路由器NAT功能配置簡(jiǎn)介隨著internet的網(wǎng)絡(luò)迅速發(fā)展，IP地址短缺已成為一個(gè)十分突出的問題。為了解決這個(gè)問題，出現(xiàn)了多種解決方案。一、 NAT簡(jiǎn)介NAT(NetworkAddressTranslation的功能，就是指在一個(gè)網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義的IP地址，而不需要經(jīng)過申請(qǐng)。在網(wǎng)絡(luò)內(nèi)部，各計(jì)算機(jī)間通過內(nèi)部的IP地址進(jìn)行通訊。而當(dāng)內(nèi)部的計(jì)算機(jī)要與外部internet網(wǎng)絡(luò)進(jìn)行通訊時(shí)，具有NAT功能的設(shè)備(比如：路由器)負(fù)責(zé)將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址(即經(jīng)過申請(qǐng)的IP地址)進(jìn)行通信。二、 NAT的應(yīng)用環(huán)境：情況1：一個(gè)企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet隔離開，則外部用戶根本不知道通過NAT設(shè)置的內(nèi)部IP地址。情況2：一個(gè)企業(yè)申請(qǐng)的合法InternetIP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多?？梢酝ㄟ^NAT功能實(shí)現(xiàn)多個(gè)用戶同時(shí)公用一個(gè)合法IP與外部Internet進(jìn)行通信。三、 設(shè)置NAT所需路由器的硬件配置和軟件配置：設(shè)置NAT功能的路由器至少要有一個(gè)內(nèi)部端口(Inside)，一個(gè)外部端口(Outside)。內(nèi)部端口連接的網(wǎng)絡(luò)用戶使用的是內(nèi)部IP地址。內(nèi)部端口可以為任意一個(gè)路由器端口。外部端口連接的是外部的網(wǎng)絡(luò)，如Internet0外部端口可以為路由器上的任意端口。設(shè)置NAT功能的路由器的IOS應(yīng)支持NAT功能(本文事例所用路由器為Cisco2501，其IOS為11.2版本以上支持NAT功能)。四、 關(guān)于NAT的幾個(gè)概念：內(nèi)部本地地址(Insidelocaladdress)：分配給內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)的內(nèi)部IP地址。內(nèi)部合法地址(Insideglobaladdress)：對(duì)外進(jìn)入IP通信時(shí)，代表一個(gè)或多個(gè)內(nèi)部本地地址的合法IP地址。需要申請(qǐng)才可取得的IP地址。五、 NAT的設(shè)置方法：NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換、復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。1、靜態(tài)地址轉(zhuǎn)換適用的環(huán)境靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進(jìn)行一對(duì)一的轉(zhuǎn)換，且需要指定和哪個(gè)合法地址進(jìn)行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡(luò)有E-mail服務(wù)器或FTP服務(wù)器等可以為外部用戶提供的服務(wù)，這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。靜態(tài)地址轉(zhuǎn)換基本配置步驟：、在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。在全局設(shè)置狀態(tài)下輸入：Ipnatinsidesourcestatic內(nèi)部本地地址內(nèi)部合法地址、指定連接網(wǎng)絡(luò)的內(nèi)部端口在端口設(shè)置狀態(tài)下輸入：ipnatinside、指定連接外部網(wǎng)絡(luò)的外部端口在端口設(shè)置狀態(tài)下輸入：ipnatoutside注：可以根據(jù)實(shí)際需要定義多個(gè)內(nèi)部端口及多個(gè)外部端口。實(shí)例1：本實(shí)例實(shí)現(xiàn)靜態(tài)NAT地址轉(zhuǎn)換功能。將2501的以太口作為內(nèi)部端口，同步端口0作為外部端口。其中,,的內(nèi)部本地地址采用靜態(tài)地址轉(zhuǎn)換。其內(nèi)部合法地址分別對(duì)應(yīng)為,,。