一、在思科路由器配置NAT
筆者將簡(jiǎn)單介紹下在CISCO路由器上設(shè)置NAT功能的命令,理論方面是一樣的,只是在具體命令上有所區(qū)別。
1.網(wǎng)絡(luò)環(huán)境:
內(nèi)網(wǎng)用戶IP地址為10.83.91.0/255.255.255.0,路由器使用的是CISCO公司出品的2600產(chǎn)品,該產(chǎn)品有兩個(gè)以太網(wǎng)口供我們使用。網(wǎng)口一連接外網(wǎng),IP地址為公網(wǎng)地址;網(wǎng)口二連接內(nèi)網(wǎng),IP地址為私網(wǎng)地址。
2.配置過程:
公司希望在路由器上配置NAT功能,讓內(nèi)網(wǎng)中的用戶使用NAT訪問外網(wǎng)。2600系列路由器上已經(jīng)配置了外網(wǎng)接口IP為61.51.3.103(公網(wǎng)IP地址),內(nèi)網(wǎng)接口IP地址為10.83.91.254。NAT配置命令如下,筆者將一一做詳細(xì)注釋。
ip nat pool xxzx 61.51.3.103 61.51.3.103 netmask 255.255.255.252
定義一個(gè)外網(wǎng)地址池名為xxzx,頭一個(gè)IP為地址池起始地址,后一個(gè)IP為地址池的終止地址。如果公網(wǎng)IP地址不夠用的話,可以都用同一個(gè)IP地址。NETMASK后是子網(wǎng)掩碼。
access-list 1 permit 10.83.91.0 0.0.1.255
定義容許NAT的網(wǎng)段,同樣采用反向掩碼進(jìn)行描述,0.0.1.255代表的子網(wǎng)掩碼255.255.255.0。
ip nat inside source list 1 pool xxzx overload
啟用NAT,容許NAT的地址為ACL 1中定義的,而轉(zhuǎn)換后使用的IP地址為XXZX地址池中定義的,最后的overload表示所有內(nèi)網(wǎng)計(jì)算機(jī)都使用同一個(gè)外網(wǎng)IP地址,多臺(tái)機(jī)器復(fù)用一個(gè) IP。然后進(jìn)入內(nèi)網(wǎng)接口輸入ip nat inside進(jìn)入外網(wǎng)接口輸入ip nat outside命令。經(jīng)過上面五步命令就完成了全部的NAT配置工作。
3.附屬功能:
有的公司可能有專門的WWW服務(wù)器或MAIL服務(wù)器,對(duì)于這些服務(wù)器來說不能使用NAT進(jìn)行映射,因?yàn)镹AT后如果沒有采用其他諸如端口映射的方法外網(wǎng)用戶是不能正常訪問WWW和 MAIL服務(wù)器的。這時(shí)可以在路由器上對(duì)主機(jī)進(jìn)行宣告。例如上面的公司如果其 WWW服務(wù)器的IP地址內(nèi)網(wǎng)是10.83.91.2,公網(wǎng)發(fā)布地址為61.51.3.104的話,可以使用如下命令宣告:ip nat inside source static 61.51.3.104 10.83.91.2
總結(jié):
你若對(duì)華為設(shè)備比較熟悉的話,通過比較華為設(shè)備的配置命令和CISCO公司路由器的設(shè)置命令可以看出兩個(gè)公司具體配置非常類似。只是華為公司提供了EASYIP功能在外網(wǎng)IP地址上能夠節(jié)約一個(gè)公網(wǎng)IP而已。
我們可以通過在路由器上做配置,讓路由器在發(fā)送路由數(shù)據(jù)包的同時(shí)起到NAT的作用。今天就將詳細(xì)配置指令教給大家。
1.網(wǎng)絡(luò)環(huán)境:
內(nèi)網(wǎng)用戶IP地址為10.83.91.0/255.255.254.0,也就是說IP地址為兩個(gè)C類地址,涵蓋范圍為10.83.91.0到10.83.92.255。路由器使用的是華為公司出品的2621產(chǎn)品,該產(chǎn)品有兩個(gè)以太網(wǎng)口供我們使用。網(wǎng)口一連接外網(wǎng),IP地址為公網(wǎng)地址;網(wǎng)口二連接內(nèi) 網(wǎng),IP地址為私網(wǎng)地址。
2.配置過程:
公司希望在路由器上配置NAT功能,讓內(nèi)網(wǎng)中的用戶使用NAT訪問外網(wǎng)。2621路由器上已經(jīng)配置了外網(wǎng)接口IP為61.51.3.103(公網(wǎng)IP地址),內(nèi)網(wǎng)接口IP地址為10.83.91.254。NAT配置命令如下,筆者將一一做詳細(xì)注釋。
“acl 1”
命令解釋:設(shè)置一個(gè)訪問控制列表,列表號(hào)為1。
“rule normal permit source 10.83.91.254 0.0.1.255”
命令解釋:為訪問控制列表添加規(guī)則,容許10.83.91.254/255.255.254.0這個(gè)網(wǎng)段的所有地址通過。注意一點(diǎn)的是命令中使用的是0.0.1.255這樣的反向掩碼形式,實(shí)際上他代表子網(wǎng)掩碼為255.255.254.0。
“nat outbound 1 interface”
命令解釋:在NAT出口接口上進(jìn)行設(shè)置,即外網(wǎng)接口,啟用NAT功能。容許NAT的主機(jī)為訪問控制列表1中規(guī)定的地址。
小提示:華為路由器啟用NAT功能時(shí)使用了一種稱作EASYIP的技術(shù),可以讓內(nèi)網(wǎng)IP映射為路由器的外網(wǎng)接口IP地址,從而讓多個(gè)內(nèi)網(wǎng)IP地址對(duì)應(yīng)一個(gè)公網(wǎng)IP,這個(gè)技術(shù)可以在數(shù)量上節(jié)省一個(gè)公網(wǎng)IP地址。
3.附屬功能:
有的公司可能有專門的WWW服務(wù)器或MAIL服務(wù)器,對(duì)于這些服務(wù)器來說不能使用NAT進(jìn)行映射,因?yàn)镹AT后如果沒有采用其他諸如端口映射的方法外網(wǎng)用戶是不能正常訪問WWW和MAIL服務(wù)器的。這時(shí)可以在路由器上使用nat server命令解決這個(gè)問題,對(duì)主機(jī)進(jìn)行宣告。例如上面的公司如果其WWW服務(wù)器的IP地址內(nèi)網(wǎng)是10.83.91.2,公網(wǎng)發(fā)布地址為 61.51.3.104的話,可以使用如下命令宣告:“nat server global 61.51.3.104 any inside 10.83.91.2 any ip”。
總結(jié):
筆者在公司的2621上配置了NAT后網(wǎng)絡(luò)運(yùn)行非常穩(wěn)定,不過配置時(shí)要注意以下幾點(diǎn),一是設(shè)置訪問控制列表時(shí)一定要設(shè)置相應(yīng)的規(guī)則,如果ACL是空或者規(guī)則采用permit any都會(huì)造成NAT的失效,因?yàn)槁酚善鲗⒉恢滥膫(gè)接口為NAT外網(wǎng)接口,哪個(gè)是內(nèi)網(wǎng)接口。
接下來筆者將帶領(lǐng)大家一步步在Windows 2003 Server服務(wù)器上配置并啟用NAT功能。
1.具體網(wǎng)絡(luò)環(huán)境:
電信的ADSL,交換機(jī)一個(gè),服務(wù)器一臺(tái),客戶機(jī)若干,網(wǎng)線已經(jīng)做好,所有機(jī)器上用的都是windows2000或是XP。
2.配置服務(wù)器NAT地址轉(zhuǎn)換
第一步:?jiǎn)?dòng)“路由和遠(yuǎn)程訪問”,通過“開始->程序->管理工具->路由和遠(yuǎn)程訪問”,默認(rèn)狀態(tài)下,將本地計(jì)算機(jī)列出為服務(wù)器。如果要添加其他服務(wù)器,請(qǐng)?jiān)诳刂婆_(tái)目錄樹中,右鍵單擊“服務(wù)器狀態(tài)”,然后單擊“添加服務(wù)器”。
第二步:右擊要啟用的服務(wù)器(這里是本地服務(wù)器),然后單擊“配置并啟用路由和遠(yuǎn)程訪問”,啟動(dòng)配置向?qū)А?
