NAT
地址转换的配置包括:
l 配置地址池
l 配置访问控制列表和地址池的关联
l 配置访问控制列表和接口的关联(EASY IP特性)
l 配置内部服务器
l 配置地址转换的有效时间
1. 配置地址池地址池是一些连续的IP地址集合,当内部数据包通过地址转换到达外部网络时,将会选择地址池中的某个地址作为转换后的源地址。
请在系统视图下进行下列配置。
| 操作 | 命令 |
| 图1-1 定义一个地址池 | 图1-2 nat address-group start-addr end-addr pool-name |
| 图1-3 删除一个地址池 | 图1-4 undo nat address-group pool-name |
每个地址池中的地址必须是连续的,每个地址池内最多可定义64个地址。
需要注意的是:当某个地址池已经和某个访问控制列表关联进行地址转换,是不允许删除这个地址池的。
2. 配置访问控制列表和地址池关联将访问控制列表和地址池关联后,就可实现多对多地址转换。访问控制列表是由rule命令生成的,它依据IP数据包报头及其承载的上层协议数据包头的格式定义了一定的规则,表示允许或是禁止具有某些特征的数据包。对配置了NAT的数据包,将先通过地址转换,再转发报文;对未配置NAT的数据包,直接按照正常的转发流程进行。
“转换关联”就是将一个地址池和一个访问控制列表关联起来,这种关联指定了“具有某些特征的IP报文”才可以使用“这样的地址池中的地址”。 在地址转换时,是根据这样的对应进行地址转换的。当内部网络有数据包要发往外部网络时,首先根据访问列表判定是否是允许的数据包,然后根据转换的关联找到与之对应的地址池,这样就把源地址转换成这个地址池中的某一个地址,完成了地址转换。在转换关联表中记录了转换对应的必要信息,包括,访问列表、地址池信息、以及对应这个地址池的端口号索引。
HASH表是系统的,HASH表中记录了私有地址和公有地址的对应关系。 地址转换时,根据转换关联表找到与数据包对应的地址池,利用地址池中的地址完成地址转换,并记录到HASH表中;地址还原时,根据目的地址可直接找到相应的HASH表,进行还原操作。
请在接口视图下进行下列配置。
| 操作 | 命令 |
| 图1-5 增加访问控制列表和地址池关联 | 图1-6 nat outbound acl-number address-group pool-name |
| 图1-7 删除访问控制列表和地址池关联 | 图1-8 undo nat outbound acl-number address-group pool-name |
缺省情况下,访问控制列表不与任何地址池关联。
3. 配置访问控制列表和接口关联(EASY IP特性)配置访问控制列表和接口的关联又称EASY IP特性,它是指在地址转换的过程中直接使用接口的IP地址作为转换后的源地址,适用于两种情况:在拨号方式下用户希望由协商方式得到的接口IP地址作为地址转换后的源地址;或者用户希望就使用接口本身的IP地址作为地址转换后的源地址。
请在接口视图下进行下列配置。
| 操作 | 命令 |
| 图1-9 增加访问控制列表和接口关联 | 图1-10 nat outbound acl-number interface |
| 图1-11 删除访问控制列表和接口关联 | 图1-12 undo nat outbound acl-number interface |
缺省情况下,访问控制列表不与任何接口关联。
4. 配置内部服务器用户可将相应的外部地址及外部端口号等映射到内部服务器上,实现外部网络访问内部服务器的功能。内部服务器与外部网络地址与端口号之间的映射表由nat server命令配置。在进行地址还原时,将根据用户配置查找外部数据包的目的地址,若要访问的是内部服务器,则转换成相应内部服务器的目的地址和端口号,将报文送达内部服务器;在进行地址转换时,将查找报文的源地址,判断是否是从内部服务器发送的报文,若是的话,就将源地址转换为相应的公网地址。
用户需要配置的信息包括:外部地址、外部端口、内部服务器地址、内部服务器端口以及协议的类型。
请在接口视图下进行下列配置。
| 操作 | 命令 |
| 图1-13 增加一个内部服务器 | 图1-14 nat server global global-addr { global-port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } inside inside-addr { inside-port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp } |
| 图1-15 删除一个内部服务器 | 图1-16 undo nat server { global | inside } address { port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp } |
需要注意的是:
global-port和inside-port只要有一个定义了any,则另一个要么不定义,要么是any。
(1) inside-port是必须的,可为0或取值在1~65535之间的整数。 (2) 若未定义global-port,global-port的值就等于inside-port的值。 (3) 在删除某个内部服务器时,若使用global关键字,还需提供外部地址、端口、协议信息;若使用了 inside关键字,只需提供内部地址、端口号就可以了。 (4) protocol目前可为TCP、UDP和ICMP。 5. 配置地址转换的有效时间由于地址转换所使用的HASH表不能永久存在,用户可为TCP、UDP、ICMP协议的地址转换以及非快速转发时分片队列分别设置有效时间。若在设定时间内未使用该地址转换,系统就将把这个连接删除。
请在系统视图下进行下列配置。
| 操作 | 命令 |
| 图1-17 配置地址转换的有效时间 | 图1-18 nat aging-time { tcp | udp | icmp | fragbuffer | fragqueue } seconds |
| 图1-19 恢复地址转换有效时间的缺省值 | 图1-20 nat aging-time default |
