Cisco NAT的配置

NAT設置可以分爲靜態地址轉換、動態地址轉換、複用動態地址轉換。

　　1、 靜態地址轉換適用的環境
　　靜態地址轉換將內部本地地址與內部合法地址進行一對一的轉換，且需要指定和哪個合法地址進行轉換。如果內部網絡有E-mail服務器或FTP服務器等可以爲外部用戶提供的服務，這些服務器的IP地址必須採用靜態地址轉換，以便外部用戶可以使用這些服務。

　　靜態地址轉換基本配置步驟：
　　（1）、在內部本地地址與內部合法地址之間建立靜態地址轉換。在全局設置狀態下輸入：
　　Ip nat inside source static 內部本地地址 內部合法地址

　　（2）、指定連接網絡的內部端口 在端口設置狀態下輸入：
　　ip nat inside

　　（3）、指定連接外部網絡的外部端口 在端口設置狀態下輸入：
　　ip nat outside

　　注：可以根據實際需要定義多個內部端口及多個外部端口。

　　實例1：
　　本實例實現靜態NAT地址轉換功能。將2501的以太口作爲內部端口，同步端口０作爲外部端口。其中10.1.1.2，10.1.1.3，10.1.1.4的內部本地地址採用靜態地址轉換。其內部合法地址分別對應爲192.1.1.2，192.1.1.3，192.1.1.4。

ip nat inside source static 10.1.1.2 192.1.1.2
ip nat inside source static 10.1.1.3 192.1.1.3
ip nat inside source static 10.1.1.4 192.1.1.4
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip nat outside
no ip mroute-cache

==============================
　　配置完成後可以用以下語句進行查看：
show ip nat statistcs
show ip nat translations

　　2、動態地址轉換適用的環境：
　　動態地址轉換也是將本地地址與內部合法地址一對一的轉換，但是動態地址轉換是從內部合法地址池中動態地選擇一個末使用的地址對內部本地地址進行轉換。

　　動態地址轉換基本配置步驟：

　　（1）、在全局設置模式下，定義內部合法地址池
　　ip nat pool 地址池名稱 起始IP地址 終止IP地址 子網掩碼
　　其中地址池名稱可以任意設定。

　　（2）、在全局設置模式下，定義一個標準的Access-list規則以允許哪些內部地址可以進行動態地址轉換。
　　access-list 標號 permit 源地址 通配符
　　其中標號爲1-99之間的整數。

　　（3）、在全局設置模式下，將由access-list指定的內部本地地址與指定的內部合法地址池進行地址轉換。
　　ip nat inside source list 訪問列表標號 pool內部合法地址池名字

　　（4）、指定與內部網絡相連的內部端口在端口設置狀態下：
　　ip nat inside

　　（5）、指定與外部網絡相連的外部端口
　　ip nat outside

　　實例2：
　　本實例中硬件配置同上，運用了動態NAT地址轉換功能。將2501的以太口作爲內部端口，同步端口0作爲外部端口。其中10.1.1.0網段採用動態地址轉換。對應內部合法地址爲192.1.1.2~192.1.1.10

ip nat pool aaa 192.1.1.2 192.1.1.10 netmask 255.255.255.0
ip nat inside source list 1 pool aaa
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip nat outside

access-list 1 permit 10.1.1.0 0.0.0.255

==============================

　　3、複用動態地址轉換適用的環境：
　　複用動態地址轉換首先是一種動態地址轉換，但是它可以允許多個內部本地地址共用一個內部合法地址。只申請到少量IP地址但卻經常同時有多於合法地址個數的用戶上外部網絡的情況，這種轉換極爲有用。

　　注意：當多個用戶同時使用一個IP地址，外部網絡通過路由器內部利用上層的如TCP或UDP端口號等唯一標識某臺計算機。　　

　　複用動態地址轉換配置步驟：

　　在全局設置模式下，定義內部合地址池
　　ip nat pool 地址池名字 起始IP地址 終止IP地址 子網掩碼
　　其中地址池名字可以任意設定。

　　在全局設置模式下，定義一個標準的access-list規則以允許哪些內部本地地址可以進行動態地址轉換。
　　access-list 標號 permit 源地址 通配符
　　其中標號爲1－99之間的整數。

　　在全局設置模式下，設置在內部的本地地址與內部合法IP地址間建立複用動態地址轉換。
　ip nat inside source list 訪問列表標號 pool 內部合法地址池名字 overload

　　在端口設置狀態下，指定與內部網絡相連的內部端口
　　ip nat inside

　　在端口設置狀態下，指定與外部網絡相連的外部端口
　　ip nat outside

　　實例：應用了複用動態NAT地址轉換功能。將2501的以太口作爲內部端口，同步端口0作爲外部端口。10.1.1.0網段採用複用動態地址轉換。假設企業只申請了一個合法的IP地址192.1.1.1。

 

配置事例
1、 共享一公網IP
如圖所示，某公司內部網絡通過一個公網IP訪問INTERNET
 具體配置：
Router1(config-if-bri1/0)# ip address negotiated
Router1(config-if-bri1/0)# ip nat outside
Router1(config-if-bri1/0)# encapsulation ppp
Router1(config-if-bri1/0)# ppp pap sent-username 169 password 169
Router1(config-if-bri1/0)# ppp multilink
Router1(config-if-bri1/0)# dialer load-threshold 60
Router1(config-if-bri1/0)# dialer in-band
Router1(config-if-bri1/0)# dialer-group 1
Router1(config-if-bri1/0)# dialer string 169
Router1(config-if-bri1/0)# exit

!

