注意:Cisco2500及1600系列路由器在IOS为11.2版本以上支持NAT功能。
设置NAT功能的路由器至少要有一个Inside(内部)端口及至少一个Outside(外部)端口。内部端口连接的网络内的用户使用的是假的IP地址,及内部端口连接内部网络。且内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。
典型的应用,NAT设置在内部网与外部公用网的连接处的路由器上。当IP数据包离开内部网时NAT负责将内部的假的IP源地址转换成合法IP地址。当IP数据包进入内部网时,NAT将合法IP目的地址转换成内部假的IP地址。
启用NAT功能的路由器,一定不能将内部网络路由信息广播到外部。然而,从外部广播来的路由信息,该路由器可以接受。
NAT的几个概念:
内部本地地址(Inside local address):
分配给内部网络中的计算机的假的IP地址
内部合法地址(Inside global address):
对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。
NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。
静态地址转换
静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户共的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
动态地址转换:
动态地址转换也是将本地地址与内部合法地址一对一的转换,但是是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。
复用动态地址转换:
复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况,这种转换极为有用。
注意:当多个用户同时使用一个IP地址,外部网络如何进行识别呢?路由器内部会利用上层的如TCP或UDP端口号等唯一标识某台计算机。
静态地址转换基本配置步骤:
在内部本地地址与内部合法地址之间建立静态地址转换。
Ip nat inside source static 内部本地地址内部合法地址
指定连接网络的内部端口
在端口设置状态下
ip nat inside
指定连接外部网络的外部端口
在端口设置状态下
ip nat outside
注意:你可以定义多个内部端口及多个外部端口。
动态地址转换基本配置步骤:
在全局设置模式下,定义内部合法地址池
ip nat pool 地址池名称 起始IP地址 终止IP地址子网掩码
其中地址池名字可以任意设定。
在全局设置模式下,定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。
Access-list 标号 permit 源地址 通配符
其中标号为1-99之间的整数。
在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。
ip nat inside source list access-list 标号 pool内部合法地址池名字
指定与内部网络相连的内部端口在端口设置状态下:
ip nat inside
指定与外部网络相连的外部端口
Ip nat outside
复用动态地址转换配置步骤:
在全局设置模式下,定义内部合地址池
ip nat pool 地址池名字 起始IP地址 终止IP地址子网掩码
其中地址池名字可以任意设定。
在全局设置模式下,定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换。
Access-list 标号 permit 源地址 通配符
其中标号为1-99之间的整数。
在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。
ip nat inside source list access-list 标号 pool 内部合法地址池名字 overload
在端口设置状态下,指定与内部网络相连的内部端口
ip nat inside
在端口设置状态下,指定与外部网络相连的外部端口
ip nat outside
实例: 本实例中采用两台路由器直连方式。其中一台作为内部网络的路由器,另一台相当于外部网络上的路由器。本实例同时应用了三种NAT地址转换功能。将2511的以太口作为内部端口,同步端口0作为外部端口。其中10.1.1.10,10.1.1.11,10.1.1.12的内部本地地址采用静态地址转换。而10.1.2.0网段采用动态地址转换。而10.1.3.0网段采用复用动态地址转换。为了证实地址复用功能,复用地址池只用了一个IP地址,即192.31.1.31。在本实例中,采用了10.1.3.0上的两台PC同时长时间Ping另一台路由器。通过debug可以发现内部路由器相当于在分时复用IP。
2511的配置
Current configuration:
!
version 11.3
no service password-encryption
!
hostname 2511
!
ip nat pool kim 192.1.1.20 192.1.1.30 netmask 255.255.255.0
ip nat pool lab 192.1.1.31 192.1.1.31 netmask 255.255.255.0
ip nat inside source list 1 pool kim
ip nat inside source list 2 pool lab overload
ip nat inside source static 10.1.1.10 192.1.1.10
ip nat inside source static 10.1.1.11 192.1.1.11
ip nat inside source static 10.1.1.12 192.1.1.12
!
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip nat outside
no ip mroute-cache
bandwidth 2000
no fair-queue
clockrate 2000000
!
interface Serial1
no ip address
shutdown
!
no ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
access-list 1 permit 10.1.2.0 0.0.0.255
access-list 2 permit 10.1.2.0 0.0.0.255
!
line con 0
line 1 8
line aux 0
line vty 0 4
password cisco
!
end
2514的配置
!
interface Ethernet0
no ip address
!
interface Ethernet1
no ip address
interface Serial0
ip address 192.1.1.2 255.255.255.0
!
interface Serial1
no ip address
shutdown
!
no ip classless
ip route 192.1.1.0 255.255.255.0 Serial0
!
line con 0
line 1 8
line aux 0
line vty 0 4
login
!
end
调试手段: show ip nat statistcs
show ip nat translations