路由器NAT功能配置簡介

路由器NAT功能配置簡介隨著internet的網(wǎng)絡(luò)迅速發(fā)展，IP地址短缺已成為一個十分突出的問題。為了解決這個問題，出現(xiàn)了多種解決方案。一、 NAT簡介NAT（NetworkAddressTranslation的功能，就是指在一個網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義的IP地址，而不需要經(jīng)過申請。在網(wǎng)絡(luò)內(nèi)部，各計算機(jī)間通過內(nèi)部的IP地址進(jìn)行通訊。而當(dāng)內(nèi)部的計算機(jī)要與外部internet網(wǎng)絡(luò)進(jìn)行通訊時，具有NAT功能的設(shè)備（比如：路由器）負(fù)責(zé)將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址（即經(jīng)過申請的IP地址）進(jìn)行通信。二、 NAT的應(yīng)用環(huán)境：情況1：一個企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet隔離開，則外部用戶根本不知道通過NAT設(shè)置的內(nèi)部IP地址。情況2：—個企業(yè)申請的合法InternetIP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多?？梢酝ㄟ^NAT功能實現(xiàn)多個用戶同時公用一個合法IP與外部Internet進(jìn)行通信。三、 設(shè)置NAT所需路由器的硬件配置和軟件配置：設(shè)置NAT功能的路由器至少要有一個內(nèi)部端口（Inside），一個外部端口（Outside）。內(nèi)部端口連接的網(wǎng)絡(luò)用戶使用的是內(nèi)部IP地址。內(nèi)部端口可以為任意一個路由器端口。外部端口連接的是外部的網(wǎng)絡(luò)，如Internet0外部端口可以為路由器上的任意端口。設(shè)置NAT功能的路由器的IOS應(yīng)支持NAT功能（本文事例所用路由器為Cisco2501,其IOS為11.2版本以上支持NAT功能）。四、 關(guān)于NAT的幾個概念：內(nèi)部本地地址（Insidelocaladdress）：分配給內(nèi)部網(wǎng)絡(luò)中的計算機(jī)的內(nèi)部IP地址。內(nèi)部合法地址（Insideglobaladdress）：對外進(jìn)入IP通信時，代表一個或多個內(nèi)部本地地址的合法IP地址。需要申請才可取得的IP地址。五、 NAT的設(shè)置方法：NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、復(fù)用動態(tài)地址轉(zhuǎn)換。1、靜態(tài)地址轉(zhuǎn)換適用的環(huán)境靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進(jìn)行一對一的轉(zhuǎn)換，且需要指定和哪個合法地址進(jìn)行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡(luò)有E-mail服務(wù)器或FTP服務(wù)器等可以為外部用戶提供的服務(wù),這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。靜態(tài)地址轉(zhuǎn)換基本配置步驟：（1）、在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。在全局設(shè)置狀態(tài)下輸入：Ipnatinsidesourcestatic內(nèi)部本地地址內(nèi)部合法地址（2） 、指定連接網(wǎng)絡(luò)的內(nèi)部端口在端口設(shè)置狀態(tài)下輸入：ipnatinside（3） 、指定連接外部網(wǎng)絡(luò)的外部端口在端口設(shè)置狀態(tài)下輸入：ipnatoutside注：可以根據(jù)實際需要定義多個內(nèi)部端口及多個外部端口。實例1：本實例實現(xiàn)靜態(tài)NAT地址轉(zhuǎn)換功能。將2501的以太口作為內(nèi)部端口，同步端口0作為外部端口。其中，，的內(nèi)部本地地址采用靜態(tài)地址轉(zhuǎn)換。