CISCO NAT 經典配置合集(共5篇)
示例1
在本例中,公司使用一臺兩接口路由器,一個是Ethernet,另一個是串行接口。Ethernet0連接到內部網絡,而串行接口則通過PPP鏈路連接到ISP路由器。在內部網絡中,公司使用10.0.0.0/24地址範圍內的地址。公司已從其供應商那裏獲得了一個單一的全局可路由的IP地址171.100.1.1,並且該地址用於路由器的串行接口上。公司使用PAT將其所有的內部本地地址轉換成單一的內部全局地址171.100.1.1。公司希望提供可以從Internet訪問的FTP和Web服務器,並且對Web服務器的請求應被送到Web服務器所在的地址10.1.1.100,而FTP請求則被送到FTP服務器所在的地址10.1.1.101。
1 解決方案
inte***ce ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
inte***ce serial0
ip address 171.100.1.1 255.255.255.252
ip nat outside
!
ip access-list permit 10.0.0.0 0.255.255.255
!
ip nat inside source list 1 inte***ce serial0 overload
ip nat inside source list 1 static tcp 10.1.1.100 80 171.100.1.1 80
ip nat inside source list 1 static tcp 10.1.1.101 21 171.100.1.1 21
2 分析
先定義NAT所用的接口,並通過將合適的命令放在每個接口下面來定義接口是NAT內部或外部接口。通常,在定義NAT接口之後,就要定義NAT池來指定所用的內部全局地址。但是,在本例中只使用了一個單一的內部全局地址,並且將該單一內部全局地址用於路由器的serial 0接口上。由於只有一個單一內部全局地址並且用於路由器自己的接口上,所以我們不需要定義NAT池。我們只簡單地使用示例中所示的inside source list語句即可。所定義源列表使用路由器接口的IP地址,並且超載該單一IP地址。該命令允許來自10.0.0.0/24網絡的內部主機訪問Internet。路由器執行PAT來創建TCP / UDP端口的NAT映射。完成該步以後,接下來需要爲內部Web和FTP服務器創建靜態映射。
由於只有一個單一的內部全局IP地址,因此要根據IP地址以及TCP或UDP端口來定義靜態映射。在本例中,將目的地址爲171.100.1.1和目的TCP端口爲80的報文地址轉換成TCP端口80上的10.1.1.100內部主機地址。我們還將目的地址爲171.100.1.1和目的TCP端口爲21的報文地址轉換成TCP端口21上的10.1.1.101內部主機地址。這樣我們就在不同的內部服務器上提供了Web和FTP服務,雖然我們只有一個單一的內部全局地址。注意,由於該命令語法允許指定內部服務器的IP地址和端口,所以可以在內部提供多個Web和FTP服務器。例如,可以創建如下的靜態映射:
ip nat inside source static tcp 10.1.1.102 21 21.171.100.1 27
該轉換*作將所有目的地址爲171.100.1.1且目的端口爲27的向內報文的地址轉換爲FTP端口上的地址10.1.1.102。當然,我們必須保證,外部用戶能夠知道我們的FTP服務器使用非標準的端口,而大多數的FTP客戶機都提供這一能力。顯然公司可以使用各種不同的端口轉換方法來提供服務,即使公司只有一個全局可路由的IP地址。這些方法使Cisco NAT的功能更加強大。
CISCO NAT 經典配置合集(二)
inte***ce ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
inte***ce serial0
ip address 171.100.1.1 255.255.255.252
ip nat outside
!
ip access-list permit 10.0.0.0 0.255.255.255
!
