windows之家1.NAT怎么配置
前很多人都通过NAT接入互联网。NAT可以在内网IP和公网IP间转换,这样内网用户就可以直接访问到互联网了。大多数用户使用的NAT叫做端口地址转换(PAT),Cisco称这种方式为NAT overload 。在开始前,我们首先了解一下什么是静态NAT。图A是一个网络拓扑图。
我们的目标是:将互联网上的静态IP通过路由器转换为内部网络IP。对于带有Web设置界面的Linksys路由器来说,这个工作实现起来很简单。但是对于采用命令行(CLI)模式的Cisco路由器来说,如果不知道相应的命令就麻烦了。因此在开始前多收集一些信息是很必要的。比如在我们给出的图例中,我们需要通过以下方法采集必要的信息:◆路由器内联端口 E0/0: IP 10.1.1.1
◆路由器外联端口 S0/0: IP 63.63.63.1
◆Web/mail服务器内网 IP: 10.1.1.2
◆Web/mail 服务器公网 IP: 63.63.63.2要让外网用户访问内网的 Web/mail服务器,有两步必要的工作:1.配置NAT
2.配置防火墙在本文中,我重点讲述基本的静态NAT配置。但是各位读者应该确保外网的有关数据可以通过防火墙进入内网。不论是使用ACL还是Cisco IOS配置防火墙,都要确保你熟悉Cisco IOS的操作顺序,并设定正确的IP地址(公网和内网)。换句话说,你应该知道是NAT先工作还是防火墙过滤先工作。在获取了相关信息后,我们就开始配置静态NAT了。在我们的例子中,我们首先进行一下基本配置:interface Serial0/0
ip address 63.63.63.1 255.255.255.0
ip nat outside
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip nat inside我们需要使用 NAT转换将Web/mail服务器的公网IP地址从63.63.63.2 转换到 10.1.1.2 (并从10.1.1.2 转换到 63.63.63.2)。 下面就是内网和公网间的NAT配置:router (config)# ip nat inside source static tcp 10.1.1.2 25 63.63.63.2 25
router (config)# ip nat inside source static tcp 10.1.1.2 443 63.63.63.2 443
router (config)# ip nat inside source static tcp 10.1.1.2 80 63.63.63.2 80
router (config)# ip nat inside source static tcp 10.1.1.2 110 63.63.63.2 110之所以用以上端口,是因为这些端口符合相应服务所对应的端口。比如25端口对应SMTP邮件发送,443端口对应安全的Web连接HTPS,80端口对应HTTP,110端口对应POP3收信。以上配置是假定我们有一个固定的公网IP,如果没有,我们也可以使用路由器出口IP(本例中是Serial 0/0),配置方法如下:router (config)# ip nat inside source static tcp 10.1.1.2 25 interface serial 0/0 25如果你的公网IP地址是通过ISP的DHCP分配的 IP,也可以用上述配置方式。另外,我们还需要将Web服务器和邮件服务器的域名注册到互联网上的DNS注册表中。这样当用户在浏览器中输入域名就可以访问到我们的网站了。比如用户输入,就可以访问到63.63.63.2,然后我们的路由器会把这个地址转化为10.1.1.2 。这样Web服务器就会受到浏览请求并顺利进行响应。除了配置静态NAT,也许你希望同时能学会如何配置动态NAT,这样你的内网PC就可以通过动态NAT(比如NAT overload或PAT)访问互联网了。
2.如何配置NAT?
