- UID
- 1029342
- 性别
- 男
|
第四步,定义内部网络中允许访问Internet的访问列表。
定义内部访问列表命令的语法如下:
access-list 标号 permit 源地址通配符(其中,标号为1~99之间的整数)
access-list 1 permit 172.16.100.0 0.0.0.255//允许访问Internet的网段为172.16.100.0~172.16.100.255,反掩码为0.0.0.255。需要注意的是,在这里采用的是反掩码,而非子网掩码。反掩码与子网掩码的关系为:反掩码+子网掩码=255.255.255.255。例如,子网掩码为255.255.0.0,则反掩码为0.0.255.255;子网掩码为255.0.0.0,则反掩码为0.255.255.255;子网掩码为255.252.0.0,则反掩码为0.3.255.255;子网掩码为255.255.255.192,则反掩码为0.0.0.63。
另外,如果想将多个IP地址段转换为合法IP地址,可以添加多个访问列表。例如,当欲将172.16.98.0~172.16.98.255和172.16.99.0~172.16.99.255转换为合法IP地址时,应当添加下述命令:
access-list2 permit 172.16.98.0 0.0.0.255
access-list3 permit 172.16.99.0 0.0.0.255
第五步,实现网络地址转换。
在全局设置模式下,将第四步由access-list指定的内部本地地址列表与第三步指定的合法IP地址池进行地址转换。命令语法如下:
ip nat inside source list 访问列表标号 pool 内部合法地址池名字
示例:
ip nat inside source list 1 pool chinanet
如果有多个内部访问列表,可以一一添加,以实现网络地址转换,如
ip nat inside source list 2 pool chinanet
ip nat inside source list 3 pool chinanet
如果有多个地址池,也可以一一添加,以增加合法地址池范围,如
ip nat inside source list 1 pool cernet
ip nat inside source list 2 pool cernet
ip nat inside source list 3 pool cernet
至此,动态地址转换设置完毕。
3).端口复用动态地址转换(PAT)
内部网络使用的IP地址段为10.100.100.1~10.100.100.254,路由器局域网端口(即默认网关)的IP地址为10.100.100.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为202.99.160.0~202.99.160.3,路由器广域网中的IP地址为202.99.160.1,子网掩码为255.255.255.252,可用于转换的IP地址为202.99.160.2。要求将内部网址10.100.100.1~10.100.100.254转换为合法IP地址202.99.160.2。
第一步,设置外部端口。
interface serial 0
ip address 202.99.160.1 255.255.255.252
ip nat outside
第二步,设置内部端口。
interface ethernet 0
ip address 10.100.100.1 255.255.255.0
ip nat inside
第三步,定义合法IP地址池。
ip nat pool onlyone 202.99.160.2 202.99.160.2 netmask255.255.255.252
//指明地址缓冲池的名称为onlyone,IP地址范围为202.99.160.2,子网掩码为255.255.255.252。由于本例只有一个IP地址可用,所以,起始IP地址与终止IP地址均为202.99.160.2。如果有多个IP地址,则应当分别键入起止的IP地址。
第四步,定义内部访问列。
access-list 1 permit 10.100.100.0 0.0.0.255
允许访问Internetr的网段为10.100.100.0~10.100.100.255,子网掩码为255.255.255.0。需要注意的是,在这里子网掩码的顺序跟平常所写的顺序相反,即0.0.0.255。
第五步,设置复用动态地址转换。
在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。命令语法如下:
ip nat inside source list访问列表号pool内部合法地址池名字overload
示例:
ip nat inside source list1 pool onlyone overload//以端口复用方式,将访问列表1中的私有IP地址转换为onlyone IP地址池中定义的合法IP地址。
注意:overload是复用动态地址转换的关键词。
至此,端口复用动态地址转换完成。
还可以这样写:
ip nat inside source list 1 interface serial 0overload
技术背景:
NAT技术的产生:虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本和网络性能,很多时候都是在路由器上来实现的。
随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。事实上,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的C类IP地址。在其他ISP那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求,于是也就产生了NAT技术。
NAT概述:NAT(Network Address Translation,网络地址转换)是将IP 数据包头中的IP地址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP地址代表较多的私有IP 地址的方式,将有助于减缓可用IP 地址空间的枯竭。
说明:
私有 IP 地址是指内部网络或主机的IP 地址,公有IP 地址是指在因特网上全球唯一的IP 地址。
RFC 1918 为私有网络预留出了三个IP 地址块,如下:
A 类:10.0.0.0~10.255.255.255
B 类:172.16.0.0~172.31.255.255
C 类:192.168.0.0~192.168.255.255
上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用。
NAT工作流程:
①如右图这个 client 的 gateway 设定为 NAT 主机,所以当要连上Internet 的时候,该封包就会被送到 NAT 主机,这个时候的封包 Header 之 source IP 为192.168.1.100 ;②而透过这个 NAT 主机,它会将 client 的对外联机封包的source IP ( 192.168.1.100 ) 伪装成 ppp0 ( 假设为拨接情况 )这个接口所具有的公共 IP,因为是公共 IP 了,所以这个封包就可以连上 Internet 了!同时 NAT 主机并且会记忆这个联机的封包是由哪一个 (192.168.1.100 ) client 端传送来的;③由 Internet传送回来的封包,当然由 NAT 主机来接收了,这个时候, NAT 主机会去查询原本记录的路由信息,并将目标 IP 由 ppp0上面的公共 IP 改回原来的 192.168.1.100 ;
④最后则由 NAT 主机将该封包传送给原先发送封包的 Client。
NAT架设需求:由前面 NAT( Network Address Translation )的介绍,我们知道他可以作为频宽分享的主机,当然也可以管理一群在NAT 主机后面的 Client 计算机。所以 NAT的功能至少有这两项:
①频宽分享:这是 NAT 主机的最大功能。
②安全防护:NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了!外界在进行 portscan的时候,就侦测不到源Client 端的 PC 。 |
|