ip nat inside source list 1 inte***ce serial0 overload
ip nat inside source list 1 static tcp 10.1.1.100 80 171.100.1.1 80
ip nat inside source list 1 static tcp 10.1.1.101 21 171.100.1.1 21
2 分析
先定義NAT所用的接口,並通過將合適的命令放在每個接口下面來定義接口是NAT內部或外部接口。通常,在定義NAT接口之後,就要定義NAT池來指定所用的內部全局地址。但是,在本例中只使用了一個單一的內部全局地址,並且將該單一內部全局地址用於路由器的serial 0接口上。由於只有一個單一內部全局地址並且用於路由器自己的接口上,所以我們不需要定義NAT池。我們只簡單地使用示例中所示的inside source list語句即可。所定義源列表使用路由器接口的IP地址,並且超載該單一IP地址。該命令允許來自10.0.0.0/24網絡的內部主機訪問Internet。路由器執行PAT來創建TCP / UDP端口的NAT映射。完成該步以後,接下來需要爲內部Web和FTP服務器創建靜態映射。
由於只有一個單一的內部全局IP地址,因此要根據IP地址以及TCP或UDP端口來定義靜態映射。在本例中,將目的地址爲171.100.1.1和目的TCP端口爲80的報文地址轉換成TCP端口80上的10.1.1.100內部主機地址。我們還將目的地址爲171.100.1.1和目的TCP端口爲21的報文地址轉換成TCP端口21上的10.1.1.101內部主機地址。這樣我們就在不同的內部服務器上提供了Web和FTP服務,雖然我們只有一個單一的內部全局地址。注意,由於該命令語法允許指定內部服務器的IP地址和端口,所以可以在內部提供多個Web和FTP服務器。例如,可以創建如下的靜態映射:
ip nat inside source static tcp 10.1.1.102 21 21.171.100.1 27
該轉換*作將所有目的地址爲171.100.1.1且目的端口爲27的向內報文的地址轉換爲FTP端口上的地址10.1.1.102。當然,我們必須保證,外部用戶能夠知道我們的FTP服務器使用非標準的端口,而大多數的FTP客戶機都提供這一能力。顯然公司可以使用各種不同的端口轉換方法來提供服務,即使公司只有一個全局可路由的IP地址。這些方法使Cisco NAT的功能更加強大。
CISCO NAT 經典配置合集(二)
示例2
在本例中,某公司使用一臺具有兩個Ethernet的路由器。Ethernet0連接到內部網絡,而Ethernet1則連接到一個LAN網段。公司與其ISP的路由器共享該網段。在內部網絡中,公司使用10.0.0.0/24地址空間中的地址。公司爲自己提供一個IP地址或171.100.1.0/24。公司路由器的接口使用IP地址171.100.1.1,而ISP路由器接口則使用IP地址171.100.1.2,而將那些從171.100.1.0/24開始的其餘地址留給NAT轉換。公司希望在路由器上使用必要的命令,以使其內部用戶能夠使用ISP所提供的地址空間中的有效,全局可路由的地址,以訪問Internet。
1 解決方案
interface ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface Ethernet1
ip address 171.100.1.1 255.255.255.0
ip nat outside
!
ip access-list 1 permit 10.0.0.0 0.255.255.255
!
ip nat pool internet 171.100.1.3 171.100.1.254 netmask 255.255.255.0
!
ip nat inside source list 1 pool internet
2 分析
在該方案中定義了用於NAT的接口。通過將相應的命令放在每個接口下面,指定該接口是一個NAT外部接口或內部接口。這是配置NAT的第一步。如果讀者不將接口指定爲一個NAT內部或NAT外部接口,或者指定的不正確,則NAT就不能正確工作。如果不定義NAT接口,NAT根本不工作,並且debug ip nat detail命令也不會輸出任何結果。如果讀者已定義了所有其他的NAT命令,但NAT還是不工作,則確認每個接口下面的所放的NAT命令是否合理。
在每個接口下面定義了合適的NAT命令之後,就可以定義存放內部全局地址的NAT池。我們定義的起始IP地址是171.100.1.3,而結束地址爲171.100.1.254。我們不使用.1和.2地址是因爲這兩個地址分別用於用戶路由器和ISP路由器。由於這兩個地址也與用戶路由器上的Ethernet1接口所在的子網是同一子網地址,用戶路由器將使用自己的MAC地址回答來自ISP路由器的ARP請求。這允許ISP路由器從NAT池中解析出IP地址,並使用從NAP池中取出的目的IP地址將報文發送給用戶路由器。
注意,MAT地址池並非必須來自與用戶路由器接口上所配置的子網相同。
引用 報告 回覆
CISCO NAT 經典配置合集(三)
interface ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface Ethernet1
ip address 171.100.1.1 255.255.255.0
ip nat outside
!
ip access-list 1 permit 10.0.0.0 0.255.255.255
!
ip nat pool internet 171.100.1.3 171.100.1.254 netmask 255.255.255.0
!