Router1(config)# dialer-list 1 protocol ip permit
Router1(config)# access-list 1 permit any
Router1(config)# ip route 0.0.0.0/0 interface bri2/0
Router1(config)# ip nat on
Router1(config)# ip nat inside source list 1 interface bri 2/0 overload

!

Router1(config)# interface eth 0/0
Router1(config-if-eth0/0)# ip address 192.168.0.1/24
Router1(config-if-eth0/0)# ip nat inside
2、負載均衡

　　如圖所示路由器上有兩個接口：以太網接口E0/0與內部網相連，使用私有地址192.168.0.1；以太網接口E0/1與因特網相連，地址爲61.20.12.4；使用三臺PC服務器來提供WEB服務，它們使用私有地址。
 

具體配置：
Router(config)# ip nat pool websvrs
Router(config)# type rotary
Router(config-ipnat-pool)# address 192.168.0.2 192.168.0.4
Router(config)# access-list 1 permit 61.20.12.4/32
Router(config)# ip nat inside destination list 1 pool websvrs
Router(config)# interface eth0/0
Router(config-if-eth0/0)# ip nat inside
Router(config)# interface eth0/1
Router(config-if-eth0/1)# ip nat outside
Router(config)# ip nat on
注：所有由外網發往61.20.12.4的請求都會被輪流轉發給地址池中的三臺服務器處理。
三、NAT的監控與維護
如圖所示路由器上有兩個接口：以太網接口E0/0與內部網相連，使用私有地址192.168.0.1；以太網接口E0/1與因特網相連，
地址爲61.20.12.4；使用三臺PC服務器來提供WEB服務，它們使用私有地址。
 

　可以用show ip nat statistics命令顯示關於NAT的統計信息，輸出如下：
　Total active translations: 75 當前的NAT轉換的總數
　Outside interfaces: 當前設置的外部接口
　dialer0
　Inside interfaces: 當前設置的內部接口
　eth0/0
　可以用show ip nat translations命令顯示當前的NAT轉換表，輸出如下：
　　Pro　 Inside global 　　　　Inside local 　　　　　Outside local　　 　　　Outside global
　　6　 61.149.32.147:1514 　　192.168.0.33:1514 　　202.107.35.22:5555 　　202.107.35.22:5555
　　6 　61.149.32.147:1222 　　192.168.0.39:1222 　　202.96.137.34:80 　　　202.96.137.34:80
　　6 　61.149.32.147:1090 　　192.168.0.36:1090 　　64.4.12.51:1863　　　　64.4.12.51:1863
　　6 　61.149.32.147:2097 　　192.168.0.55:2097 　　216.136.171.200:80 　　216.136.171.200:80
　　6 　61.149.32.147:1225 　　192.168.0.39:1225 　　x 3d.aa.97.ec:43b　　　x 3d.aa.97.ec:43b
　　6　 61.149.32.147:2098 　　192.168.0.55:2098 　　216.136.171.200:80 　　216.136.171.200:80
　　6 　61.149.32.147:1907 　　192.168.0.42:1907 　　64.4.12.84:1863 64.　　4.12.84:1863
　　Total translation: 19 當前的NAT轉換表項數

　　
　　第一列顯示連接的協議號；
　　第二列顯示連接的內部全局地址；
　　第三列顯示連接的內部本地地址；
　　第四列顯示連接的外部本地地址；
　　第五列顯示連接的外部全局地址；
　　若連接的協議包含端口，則會在地址中顯示端口，若地址太長，則使用地址的十六進制表示，並在該地址前添加一個x；
　　可用debug ip nat命令查看地址轉換的詳細信息，輸出如下：
　　NAT*: 0x1f2c34 inside initiated connection --- proto 1 (192.168.0.234.) -> (202.112.58.200) pool (61.34.2.42 – 　　61.34.2.42)
　　表示將對內部主機發出的一個icmp進行地址轉換處理，可供使用的內部全局地址是61.34.2.42；
　　NAT*: 0x1f2c34 do snat --- proto 1 (192.168.0.234) >> (61.34.2.42)
　　表示改變了報文的源地址，從內部本地地址192.168.0.234轉換成內部全局地址61.34.2.42；
　　NAT*: 0x1f2c34 closed
　　表示連接已關閉。