一、NAT简介 NAT的功能就是指将使用私有地址的网络与公用网络INTERNET相连,使用私有地址的内部网络通过NAT路由器发送数据时,私有地址将被转化为合法注册的IP地址从而可以与INTERNET上的其他主机进行通讯。
NAT路由器被置于内部网和INTERNET的边界上并且在把数据包发送到外部网络前将数据包的源地址转换为合法的IP地址。当多个内部主机共享一个合法IP地址时,地址转换是通过端口多路复用即改变外出数据包的源端口并进行端口映射完成。
二、NAT工作过程 假设某公司申请DDN专线时,电信提供的合法地址为61.138.0.93/30,61.128.0.94/30,公司内部网络地址为192.168.0.0/24,路由器局域口地址192.168.0.254/24,广域口地址61.138.0.93/30, 当192.168.0.1/24这台计算机向INTERNET上的服务器202.98.0.66发出请求,则相应的操作过程如下: ⑴内部主机192.168.0.1/24的用户发出到INTERNET上主机202.98.0.66的连接请求; ⑵边界路由器从内部主机接到第一个数据包时会检查其NAT映射表,如果还没有为该地址建立地址转换映射,路由器便决定为该地址进行地址转换,路由器为该内部地址192.168.0.1到合法IP地址61.138.0.93的映射,同时附加端口信息,以区别与内部其他主机的映射。 ⑶边界路由器用合法IP地址61.138.0.93及某端口号来替换内部IP地址192.168.0.1和对应的端口号,并转发该数据包。
⑷INTERNET服务器202.98.0.66接到该数据包,并以该包的地址(61.138.0.93)来对内部主机192.168.0.1作出应答。 ⑸当边界路由器接受到目的地址为61.138.0.93的数据包时路由器将使用该IP地址、端口号从NAT的映射表中查找出对应的内部地址和端口号,然后将数据包的目的地址转化为内部地址192.168.0.1,并将数据包发送到该主机。
对于每一个请求路由器都重复2-5的步骤。 三、路由器NAT功能配置 以上面的假设为例,分别说明在CISCO、3COM路由器下配置NAT功能 一CISCO路由器 以CISCO2501为例,要求其IOS为11.2版本以上 cisco2501#conf t cisco2501(config)# int e0 cisco2501(config-if)# ip address 192.168.0.254 255.255.255.0 cisco2501(config-if)# ip nat inside (指定e0口为与内部网相连的内部端口) cisco2501(config-if)#int s0 cisco2501(config-if)#encapsulation ppp (指定封装方式为PPP) cisco2501(config-if)#ip address 61.138.0.93 255.255.255.252 cisco2501(config-if)# ip nat outside (指定s0为与外部网络相连的外部端口) cisco2501(config-if)#exit cisco2501(config)# bandwidth 128 (指定网络带宽128k) cisco2501(config)# ip route 0.0.0.0 0.0.0.0 Serial0 (指定缺省路由) cisco2501(config)# ip nat pool a 61.138.0.93 61.138.0.93 netmask 255.255.255.252 (指定内部合法地址池,起始地址,结束地址为合法IP 61.138.0.93) cisco2501(config)# access-list 1 permit 192.168.0.0 0.0.0.255 (定义一个标准的access-list规则,以允许哪些内部地址可以进行地址转换) cisco2501(config)# ip nat inside source list 1 pool a overload (设置内部地址与合法IP地址间建立地址转换) cisco2501(config)#end cisco2501#wr 二3COM路由器 以3COM OCBN8832为例,要求其SOFTWARE VERSION为11.0版本以上 以root注册,进行如下配置: ⑴配置局域网端口 [1] EnterpriseOS #setdefault !1 -ip netaddress=192.168.0.254 255.255.255.0 [2] EnterpriseOS #setdefault !! -path control =enable (激活路由器局域口PATH) [3] EnterpriseOS #setdefault !1 -port control=enable (激活路由器局域口PORT) ⑵配置广域网串行端口 [4] EnterpriseOS #setdefault !3 -path linetype=leased (指明该端口使用的通信线路类型) [5] EnterpriseOS #setdefault !4 -port owner=ppp (指明该端口的使用者) [6] EnterpriseOS #setdefault !4 -ip netaddress=61.138.0.93 255.255.255.252 [7] EnterpriseOS #setdefault !4 -nat addressmap 192.168.0.0/24 61.138.0.93 outbound (指定将192.168.0.0/24内部主机使用的IP地址转换成61.138.0.93) [8] EnterpriseOS #setdault !4 -nat control=enable (启用NAT服务) [9] EnterpriseOS #setdault !3 -path control=enable [10]EnterpriseOS #setdault !4 -port control=enalbe ⑶配置缺省路由 [11]EnterpriseOS #setdault -ip control=router (激活路由器的路由功能) [12]EnterpriseOS #add -ip route 0.0.0.0 0.0.0.0 !4。
