《CISCO配置网络地址转换和静态端口地址转换支持内部网络服务器》由会员分享,可在线阅读,更多相关《CISCO配置网络地址转换和静态端口地址转换支持内部网络服务器(4页珍藏版)》请在金锄头文库上搜索。
1、配置网络地址转换和静态端口地址转换支持内部网络服务器 前言 Cisco IOS 网络地址转换(NAT)为 IP 地址简单 化和保存设计,因为启用使用未注册的 IP 地址连接到互联网的专 用的 IP 内部网络。 NAT 在内部网络动手术在一个 Cisco 路由器 ,一起通常连接二个网络,并且转换专用的( 内部本地) 地址为公共 地址(Outside Local)在信息包转发到另一个网络之前。作为 此功能一部分,NAT 只可以配置为整个网络做通告一个地址对外界。 这从世界有效隐藏内部网络因而提供附加安全性。 背景理论 其中一个 NAT 主要功能是静态端口地址转换 (PAT),也 指 超载在 Cis
2、co IOS 配置。 静态 PAT 设计允许本地和全局地 址的之间一对一映射。普通的使用为静态 PAT 是允许互联网用 户从公共网络访问位于专用网络的网络服务器。 下面 的表显示 IP 地址空间三个块可用为专用网络。IP 地址空间 组10.0.0.0 - 10.255.255.255 (/8 前缀或 255.0.0.0 子网) A 类 172.16.0.0 - 172.31.255.255 (/16 前缀或 255.255.0.0子网) B 类 192.168.0.0 - 192.168.255.255 (/24 前缀或255.255.255.0 子网) C 类在下面的示例,互 联网服务提供商
3、 (ISP) 分配 DSL 订户仅单个 IP 地址,171.68.1.1/24 。 指定的 IP 地址是一个注册的独立 IP 地址和称为内部全局地 址。此注册的 IP 地址在专用网络将由来自公共网络的互联网 用户用于通过整个专用网络访问互联网并且到达网络服务器。 专用 LAN,192.168.0.0/24,连接到 NAT 路由器的以太网接口。此专用 LAN 包含几台个人计算机和 一个网络服务器。配置 NAT 路由器转换来自这些个人计算机的 未注册的IP 地址 (内部本地地址)到单个公共 IP 地址 (Inside Global - 171.68.1.1)访问互联网。 注意 192.168.0.
4、5 (网络服务器)是一个地址在不可能 路由对互联网的专用地址空间。 唯一的可视 IP 地址为了能到 达网络服务器的公共互联网用户将是 171.68.1.1。所以,配 置 NAT 路由器执行 IP 地址 171.68.1.1 端口 80 (用于端口 80 访问互联网 )和 192.168.0.5 端口 80 的之间一次一对一映射。此映射在公 共侧允许互联网用户访问内部网络服务器。以下网络拓扑和示例配置可以用于 Cisco 827,1417 ,SOHO77 和 1700/2600/3600 ADSL WIC。例如, Cisco 827 用 于本文。 配 置 注意: 找到其它信息关于用于本文的命令,
5、使用 IOS 命 令查找工具网络图 本文使用网络建 立图示如下的。配置 Cisco 827Current Configuration:! version 12.1service timestamps debug uptimeservice timestamps log uptime!hostname 827!ip subnet-zerono ip domain-lookup!bridge irb!interface Ethernet0ip address 192.168.0.254 255.255.255.0ip nat inside!- This is the inside local IP
6、 address and its a private IP address. !interface ATM0no ip addressno atm ilmi-keepalivepvc 0/35encapsulation aal5snap!bundle-enabledsl operating-mode auto bridge-group 1 !interface BVI1ip address 171.68.1.1 255.255.255.240ip nat outside!- This is the inside global IP address.!- This is your public
7、IP address and it is provided to you by your ISP.!ip nat inside source list 1 interface BVI1 overload!- This statement makes the router perform PAT for all the !- End Stations behind the Ethernet interface that are using !- private IP addresses defined in access list #1.ip nat inside source static t
8、cp 192.168.0.5 80 171.68.1.1 80 extendable !- This statement performs the static address translation for the Web server. !- With this statement, users trying to reach 171.68.1.1 port 80 (www) will be !- automatically redirected to 192.168.0.5 port 80 (www), which in this case !- is the Web server.ip
9、 classlessip route 0.0.0.0 0.0.0.0 171.68.1.254!- IP address 171.68.1.254 is the next hop IP address, also!- called the default gateway.!- Your ISP can tell you what IP address to configure as the next hop address.!access-list 1 permit 192.168.0.0 0.0.0.255!- This access list defines the private net
10、work !- that will be network address translated. bridge 1 protocol ieee bridge 1 route ip !end验证 从 show ip nat translation 命 令输出,内部本地是配置的 IP 地址分配到网络服务器在内部网络。 注意 192.168.0.5 是一个地址在不可能路由对互联网的专用地 址空间。Inside Global 是内部主机的 IP 地址,是网络服务器 ,因为看起来对外部网络。此地址是那个为设法从互联网访 问网络服务器的众人所知。 因为 看起来对内部网络, Outside Local 是外
11、部主机的 IP 地址。它必 要不是一个合法地址; 它从在里面可以路由的地址空间分配 。 外部 全局地址是 IP 地址分配到一台主机在外部网络由主机所有者。 地址从可以全局路由的地址或网络空间分配。 注意地址 171.68.1.1 与端口号 80 (HTTP) 被转换为 192.168.0.5 端口 80 和反之亦然。所以 ,互联网用户能访问网络服务器即使网络服务器在一个专用网络用 一个专用 IP 地址。欲知关于如何的 更多信息排除 NAT 故障,请参阅 验证 NAT 操作 和基本的 NAT 故障排除。 827#827#show ip nat translationPro Inside glob
12、al Inside local Outside local Outside globaltcp 171.68.1.1:80 192.168.0.5:80 - -tcp 171.68.1.1:80 192.168.0.5:80 198.133.219.1:11000 198.133.219.1:11000827#排除故障 如果需要排除地址转换 故障,您在路由器 能 发出 term mon 和 debug ip nat detailed 命令发现地址正确地是否被转换。可 视 IP 地址为了能到达网络服务器的外部用户是 171.68.1.1 。 例如,用户从互联网的公共侧设法到达 171.68.1.
13、1 端口 80 ( 万维网) 将自动地重定向对192.168.0.5 端口 80 (万维网),在这种情 况下是网络服务器。827#term mon827#debug ip nat detailedIP NAT detailed debugging is on827#03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.103:29:49: NAT: Allocated Port for 192.168.0.5 - 171.68.1.1: wanted 80 got 80 03:29:49: NAT: o: tcp (198.133.219.1, 11000) - (171.68.1.1, 80) 0
