1.網絡環境:
內網用戶IP地址爲 192.168.0./255.255.255.0,也就是說IP地址爲一個C類地址,涵蓋範圍爲192.168.0.1~192.168.0.255。 路由器使用的是華爲公司出品的2600產品,該產品有兩個以太網口供我們使用。網口一連接外網,IP地址爲公網地址;網口二連接內網,IP地址爲私網地 址。公司希望在路由器上配置NAT功能,讓內網中的用戶使用NAT訪問外網。2600路由器上已經配置了外網接口IP爲222.90.77.50(公網 IP地址),內網接口IP地址爲192.168.0.254。
2.NAT的配置任務列表如
a 配置地址
b 配置訪問控制列表和地址池的關聯
acl100
rule normal permit source 192.168.0.254
0.0.0.255
//爲訪問控制列表添加規則,容許192.168.0.254/255.255.255.0這個網段的所有地址通過。注意一點的是命令中使用的是0.0.0.255這樣的反向掩碼形式,實際上他代表子網掩碼爲255.255.255.0。
c 配置訪問控制列表和接口的關聯(EASY IP特性)
interface Ethernet0 //外網端口
ip address 222.90.77.50 255.255.255.254
nat outbound
100 interface //在NAT出口接口上進行設置,即外網接口,啓用NAT功能。容許NAT的主機爲訪問控制列表100中規定的地址
nat server
global 222.90.77.50 80 inside 192.168.0.164 80 tcp
interface Ethernet1//內網端口
ip address 192.168.0.254 255.255.255.0
d 配置內部服務器
小提示:華爲路由器啓用NAT功能時使用了一種稱作EASYIP的技術,可以讓內網IP映射爲路由器的外網接口IP地址,從而讓多個內網IP地址對應一個公網IP,這個技術可以在數量上節省一個公網IP地址。
3.附屬功能:
有的公司可能有專門的WWW服務器或MAIL服務器,對於這些服務器來說不能使用NAT進行映射,因爲NAT後如果沒有采用其他諸如端口映射的方法外網用戶是不能正常訪問WWW和MAIL服務器的。這時可以在路由器上使用nat server命令解決這個問題,對主機進行宣告。例如上面的公司如果其WWW服務器的IP地址內網是10.83.91.2,公網發佈地址爲61.51.3.104的話,可以使用如下命令宣告:“nat server global 61.51.3.104 any inside 10.83.91.2 any ip”。
總結:
筆者在公司的2621上配置了NAT後網絡運行非常穩定,不過配置時要注意以下幾點,一是設置訪問控制列表時一定要設置相應的規則,如果ACL是空或者規則採用permit
any都會造成NAT的失效,因爲路由器將不知道哪個接口爲NAT外網接口,哪個是內網接口。