網絡地址轉換(NAT)-實例
示例一:全部採用端口複用地址轉換
當ISP分配的IP地址數量很少,網絡又沒有其他特殊需求,即無需爲Internet提供網絡服務時,可採用端口利用地址轉換方式,使網絡內的計算機採用同一IP地址訪問Internet,在節約IP地址資源的同時,又可有效保護網絡內部的計算機。
網絡環境爲:
局域網採用10Mb/s光纖,以城域網方式接入Internet,如圖4-2-2所示。路由器選用擁有2個10/100 Mb/s自適應端口的Cisco 2611。內部網絡使用的IP地址段爲192.168.100.1~192.101.254,局域網端口Ethernet 0的IP地址爲192.168.100.1,子網掩碼爲255.255.0.0。網絡分配的合法IP地址範圍爲202.99.160.128~202.99.160.131,連接ISP的端口Ethernet 1的IP地址爲202.99.160.129,子網掩碼爲255.255.255.252。可用於轉換的IP地址爲202.99.160.130。要求網絡內部的所有計算機均可訪問Internet。
案例分析:
既然只有一個可用的合法IP地址,同時處於局域網的服務器又只爲局域網提供服務,而不允許Internet中的主機對其訪問,因此完全可以採用端口複用地址轉換方式實現NAT,使得網絡內的所有計算機均可獨立訪問Internet。
配置清單:
interface fastethernet0/0
ip address 192.168.100.1 255.255.0.0 //定義本地端口IP地址
duplex auto
speed auto
ip nat inside // 定義爲本地端口
!
interface fastethernet0/1
ip address 202.99.160.129 255.255.255.252
duplex auto
speed auto
ip nat outside
!
ip nat pool onlyone 202.99.160.130 202.99.160.130 netmadk 255.255.255.252 //定義合法IP地址池,名稱爲onlyone
access-list 1 permit 192.168.100.0 0.0.0.255 //定義本地訪問列表
access-list 1 permit 192.168.100.0 0.0.0.255
ip nat inside source list1 pool onlyone overload //採用端口複用動態地址轉換
示例二:動態地址+端口複用地址轉換
許多FTP網站考慮到服務器性能和Internet連接帶寬的佔用問題,都限制同一IP地址的多個進程訪問。如果採用端口復地址轉換方式,則網絡內的所以計算機都採用同一IP地址訪問Internet,那麼,將因此而被禁止對該網站的訪問。所以,當提供的合法IP地址數量稍多時,可同時採用端口複用和動態地址轉換方式,從而既可保證所有用戶都能夠獲得訪問Internet的權力,同時,又不致、某些計算機因使用同一IP地址而被限制權限。需要注意的是,由於所有計算機都採用動態地址轉換方式,因此Internet中的所有計算機將無法實現對網絡內部服務器的訪問。
網絡環境:
局域網以2Mb/s DNA專線接入Internet,路由器選用安裝了廣域網模塊的Cisco 2611,如圖4-2-2所示。內部網絡使用的IP地址段爲172.16.100.1~172.16.102.254,局域網端口Ethernet 0的IP地址爲172.16.100.1,子網掩碼爲255.255.0.0。網絡分配的合法IP地址範圍爲202.99.160.128~202.99.160.129,子網掩碼爲255.255.255.192,可用於轉換的IP地址範圍爲202.99.160.130~202.99.160.190。要求網絡部分的部分計算機可以不受任何限制地訪問Internet,服務器無需提供Internet訪問服務。
案例分析:
既然要求網絡中的部分計算機可以不受任何限制地訪問Internet,同時,服務器無需提供Internet訪問服務,那麼,只需採用動態地址轉換+端口複用地址轉換方式即可實現。部分有特殊需求的計算機採用動態地址轉換的NAT方式,其他計算機則採用端口複用地址轉換的NAT方式。因此,部分有特殊需求的計算機可採用內部網址172.16.100.1~172.16.100.254,並動態轉換爲合法地址202.99.160.130~202.99.160.189,其他計算機採用內部網址172.16.101.1~172.16.102.254,全部轉換爲202.99.160.190。
配置清單:
interface fastethernet0/1
ip address 10.100.100.1 255.255.255.0 //定義局域網端口IP地址
duplex auto
speed auto
ip nat inside //定義爲局域端口
!
interface serial 0/0
ip address 202.99.160.129 255.255.255.192 //定義廣域網端口IP地址
!
duplex auto
speed auto
ip nat outside //定義爲廣域端口
!