3.NAT配置命令改怎么配置NAT命令 搜狗问问
在全局配置模式下输入下面三行内容:
ip nat pool 000 192.168.2.1 192.168.2.10 netmask 255.255.255.0
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 pool 000 overload
第一行000为地址池名字,192.168.2.1 192.168.2.10 为希望被转化成的IP范围
第二行192.168.1.0 为要转化的IP网络号0.0.0.255是通配符,刚好和子网掩码相反
之后再interface 路由器端口配置ip nat inside 和ip nat outside 就好
4.如何设置nat
NAT实现方式 NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和 端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。
动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。
可以采用动态转换的方式。 端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。
内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。
因此,目前网络中应用最多的就是端口多路复用方式。 3.网络地址转换(NAT)的实现 在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。
通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。 1).静态地址转换的实现 假设内部局域网使用的lP地址段为192.168.0.1~192.168.0.254,路由器局域网端(即默认网关)的IP地址为192.168.0.1,子网掩码为255.255.255.0。
网络分配的合法IP地址范围为61.159.62.128~61.159.62.135,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.248可用于转换的IP地址范围为61.159.62.130~61.159.62.134。要求将内部网址192.168.0.2~192.168.0.6分别转换为合法IP地址61.159.62.130~61.159.62.134。
第一步,设置外部端口。 interface serial 0 ip address 61.159.62.129 255.255.255.248 ip nat outside 第二步,设置内部端口。
interface ethernet 0 ip address 192.168.0.1 255.255.255.0 ip nat inside 第三步,在内部本地与内部合法地址之间建立静态地址转换。 ip nat inside source static 内部本地地址内部合法地址。
示例: ip nat inside source static 192.168.0.2 61.159.62.130 //将内部网络地址192.168.0.2转换为合法IP地址61.159.62.130 ip nat inside source static 192.168.0.3 61.159.62.131 //将内部网络地址192.168.0.3转换为合法IP地址61.159.62.131 ip nat inside source static 192.168.0.4 61.159.62.132 //将内部网络地址192.168.0.4转换为合法IP地址61.159.62.132 ip nat inside source static 192.168.0.5 61.159.62.133 //将内部网络地址192.168.0.5转换为合法IP地址61.159.62.133 ip nat inside source static 192.168.0.6 61.159.62.134 //将内部网络地址192.168.0.6转换为合法IP地址61.159.62.134 至此,静态地址转换配置完毕。 2).动态地址转换的实现 假设内部网络使用的IP地址段为172.16.100.1~172.16.100.254,路由器局域网端口(即默认网关)的IP地址为172.16.100.1,子网掩码为255.255.255.0。
网络分配的合法IP地址范围为61.159.62.128~61.159.62.191,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.192,可用于转换的IP地址范围为61.159.62.130~61.159.62.190。要求将内部网址172.16.100.1~172.16.100.254动态转换为合法IP地址61.159.62.130~61.159.62.190。
第一步,设置外部端口。 设置外部端口命令的语法如下: ip nat outside 示例: interface serial 0 //进入串行端口serial 0 ip address 61.159.62.129 255.255.255.248//将其IP地址指定为61.159.62.129,子网掩码为255.255.255.248 ip nat outside //将串行口serial 0设置为外网端口 注意,可以定义多个外部端口。