ipnatinsidesourcestaticipnatinsidesourcestaticipnatinsidesourcestaticinterfaceEthernet0ipaddressipnatinsideinterfaceSerial0ipaddressipnatoutsideiprouteSerial0配置完成后可以用以下語句進(jìn)行查看：showipnatstatistcsshowipnattranslations2、動(dòng)態(tài)地址轉(zhuǎn)換適用的環(huán)境：動(dòng)態(tài)地址轉(zhuǎn)換也是將本地地址與內(nèi)部合法地址一對(duì)一的轉(zhuǎn)換，但是動(dòng)態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動(dòng)態(tài)地選擇一個(gè)末使用的地址對(duì)內(nèi)部本地地址進(jìn)行轉(zhuǎn)換。動(dòng)態(tài)地址轉(zhuǎn)換基本配置步驟：（1） 、在全局設(shè)置模式下，定義內(nèi)部合法地址池ipnatpool地址池名稱起始IP地址終止IP地址子網(wǎng)掩碼其中地址池名稱可以任意設(shè)定。（2） 、在全局設(shè)置模式下，定義一個(gè)標(biāo)準(zhǔn)的access-list規(guī)則以允許哪些內(nèi)部地址可以進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換。Access-list標(biāo)號(hào)permit源地址通配符其中標(biāo)號(hào)為1-99之間的整數(shù)。（3） 、在全局設(shè)置模式下，將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進(jìn)行地址轉(zhuǎn)換。ipnatinsidesourcelist訪問列表標(biāo)號(hào)pool內(nèi)部合法地址池名字（4） 、指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口在端口設(shè)置狀態(tài)下：ipnatinside（5） 、指定與外部網(wǎng)絡(luò)相連的外部端口Ipnatoutside實(shí)例2：本實(shí)例中硬件配置同上，運(yùn)用了動(dòng)態(tài)NAT地址轉(zhuǎn)換功能。將2501的以太口作為內(nèi)部端口，同步端口0作為外部端口。其中網(wǎng)段采用動(dòng)態(tài)地址轉(zhuǎn)換。對(duì)應(yīng)內(nèi)部合法地址為~0ipnatpoolaaa0netmaskipnatinsidesourcelist1poolaaainterfaceEthernet0ipaddressipnatinsideinterfaceSerial0ipaddressipnatoutsideinterfaceSerialliprouteSerial0access-list1permit553、復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換適用的環(huán)境：復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換首先是一種動(dòng)態(tài)地址轉(zhuǎn)換，但是它可以允許多個(gè)內(nèi)部本地地址共用一個(gè)內(nèi)部合法地址。只申請(qǐng)到少量IP地址但卻經(jīng)常同時(shí)有多于合法地址個(gè)數(shù)的用戶上外部網(wǎng)絡(luò)的情況，這種轉(zhuǎn)換極為有用。注意：當(dāng)多個(gè)用戶同時(shí)使用一個(gè)IP地址，外部網(wǎng)絡(luò)通過路由器內(nèi)部利用上層的如TCP或UDP端口號(hào)等唯一標(biāo)識(shí)某臺(tái)計(jì)算機(jī)。復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換配置步驟：在全局設(shè)置模式下，定義內(nèi)部合地址池ipnatpool地址池名字起始IP地址終止IP地址子網(wǎng)掩碼其中地址池名字可以任意設(shè)定。在全局設(shè)置模式下，定義一個(gè)標(biāo)準(zhǔn)的access-list規(guī)則以允許哪些內(nèi)部本地地址可以進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換。access-list標(biāo)號(hào)permit源地址通配符其中標(biāo)號(hào)為1-99之間的整數(shù)。在全局設(shè)置模式下，設(shè)置在內(nèi)部的本地地址與內(nèi)部合法IP地址間建立復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。