ip nat inside source list 1 pool internet
2 分析
在該方案中定義了用於NAT的接口。通過將相應的命令放在每個接口下面,指定該接口是一個NAT外部接口或內部接口。這是配置NAT的第一步。如果讀者不將接口指定爲一個NAT內部或NAT外部接口,或者指定的不正確,則NAT就不能正確工作。如果不定義NAT接口,NAT根本不工作,並且debug ip nat detail命令也不會輸出任何結果。如果讀者已定義了所有其他的NAT命令,但NAT還是不工作,則確認每個接口下面的所放的NAT命令是否合理。
在每個接口下面定義了合適的NAT命令之後,就可以定義存放內部全局地址的NAT池。我們定義的起始IP地址是171.100.1.3,而結束地址爲171.100.1.254。我們不使用.1和.2地址是因爲這兩個地址分別用於用戶路由器和ISP路由器。由於這兩個地址也與用戶路由器上的Ethernet1接口所在的子網是同一子網地址,用戶路由器將使用自己的MAC地址回答來自ISP路由器的ARP請求。這允許ISP路由器從NAT池中解析出IP地址,並使用從NAP池中取出的目的IP地址將報文發送給用戶路由器。
注意,MAT地址池並非必須來自與用戶路由器接口上所配置的子網相同。
引用 報告 回覆
CISCO NAT 經典配置合集(三)
示例3
在本例中,公司使用一臺具有兩個接口的路由器,分別是以太網和串行接口。Ethernet0連接到內部網絡,而串行接口則通過點到點協議(PPP)鏈路連接到ISP路由器。在內部網絡中,公司使用的地址來自地址空間10.0.0.0/24,該地址空間在Internet上是不可路由的。公司自己使用IP地址範圍171.100.1.0/24。到ISP的PPP鏈路使用來自198.50.1.0/30子網的地址。公司希望在路由器上配置合適的命令,以便內部用戶可以通過使用有效的、全局可路由的地址訪問Internet。這些地址應該是來自ISP所提供的地址空間171.100.1.0/24。我們打算與上游的ISP路由器交換OSPF(開放式最短路徑優先)更新信息。從而可以從該路由器接收缺省路由,並將其通知ISP路由器,該路由正在公司路由器上使用。
1 解決方案1
interface ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface serial0
ip address address 198.50.1.1 255.255.255.252
ip nat outside
!
ip access-list 1 permit 10.0.0.0 0.255.255.555
!
ip nat pool internet 171.100.1.1 171.100.1.254 netmask 255.255.255.0
!
ip nat inside source list 1 pool internet
!
ip route 171.100.1.0 255.255.255.0 null0
!
router ospf 1
network 198.50.1.0 0.0.0.255 area 0
redistribute static
2 解決方案2
interface loopback 0
ip address 171.100.1.1 255.255.255.0
ip ospf network point-to-point
!
interface ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface serial0
ip address address 198.50.1.1 255.255.255.252
ip nat outside
!
ip access-list 1 permit 10.0.0.0 0.255.255.555
!
ip nat pool internet 171.100.1.1 171.100.1.254 netmask 255.255.255.0
!
ip nat inside source list 1 pool internet
!
ip route 171.100.1.0 255.255.255.0 null0
!
