互联网如火如荼的应用,加剧了IP地址匮乏的问题,为了缓解这一问题,一个重要的应用:NAT(Network Address Translation―网络地址转换),日益广泛地应用起来。NAT通过地址转换的方式,使企业可以仅使用较少的互联网有效IP地址,就能获得互联网接入的能力,有效地缓解了地址不足的问题,同时提供了一定的安全性。 NAT的实现方案多种多样,本文以思科2611路由器为平台,通过一个实例描述了NAT的
应用。
思科路由器上NAT通常有3种应用方式,分别适用于不同的需求:
1.静态地址转换:适用于企业内部服务器向企业网外部提供服务(如WEB,FTP等),需要建立服务器内部地址到固定合法地址的静态映射。
2.动态地址转换:建立一种内外部地址的动态转换机制,常适用于租用的地址数量较多的情况;企业可以根据访问需求,建立多个地址池,绑定到不同的部门。这样既增强了管理的粒度,又简化了排错的过程。
3.端口地址复用:适用于地址数很少,多个用户需要同时访问互联网的情况。
如图1所示,企业从ISP获得6个有效IP地址(202.103.100.128~202.103.100.135,掩码为255.255.255.248,128和135为网络地址和广播地址,不可用),通过一台2611路由器接入互联网。内部网络根据职能分成若干子网,并期望服务器子网对外提供WEB服务,财务部门使用独立的地址池接入互联网,其它部门共用剩余的地址池。地址具体分配如下表:
具体配置步骤如下:
1.选择E0作为内部接口,S0作为外部接口
interface e0
ip address 192.168.100.1 255.255.255.0
ip nat inside /*配置e0为内部接口*/
interface s0
ip address 202.103.100.129 255.255.255.248
ip nat outside /*配置s0为外部接口*/
2.为各部门配置地址池(finance-财务部门;other-其它部门):
ip nat pool finance 202.103.100.131 202.103.100.131 netmask 255.255.255.248
ip nat pool other 202.103.100.132 202.103.100.134 netmask 255.255.255.248
3.用访问控制列表检查数据包的源地址并映射到不同的地址池
ip nat inside source list 1 pool finance overload /*overload-启用端口复用*/
ip nat inside source list 2 pool other /*动态地址转换*/
4.定义访问控制列表
access-list 1 permit 192.168.20.0 0.0.0.255
access-list 2 permit 192.168.30.0 0.0.0.255
5.建立静态地址转换,并开放WEB端口(TCP 80)
ip nat inside source static tcp 192.168.10.2 80 202.103.100.130 80
6.设置缺省路由
ip route 0.0.0.0 0.0.0.0 s0
经过上述配置后,互联网上的主机可以通过202.103.100.130:80访问到企业内部WEB服务器192.168.10.2;财务部门的接入请求将映射到202.103.100.131;其它部门的接入请求被映射到202.103.100.131~134地址段。
至此,一个企业NAT互联网接入方案就完成了。