ipnatinsidesourcelist訪問列表標(biāo)號(hào)pool內(nèi)部合法地址池名字overload在端口設(shè)置狀態(tài)下，指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口ipnatinside在端口設(shè)置狀態(tài)下，指定與外部網(wǎng)絡(luò)相連的外部端口ipnatoutside實(shí)例：應(yīng)用了復(fù)用動(dòng)態(tài)NAT地址轉(zhuǎn)換功能。將2501的以太口作為內(nèi)部端口，同步端口0作為外部端口。網(wǎng)段采用復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。假設(shè)企業(yè)只申請(qǐng)了一個(gè)合法的IP地址。ipnatpoolbbbnetmaskipnatinsidesourcelist1poolbbboverloadinterfaceEthernet0ipaddressipnatinsideinterfaceSerial0ipaddressipnatoutsideinterfaceSerial1iprouteSerial0access-list1permit55示例1NAT接入寬帶配置方法淺析電信寬帶為2M,分配給的固定IP地址：01子網(wǎng)掩碼：48網(wǎng)關(guān)：0,局域網(wǎng)規(guī)劃地址范圍為：-54子網(wǎng)掩碼：48網(wǎng)關(guān)：，路由器為Cisco1721自帶10/100M自適應(yīng)端口一個(gè)，其次我們還要配置一塊1ENET的擴(kuò)展卡，卡上帶有10MRJ45端口一個(gè)。我們將1ENET的口作為外網(wǎng)端口，機(jī)器上的口作為內(nèi)網(wǎng)端口。配置過程如下：Router>en//進(jìn)入特權(quán)配置模式Router#configureterminal//進(jìn)入全局配置模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.設(shè)備自動(dòng)出現(xiàn)的提示，主要告訴你目前已經(jīng)進(jìn)入主控制臺(tái))Router<config>#interfaceFastEthernet0//首先進(jìn)入內(nèi)網(wǎng)端口(設(shè)備自帶端口)Router<config-if>#ipaddress//指定內(nèi)網(wǎng)端口的IP地址及子網(wǎng)掩碼Router<config-if>#ipnatinside//將該端口定義為地址轉(zhuǎn)換(NAT)的“內(nèi)部端口”Router<config-if>#noshutdown//使該端口處于“運(yùn)行”狀態(tài)Router<config-if>#exit//返回Router<config>#interfaceEthernet0//進(jìn)入外網(wǎng)端口(1ENET上面的端口)Router<config-if>#ipaddress0148//指定外網(wǎng)端口IP地址及子網(wǎng)掩碼Router<config-if>#ipnatoutside//將該端口定義為地址轉(zhuǎn)換(NAT)的“外部端口”Router<config-if>#noshutdown//使該端口處于“運(yùn)行”狀態(tài)Router<config-if>#exit//返回Router<config>#iprouter0//定義路由地址Router<config>#noaccess-list1//我們先取消出廠狀態(tài)下的訪問控制列表“1”Router<config>#access-list1permit55/重新定義訪問控制列表“1”為“允許/24的網(wǎng)段”Router<config>#ipnatpoolnanpool702netmask48//定義從ISP供應(yīng)商那里申請(qǐng)到的公網(wǎng)IP地址在企業(yè)內(nèi)部的分配策略，在這里我們定義了一個(gè)地址池，名稱為“nanpool”，在這個(gè)池里所定義的IP地址(7到02)將被內(nèi)網(wǎng)的用戶用來上網(wǎng)。如果ISP只給了你一個(gè)IP地址(如01)，那你可以在這里寫成“ipnatpoolnanpool0101netmask48”Router<config>#ipnatinsidesourcelist1poolnanpooloverload//將訪問控制列表“1”與地址池“nanpool”進(jìn)行對(duì)應(yīng)式綁定。意思是說所有“”網(wǎng)段內(nèi)的用戶在上網(wǎng)時(shí)，它的內(nèi)網(wǎng)地址都將被轉(zhuǎn)換為“7-02”中的任意一個(gè)外網(wǎng)地址。