前言
® Cisco IOS网络地址转换(NAT)为IP地址简单 化和保存设计,因为启用使用未注册的IP 地址连接到互联网的专 用的IP内部网络。 NAT在内部网络动手术在一个Cisco路由器 ,一起通常连接二个网络,并且转换专用的(内部本地)地址为公共 地址(Outside Local)在信息包转发到另一个网络之前。 作为 此功能一部分,NAT只可以配置为整个网络做通告一个地址对外界。 这从世界有效隐藏内部网络因而提供附加安全性。
背景理论
其中一个NAT主要功能是静态端口地址转换(PAT),也 指"超载"在Cisco IOS配置。 静态PAT设计允许本地和全局地 址的之间一对一映射。普通的使用为静态PAT是允许互联网用 户从公共网络访问位于专用网络的网络服务器。
欲知关于NAT的更多信息, 点击此处。
下面 的表显示IP地址空间三个块可用为专用网络。
IP地址空间 |
组 |
---|---|
10.0.0.0 - 10.255.255.255 (/8 前缀或255.0.0.0子网) |
A类 |
172.16.0.0 - 172.31.255.255 (/16前缀或255.255.0.0子网) |
B类 |
192.168.0.0 - 192.168.255.255 (/24 前缀或255.255.255.0子网) |
C类 |
在下面的示例,互 联网服务提供商(ISP) 分配DSL订户仅单个IP地址,171.68.1.1/24 。 指定的IP地址是一个注册的独立IP地址和称为内部全局地 址。此注册的IP地址在专用网络将由来自公共网络的互联网 用户用于通过整个专用网络访问互联网并且到达网络服务器。
专用LAN,192.168.0.0/24,连接到 NAT路由器的以太网接口。此专用LAN包含几台个人计算机和 一个网络服务器。配置NAT路由器转换来自这些个人计算机的 未注册的IP地址(内部本地地址)到单个公共IP地址 (Inside Global - 171.68.1.1)访问互联网。
注意192.168.0.5 (网络服务器)是一个地址在不可能 路由对互联网的专用地址空间。 唯一的可视IP地址为了能到 达网络服务器的公共互联网用户将是171.68.1.1。所以,配 置NAT路由器执行IP地址171.68.1.1端口80 (用于端口80访问互联网 )和192.168.0.5端口80的之间一次一对一映射。此映射在公 共侧允许互联网用户访问内部网络服务器。
以下网络拓扑和示例配置可以用于Cisco 827,1417 ,SOHO77和1700/2600/3600 ADSL WIC。例如,Cisco 827用 于本文。
配 置
在此部分,您介绍用 信息配置在本文描述的功能。
注意: 找到其它信息关于用于本文的命令,使用IOS命 令查找工具
网络图
本文使用网络建 立图示如下的。
配置
Cisco 827 |
---|
Current Configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime ! hostname 827 ! ip subnet-zero no ip domain-lookup ! bridge irb ! interface Ethernet0 ip address 192.168.0.254 255.255.255.0 ip nat inside !--- This is the inside local IP address and it's a private IP address. ! interface ATM0 no ip address no atm ilmi-keepalive pvc 0/35 encapsulation aal5snap ! bundle-enable dsl operating-mode auto bridge-group 1 ! interface BVI1 ip address 171.68.1.1 255.255.255.240 ip nat outside !--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP. ! ip nat inside source list 1 interface BVI1 overload !--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that are using !--- private IP addresses defined in access list #1. ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable !--- This statement performs the static address translation for the Web server. !--- With this statement, users trying to reach 171.68.1.1 port 80 (www) will be !--- automatically redirected to 192.168.0.5 port 80 (www), which in this case !--- is the Web server. ip classless ip route 0.0.0.0 0.0.0.0 171.68.1.254 !--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address. ! access-list 1 permit 192.168.0.0 0.0.0.255 !--- This access list defines the private network !--- that will be network address translated. bridge 1 protocol ieee bridge 1 route ip ! end |
验证
从 show ip nat translation 命 令输出,内部本地是配置的IP地址分配到网络服务器在内部网络。 注意192.168.0.5是一个地址在不可能路由对互联网的专用地 址空间。Inside Global是内部主机的IP地址,是网络服务器 ,因为看起来对外部网络。此地址是那个为设法从互联网访 问网络服务器的众人所知。
因为 看起来对内部网络, Outside Local 是外部主机的IP 地址。它必 要不是一个合法地址; 它从在里面可以路由的地址空间分配 。
外部 全局地址是IP 地址分配到一台主机在外部网络由主机所有者。 地址从可以全局路由的地址或网络空间分配。
注意地址171.68.1.1与端口号 80 (HTTP) 被转换为192.168.0.5端口80和反之亦然。所以 ,互联网用户能访问网络服务器即使网络服务器在一个专用网络用 一个专用IP地址。
欲知关于如何的 更多信息排除NAT故障,请参阅 验证NAT操作 和基本的NAT故障排除。
827#
827#show ip nat translation
Pro Inside global Inside local Outside local Outside global
tcp 171.68.1.1:80 192.168.0.5:80 --- ---
tcp 171.68.1.1:80 192.168.0.5:80 198.133.219.1:11000 198.133.219.1:11000
827#
排除故障
如果需要排除地址转换 故障,您在路由器 能 发出 term mon 和 debug ip nat detailed命令发现地址正确地是否被转换。可 视IP地址为了能到达网络服务器的外部用户是171.68.1.1 。 例如,用户从互联网的公共侧设法到达171.68.1.1端口80 ( 万维网)将自动地重定向对192.168.0.5端口80 (万维网),在这种情 况下是网络服务器。
827#term mon
827#debug ip nat detailed
IP NAT detailed debugging is on
827#
03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1
03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80
03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0]
<... snipped ...>