缺省情况下,TCP地址转换的有效时间为240秒;UDP地址转换的有效时间为40秒;ICMP地址转换的有效时间为20秒,分片缓存的有效时间为30秒。分片队列的有效时间为30秒。
6. 配置NAT分片缓存功能请在系统视图下进行下列配置。
表1-6 NAT分片缓存
| 操作 | 命令 |
| 图1-21 启动NAT分片缓存功能 | 图1-22 nat fragbuffer enable |
| 图1-23 禁止NAT分片缓存功能 | 图1-24 undo nat fragbuffer enable |
| 图1-25 配置NAT分片缓存最多存储的分片个数 | 图1-26 nat fragbuffer length maxlength |
| 图1-27 恢复NAT分片缓存最多存储的分片个数的缺省值 | 图1-28 undo nat fragbuffer length |
| 操作 | 命令 |
| 图1-29 查看地址转换的配置信息 | 图1-30 display nat |
| 图1-31 查看地址转换的状况 | 图1-32 display nat [ translations [ global ip-address | inside ip-address ] ] |
| 图1-33 查看NAT分片HASH表内容 | 图1-34 display nat fragqueue |
| 图1-35 显示NAT分片缓存HASH表内容。 | 图1-36 display nat fragbuffer |
| 图1-37 显示NAT日志开关状态.。 | 图1-38 display userlog nat |
| 图1-39 清除地址转换映射表(接口视图下) | 图1-40 nat reset |
| 图1-41 打开地址转换的调试信息开关 | 图1-42 debugging nat { event | packet | frag } |
| 图1-43 打开NAT日志开关 | 图1-44 userlog nat [ flow-begin ] [ acl alcnum ] |
| 图1-45 关闭NAT日志开关 | 图1-46 undo userlog nat |
一个公司通过路由器的地址转换后连接到广域网。要求该公司能够通过路由器的串口S0访问Internet,公司内部对外提供WWW、FTP和SMTP服务,而且提供两台WWW服务器。公司内部网址为10.110.0.0/16。
公司有202.38.160.101~202.38.160.103三个合法的公网IP地址。内部FTP服务器地址为10.110.10.1,使用202.38.160.101的公网地址,内部WWW服务器1地址为10.110.10.2;内部WWW服务器2的地址为10.110.10.3,采用8080端口,两台WWW服务器都使用202.38.160.102的公网地址。内部SMTP服务器地址为10.110.10.4,并希望可对外提供统一的服务器的IP地址,使用202.38.160.103的公网地址。
公网地址内部10.110.10.0/24网段的PC机可访问Internet,其它网段的PC机则不能访问Internet。外部PC机可以访问内部的服务器。
(2) 组网图
# 配置地址池和地址列表
[Router] nat address-group 202.38.160.101 202.38.160.103 pool1
[Router] acl 1
[Router-acl-1]rule permit source 10.110.10.0 0.0.0.255
# 允许10.110.10.0/24的网段进行地址转换
[Router-Serial0] nat outbound 1 address-group pool
# 设置内部FTP服务器
[Router-Serial0] nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
# 设置内部WWW服务器1
[Router-Serial0] nat server global 202.38.160.102 inside 10.110.10.2 www tcp
# 设置内部WWW服务器2
[Router-Serial0] nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
# 设置内部SMTP服务器
[Router-Serial0] nat server global 202.38.160.103 inside 10.110.10.4 smtp udp
2. 内部局域网通过地址转换后拨号访问Internet (1) 组网需求一个公司的内部局域网能通过路由器的地址转换后,经串口S0拨号访问Internet。
(2) 组网图
# 配置地址访问控制列表和dialer-list
[Router] acl 1
[Router-acl-1] rule permit source 10.110.10.0 0.0.0.255
[Router] dialer listen-rule 1 ip 10.110.10.0 255.255.255.0
# 配置接口拨号属性
[Router-Serial0] physical-mode async
[Router-Serial0] link-protocol ppp
[Router-Serial0] ip address ppp-negotiate
[Router-Serial0] ppp pap local-user 169 password simple 169
[Router-Serial0] modem
[Router-Serial0] dialer enable-circular
[Router-Serial0] dialer-group 1
[Router-Serial0] dialer number 169
# 将地址转换列表与接口关联
[Router-Serial0] nat outbound 1 interface
# 配置一条到Serial 0的缺省路由
[Router] ip route-static 0.0.0.0 0.0.0.0 serial 0
转载于:https://blog.51cto.com/xingyun1113/925150