后面的“overload”則表示，如果有多于地址池中定義的地址數(shù)量(比如原來有6個(gè)用戶上網(wǎng)，他們各自所用的外網(wǎng)地址是7、8、9、00、01、02。而現(xiàn)在突然有30個(gè)用戶上網(wǎng)了，這時(shí)就會(huì)按照上面的命令執(zhí)行一個(gè)任務(wù)，那就是讓多個(gè)內(nèi)網(wǎng)用戶使用同一個(gè)外網(wǎng)地址。這樣一來，這個(gè)nanpool地址池就可以帶動(dòng)內(nèi)網(wǎng)所有用戶上網(wǎng)了。所以說，這一條命令是非常重要的?。?。Router<config>#enablepassword12345//設(shè)置密碼為〃12345〃Router<config>#enablesecret12345//設(shè)置特權(quán)密文為〃12345〃Router<config>#lineconsole0//進(jìn)入主控制臺(tái)的〃0〃端口Router<config-line>#passwordcisco//將進(jìn)入主控臺(tái)登錄密碼設(shè)置為〃cisco”Router<config-line>#login//將主控臺(tái)的〃0〃端口設(shè)置為“允許登錄”Router<config-line>#exit//退出Router<config>#linevty04//進(jìn)入VTY（virtueterminalline虛擬終端，一般針對(duì)Telnet登錄方式）Router<config-line>#passwordcisco//設(shè)置虛擬終端登陸時(shí)的密碼為〃cisco〃Router<config-line>#exec-timeout50//設(shè)置在登錄路由器后，不做任何操作的情況下，5分0秒后將與路由器斷開。如果不輸入此命令，當(dāng)你進(jìn)入路由器沒有輸入任何內(nèi)容時(shí)，10分鐘后將被路由器自動(dòng)踢出?！癳xec-timeout”命令的完整形式為：exec-timeoutxx（也就是exec-timeout分秒）注：如果你在此輸入“exec-timeout00'則表示你將永遠(yuǎn)與路由器保持聯(lián)接，除非你自己logoutoRouter<config-line>#login//千萬別忘了這最后一個(gè)login，呵?這是允許虛擬終端登錄的重要命令。好了，現(xiàn)在配置過程基本完成。在以上配置中，路由器沒有啟用DHCP功能，所以，客戶機(jī)如果想上網(wǎng)的話，還要對(duì)網(wǎng)卡進(jìn)行相關(guān)設(shè)置。例：客戶端網(wǎng)卡的IP地址設(shè)置為：子網(wǎng)掩碼：網(wǎng)關(guān)：,主DNS地址：0備用DNS地址：51,不過，大部份朋友使用Cisco路由器后，都會(huì)在局域網(wǎng)內(nèi)架設(shè)一臺(tái)DHCP服務(wù)器，即可辦公，又可給局域網(wǎng)內(nèi)機(jī)器分配IP地址，從而節(jié)省了route的內(nèi)存。建議大家不妨也用這種辦法組網(wǎng)。對(duì)了，說到路由器的內(nèi)存，下面再給大家介紹幾個(gè)常用命令，一定要記住哦?.以下這幾條命令都是在“Router#”狀態(tài)下鍵入的：showversion:顯示系統(tǒng)的硬件配置、軟件版本、配置文件的源和名字以及啟動(dòng)鏡像等信息。showprocesses:顯示當(dāng)前活動(dòng)進(jìn)程showprotocols:顯示已經(jīng)配置的協(xié)議showmemory:顯示路由器的內(nèi)存信息showiproute:顯示路由表信息showflash:顯示閃存設(shè)備的信息showrunning-config:顯示當(dāng)前活動(dòng)信息、showstartup-config:顯示備份配置文件showinterfaces:顯示已經(jīng)配置的端口屬性。如:showinterfaceeth0則會(huì)顯示Ethernet0的相關(guān)配置信息示例2某公司使用一臺(tái)具有兩個(gè)Ethernet的路由器。Ethernet0連接到內(nèi)部網(wǎng)絡(luò)，而Ethernetl則連接到一個(gè)LAN網(wǎng)段。公司與其ISP的路由器共享該網(wǎng)段。在內(nèi)部網(wǎng)絡(luò)中，公司使用/24地址空間中的地址。公司為自己提供一個(gè)IP地址/24。公司路由器的接口使用IP地址，而ISP路由器接口則使用IP地址，而將那些從/24開始的其余地址留給NAT轉(zhuǎn)換。公司希望在路由器上使用必要的命令，以使其內(nèi)部用戶能夠使用ISP所提供的地址空間中的有效，全局可路由的地址，以訪問Interneto1解決方案interfac