其內(nèi)部合法地址分別對應(yīng)為，，。ipnatinsidesourcestaticipnatinsidesourcestaticipnatinsidesourcestaticinterfaceEthernet0ipaddressipnatinsideinterfaceSerial0ipaddressipnatoutsideiprouteSerial0配置完成后可以用以下語句進(jìn)行查看：showipnatstatistcsshowipnattranslations2、動態(tài)地址轉(zhuǎn)換適用的環(huán)境：動態(tài)地址轉(zhuǎn)換也是將本地地址與內(nèi)部合法地址一對一的轉(zhuǎn)換，但是動態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動態(tài)地選擇一個末使用的地址對內(nèi)部本地地址進(jìn)行轉(zhuǎn)換。動態(tài)地址轉(zhuǎn)換基本配置步驟：、在全局設(shè)置模式下，定義內(nèi)部合法地址池ipnatpool地址池名稱起始IP地址終止IP地址子網(wǎng)掩碼其中地址池名稱可以任意設(shè)定。、在全局設(shè)置模式下，定義一個標(biāo)準(zhǔn)的access-list規(guī)則以允許哪些內(nèi)部地址可以進(jìn)行動態(tài)地址轉(zhuǎn)換。Access-list標(biāo)號permit源地址通配符其中標(biāo)號為1-99之間的整數(shù)。、在全局設(shè)置模式下，將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進(jìn)行地址轉(zhuǎn)換。ipnatinsidesourcelist訪問列表標(biāo)號pool內(nèi)部合法地址池名字、指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口在端口設(shè)置狀態(tài)下：ipnatinside、指定與外部網(wǎng)絡(luò)相連的外部端口Ipnatoutside實例2：本實例中硬件配置同上，運用了動態(tài)NAT地址轉(zhuǎn)換功能。將2501的以太口作為內(nèi)部端口，同步端口0作為外部端口。其中網(wǎng)段采用動態(tài)地址轉(zhuǎn)換。對應(yīng)內(nèi)部合法地址為~0ipnatpoolaaa0netmaskipnatinsidesourcelist1poolaaainterfaceEthernet0ipaddressipnatinsideinterfaceSerial0ipaddressipnatoutsideinterfaceSerial1iprouteSerial0access-list1permit553、復(fù)用動態(tài)地址轉(zhuǎn)換適用的環(huán)境：復(fù)用動態(tài)地址轉(zhuǎn)換首先是一種動態(tài)地址轉(zhuǎn)換，但是它可以允許多個內(nèi)部本地地址共用一個內(nèi)部合法地址。只申請到少量IP地址但卻經(jīng)常同時有多于合法地址個數(shù)的用戶上外部網(wǎng)絡(luò)的情況，這種轉(zhuǎn)換極為有用。注意：當(dāng)多個用戶同時使用一個IP地址，外部網(wǎng)絡(luò)通過路由器內(nèi)部利用上層的如TCP或UDP端口號等唯一標(biāo)識某臺計算機(jī)。復(fù)用動態(tài)地址轉(zhuǎn)換配置步驟：在全局設(shè)置模式下，定義內(nèi)部合地址池ipnatpool地址池名字起始IP地址終止IP地址子網(wǎng)掩碼其中地址池名字可以任意設(shè)定。在全局設(shè)置模式下，定義一個標(biāo)準(zhǔn)的access-list規(guī)則以允許哪些內(nèi)部本地地址可以進(jìn)行動態(tài)地址轉(zhuǎn)換。access-list標(biāo)號permit源地址通配符其中標(biāo)號為1－99之間的整數(shù)。在全局設(shè)置模式下，設(shè)置在內(nèi)部的本地地址與內(nèi)部合法IP地址間建立復(fù)用動態(tài)地址轉(zhuǎn)換。