ip nat pool public 202.99.160.130 202.130.160.190 netmask 255.255.255.192 //定義合法IP地址池,名稱爲public
ip nat pool super 202.99.160.130 202.130.160.189 netmask 255.255.255.192 //定義合法IP地址池,名稱爲super
ip nat inside source list1 pool super //定義列表達1採用動態地址轉換
ip nat inside source list2 pool public overload? //定義列表2採用端口複用地址轉換
access-list1 permit 172.16.100.0 0.0.0.255 //定義本地訪問列表1
access-list2 permit 172.16.102.0 0.0.0.255 //定義本地訪問列表2
access-list2 permit 172.16.102.0 0.0.0.255
示例三:靜態地址轉換+端口複用地址轉換
其實在很多時候,網絡中的服務器既爲網絡內部的客戶提供網絡服務,又同時爲Internet中的用戶提供訪問服務。因此,如果採用端口複用地址轉換或動態地址轉換,將由於無法確定服務器的IP地址,而導致Internet用戶無法實現對網絡內部服務器的訪問。此時,就應當採用靜態地址轉換+端口複用地址轉換的NAT方式。也就是說,對服務器採用靜態地址轉換,以確保服務器擁有固定的合法IP地址。而對普通的客戶計算機則採用端口複用地址轉換,使所有用戶都享有訪問Internet的權力。
網絡環境爲:
局域網採用10Mb/s光纖,以城域網方式接入Internet,如圖4-2-2所示。路由器選用擁有2個10/100 Mb/s自適應端口的Cisco 2611。內部網絡使用的IP地址段爲10.18.100.1~10.18.104.254,局域網端口Ethernet 0的IP地址爲10.18.100.1,子網掩碼爲255.255.0.0。網絡分配的合法IP地址範圍爲211.82.220.80~211.82.220.87,連接ISP的端口Ethernet 1的IP地址爲211.82.220.81,子網掩碼爲255.255.255.248。要求網絡內部的所有計算機均可訪問Internet,並且在Internet中提供Web、E-mail、FTP和Media等4種服務。
案例分析:
既然網絡內的服務器要求能夠被Internet訪問到,那麼,這部分主機必須擁有合法的IP地址,也就是說,服務器必須採用靜態地址轉換。其他計算機由於沒有任何限制,所以,可採用端口複用地址轉換的NAT方式。因此,服務器可採用內網址10.18.100.1~10.18.100.254,並分別映射爲一個合法的IP地址。其他計算機則採用內部網址10.18.101.1~172.16.104.254,並全部轉換爲一個合法的IP地址。
配置清單:
interface fastethernet0/0
ip address 10.18.100.1 255.255.0.0 //定義局域網口IP地址
duplex auto
speed auto
ip nat inside //定義局域網口
!
interface fastethernet0/1
ip address 211.82.220.81 255.255.255.248 //定義廣域網口IP地址
duplex auto
speed auto
ip nat outside //定義廣域網口
!
ip nat pool every 211.82.220.86 211.82.220.86 netmask 255.255.255.248 //定義合法IP地址池
access-list 1 permit 10.18.101.0 0.0.0.255 //定義本地訪問列表1
access-list 1 premit 10.18.102.0 0.0.0.255
access-list 1 premit 10.18.103.0 0.0.0.255
access-list 1 premit 10.18.104.0 0.0.0.255
ip nat inside source list1 pool every overload //定義列表達1採用端口複用地址轉換
ip nat inside source static 10.18.100.10 211.82.220.82 //定義靜態地址轉換
ip nat inside source static 10.18.100.11 211.82.220.83
ip nat inside source static 10.18.100.12 211.82.220.84
ip nat inside source static 10.18.100.13 211.82.220.85
示例四:TCP/UDP端口NAT映射
如果ISP提供的合法IP地址的數量較多,我們自然可以採用靜態地址轉換+端口複用動態地址轉換的方式得以完美實現。但如果ISP只提供4個IP地址,其中2個作爲網絡號和廣播地址而不可使用,1個IP地址要用於路由器定義爲默認網關, 那麼將只剩下1個IP地址可用。當然我們也可以利用這個僅存的一個IP地址採用端口複用地址轉換技術,從而實現整個局域網的Internet接入。但是由於服務器也採用動態端口,因此,Internet中的計算機將無法訪問到網絡內部的服務器。有沒有好的解決問題的方案呢?這就是TCP/UDP端口NAT映射。
我們知道,不同應用程序使用的TCP/UDP的端口是不同的,比如,Web服務使用50,FTP服務使用21,SMTP服務使用25,POP3服務使用110,等等。因此,可以將不同的TCP端口綁定至不同的內部IP地址,從而只使用一個合法的IP地址,即可在允許內部所有服務器被Internet訪問的同時,實現內部所有主機對Internet訪問。
網絡環境:
局域網採用10Mb/s光纖,以城域網方式接入Internet,如圖4-2-5所示。路由器選用擁有2個10/100 Mb/s自適應端口的Cisco 2611。內部網絡使用的IP地址段爲192.168.1.1~192.168.1.254,局域網端口Ethernet 0的IP地址爲192.168.1.1,子網掩碼爲255.255.255.0。網絡分配的合法IP地址範圍爲,211.82.220.128~211.82.220.131,連接ISP的端口Ethernet 1的IP地址爲211.82.220.129,子網掩碼爲255.225.255.252,可用於轉換的IP地址爲211.82.220.130。要求網絡內部的所有計算機均可訪問Internet。
案例分析:
既然只有一個可用的合法IP地址,當然只能採用端口複用方式實現NAT,不過,由於同時又要求網絡內部的服務器可以被Internet訪問到,因此,必須使用PAT創建TCP/UDP端口的NAT映射。需要注意的是,也可以直接使用廣域端口創建TCP/UDP端口的NAT映射,也就是說,即使只有一個IP地址,也可以完美實現端口複用。由於合法IP地址位於路由器端口上,所以,不再需要定義NAT池,只簡單地使用inside source list語句即可。
需要注意的是,由於每種應用服務都有自己默認的端口,所以,這種NAT方式下,網絡內部每種應用服務中只能各自有一臺服務器成爲Internet中的主機,例如,只能有一臺Web服務器,一臺E-mail服務,一臺FTP服務器。儘管可以採用改變默認端口的方式創建多臺應用服務器,但這種服務器在訪問時比較困難,要求用戶必須先了解某種服務採用的新TCP端口。
配置清單:
interface fastethernet0/0
ip address 192.168.1.1 255.255.255.0//指定局域網口的IP地址
duplex auto
speed auto
ip nat inside //指定局域網接口
!
interface fastethernet0/1
ip address 211.82.220.129 255.255.255.248 //指定廣域網口的IP地址
access-list 1 permit 192.168.1.0 0.0.0.255
!
ip nat inside source list1 interface fastethernet0/1 overload //啓用端口複用地址轉換,並直接採用fastethernet0/1的IP地址。
ip nat inside source static tcp 192.168.1.11 80 202.99.160.129.80
ip nat inside source static tcp 192.168.1.12 21 202.99.160.129.21
ip nat inside source static tcp 192.168.1.13 25 202.99.160.129.25
ip nat inside source static tcp 192.168.1.13 110 202.99.160.129 110
示例五:利用地址轉換實現負載均衡
隨着訪問量的上升,當一臺服務器難以勝任時,就必須採用負載均衡技術,將大量的訪問合理地分配至多臺服務器上。當然,實現負載均衡的手段有許多種,比如可以採用服務器羣集負載均衡、交換機負載均衡、DNS解析負載均衡等等。
其實除此以外,也可以通過地址轉換方式實現服務器的負載均衡。事實上,這些負載均衡的實現大多是採用輪詢方式實現的,使每臺服務器都擁有平等的被訪問機會。
網絡環境:
局域網以2Mb/s DDN專線拉入Internet,路由器選用安裝了廣域網模塊的Cisco 2611,如圖4-2-6所示。內部網絡使用的IP地址段爲10.1.1.1~10.1.3.254,局域網端口Ethernet 0的IP地址爲10.1.1.1,子網掩碼爲255.255.252.0。網絡分配的合法IP地址範圍爲202.110.198.80~202.110.198.87,連接ISP的端口Ethernet 1的IP地址爲202.110.198.81,子網掩碼爲255.255.255.248。要求網絡內部的所有計算機均可訪問Internet,並且在3臺Web服務器和2臺FTP服務器實現負載均衡。
案例分析:
既然要求網絡內所有計算機都可以接入Internet,而合法IP地址又只有5個可用,當然可採用端口複用地址轉換方式。本來對服務器通過採用靜態地址轉換,賦予其合法IP地址即可。但是,由於服務器的訪問量太大(或者是服務器的性能太差),不得不使用多臺服務器作負載均衡,因此,必須將一個合法IP地址轉換成多相內部IP地址,以輪詢方式減輕每臺服務器的訪問壓力。
配置文件:
interface fastethernet0/1
ip adderss 10.1.1.1 255.255.252.0 //定義局域網端口IP地址
duplex auto
speed auto
ip nat inside //定義爲局域端口
!
interface serial 0/0
ip address 202.110.198.81 255.255.255.248 //定義廣域網端口IP地址
duplex auto
speed auto
ip nat outside //定義爲廣域端口
!
access-list 1 permit 202.110.198.82 //定義輪詢地址列表1
access-list 2 permit 202.110.198.83 //定義輪詢地址列表2
access-list 3 permit 10.1.1.0 0.0.3.255 //定義本地訪問列表3
!
ip nat pool websev 10.1.1.2 10.1.1.4 255.255.255.248 type rotary //定義Web服務器的IP地址池,Rotary關鍵字表示準備使用輪詢策略從NAT池中取出相應的IP地址用於轉換進來的IP報文,訪問202.110.198.82的請求將依次發送給web服務器:10.1.1.2、10.1.1.3和10.1.1.4
ip nat pool ftpsev 10.1.1.8 10.1.1.9 255.255.255.248 type rotary //定義ftp服務器的IP地址池。
ip nat pool normal 202.110.198.84 202.110.198.84 netmask 255.255.255.248 //定義合法IP地址池,名稱爲normal
ip nat inside destination list 1 pool websev //inside destination list 語句定義與列表1相匹配的IP地址的報文將使用輪詢策略
ip nat inside destination list 2 pool ftpsev