第三步:出現(xiàn)歡迎頁面后單擊下一步。出現(xiàn)選擇服務(wù)器角色設(shè)置頁面,選擇“網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)”,接著單擊下一步。
第四步:在Internet連接頁面中選擇“使用Internet連接”,在下面的Internet列表中選項(xiàng)“外網(wǎng)連接”,我們將讓客戶機(jī)通過這條連接訪問Internet,界面如下圖。單擊下一步繼續(xù)。
小提示:這一點(diǎn)非常重要,一定不能把內(nèi)網(wǎng)與外網(wǎng)的接口選擇錯(cuò)誤,否則配置的NAT就無法生效,因此我們?cè)谏厦鎸⒈镜剡B接的名稱進(jìn)行了修改,這里就顯得一目了然了。
接下來將出現(xiàn)是否啟用基本名稱和地址啟用服務(wù)對(duì)話框,如果你沒有DHCP和DNS服務(wù)器就可以選擇啟用,單擊下一步。完成向?qū)Ш笙到y(tǒng)將啟動(dòng)路由和遠(yuǎn)程訪問功能并完成初始化工作。
配置靜態(tài)路由,通過路由和遠(yuǎn)程訪問窗口的“服務(wù)器->IP路由選擇->靜態(tài)路由”。右擊“靜態(tài)路由”,選擇“新建靜態(tài)路由”。彈出“靜態(tài)路由”配置對(duì)話框,在接口處選擇“外網(wǎng)連接”,目標(biāo)與子網(wǎng)掩碼均填寫“0.0.0.0”,躍點(diǎn)數(shù)填寫“1”。“確定”退出。
小提示:當(dāng)目標(biāo)與子網(wǎng)掩碼都填寫0.0.0.0時(shí)候表示這條靜態(tài)路由是默認(rèn)路由,任何到外網(wǎng)的數(shù)據(jù)包都通過外網(wǎng)接口傳輸。
3.測(cè)試配置結(jié)果
首先用隨便一個(gè)客戶機(jī)Ping NAT服務(wù)器本地地址,即ping 192.168.1.254。接著用客戶機(jī)Ping NAT服務(wù)器本地地址對(duì)端地址,即通過ADSL動(dòng)態(tài)獲取的IP地址。(這個(gè)地址是公網(wǎng)地址)最后用服務(wù)器Ping客戶機(jī),如:ping 192.168.1.2。
當(dāng)上述PING均成功連通的話說明我們的NAT設(shè)置成功,內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)都已經(jīng)被服務(wù)器所保護(hù),而且當(dāng)他們與INTERNET上的數(shù)據(jù)進(jìn)行傳輸時(shí)使用的IP地址也是服務(wù)器通過ADSL撥號(hào)獲得的IP地址。
總結(jié):
NAT得到了廣大中小企業(yè)的青睞,一臺(tái)服務(wù)器可以輕松的配置成NAT服務(wù)器,當(dāng)然前提是必須安裝兩個(gè)網(wǎng)卡。配置了NAT的網(wǎng)絡(luò)在安全性和可靠性方面大大提高。不過NAT也存在著缺點(diǎn),那就是在一定程度上由于數(shù)據(jù)包要經(jīng)過一個(gè)地址轉(zhuǎn)換的過程,所以傳輸速度上 會(huì)受到影響。
