扫一扫
关注微信公众号

配置网络地址转换和静态端口地址转换支持内部网络服务器
2006-04-17   网络

前言

® Cisco IOS网络地址转换(NAT)为IP地址简单 化和保存设计,因为启用使用未注册的IP 地址连接到互联网的专 用的IP内部网络。 NAT在内部网络动手术在一个Cisco路由器 ,一起通常连接二个网络,并且转换专用的(内部本地)地址为公共 地址(Outside Local)在信息包转发到另一个网络之前。 作为 此功能一部分,NAT只可以配置为整个网络做通告一个地址对外界。 这从世界有效隐藏内部网络因而提供附加安全性。

背景理论

其中一个NAT主要功能是静态端口地址转换(PAT),也 指"超载"在Cisco IOS配置。 静态PAT设计允许本地和全局地 址的之间一对一映射。普通的使用为静态PAT是允许互联网用 户从公共网络访问位于专用网络的网络服务器。

欲知关于NAT的更多信息, 点击此处

下面 的表显示IP地址空间三个块可用为专用网络。

IP地址空间

10.0.0.0 - 10.255.255.255 (/8 前缀或255.0.0.0子网)

A类

172.16.0.0 - 172.31.255.255 (/16前缀或255.255.0.0子网)

B类

192.168.0.0 - 192.168.255.255 (/24 前缀或255.255.255.0子网)

C类

在下面的示例,互 联网服务提供商(ISP) 分配DSL订户仅单个IP地址,171.68.1.1/24 。 指定的IP地址是一个注册的独立IP地址和称为内部全局地 址。此注册的IP地址在专用网络将由来自公共网络的互联网 用户用于通过整个专用网络访问互联网并且到达网络服务器。

专用LAN,192.168.0.0/24,连接到 NAT路由器的以太网接口。此专用LAN包含几台个人计算机和 一个网络服务器。配置NAT路由器转换来自这些个人计算机的 未注册的IP地址(内部本地地址)到单个公共IP地址 (Inside Global - 171.68.1.1)访问互联网。

注意192.168.0.5 (网络服务器)是一个地址在不可能 路由对互联网的专用地址空间。 唯一的可视IP地址为了能到 达网络服务器的公共互联网用户将是171.68.1.1。所以,配 置NAT路由器执行IP地址171.68.1.1端口80 (用于端口80访问互联网 )和192.168.0.5端口80的之间一次一对一映射。此映射在公 共侧允许互联网用户访问内部网络服务器。

以下网络拓扑和示例配置可以用于Cisco 827,1417 ,SOHO77和1700/2600/3600 ADSL WIC。例如,Cisco 827用 于本文。

配 置

在此部分,您介绍用 信息配置在本文描述的功能。

注意: 找到其它信息关于用于本文的命令,使用IOS命 令查找工具

网络图

本文使用网络建 立图示如下的。

827spat.gif

配置

Cisco 827

Current Configuration:
 ! 
 version 12.1
 service timestamps debug uptime
 service timestamps log uptime
 !
 hostname 827
 !
 ip subnet-zero
 no ip domain-lookup
 !
 bridge irb
 !
 interface Ethernet0
 ip address 192.168.0.254 255.255.255.0
 ip nat inside
 
 !--- This is the inside local IP address and it's a private IP address. 
 
 !
 interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 0/35
 encapsulation aal5snap
 !
 bundle-enable
 dsl operating-mode auto 
 bridge-group 1
 !
 interface BVI1
 ip address 171.68.1.1 255.255.255.240
 ip nat outside
 
 !--- This is the inside global IP address.
 !--- This is your public IP address and it is provided to you by your ISP.
 !
 ip nat inside source list 1 interface BVI1 overload
 
 !--- This statement makes the router perform PAT for all the 
 !--- End Stations behind the Ethernet interface that are using 
 !--- private IP addresses defined in access list #1.
 
 ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable 
 
 !--- This statement performs the static address translation for the Web server. 
 !--- With this statement, users trying to reach 171.68.1.1 port 80 (www) will be 
 !--- automatically redirected to 192.168.0.5 port 80 (www), which in this case 
 !--- is the Web server.
 
 ip classless
 ip route 0.0.0.0 0.0.0.0 171.68.1.254
 
 !--- IP address 171.68.1.254 is the next hop IP address, also
 !--- called the default gateway.
 !--- Your ISP can tell you what IP address to configure as the next hop address.
 
 !
 access-list 1 permit 192.168.0.0 0.0.0.255
 
 !--- This access list defines the private network 
 !--- that will be network address translated. 
 
 bridge 1 protocol ieee 
 bridge 1 route ip 
 !
 end

验证
从 show ip nat translation 命 令输出,内部本地是配置的IP地址分配到网络服务器在内部网络。 注意192.168.0.5是一个地址在不可能路由对互联网的专用地 址空间。Inside Global是内部主机的IP地址,是网络服务器 ,因为看起来对外部网络。此地址是那个为设法从互联网访 问网络服务器的众人所知。

因为 看起来对内部网络, Outside Local 是外部主机的IP 地址。它必 要不是一个合法地址; 它从在里面可以路由的地址空间分配 。

外部 全局地址是IP 地址分配到一台主机在外部网络由主机所有者。 地址从可以全局路由的地址或网络空间分配。

注意地址171.68.1.1与端口号 80 (HTTP) 被转换为192.168.0.5端口80和反之亦然。所以 ,互联网用户能访问网络服务器即使网络服务器在一个专用网络用 一个专用IP地址。

欲知关于如何的 更多信息排除NAT故障,请参阅 验证NAT操作 和基本的NAT故障排除。

827#
827#show ip nat translation
Pro Inside global Inside local Outside local Outside global
tcp 171.68.1.1:80 192.168.0.5:80 --- ---
tcp 171.68.1.1:80 192.168.0.5:80 198.133.219.1:11000 198.133.219.1:11000
827#

排除故障
如果需要排除地址转换 故障,您在路由器 能 发出 term mon 和 debug ip nat detailed命令发现地址正确地是否被转换。可 视IP地址为了能到达网络服务器的外部用户是171.68.1.1 。 例如,用户从互联网的公共侧设法到达171.68.1.1端口80 ( 万维网)将自动地重定向对192.168.0.5端口80 (万维网),在这种情 况下是网络服务器。

827#term mon
827#debug ip nat detailed
IP NAT detailed debugging is on
827#
03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1
03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80
03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0]
<... snipped ...>

热词搜索:

上一篇:对传统路由协议的扩展最大限度地减少网络中断
下一篇:IIS服务器组建

分享到: 收藏