router ospf 1
network 198.50.1.0 0.0.0.255 area 0
network 171.100.1.0 0.0.0.255 area 0
3 分析
在解決方案1中,先定義了用於NAT的接口,並通過將合適的命令放在每個接口下面,來指定該接口是一個NAT內部或外部接口。在每個接口下面定義了適當的NAT命令之後,再定義內部全局地址所在的NAT池。定義全局地址的起始IP地址爲171.100.1.1,結束IP地址爲171.100.1.254。我們使用除.1和.2地址之外的所有主機地址,是因爲這些主機地址都不用於路由器接口。通過在NAT池中使用與用戶路由器接口所用子網不同的子網,可以獲得一些主機地址。但這又引入了一個新的問題。
在前一個示例中,ISP路由器直接連接到分配給NAT池的子網上。這種情況下,ISP路由器只發出一個ARP請求,以請求NAT池中的單個NAT地址,而用戶路由器則使用自己的MAC地址來響應,此時工作正常。但是,上游的ISP路由器並不直接連接到NAT地址池子網171.100.1.0/24,所以必須告訴它如何通過路由協議或靜態路由的方法到達NAT池所在的子網。在解決方案1中,我們啓用了OSPF並且爲171.100.1.0/24重新分配一個靜態路由到OSPF中。上游的ISP路由器會接收到該路由,並且將所有目的地址爲NAT池中地址的報文轉發到我們的路由器中。
可選地,ISP可以在其路由器上安裝一個靜態路由,用來將所有171.100.1.0/24網絡的報文指向我們的路由器。但是,我們希望:當NAT池地址不是直接從相連的子網上取出時,能夠顯示出路由信息的傳播路徑。注意,我們將整個171.10.10/24子網的NAT地址表置爲null0。由於我們要指定NAT地址表中的某些表項,而非整個171.100.1.0/24子網,這時路由器並不丟棄這些報文,而是將它們轉發到NAT表中所定義的內部主機上。
在解決方案2中,我們使用了另一種方法來通知ISP路由器有關NAT池的信息。這種方法是創建一個閉環(loopback)接口,並給其分配一個NAT池中的IP地址。通過將network171.100.1.00.0.0.255 area 0語句包含在我們的OSPF路由進程下面,可以將該閉環地址作爲OSPF路由的一部分。注意,我們將.1地址從NAT池中刪除,而使用主機地址.2作爲NAT池的起始地址,這樣就減少了NAT池地址和用於閉環接口上的IP地址重疊的可能性。另外,我們在閉環接口下面使用接口命令ip ospf ntwork point-to-point。一般地,OSPF將閉環接口看成是一個OSPF樁(stub)網絡,並且將接口的32位表項作爲路由,而非整個子網。在本例中,OSPF進程會發送172.100.1.1/32而非表172.100.1.0/24。在這種情況下,由於需要將整個171.100.1.0/24子網信息傳送給上游的ISP路由器,所以該地址轉換過程不能工作。OSPF接口命令告訴OSPF傳送該接口的路由,就像該網絡是點到點網絡一樣,而不像是一個樁(stub)網絡。這意味着它將通過OSPF傳送整個171.100.1.0/24子網信息(ip ospf network point-to-point命令在IOS版本11.3或更高版本中使用),這兩種方法都能正常工作,但使用哪一種則是讀者的偏好問題了。
注意:我們知道一個公司通常會在其路由器和ISP路由器之間運行邊界網關協議(Border Gateway Protocol, BGP)。在本例中,我們選擇了OSPF路由協議,目的是爲了分析ip ospf network point-to-point命令。
CISCO NAT 經典配置合集(四)
interface ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface serial0
ip address address 198.50.1.1 255.255.255.252
ip nat outside
!
ip access-list 1 permit 10.0.0.0 0.255.255.555
!
ip nat pool internet 171.100.1.1 171.100.1.254 netmask 255.255.255.0
!
ip nat inside source list 1 pool internet
!
ip route 171.100.1.0 255.255.255.0 null0
!
router ospf 1
network 198.50.1.0 0.0.0.255 area 0
redistribute static
2 解決方案2
interface loopback 0
ip address 171.100.1.1 255.255.255.0
ip ospf network point-to-point
!
interface ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface serial0
ip address address 198.50.1.1 255.255.255.252
ip nat outside
!
ip access-list 1 permit 10.0.0.0 0.255.255.555
!
ip nat pool internet 171.100.1.1 171.100.1.254 netmask 255.255.255.0
!
ip nat inside source list 1 pool internet
!
ip route 171.100.1.0 255.255.255.0 null0
!
router ospf 1
network 198.50.1.0 0.0.0.255 area 0
network 171.100.1.0 0.0.0.255 area 0
3 分析
在解決方案1中,先定義了用於NAT的接口,並通過將合適的命令放在每個接口下面,來指定該接口是一個NAT內部或外部接口。在每個接口下面定義了適當的NAT命令之後,再定義內部全局地址所在的NAT池。定義全局地址的起始IP地址爲171.100.1.1,結束IP地址爲171.100.1.254。我們使用除.1和.2地址之外的所有主機地址,是因爲這些主機地址都不用於路由器接口。通過在NAT池中使用與用戶路由器接口所用子網不同的子網,可以獲得一些主機地址。但這又引入了一個新的問題。
在前一個示例中,ISP路由器直接連接到分配給NAT池的子網上。這種情況下,ISP路由器只發出一個ARP請求,以請求NAT池中的單個NAT地址,而用戶路由器則使用自己的MAC地址來響應,此時工作正常。但是,上游的ISP路由器並不直接連接到NAT地址池子網171.100.1.0/24,所以必須告訴它如何通過路由協議或靜態路由的方法到達NAT池所在的子網。在解決方案1中,我們啓用了OSPF並且爲171.100.1.0/24重新分配一個靜態路由到OSPF中。上游的ISP路由器會接收到該路由,並且將所有目的地址爲NAT池中地址的報文轉發到我們的路由器中。
可選地,ISP可以在其路由器上安裝一個靜態路由,用來將所有171.100.1.0/24網絡的報文指向我們的路由器。但是,我們希望:當NAT池地址不是直接從相連的子網上取出時,能夠顯示出路由信息的傳播路徑。注意,我們將整個171.10.10/24子網的NAT地址表置爲null0。由於我們要指定NAT地址表中的某些表項,而非整個171.100.1.0/24子網,這時路由器並不丟棄這些報文,而是將它們轉發到NAT表中所定義的內部主機上。
在解決方案2中,我們使用了另一種方法來通知ISP路由器有關NAT池的信息。這種方法是創建一個閉環(loopback)接口,並給其分配一個NAT池中的IP地址。通過將network171.100.1.00.0.0.255 area 0語句包含在我們的OSPF路由進程下面,可以將該閉環地址作爲OSPF路由的一部分。注意,我們將.1地址從NAT池中刪除,而使用主機地址.2作爲NAT池的起始地址,這樣就減少了NAT池地址和用於閉環接口上的IP地址重疊的可能性。另外,我們在閉環接口下面使用接口命令ip ospf ntwork point-to-point。一般地,OSPF將閉環接口看成是一個OSPF樁(stub)網絡,並且將接口的32位表項作爲路由,而非整個子網。在本例中,OSPF進程會發送172.100.1.1/32而非表172.100.1.0/24。在這種情況下,由於需要將整個171.100.1.0/24子網信息傳送給上游的ISP路由器,所以該地址轉換過程不能工作。OSPF接口命令告訴OSPF傳送該接口的路由,就像該網絡是點到點網絡一樣,而不像是一個樁(stub)網絡。這意味着它將通過OSPF傳送整個171.100.1.0/24子網信息(ip ospf network point-to-point命令在IOS版本11.3或更高版本中使用),這兩種方法都能正常工作,但使用哪一種則是讀者的偏好問題了。
注意:我們知道一個公司通常會在其路由器和ISP路由器之間運行邊界網關協議(Border Gateway Protocol, BGP)。在本例中,我們選擇了OSPF路由協議,目的是爲了分析ip ospf network point-to-point命令。
CISCO NAT 經典配置合集(四)
示例4
在本例中,公司與示例2中的公司相同,但情況稍有不同。這裏公司處於Internet環境中,它決定提供一個能從Internet訪問的Web服務器,以便那些瀏覽Web的用戶能夠了解公司。該服務器位於內部網絡中,並且能夠從Internet上的主機訪問該服務器。這樣它將擁有IP地址10.1.1.100。由於Web服務器必須能夠通過Internet來訪問,所以這個源IP地址在轉發給ISP路由器之前,必須被轉換成內部全局緩衝池中的地址。我們爲公司Web服務器選擇171.100.1.100作爲其轉換成的內部全局地址。
如示例2那樣,Ethernet0連接到內部網絡,而串行接口則通過PPP鏈路連接到ISP路由器。在內部網絡中,公司使用10.0.0.0/24中的地址,而全局池中的IP地址範圍是171.100.1.0/24。在本例中,我們將假定ISP使用靜態路由來找到我們的路由器,其中路由器地址在172.100.1.0/24地址範圍內。並且ISP將該路由傳送到Internet上。
如示例2那樣,Ethernet0連接到內部網絡,而串行接口則通過PPP鏈路連接到ISP路由器。在內部網絡中,公司使用10.0.0.0/24中的地址,而全局池中的IP地址範圍是171.100.1.0/24。在本例中,我們將假定ISP使用靜態路由來找到我們的路由器,其中路由器地址在172.100.1.0/24地址範圍內。並且ISP將該路由傳送到Internet上。
1 解決方案
interface ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface serial0
ip address 198.50.1.1 255.255.255.252
ip nat outside
ip access-list 1 permit 10.0.0.0 0.255.255.255
!
