网络NAT实例.docVIP

实例解析:网络地址转换(NAT)应用实战互联网如火如荼的应用，加剧了IP地址匮乏的问题，为了缓解这一问题，一个重要的应用：NAT(Network Address Translation―网络地址转换)，日益广泛地应用起来。NAT通过地址转换的方式，使企业可以仅使用较少的互联网有效IP地址，就能获得互联网接入的能力，有效地缓解了地址不足的问题，同时提供了一定的安全性。 　　NAT的实现方案多种多样，本文以思科2611路由器为平台，通过一个实例描述了NAT的应用。思科路由器上NAT通常有3种应用方式，分别适用于不同的需求： 　　1.静态地址转换：适用于企业内部服务器向企业网外部提供服务（如WEB，FTP等），需要建立服务器内部地址到固定合法地址的静态映射。 　　2.动态地址转换：建立一种内外部地址的动态转换机制，常适用于租用的地址数量较多的情况；企业可以根据访问需求，建立多个地址池，绑定到不同的部门。这样既增强了管理的粒度，又简化了排错的过程。 　　3.端口地址复用：适用于地址数很少，多个用户需要同时访问互联网的情况。 图1 　　如图1所示，企业从ISP获得6个有效IP地址（28~35,掩码为48，128和135为网络地址和广播地址，不可用），通过一台2611路由器接入互联网。内部网络根据职能分成若干子网，并期望服务器子网对外提供WEB服务，财务部门使用独立的地址池接入互联网，其它部门共用剩余的地址池。地址具体分配如下表： 　　具体配置步骤如下： 　　1.选择E0作为内部接口，S0作为外部接口 　　interface e0 　　ip address 　　ip nat inside /*配置e0为内部接口*/ 　　interface s0 　　ip address 29 48 　　ip nat outside /*配置s0为外部接口*/ 　　2.为各部门配置地址池（finance－财务部门；other－其它部门）： 　　ip nat pool finance 31 31 netmask 48 　　ip nat pool other 32 34 netmask 48 　　3.用访问控制列表检查数据包的源地址并映射到不同的地址池 　　ip nat inside source list 1 pool finance overload /*overload－启用端口复用*/ 　　ip nat inside source list 2 pool other /*动态地址转换*/ 　　4.定义访问控制列表 　　access-list 1 permit 55 　　access-list 2 permit 55 　　5.建立静态地址转换，并开放WEB端口(TCP 80) 　　ip nat inside source static tcp 80 30 80 　　6.设置缺省路由 　　ip route s0 　　经过上述配置后，互联网上的主机可以通过30:80访问到企业内部WEB服务器；财务部门的接入请求将映射到31；其它部门的接入请求被映射到31~134地址段。 至此，一个企业NAT互联网接入方案就完成了。动态地址转换也是将本地地址与内部合法地址一对一的转换，但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。　　　　　　　　动态地址转换基本配置步骤：　　　　　　　　（1）、在全局设置模式下，定义内部合法地址池　　　　　　　　　　ip　　nat　　pool　　地址池名称　　起始IP地址　　终止IP地址　　子网掩码　　　　　　　　　　其中地址池名称可以任意设定。　　　　　　　　（2）、在全局设置模式下，定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。　　　　　　　　　　Access-list　　标号　　permit　　源地址　　通配符　　　　　　　　　　其中标号为1-99之间的整数。　　　　　　　　（3）、在全局设置模式下，将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。　　　　　　　　　　ip　　nat　　inside　　source　　list　　访问列表标号　　pool内部合法地址池名字　　　　　　　　（4）、指定与内部网络相连的内部端口在端口设置状态下：　　　　　　　　　　ip　　nat　　inside　　　　　　　　（5）、指定与外部网络相连的外部端口　　　　　　　　　　Ip　　nat　　outside 本实例中硬件配置同上，运用了动态NAT地址转换功能。将2501的以太口作为内部端口，同步端口０作为外部端口。其中网段采用动态地址转换。对应内部合法地址为~0　　　　　　　　　　Cu