第二步,设置内部端口。 设置内部接口命令的语法如下: ip nat inside 示例: interface ethernet 0 //进入以太网端口Ethernet 0 ip address 172.16.100.1 255.255.255.0 // 将其IP地址指定为172.16.100.1,子网掩码为255.255.255.0 ip nat inside //将Ethernet 0 设置为内网端口。
注意,可以定义多个内部端口。 第三步,定义合法IP地址池。
定义合法IP地址池命令的语法如下: ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码 其中,地址池名字可以任意设定。 示例: ip nat pool net 61.159.62.130 61.159.62.190 netmask 255.255.255.192 //指明地址缓冲池的名称为net,IP地址范围为61.159.62.130~61.159.62.190,子网掩码为255.255.255.192。
需要注意的是,即使掩码为255.255.255.0,也会由起始IP地址和终止IP地址对IP地址池进行限制。 或ip nat pool test 61.159.62.130 61.159.62.190 prefix-length 26 注意,如果有多个合法IP地址范围,可以分别添加。
例如,如果还有一段合法IP地址范。
5.NAT技术该怎么配置
(一)相关概念 为了更好地认识NAT技术,我们先了解一下它所涉及的几个概念。
1.内部局部地址 在内部网上分配到一个主机的IP地址。这个地址可能不是一个有网络信息中心(NIC)或服务提供商所分配的合法IP地址。
2.内部全局地址 一个合法的IP地址(由NIC或服务供应商分配),对应到外部世界的一个或多个本地IP地址。 3.外部局部地址 出现在网络内的一个外部主机的IP地址,不一定是合法地址,它可以在内部网上从可路由的地址空间进行分配。
4.外部全局地址 由主机拥有者在外部网上分配给主机的IP地址,该地址可以从全局路由地址或网络空间进行分配。图1展示了NAT相关术语的图解。
对于NAT技术,提供4种翻译地址的方式,如下所示。 (二)4种翻译方式 1.静态翻译 是在内部局部地址和内部全局地址之间建立一对一的映射。
2.动态翻译 是在一个内部局部地址和外部地址池之间建立一种映射。 3.端口地址翻译 超载内部全局地址通过允许路由器为多个局部地址分配一个全局地址,也就是将多个局部地址映射为一个全局地址的某一端口,因此也被称为端口地址翻译(PAT)。
4.重叠地址翻译 翻译重叠地址是当一个内部网中使用的内部局部地址与另外一个内部网中的地址相同,通过翻译,使两个网络连接后的通信保持正常。 在实际使用中,通常需要以上几种翻译方式配合使用。
二、让典型应用“说话” 现在,我们以常见Cisco路由器为例,阐述典型应用中NAT技术的实现。 1.配置共享IP地址 应用需求:当您需要允许内部用户访问Internet,但又没有足够的合法IP地址时,可以使用配置共享IP地址连接Internet的NAT转换方式。
图2是配置内部网络10.10.10.0/24通过重载一个地址172.16.10.1./24访问外部网络的全过程。如果有多个外部地址,可以利用动态翻译进行转换,这里就不多做说明了。
清单1展示了具体配置方法。 NAT路由器配置清单1 interface ethernet 0 ip address 10.10.10.254 255.255.255.0 ip nat inside !-- 定义内部转换接口 interface serial 0 ip address 172.16.10.64 255.255.255.0 ip nat outside !-- 定义外部转换接口 ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24 !-- 定义名为ovrld的NAT地址池和地址池重的地址172.16.10.1 ip nat inside source list 1 pool ovrld overload !--指出被 access-list 1 允许的源地址会转换成NAT地址池ovrld中的地址并且转换会被内部多个机器重载成一个相同的IP地址。
access-list 1 permit 10.10.10.0 0.0.0.31 !-- Access-list 1 允许地址10.10.10.0到10.10.10.255进行转换 NAT路由器配置清单2 interface ethernet 0 ip address 10.10.10.254 255.255.255.0 ip nat inside !-- 定义内部转换接口 interface serial 0 ip address 172.16.20.254 255.255.255.0 ip nat outside !-- 定义外部转换接口 ip nat inside source static 10.10.10.1 172.16.20.1 !-- 指定将地址10.10.10.1静态转换为172.16.20.1 适用范围:这种情况适合于通信都是由内部用户向Internet发起的应用。 例如小型企业多个用户通过共享xDSL连接Internet。
另外,也可以用软件进行NAT转换,Windows 2000的操作系统就有这样的功能。至于内部用户数量较多的情况,建议使用代理服务器。
2.配置在Internet上发布的服务器 应用需求:当您需要将内部设备发布到Internet上时,可以使用配置在Internet上发布的服务器的NAT转换方式。 图3是将内部网络的邮件服务器(IP地址为10.10.10.1/24)发布到外部网络的全过程,使用静态翻译可以实现这种转换。
清单2展示了具体配置方法。 适用范围:这种情况适合于访问是从外部网络向内部设备发起的应用。
3.配置端口映射 应用需求:假设您在Internet上发布一台在内部网络的Web服务器,服务器配置成监听8080端口,您需要把外部网络对Web服务器80端口的访问请求重定向。 图4为配置端口映射示意图,清单3展示了具体配置方法。
