思科NAT配置實例

1、wordCISCONAT 配置一、NAT簡介 NAT(Network Address Translation) 的功能，就是指在 一個網(wǎng)絡內部，根據(jù)需要可以隨意自定義的IP地址，而不需要經(jīng)過申請。在網(wǎng)絡內部，各計算機間通過內部的IP地址進展通訊。而當內部的計算機要與外部in ternet網(wǎng)絡進展通訊時，具有NAT功能的 設備比如：路由器負責將其內部的IP地址轉換為合法的IP地址即經(jīng)過申請的IP地址進展通信。二、NAT的應用環(huán)境：情況1： 一個企業(yè)不想讓外部網(wǎng)絡用戶知道自己的網(wǎng)絡內部結構，可以通過 NAT將內部網(wǎng)絡與外部In ter net隔離開，如此外部用戶根本不知道 通過NAT設置的內部IP

2、地址。情況 2 : 一個企業(yè)申請的合法 In ternetIP地址很少，而內部網(wǎng)絡用戶很多。可以通過NAT功能實現(xiàn)多個用戶同時公用一個合法IP與外部In ternet 進展通信。三、 設置NAT所需路由器的硬件配置和軟件配置：設置NAT功能的路由器 至少要有一個內部端口 In side丨，一個外部端口 Outside。內部 端口連接的網(wǎng)絡用戶使用的是內部IP地址。內部端口可以為任意一 個路由器端口。外部端口連接的是外部的網(wǎng)絡，女口In ternet 。外部端口可以為路由器上的任意端口。設置NAT功能的路由器的IOS應支持NAT功能(本文事例所用路由器為C isco2501，其IOS為11.2

3、版本以上支持NAT功能)。四、關于NAT的幾個概念：內部本地地址In side localaddress ：分配給內部網(wǎng)絡中的計算機的內部IP地址。內部合法地址In side globaladdress：對外進入IP通信時，代表一個或多個內部本地地址的合法IP地址。需要申請才可取得的IP地址。五、NAT的設置方法：NAT設置可以分為靜態(tài)地址轉換、動態(tài)地址轉換、復用動態(tài)地址轉換。1、靜態(tài)地址轉換適用的環(huán)境靜態(tài)地址轉換將內部本地地址與內部合法地址進展一 對一的轉換，且需要指定和哪個合法地址進展轉換。 如果內部網(wǎng)絡有 服務器或FTP服務器等可以為外部用戶提供的服務，這些服務器的 IP地址必須采用靜態(tài)

4、地址轉換，以便外部用戶可以使用這些服務。靜態(tài)地址轉換根本配置步驟：1、在內部本地地址與內部合法地址之間建立靜態(tài)地址轉換。在全局設置狀態(tài)下輸入：Ipnat in side source static內部本地地址 內部合法地址2、指定連接網(wǎng)絡的內部端口在端口設置狀態(tài)下輸入：ip natin side 3、指定連接外部網(wǎng)絡的外部端口在端口設置狀態(tài)下輸入：ip nat outside注：可以根據(jù)實際需要定義多個內部端口與多個外部端口。實例1:本實例實現(xiàn)靜態(tài)NAT地址轉換 功能。將2501的以太口作為內部端口，同步端口 0作為外部端口。其中 , , 的內

5、部本地地址采用靜態(tài)地址 轉換。其內部合法地址分別對應為 , , 。 路由器 2501 的配置：Current configuration:versio n 11.3 no service password-e ncryptio nhost name 2501 ip n at in side source static ip n at in side source static ip n at in side source static 192.1.

6、1.4 in terface Ethernet。ip address ip nat in sidein terface Serial0ip address ip nat outsideno ip mroute-cacheban dwidth 2000no fair-queueclockrate 2000000in terface Serial1no ip addressshutdow nno ip classlessip route Serial0line con 0lin

7、e aux 0line vty 0 4password cisco end配置完成后可以用以下語句進展查看:show ip nat statistcsshow ip nat tran slati ons2、動態(tài)地址轉換適用的環(huán)境：動態(tài)地址轉換也是將本地地址與內部合法地址一對一的轉換，但是動態(tài)地址轉換是從內部合法地址池 中動態(tài)地選擇一個末使用的地址對內部本地地址進展轉換。動態(tài)地址轉換根本配置步驟：1、在全局設置模式下，定義內部合法地址池ip nat pool地址池名稱 起始IP地址 終止IP地址子網(wǎng)掩碼其中地址池名稱可以任意設定。2、在全局設置模式下，定義一個標準的access-list 規(guī)如此

8、以允許哪些內部地址可以進展動態(tài)地址轉換。 通配符其中標號為模式下，將由access-list 址池進展地址轉換。Access-list 標號 permit 源地址1-99之間的整數(shù)。3、在全局設置指定的內部本地地址與指定的內部合法地號pool內部合法地址池名字 端口在端口設置狀態(tài)下： 部網(wǎng)絡相連的外部端口con figuratio nversio n 11.3no service password-e ncryptio n host name 25014、指定與內部網(wǎng)絡相連的內部5、指定與外Ip nat outside 實例 2 : Currentip nat in sideipnat in

9、side source list訪問列表標9 / 8ip n at pool aaa 0 netmask ip n at in side source list 1 pool aaain terface Ethernet。ip address ip nat in sidein terface Serial0ip address ip nat outsideno ip mroute-cacheban dwidth 2000no fair-que

10、ueclockrate 2000000in terface Serial1no ip addressshutdow nno ip classlessip route Serial0access-list 1 permit 55line con 0line aux 0line vty 0 4password cisco end3、復用動態(tài)地址轉換適用的環(huán)境：復用動態(tài)地址轉換首先是一種動態(tài)地址轉換，但是它可以允許多個內部本地地址共用一個內 部合法地址。只申請到少量IP地址但卻經(jīng)常同時有多于合法地址個 數(shù)的用戶上外部網(wǎng)絡的情況，這種轉換

11、極為有用。注意：當多個用戶同時使用一個IP地址，外部網(wǎng)絡通過路由器內部利用上層的如 TCP或 UDP端口號等唯一標識某臺計算機。復用動態(tài)地址轉換配置步驟：在全局設置模式下，定義內部合地址池ip natpool地址池名字起始IP地址 終止IP地址 子網(wǎng)掩碼其中地址池名字可以任意設定。在全局設置模式下，定義一個標準的access-list規(guī)如此以允許哪些內部本地地址可以進展動態(tài)地址轉換。 access-list 標號permit 源地址通配符 其中標號為 1 - 99之間的整數(shù)。在全局設置模式下，設置在內部的本地地址與內部合法IP地址間建立復用動態(tài)地址轉換。ip nat in sidesource

12、list 訪問列表標號 pool內部合法地址池名字 overload 在端口設置狀態(tài)下，指定與內部網(wǎng)絡相連的內部端口ip n atin side在端口設置狀態(tài)下，指定與外部網(wǎng)絡相連的外部端口ip nat outside實例：應用了復用動態(tài) NAT地址轉換功能。將2501的以太口作為內 部端口，同步端口0作為外部端口。 網(wǎng)段采用復用動態(tài)地址轉換。假設企業(yè)只申請了一個合法的IP地址。2501的配置 Current configuration:versio n 11.3no service password-e ncryptio nhost name 2501ip n at pool bbb n etmask ip nat in side source list 1 pool bbb overloadin terface Ethernet。ip address ip nat in sidein terface Serial0ip address ip nat outsideno ip mroute-cacheban dwidth 2000no fai