ipnatinsidesourcelist訪問列表標(biāo)號pool內(nèi)部合法地址池名字overload在端口設(shè)置狀態(tài)下，指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口ipnatinside在端口設(shè)置狀態(tài)下，指定與外部網(wǎng)絡(luò)相連的外部端口ipnatoutside實例：應(yīng)用了復(fù)用動態(tài)NAT地址轉(zhuǎn)換功能。將2501的以太口作為內(nèi)部端口，同步端口0作為外部端口。網(wǎng)段采用復(fù)用動態(tài)地址轉(zhuǎn)換。假設(shè)企業(yè)只申請了一個合法的IP地址。ipnatpoolbbbnetmaskipnatinsidesourcelist1poolbbboverloadinterfaceEthernet0ipaddressipnatinsideinterfaceSerial0ipaddressipnatoutsideinterfaceSerial1iprouteSerial0access-list1permit55示例1NAT接入寬帶配置方法淺析電信寬帶為2M,分配給的固定IP地址：01子網(wǎng)掩碼：48網(wǎng)關(guān)：0,局域網(wǎng)規(guī)劃地址范圍為：-54子網(wǎng)掩碼：48網(wǎng)關(guān):，路由器為Cisco1721自帶10/100M自適應(yīng)端口一個，其次我們還要配置一塊1ENET的擴(kuò)展卡，卡上帶有10MRJ45端口一個。我們將1ENET的口作為外網(wǎng)端口，機(jī)器上的口作為內(nèi)網(wǎng)端口。配置過程如下：Router>en//進(jìn)入特權(quán)配置模式Router#configureterminal//進(jìn)入全局配置模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.設(shè)備自動出現(xiàn)的提示，主要告訴你目前已經(jīng)進(jìn)入主控制臺)Router〈config〉#interfaceFastEthernet0//首先進(jìn)入內(nèi)網(wǎng)端口(設(shè)備自帶端口)Router〈config-if>#ipaddress192.168.0.1/才旨定內(nèi)網(wǎng)端口的IP地址及子網(wǎng)掩碼Router〈config-if〉#ipnatinside//將該端口定義為地址轉(zhuǎn)換(NAT)的“內(nèi)部端口”Router〈config-if〉#noshutdown//使該端口處于“運行”狀態(tài)Router〈config-if〉#exit//返回Router〈config〉#interfaceEthernet0//進(jìn)入外網(wǎng)端口(1ENET上面的端口)Router〈config-if〉#ipaddress0148//旨定外網(wǎng)端口IP地址及子網(wǎng)掩碼Router〈config-if>#ipnatoutside//將該端口定義為地址轉(zhuǎn)換(NAT)的“外部端口”Router〈config-if〉#noshutdown//使該端口處于“運行”狀態(tài)Router〈config-if〉#exit//返回Router〈config〉#iprouter0//定義路由地址Router〈config〉#noaccess-list1//我們先取消出廠狀態(tài)下的訪問控制列表“1”Router〈config〉#access-list1permit55/重/新定義訪問控制列表“1”為“允許/24的網(wǎng)段”Router〈config〉#ipnatpoolnanpool702netmask48//定義從ISP供應(yīng)商那里申請到的公網(wǎng)IP地址在企業(yè)內(nèi)部的分配策略，在這里我們定義了一個地址池，名稱為“nanpool”，在這個池里所定義的IP地址(7到02)將被內(nèi)網(wǎng)的用戶用來上網(wǎng)。如果ISP只給了你一個IP地址(如01)，那你可以在這里寫成“ipnatpoolnanpool0101netmask48”Router〈config〉#ipnatinsidesourcelist1poolnanpooloverload//將訪問控制列表“1”與地址池“nanpool”進(jìn)行對應(yīng)式綁定。意思是說所有“”網(wǎng)段內(nèi)的用戶在上網(wǎng)時，它的內(nèi)網(wǎng)地址都將被轉(zhuǎn)換為“7-02”中的任意一個外網(wǎng)地址。