在我們的生產環境中常常處於安全考慮將服務器置於內網環境中,但同時得向外網提供各種服務功能,此時就需要用到NAT技術。下面是我用思科的仿真軟件搭建的一個實驗環境,實現外網PC訪問內網服務器。
先說明一下實驗環境:
路由器R0左邊爲內網環境,右邊爲外網環境,內網服務器IP地址爲192.168.1.2,網關爲R0接口地址192.168.1.1,外網PC機IP地址爲211.211.211.2,網關爲路由器R1接口地址211.211.211.1,現在要求實現外網PC訪問內網服務器。
數據配置如下:
路由器R0:
配置接口地址
interface fastEthernet 0/0
ip add 211.211.211.1 255.255.255.0
no shut
退出接口,進入串口配置數據
interface serial 1/0
ip add 115.115.115.2 255.255.255.0
no shut
退出接口,並宣告外網ip地址
router eigrp 1
network 115.115.115.0 0.0.0.255
路由器R1配置如下:
配置接口地址
interface fastEthernet 0/0
ip add 211.211.211.1 255.255.255.0
no shut
退出接口,進入串口配置數據
interface serial 1/0
ip add 115.115.115.1 255.255.255.0
no shut
退出接口,並宣告外網ip地址
router eigrp 1
network 115.115.115.0 0.0.0.255
network 211.211.211.0 0.0.0.255
配置到此步時可以驗證PC機可以ping同R0外網接口地址,但是無法訪問內網服務器
此時在路由器R0上配置NAT轉換
進入內網接口配置接口類型
interface fastEthernet 0/0
ip nat inside
exit
interface serial 1/0
ip nat outside
exit
配置靜態NAT實現地址轉換
IP nat inside source static 192.168.1.2 155.155.155.3
注意此處我將內網服務器IP轉換到了一個新的外網IP上,此外網IP跟R0路由器外網接口配置的IP地址在同一網段
但是此時外網PC機仍然不能ping通內網服務器IP地址192.168.1.2,注意其實剛開始在這裏我也陷入了一個誤區,認爲服務器內網IP經過靜態NAT轉換後可以被外網ping通,實際上時NAT技術是將所有發往192.168.1.2的數據全部發給映射後的地址也就是115.115.115.3,此時訪問外網被映射後的IP地址115.115.115.3就相當於訪問內網服務器。
用命令查看及測試驗證
show ip nat translations
