【RSR】RSR如何配置双向NAT转换

功能介绍：

双向nat转换，可以同时转换数据包的源ip、目的ip、源端口、目的端口。金融行业外联网中，内部服务器地址不能直接被外联单位访问，需要转换成外网的地址，且不希望外联单位的路由引入内网，避免外联单位地址重叠，需要实现外联单位的源地址转换。

一、组网需求

如下网络拓扑，外联单位 100.1.1.1 需要访问内网服务器 172.16.1.100，内网服务器静态映射成外网地址 192.168.2.168，同时对外网 100.1.1.1 进行外部源地址转换，转换成内网地址 172.16.10.168，从而实现内网无需引入外网的路由。

二、组网拓扑

三、配置要点

1、基本ip地址配置

2、基本的ip路由配置

3、定义nat的内网口和外网口

4、配置内部服务器静态nat映射成外网地址

5、配置nat外网源地址转换

四、配置步骤

1、基本ip地址配置

Ruijie(config)#hostname R1

R1(config)#interface fastEthernet 0/0

R1(config-if-FastEthernet 0/0)#ip address 192.168.2.1 255.255.255.0

R1(config-if-FastEthernet 0/0)#exit

R1(config)#interface fastEthernet 0/1

R1(config-if-FastEthernet 0/1)#ip address 192.168.1.1 255.255.255.0

R1(config-if-FastEthernet 0/1)#exit

Ruijie(config)#hostname R2

R2(config)#interface gigabitEthernet 0/0

R2(config-GigabitEthernet 0/0)#ip address 192.168.1.2 255.255.255.0

R2(config-GigabitEthernet 0/0)#exit

R2(config)#interface gigabitEthernet 0/1

R2(config-GigabitEthernet 0/0)#ip address 172.16.1.1 255.255.255.0

R2(config-GigabitEthernet 0/0)#exit

Ruijie(config)#hostname R3

R3(config)#interface gigabitEthernet 0/0

R3(config-GigabitEthernet 0/0)#ip address 192.168.2.2 255.255.255.0

R3(config-GigabitEthernet 0/0)#exit

2、基本的ip路由配置

R1(config)#ip route 100.1.1.0 255.255.255.0 192.168.2.2      //到外网目的网段的路由

R1(config)#ip route 172.16.1.0 255.255.255.0 192.168.1.2    //到内网服务器的路由

R2(config)#ip route 192.168.10.0 255.255.255.0 192.168.1.1     //R2到外部本地地址的路由，把内网发给外部本地地址的数据包，送到出口路由器

3、定义nat的内网口和外网口

R1(config)#interface fastEthernet 0/0

R1(config-if-FastEthernet 0/0)#ip nat outside

R1(config-if-FastEthernet 0/0)#exit

R1(config)#interface fastEthernet 0/1

R1(config-if-FastEthernet 0/1)#ip nat inside

R1(config-if-FastEthernet 0/1)#exit

4、配置内部服务器静态nat映射成外网地址

注意：

静态nat转换，可以进行ip地址一对一的转换，也可以基于TCP、UDP协议进行端口转换。

如下分别为基于ip地址的一对一映射及基于TCP、UDP协议的端口映射的配置示例：

1）基于ip地址的一对一映射

R1(config)#ip nat inside source static 172.16.1.100 192.168.2.168   //把内网172.16.1.100 映射成公网的192.168.2.88

2）基于TCP、UDP协议的端口映射

R1(config)#ip nat inside source static tcp 172.16.1.100 23 192.168.2.168 23   //把内网172.16.1.100 tcp 23端口 映射成公网的192.168.2.88 的23端口

5、配置nat外网源地址转换

注意：

1）外部源地址转换，可以进行ip地址一对一的转换，也可以基于TCP、UDP协议进行端口转换。

2）外部源地址转换，外网PC的内部本地地址，该地址不需要一定是出口路由器上的网段，只要内网路由可达，能够把内网服务器到外网PC的回程报文路由到出口路由器就可以。若外网PC的源端口号不固定，那么外部源地址转换，只能是做基于ip地址的一对一映射。

如下分别为基于ip地址的一对一映射及基于TCP、UDP协议的端口映射的配置示例：

1）基于ip地址的一对一映射

R1(config)#ip nat outside source static 100.1.1.1 172.16.10.168       //当内网访问172.16.10.168时，将目的ip地址转换成 100.1.1.1

2）基于TCP、UDP协议的端口映射

R1(config)#ip nat outside source static tcp 100.1.1.1 1025 172.16.10.168 1025     //外部全局地址的100.1.1.1 tcp 源端口 1025，转换成外部本地地址172.16.10.168 tcp 源端口 1025

五、配置验证

若外网能够通过内部服务器的外网地址正常访问，且内部网络无需引入外网路由，则双向nat配置正确。

查看出口路由器上的nat转换信息