NAT技術二
一、 端口地址重定向:
如圖所示,該企業申請ADSL上網,只獲得了一個公有合法IP地址。爲了企業的應用,可以使用端口地址重定向功能來完成。
Router(config)#int e0 (1)
Router(config-if)#ip add 10.1.1 .254 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip add 202.1.1.1 255.255.255.252
Router(config-if)#ip nat outside
Router(config)#ip nat inside source static tcp 10.1.1 .1 80 202.1.1.1 80 (2)
Router(config)#ip nat inside source static tcp 10.1.1 .2 21 202.1.1.1 21 (3)
Router(config)#ip nat inside source static tcp 10.1.1 .2 20 202.1.1.1 20
Router(config)#access-list 1 permit 10.1.1 .0 0.0.0.255 (4)
Router(config)#ip nat inside source list 1 interface e1 overload (5)
Router(config)#ip route 0.0.0 .0 0.0.0.0 202.1.1.2 (6)
命令解釋:
(1):配置路由器接口IP地址及標記NAT的內部端口和外部端口
(2):當外部用戶訪問服務器202.1.1.1:80,路由器使用靜態NAT的方式轉到10.1.1 .1:80
(3):當外部用戶訪問服務器202.1.1.1:21,路由器使用靜態NAT的方式轉到10.1.1 .1:21(由於FTP問題較複雜,這兒僅以一種FTP的應用爲例)
(4):配置標準訪問控制列表,匹配內部10.1.1 .0/24網絡的主機
(5):配置PAT,允許內部10.1.1 .0/24用戶能夠進行NAT轉換
(6):配置靜態路由,使經過NAT轉換後的數據包能夠發送至ISP
二、 地址交叉(地址重疊):
如果兩個網絡當前的網絡地址出現相同的情況,且目前又需要兩個網絡之間相互直接通訊。這種情況被稱之爲地址重疊。如下圖所示:
這時候可能出現多種情況:兩個網絡中都有雙方需要訪問的服務器
只有一方網絡中有雙方需要訪問的服務器(如上圖)
不同的網絡情況,配置時略有不同。概括起來講,解決這個問題有兩種方案:
1、 靜態轉換
Router(config)#ip nat inside source static network 10.1.1 .0 192.168.1.0 /24 (1)
Router(config)#ip nat outside source static network 10.1.1 .0 192.168.2.0 /24 (2)
Router(config)#ip route 0.0.0 .0 0.0.0.0 e1
Router(config)#int e0
Router(config-if)#ip add 10.1.1 .254 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip nat outside
註解:(1):把內部網絡10.1.1 .0轉換成192.168.1.0,也就是說,對於外部網絡而言,內部網絡的地址是192.168.1.0/24
(2):把外部網絡10.1.1 .0傳輸來的數據全部修改成192.168.2.0網段,也就是說,對於內部網絡而言,外部真實10.1.1.0網絡被認爲是192.168.2.0網絡。
2、 動態轉換
Router(config)#access-list 1 permit 10.1.1 .0 0.0.0.255
Router(config)#ip nat pool in-pool 192.168.1.1 192.168.1.254 netmask 255.255.255.0
Router(config)#ip nat pool out-pool 192.168.2.1 192.168.2.254 netmask 255.255.255.0
Router(config)#ip nat inside list 1 pool in-pool
Router(config)#ip nat outside list 1 pool out-pool
Router(config)#ip route 0.0.0 .0 0.0.0.0 e1
Router(config)#int e0
Router(config-if)#ip add 10.1.1 .254 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip nat outside
該配置所得到的效果靜態轉換一樣。在此不再多說。
三、 負載分擔(流量分配):
隨着企業的發展,企業的WWW服務器訪問的用戶越來越多,一臺服務器已經不能滿足當前的需要,更換一臺高端服務器價格不菲,這時候可以使用NAT的流量分擔功能。來解決企業當前的問題。如圖所示:兩臺Web服務器承擔着相當的WWW服務功能。對於外部用戶而言,他們只知道該企業的WWW地址是200.1.1.1
基本配置如下:
Router(config)#ip nat pool wwwserver 10.1.1 .1 10.1.1.2 prefix-length 24 type rotary
Router(config)#access-list 1 permit 200.1.1.1 0.0.0 .0
Router(config)#ip nat inside destination list 1 pool wwwserver
Router(config)#int e0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip nat outside
第一條命令是用來建立一個內部服務器的地址池,一定要注意後面的type rotary,該參數用來分配流量。Access-list用來指定虛擬服務器地址。第三條命用來定義轉換關係。最後在兩個接口上調用NAT轉換表。
注意,使用這種方法時,並不是最好的解決方案,相同的場景,以後會介紹更好的解決方案。
四、 控制NAT轉換表大小:
1、 設置連接最大數量:該命令用來限制動態產生的轉換表的條目
Router(config)#ip nat translation max-entries 最大數目
2、 設置超時值:動態產生的NAT轉換條目,根據不同的服務有不同的超時值。
Router(config)#ip nat translation 協議時間 超時值