4.配置TCP传输 应用需求:TCP传输装载共享是与地址匮乏无关的问题,它将数个设备的地址映射成一个虚拟设备的地址,从而实现设备间的负载均衡。 图5是将地址从10.10.10.2到10.10.10.15的真实设备映射成虚拟10.10.10.1地址的全过程。
清单4展示了具体配置方法。 5.真实应用案例 应用需求:笔者所在的单位内部的局域网已建成,并稳定运行着各种应用系统。
随着业务的发展,需要实施一个数据中心在外单位的新应用。出于安全方面的考虑,不能够对现有网络结构进行大的调整和改动;另外,由于资金方面的原因,需要尽可能地节省设备等方面的投入。
应用现状:我单位内部网结构如下:具有3个VLAN。VLAN 1(即10.1.1.X),使用单位内部应用系统,与数据中心没有数据交换;VLAN 2(即10.2.2.X),使用数据中心提供的应用系统,约有100台机器;VLAN 3(即10.3.3.X),只用2台机器使用数据中心提供的应用,分别是10.3.3.1和10.3.3.2。
数据中心提供一台Cisco 3640,Serial口与数据中心通过HDSL连接,分配的地址分别是192.168.252.1和255.255.255.252,FastEthernet口与单位内部局域网连接,分配的地址分别是192.168.1.0和255.255.255.0。 实施方案:由于不打算更改内部网的结构,所以将内部网。
6.NAT如何配置
Interface E0
IP address 10.1.1.3 255.255.255.0
ip nat insid
interface s0/0
ip address 200.1.1.249 255.255.255.252
ip nat outside
ip nat inside source list 1 interface s0/0 overload
Access-list 1 permit 10.1.1.2
Access-list 1 permit 10.1.1.1
7.如何配置NAT(网络地址转换)
使得互联网上的计算机通过其思科路由器访问其内部的Web和电子邮件服务器。
这需要在专门公用的IP地址和专门私用的IP地址之间配置一个静态的NAT转换。下面笔者谈一下解决这个问题的一些具体做法。
近来,绝大多数人都使用NAT来连接到互联网。NAT将私有的IP地址转换为公有的IP地址,从而使得用户能够访问公共的互联网。
我们中的多数人都使用这样一种形式的NAT,称为端口地址转换(Port Address Translation (PAT)),思科称之为NAT overload。 要开始这项工作,让我们先看一下我们需要操作的对象是什么。
请看下图: 这就是我们的目标:我们想通过处于外部的网络(也就是Internet)与内部的网络(也就是私有网络)之间的路由器配置一个静态的IP转换。 在一个拥有基本的Web接口的Linksys路由器上,这并不难做。
然而,在一个使用命令行界面(即CLI)的路由器上,如果你并不知道正确的命令或者在什么地方运用它们,你就会面临着困难。 在开始之前,收集你需要的数据是一个不错的主意。
下面是我们这个例子中所需要的信息: 路由器内部接口E0/0: IP 10。 1。
1。1 路由器外部接口S0/0: IP 63。
63。63。
1 Web/邮件服务器私有IP地址:10。1。
1。2 Web/邮件服务器公有IP地址:63。
63。63。
2 要获取你网络内部和到达你的Web/邮件服务器的数据通信,你可以采用两个重要的措施: 1。 NAT配置 2。
防火墙配置 在本文中,笔者将提供基本的NAT配置。然而,一定要确保不管你为你的防火墙采用了什么配置,一定要允许这些数据通信通过。
不管你正运用基本的访问控制列表(ACL)或者是正使用思科的IOS防火墙属性集(详细信息见:Cisco IOS firewall feature set),一定要确信你理解了思科IOS的操作顺序,这样才能为适当的IP地址(不管是公有的还是私有的)配置你的防火墙。 换句话说,哪一个先发生呢?是 NAT转换,还是防火墙过滤?例如,在使用ACL时,一个输入的ACL检查要先于NAT转换。
因此,你需要在头脑中牢牢记住拥有公有IP地址的ACL。 既然我们已经清楚了这些背景信息,下面就开始我们的静态NAT配置之旅吧。
对我们例子来说,我们要从如下的这个基本配置开始:interface Serial0/0ip address 63。63。
63。1 255。
255。255。
0ip nat outsideinterface Ethernet0/0ip address 10。 1。
1。1 255。
255。255。
0ip nat inside 我们需要NAT转换将Web/电子邮件服务器的外部IP地址从63。63。
63。2 转换为 10。
1。1。
2 (从 10。1。
1。2 转换为 63。
63。63。
2)。下面就是在外部和内部NAT配置之间缺少的环节中的操作:router(config)#ip nat inside source static tcp 10。
1。1。
2 25 63。63。
63。2 25router(config)#ip nat inside source static tcp 10。
1。1。
2 443 63。63。
63。2 443router(config)#ip nat inside source static tcp 10。
1。1。
2 80 63。63。
63。2 80router(config)#ip nat inside source static tcp 10。
1。1。
2 110 63。63。
63。2 110 我们使用了上述的端口数字,因为它们适合我们想要执行操作的描述。
但是需要记住,你的端口数字可能会有所不同。笔者关闭了用于SMTP(发送邮件)的 25号端口、用于HTTPS(安全Web)的443号端口,用于HTTP(Web通信)的80号。
转载请注明出处windows之家 » win10如何配置nat