ip nat pool internet prefix-length 24
address 171.100.1.1 171.100.1.99
address 171.100.1.101 171.100.1.254
!
ip nat inside source static 10.1.1.100 171.100.1.100
ip nat inside source list 1 pool internet
2 分析
如其他示例那樣,我們在使用任何其他NAT命令之前,應先定義NAT內部和外部接口。而後需要配置NAT池地址和NAT源列表,以允許能夠從池中獲得地址。本例與示例2的不同之處在於:我們需要爲Web服務器設置IP地址171.100.1.100。另外,必須在內部全局地址和內部本地地址之間給出靜態映射關係。不然的話,就不能保證NAT表中的NAT轉換會將NAT池中的特定IP地址映射到Web服務器。這也意味着無法從Internet上知道應該使用哪個地址才能到達Web服務器,顯然這是毫無用處的。
注意,我們在配置中使用ip nat inside source static 命令,以建立10.1.1.100和171.100.1.100之間的靜態映射。注意到在本例中NAT池的語法有些不同。Cisco已擴展了NAT語法,所以可以拆分NAT池所用的IP地址範圍。我們定義了兩個不同的地址範圍:從171.100.1.1到171.100.1.9 9,以及從171.100.1.1 0 1到171.100.1.254。所以我們可以將IP地址171.100.1.100從NAT池中排除出去,因爲我們使用該地址進行靜態轉換。我們使用ip nat inside source list命令來定義IP地址,以允許該IP地址從NAT池中獲取相應的IP地址。注意,至此,只使用了標準IP訪問表來定義IP地址。也可以使用一個擴展的IP訪問表,在本章後面的示例中會涉及到。
CISCO NAT 經典配置合集(五)
interface ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface serial0
ip address 198.50.1.1 255.255.255.252
ip nat outside
ip access-list 1 permit 10.0.0.0 0.255.255.255
!
ip nat pool internet prefix-length 24
address 171.100.1.1 171.100.1.99
address 171.100.1.101 171.100.1.254
!
ip nat inside source static 10.1.1.100 171.100.1.100
ip nat inside source list 1 pool internet
2 分析
如其他示例那樣,我們在使用任何其他NAT命令之前,應先定義NAT內部和外部接口。而後需要配置NAT池地址和NAT源列表,以允許能夠從池中獲得地址。本例與示例2的不同之處在於:我們需要爲Web服務器設置IP地址171.100.1.100。另外,必須在內部全局地址和內部本地地址之間給出靜態映射關係。不然的話,就不能保證NAT表中的NAT轉換會將NAT池中的特定IP地址映射到Web服務器。這也意味着無法從Internet上知道應該使用哪個地址才能到達Web服務器,顯然這是毫無用處的。
注意,我們在配置中使用ip nat inside source static 命令,以建立10.1.1.100和171.100.1.100之間的靜態映射。注意到在本例中NAT池的語法有些不同。Cisco已擴展了NAT語法,所以可以拆分NAT池所用的IP地址範圍。我們定義了兩個不同的地址範圍:從171.100.1.1到171.100.1.9 9,以及從171.100.1.1 0 1到171.100.1.254。所以我們可以將IP地址171.100.1.100從NAT池中排除出去,因爲我們使用該地址進行靜態轉換。我們使用ip nat inside source list命令來定義IP地址,以允許該IP地址從NAT池中獲取相應的IP地址。注意,至此,只使用了標準IP訪問表來定義IP地址。也可以使用一個擴展的IP訪問表,在本章後面的示例中會涉及到。
CISCO NAT 經典配置合集(五)
示例5
在本例中,公司使用一臺兩接口路由器,一個Ethernet和一個串行接口。其中Ethernet0連接到內部網絡,而串行接口則通過PPP鏈路連接到ISP路由器。在內部網絡中,公司使用10.0.0.0/24地址空間中的地址,該地址在Internet上不能路由。公司還提供了IP地址範圍171.100.1.0/24,用以創建全局可訪問的Web服務器。公司認爲他們將有大量的Web服務器連接,但服務器只是一個低端服務器。並且公司並不打算買更多的機器,因爲公司已經花費了大量資金來購買硬件設備。公司希望只使用少數幾臺服務器,並且對於外界看來應該就像是一臺服務器一樣。換句話說,公司希望發送到一個內部全局地址上的報文能被轉換成多個內部本地地址。
1 解決方案
interface ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface serial0
ip address 198.50.1.1 255.255.255.252
ip nat outside
!
