前言
® Cisco IOS网络地址转换(NAT)为IP地址简单 化和保存设计,因为启用使用未注册的IP 地址连接到互联网的专 用的IP内部网络。 NAT在内部网络动手术在一个Cisco路由器 ,一起通常连接二个网络,并且转换专用的(内部本地)地址为公共 地址(Outside Local)在信息包转发到另一个网络之前。作为 此功能一部分,NAT只可以配置为整个网络做通告一个地址对外界。 这从世界有效隐藏内部网络因而提供附加安全性。
背景理论
其中一个NAT主要功能是静态端口地址转换(PAT),也 指"超载"在Cisco IOS配置。 静态PAT设计允许本地和全局地 址的之间一对一映射。普通的使用为静态PAT是允许互联网用 户从公共网络访问位于专用网络的网络服务器。
下面 的表显示IP地址空间三个块可用为专用网络。
在下面的示例,互 联网服务提供商(ISP) 分配DSL订户仅单个IP地址,171.68.1.1/24 。 指定的IP地址是一个注册的独立IP地址和称为内部全局地 址。此注册的IP地址在专用网络将由来自公共网络的互联网 用户用于通过整个专用网络访问互联网并且到达网络服务器。
专用LAN,192.168.0.0/24,连接到 NAT路由器的以太网接口。此专用LAN包含几台个人计算机和 一个网络服务器。配置NAT路由器转换来自这些个人计算机的 未注册的IP地址(内部本地地址)到单个公共IP地址 (Inside Global - 171.68.1.1)访问互联网。
注意192.168.0.5 (网络服务器)是一个地址在不可能 路由对互联网的专用地址空间。 唯一的可视IP地址为了能到 达网络服务器的公共互联网用户将是171.68.1.1。所以,配 置NAT路由器执行IP地址171.68.1.1端口80 (用于端口80访问互联网 )和192.168.0.5端口80的之间一次一对一映射。此映射在公 共侧允许互联网用户访问内部网络服务器。
以下网络拓扑和示例配置可以用于Cisco 827,1417 ,SOHO77和1700/2600/3600 ADSL WIC。例如,Cisco 827用 于本文。
配 置
在此部分,您介绍用 信息配置在本文描述的功能。
注意: 找到其它信息关于用于本文的命令,使用IOS命 令查找工具
网络图
本文使用网络建 立图示如下的。
Cisco 827
Current Configuration:
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
!
hostname 827
!
ip subnet-zero
no ip domain-lookup
!
bridge irb
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside
!--- This is the inside local IP address and it's a private IP address.
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto
bridge-group 1
!
interface BVI1
ip address 171.68.1.1 255.255.255.240
ip nat outside
!--- This is the inside global IP address.
!--- This is your public IP address and it is provided to you by your ISP.
!
ip nat inside source list 1 interface BVI1 overload
!--- This statement makes the router perform PAT for all the
!--- End Stations behind the Ethernet interface that are using
!--- private IP addresses defined in access list #1.
ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable
!--- This statement performs the static address translation for the Web server.
!--- With this statement, users trying to reach 171.68.1.1 port 80 (www) will be
!--- automatically redirected to 192.168.0.5 port 80 (www), which in this case
!--- is the Web server.
ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.254
!--- IP address 171.68.1.254 is the next hop IP address, also
!--- called the default gateway.
!--- Your ISP can tell you what IP address to configure as the next hop address.
!
access-list 1 permit 192.168.0.0 0.0.0.255
!--- This access list defines the private network
!--- that will be network address translated.
bridge 1 protocol ieee
bridge 1 route ip
!
end
验证
从 show ip nat translation 命 令输出,内部本地是配置的IP地址分配到网络服务器在内部网络。 注意192.168.0.5是一个地址在不可能路由对互联网的专用地 址空间。Inside Global是内部主机的IP地址,是网络服务器 ,因为看起来对外部网络。此地址是那个为设法从互联网访 问网络服务器的众人所知。
因为 看起来对内部网络, Outside Local 是外部主机的IP 地址。它必 要不是一个合法地址; 它从在里面可以路由的地址空间分配 。
外部 全局地址是IP 地址分配到一台主机在外部网络由主机所有者。 地址从可以全局路由的地址或网络空间分配。
注意地址171.68.1.1与端口号 80 (HTTP) 被转换为192.168.0.5端口80和反之亦然。所以 ,互联网用户能访问网络服务器即使网络服务器在一个专用网络用 一个专用IP地址。
欲知关于如何的 更多信息排除NAT故障,请参阅 验证NAT操作 和基本的NAT故障排除。
827#
827#show ip nat translation
Pro Inside global
Inside local
Outside local
Outside global
tcp 171.68.1.1:80
192.168.0.5:80
---
---
tcp 171.68.1.1:80
192.168.0.5:80
198.133.219.1:11000 198.133.219.1:11000
827#
排除故障
如果需要排除地址转换 故障,您在路由器 能 发出 term mon 和 debug ip nat detailed命令发现地址正确地是否被转换。可 视IP地址为了能到达网络服务器的外部用户是171.68.1.1 。 例如,用户从互联网的公共侧设法到达171.68.1.1端口80 ( 万维网)将自动地重定向对192.168.0.5端口80 (万维网),在这种情 况下是网络服务器。
827#term mon
827#debug ip nat detailed
IP NAT detailed debugging is on
827#
03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1
03:29:49: NAT: Allocated Port for 192.168.0.5 - 171.68.1.1: wanted 80 got 80
03:29:49: NAT: o: tcp (198.133.219.1, 11000) - (171.68.1.1, 80) [0]
<... snipped ...