后面的"overload”則表示，如果有多于地址池中定義的地址數(shù)量(比如原來有6個用戶上網(wǎng)，他們各自所用的外網(wǎng)地址是7、8、9、00、01、02。而現(xiàn)在突然有30個用戶上網(wǎng)了，這時就會按照上面的命令執(zhí)行一個任務(wù)，那就是讓多個內(nèi)網(wǎng)用戶使用同一個外網(wǎng)地址。這樣一來，這個nanpool地址池就可以帶動內(nèi)網(wǎng)所有用戶上網(wǎng)了。所以說，這一條命令是非常重要的?。outer<config>#enablepassword12345//設(shè)置密碼為"12345"Router<config>#enablesecret12345//設(shè)置特權(quán)密文為"12345"Router<config>#lineconsole0//進(jìn)入主控制臺的"0"端口Router〈config-line〉#passwordcisco//將進(jìn)入主控臺登錄密碼設(shè)置為"cisco"Router<config-line>#login//將主控臺的"0"端口設(shè)置為“允許登錄”Router〈config-line〉#exit//退出Router〈config〉#linevty04//進(jìn)入VTY（virtueterminalline虛擬終端，一般針對Telnet登錄方式）Router〈config-line〉#passwordcisco//設(shè)置虛擬終端登陸時的密碼為"cisco"Router〈config-line〉#exec-timeout50//設(shè)置在登錄路由器后，不做任何操作的情況下，5分0秒后將與路由器斷開。如果不輸入此命令，當(dāng)你進(jìn)入路由器沒有輸入任何內(nèi)容時，10分鐘后將被路由器自動踢出?！癳xec-timeout”命令的完整形式為：exec-timeoutxx（也就是exec-timeout分秒）注：如果你在此輸入“exec-timeout00'則表示你將永遠(yuǎn)與路由器保持聯(lián)接，除非你自己logout。Router〈config-line〉#login//千萬別忘了這最后一個login，呵?這是允許虛擬終端登錄的重要命令。好了，現(xiàn)在配置過程基本完成。在以上配置中，路由器沒有啟用DHCP功能，所以，客戶機(jī)如果想上網(wǎng)的話，還要對網(wǎng)卡進(jìn)行相關(guān)設(shè)置。例：客戶端網(wǎng)卡的IP地址設(shè)置為：子網(wǎng)掩碼：網(wǎng)關(guān)：192.168.0.1,主DNS地址：0備用DNS地址：51,不過，大部份朋友使用Cisco路由器后，都會在局域網(wǎng)內(nèi)架設(shè)一臺DHCP服務(wù)器，即可辦公，又可給局域網(wǎng)內(nèi)機(jī)器分配IP地址，從而節(jié)省了route的內(nèi)存。建議大家不妨也用這種辦法組網(wǎng)。對了，說到路由器的內(nèi)存，下面再給大家介紹幾個常用命令，一定要記住哦?.以下這幾條命令都是在“Router#”狀態(tài)下鍵入的：showversion:顯示系統(tǒng)的硬件配置、軟件版本、配置文件的源和名字以及啟動鏡像等信息。showprocesses:顯示當(dāng)前活動進(jìn)程showprotocols:顯示已經(jīng)配置的協(xié)議showmemory:顯示路由器的內(nèi)存信息showiproute:顯示路由表信息showflash:顯示閃存設(shè)備的信息showrunning-config:顯示當(dāng)前活動信息showstartup-config:顯示備份配置文件showinterfaces:顯示已經(jīng)配置的端口屬性。女口：showinterfaceeth0則會顯示Ethernet0的相關(guān)配置信息示例2某公司使用一臺具有兩個Ethernet的路由器。Ethernet。連接到內(nèi)部網(wǎng)絡(luò)，而Ethernetl則連接到一個LAN網(wǎng)段。公司與其ISP的路由器共享該網(wǎng)段。在內(nèi)部網(wǎng)絡(luò)中，公司使用/24地址空間中的地址。公司為自己提供一個IP地址/24。公司路由器的接口使用IP地址,而ISP路由器接口則使用IP地址，而將那些從/24開始的其余地址留給NAT轉(zhuǎn)換。公司希望在路由器上使用必要的命令，以使其內(nèi)部用戶能夠使用ISP所提供的地址空間中的有效，全局可路由的地址，以訪問Internet。1解決方案i