发布时间:2013-09-12
点击量:3394功能介绍:
当内部主机需要访问外部网络,但是不想引入外部路由时,可以使用外部源地址转换,将外部主机的ip地址+端口,转换成内部网络的ip地址+端口。
一、组网需求
内网有相应的安全策略,只允许内网PC之间的互访, 但是又需要访问外网的服务器,通过nat的外部源地址转换功能,把外网服务器的公网地址转换成内网地址,使内网用户在访问外网的时候,感知不到自己已经访问了外网。
二、组网拓扑
三、配置要点
1、基本ip地址配置
2、基本的ip路由配置
3、定义nat的内网口和外网口
4、配置nat外网源地址转换
四、配置步骤
1、基本ip地址配置
Ruijie(config)#hostname R1
R1(config)#interface gigabitEthernet 0/0
R1(config-GigabitEthernet 0/0)#ip address 192.168.1.1 255.255.255.0
R1(config-GigabitEthernet 0/0)#exit
R1(config)#interface gigabitEthernet 0/1
R1(config-GigabitEthernet 0/1)#ip address 192.168.2.1 255.255.255.0
R1(config-GigabitEthernet 0/1)#exit
Ruijie(config)#hostname R2
R2(config)#interface gigabitEthernet 0/0
R2(config-GigabitEthernet 0/0)#ip address 192.168.1.2 255.255.255.0
R2(config-GigabitEthernet 0/0)#exit
R2(config)#interface gigabitEthernet 0/1
R2(config-GigabitEthernet 0/1)#ip address 172.16.1.1 255.255.255.0
R2(config-GigabitEthernet 0/1)#exit
R2(config)#interface gigabitEthernet 0/2
R2(config-GigabitEthernet 0/2)#ip address 172.16.2.1 255.255.255.0
R2(config-GigabitEthernet 0/2)#exit
Ruijie(config)#hostname R3
R3(config)#interface fastEthernet 0/0
R3(config-if-FastEthernet 0/0)#ip address 192.168.2.2 255.255.255.0
R3(config-if-FastEthernet 0/0)#exit
2、基本的ip路由配置
R1(config)#ip route 172.16.0.0 255.255.0.0 192.168.1.2
R1(config)#ip route 100.1.1.0 255.255.255.0 192.168.2.2
R2(config)#ip route 192.168.0.0 255.255.0.0 192.168.1.1
R3(config)#ip route 172.16.0.0 255.255.0.0 192.168.2.1 //配置外网到内网的回程路由(若外网没有内网的回程路由,还需在出口路由器做内部源地址转换)
3、定义nat的内网口和外网口
R1(config)#interface gigabitEthernet 0/1
R1(config-GigabitEthernet 0/1)#ip nat outside //配置nat的外网口
R1(config-GigabitEthernet 0/1)#exit
R1(config)#int gigabitEthernet 0/0
R1(config-GigabitEthernet 0/0)#ip nat inside //配置nat的内网口
R1(config-GigabitEthernet 0/0)#exit
4、配置nat外网源地址转换
注意:
1)外部源地址转换,可以进行ip地址一对一的转换,也可以基于TCP、UDP协议进行端口转换。
2)外部源地址转换,外网服务器的内部本地地址,该地址不需要一定是出口路由器上的网段,只要内网路由可达,能够把内网PC访问该服务器的报文路由到出口路由器就可以。
如下分别为基于ip地址的一对一映射及基于TCP、UDP协议的端口映射的配置示例:
1、基于ip地址的一对一映射
R1(config)#ip nat outside source static 100.1.1.1 192.168.1.168 //当内网访问192.168.1.168时,将目的ip地址转换成 100.1.1.1
2、基于TCP、UDP协议的端口映射
R1(config)#ip nat outside source static tcp 100.1.1.1 23 192.168.1.168 23 //当内网访问192.168.1.168 的tcp 23端口时,将目的ip地址转换成 100.1.1.1 的23端口
五、配置验证
测试内网能否通过外网服务器在本网络可见的私网地址,正常访问,若可以正常访问外网的服务器,则外部源地址转换NAT配置正确。在出口路由器上查看NAT转换表项如下:
