Cisco NAT经典案例.doc

CISCO NAT 经典配置合集 2010-06-18 16:19:14 　标签：CISCO NAT 经典　　　[推送到技术圈] 示例1在本例中，公司使用一台两接口路由器，一个是Ethernet，另一个是串行接口。Ethernet0连接到内部网络，而串行接口则通过PPP链路连接到ISP路由器。在内部网络中，公司使用/24地址范围内的地址。公司已从其供应商那里获得了一个单一的全局可路由的IP地址，并且该地址用于路由器的串行接口上。公司使用PAT将其所有的内部本地地址转换成单一的内部全局地址。公司希望提供可以从Internet访问的FTP和Web服务器，并且对Web服务器的请求应被送到Web服务器所在的地址00，而FTP请求则被送到FTP服务器所在的地址01。 1 解决方案interface ethernet0ip address ip nat inside!interface serial0ip address 52ip nat outside!ip access-list permit 55!ip nat inside source list 1 interface serial0 overloadip nat inside source list 1 static tcp 00 80 80ip nat inside source list 1 static tcp 01 21 212 分析先定义NAT所用的接口，并通过将合适的命令放在每个接口下面来定义接口是NAT内部或外部接口。通常，在定义NAT接口之后，就要定义NAT池来指定所用的内部全局地址。但是，在本例中只使用了一个单一的内部全局地址，并且将该单一内部全局地址用于路由器的serial 0接口上。由于只有一个单一内部全局地址并且用于路由器自己的接口上，所以我们不需要定义NAT池。我们只简单地使用示例中所示的inside source list语句即可。所定义源列表使用路由器接口的IP地址，并且超载该单一IP地址。该命令允许来自/24网络的内部主机访问Internet。路由器执行PAT来创建TCP / UDP端口的NAT映射。完成该步以后，接下来需要为内部Web和FTP服务器创建静态映射。由于只有一个单一的内部全局IP地址，因此要根据IP地址以及TCP或UDP端口来定义静态映射。在本例中，将目的地址为和目的TCP端口为80的报文地址转换成TCP端口80上的00内部主机地址。我们还将目的地址为和目的TCP端口为21的报文地址转换成TCP端口21上的01内部主机地址。这样我们就在不同的内部服务器上提供了Web和FTP服务，虽然我们只有一个单一的内部全局地址。注意，由于该命令语法允许指定内部服务器的IP地址和端口，所以可以在内部提供多个Web和FTP服务器。例如，可以创建如下的静态映射：ip nat inside source static tcp 02 21 27该转换*作将所有目的地址为且目的端口为27的向内报文的地址转换为FTP端口上的地址02。当然，我们必须保证，外部用户能够知道我们的FTP服务器使用非标准的端口，而大多数的FTP客户机都提供这一能力。显然公司可以使用各种不同的端口转换方法来提供服务，即使公司只有一个全局可路由的IP地址。这些方法使Cisco NAT的功能更加强大。示例2 在本例中，某公司使用一台具有两个Ethernet的路由器。Ethernet0连接到内部网络，而Ethernet1则连接到一个LAN网段。公司与其ISP的路由器共享该网段。在内部网络中，公司使用/24地址空间中的地址。公司为自己提供一个IP地址或/24。公司路由器的接口使用IP地址，而ISP路由器接口则使用IP地址，而将那些从/24开始的其余地址留给NAT转换。公司希望在路由器上使用必要的命令，以使其内部用户能够使用ISP所提供的地址空间中的有效，全局可路由的地址，以访问Internet。 1 解决方案interface ethernet0 ip address  ip nat inside!interface Ethernet1 ip address  ip nat outside!ip access-list 1 permit 55!ip nat pool internet 54 netmask !ip nat inside source list 1 pool internet2 分析在该方案中定义了用于NAT的接口。通过将相应的命令放在每个接口下面，指定该接口是一个NAT外部接口或内部接口。这是配置NAT的第一步。如果读者不将接口指定为一个NAT内部或NAT外部接口，或者