tcp 192.168.1.16 25 202.99.16.133 25
Ip nat inside source static tcp 192.168.1.16 110 202.99.16.133 110
Ip nat inside source static tcp 192.168.1.17 25 202.99.16.134 25
Ip nat inside source static tcp 192.168.1.17 110 202.99.16.134 110
!—-將25和110端口映射為192.168.1.16~17的25和110端口(mail1-2)
關(guān)鍵詞:路由網(wǎng)絡(luò)地址,NAT配置
閱讀本文后您有什么感想? 已有 人給出評(píng)價(jià)!
- 1
- 1
- 1
- 1
- 1
- 1