ip access-list 1 permit 171.100.1.100
!
ip nat pool web-farm 10.1.1.2 10.1.1.4 prefix-length 29 type rotary
!
ip nat inside destination list 1 pool web-farm
2 分析
我們先定義用於NAT的接口,並通過將合適的命令放在每個接口下面,來確定這些接口是NAT內部接口,還是外部接口。在每個接口下面定義了合適的NAT命令之後,接着定義NAT池。在非本例的情況下,NAT池的Web地址標識了公司所有的Web服務器的內部本地地址。注意,在本例中我們使用參數prefix-length而非netmask。值爲29的prefix-length等價於掩碼參數值255.255.255.248。再注意rotary關鍵字的使用。這表明了我們打算使用round-robin策略從NAT池中取出相應的IP地址用於轉換進來的IP報文。
在定義了NAT池之後,我們繼續定義將從rotary池中選中的IP地址。我們定義一個inside destination list語句,而不使用inside source list語句。其中inside destination list語句定義了其IP的地址匹配訪問表1的報文將使用round-robin策略,將其目的地址轉換成rotary池中定義的池地址。在這種情況下訪問表1將匹配一個單一的IP地址171.100.1.100。這樣,具有171.100.1.100目的地址的報文會將其目的IP地址修改爲:路由器使用輪詢策略從rotary池中所取出的地址。這允許使用3個內部服務器來接收目的地址爲171.100.1.100的向內報文。所有這三個內部Web服務器將分擔發送到該單一全局地址上的請求。着重指出的是路由器不會保證三臺Web服務器都是正常的。如果某臺服務器故障,路由器仍會向該服務器發送報文。如果需要功能更完善的解決方案,則Cisco有一種稱爲本地導向器(Local Director)的產品,它可以用來確定池中的服
interface ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface serial0
ip address 198.50.1.1 255.255.255.252
ip nat outside
!
ip access-list 1 permit 171.100.1.100
!
ip nat pool web-farm 10.1.1.2 10.1.1.4 prefix-length 29 type rotary
!
ip nat inside destination list 1 pool web-farm
2 分析
我們先定義用於NAT的接口,並通過將合適的命令放在每個接口下面,來確定這些接口是NAT內部接口,還是外部接口。在每個接口下面定義了合適的NAT命令之後,接着定義NAT池。在非本例的情況下,NAT池的Web地址標識了公司所有的Web服務器的內部本地地址。注意,在本例中我們使用參數prefix-length而非netmask。值爲29的prefix-length等價於掩碼參數值255.255.255.248。再注意rotary關鍵字的使用。這表明了我們打算使用round-robin策略從NAT池中取出相應的IP地址用於轉換進來的IP報文。
在定義了NAT池之後,我們繼續定義將從rotary池中選中的IP地址。我們定義一個inside destination list語句,而不使用inside source list語句。其中inside destination list語句定義了其IP的地址匹配訪問表1的報文將使用round-robin策略,將其目的地址轉換成rotary池中定義的池地址。在這種情況下訪問表1將匹配一個單一的IP地址171.100.1.100。這樣,具有171.100.1.100目的地址的報文會將其目的IP地址修改爲:路由器使用輪詢策略從rotary池中所取出的地址。這允許使用3個內部服務器來接收目的地址爲171.100.1.100的向內報文。所有這三個內部Web服務器將分擔發送到該單一全局地址上的請求。着重指出的是路由器不會保證三臺Web服務器都是正常的。如果某臺服務器故障,路由器仍會向該服務器發送報文。如果需要功能更完善的解決方案,則Cisco有一種稱爲本地導向器(Local Director)的產品,它可以用來確定池中的服