Cisco的路由器上進行埠對映

xsdan發表於2009-01-07

由於一臺終端需要安裝GPRS無線抄表裝置,因此需要在Cisco的路由器上進行埠對映。

具體操作如下:

[@more@]

Password:

c2611>en

Password:

c2611#configure

c2611(config)#ip nat inside source static tcp A.A.A.A 23 B.B.B.B 23

(其中A.A.A.A是內網主機的地址,B.B.B.B是公網IP地址,這裡以對映23埠為例)

c2611(config)#exit

c2611#wr

搞定!

埠對映:在路由器開放一個埠、對映到相應的機子。當外網有資料訪問路由器開放的埠時,路由器直接將來自於這個埠的所有資料轉發到相應的機子,而不是路由器自己接受。

取消某個埠對映:no ip nat inside source static tcp A.A.A.A 23 B.B.B.B 23

由於路由器是在網裝置,因此很多基本配置早以完成了,所以只使用了一條命令。

搜刮了一點關於NAT的資料如下,以供學習

隨著internet的網路迅速發展,IP地址短缺已成為一個十分突出的問題。為了解決這個問題,出現了多種解決方案。下面幾紹一種在目前網路環境中比較有效的方法即地址轉換(NAT)功能。

一、NAT簡介

NAT(Network Address Translation)的功能,就是指在一個網路內部,根據需要可以隨意自定義的IP地址,而不需要經過申請。在網路內部,各計算機間透過內部的IP地址進行通訊。而當內部的計算機要與外部internet網路進行通訊時,具有NAT功能的裝置(比如:路由器)負責將其內部的IP地址轉換為合法的IP地址(即經過申請的IP地址)進行通訊。

二、NAT 的應用環境:

情況1:一個企業不想讓外部網路使用者知道自己的網路內部結構,可以透過NAT將內部網路與外部Internet 隔離開,則外部使用者根本不知道透過NAT設定的內部IP地址。

情況2:一個企業申請的合法Internet IP地址很少,而內部網路使用者很多。可以透過NAT功能實現多個使用者同時公用一個合法IP與外部Internet 進行通訊。

三、設定NAT所需路由器的硬體配置和軟體配置:

設定NAT功能的路由器至少要有一個內部埠(Inside),一個外部埠(Outside)。內部埠連線的網路使用者使用的是內部IP地址。

內部埠可以為任意一個路由器埠。外部埠連線的是外部的網路,如Internet 。外部埠可以為路由器上的任意埠。

設定NAT功能的路由器的IOS應支援NAT功能(本文事例所用路由器為Cisco2501,其IOS為11.2版本以上支援NAT功能)。

四、關於NAT的幾個概念:

內部本地地址(Inside local address):分配給內部網路中的計算機的內部IP地址。

內部合法地址(Inside global address):對外進入IP通訊時,代表一個或多個內部本地地址的合法IP地址。需要申請才可取得的IP地址。

五、NAT的設定方法:

NAT設定可以分為靜態地址轉換、動態地址轉換、複用動態地址轉換。

1、靜態地址轉換適用的環境

靜態地址轉換將內部本地地址與內部合法地址進行一對一的轉換,且需要指定和哪個合法地址進行轉換。如果內部網路有E-mail服務器或FTP伺服器等可以為外部使用者提供的服務,這些伺服器的IP地址必須採用靜態地址轉換,以便外部使用者可以使用這些服務。

靜態地址轉換基本配置步驟:

(1)、在內部本地地址與內部合法地址之間建立靜態地址轉換。在全域性設定狀態下輸入:

ip nat inside source static 內部本地地址 內部合法地址

(2)、指定連線網路的內部埠 在埠設定狀態下輸入:

ip nat inside

(3)、指定連線外部網路的外部埠 在埠設定狀態下輸入:

ip nat outside

2、動態地址轉換適用的環境:

動態地址轉換也是將本地地址與內部合法地址一對一的轉換,但是動態地址轉換是從內部合法地址池中動態地選擇一個末使用的地址對內部本地地址進行轉換。

動態地址轉換基本配置步驟:

(1)、在全域性設定模式下,定義內部合法地址池

ip nat pool 地址池名稱 起始IP地址 終止IP地址 子網掩碼

其中地址池名稱可以任意設定。

(2)、在全域性設定模式下,定義一個標準的access-list規則以允許哪些內部地址可以進行動態地址轉換。

Access-list 標號 permit 源地址 萬用字元

其中標號為1-99之間的整數。

(3)、在全域性設定模式下,將由access-list指定的內部本地地址與指定的內部合法地址池進行地址轉換。

ip nat inside source list 訪問列表標號 pool內部合法地址池名字

(4)、指定與內部網路相連的內部埠在埠設定狀態下:

ip nat inside

(5)、指定與外部網路相連的外部埠

Ip nat outside

例項2:

本例項中硬體配置同上,運用了動態NAT地址轉換功能。將2501的以太口作為內部埠,同步埠0作為外部埠。其中10.1.1.0網段採用動態地址轉換。對應內部合法地址為192.1.1.2~192.1.1.10

Current configuration:

version 11.3

no service password-encryption

hostname 2501

ip nat pool aaa 192.1.1.2 192.1.1.10 netmask 255.255.255.0

ip nat inside source list 1 pool aaa

interface Ethernet0

ip address 10.1.1.1 255.255.255.0

ip nat inside

interface Serial0

ip address 192.1.1.1 255.255.255.0

ip nat outside

no ip mroute-cache

bandwidth 2000

no fair-queue

clockrate 2000000

interface Serial1

no ip address

shutdown

no ip classless

ip route 0.0.0.0 0.0.0.0 Serial0

access-list 1 permit 10.1.1.0 0.0.0.255

line con 0

line aux 0

line vty 0 4

password cisco

end

3、複用動態地址轉換適用的環境:

複用動態地址轉換首先是一種動態地址轉換,但是它可以允許多個內部本地地址共用一個內部合法地址。只申請到少量IP地址但卻經常同時有多於合法地址個數的使用者上外部網路的情況,這種轉換極為有用。

注意:當多個使用者同時使用一個IP地址,外部網路透過路由器內部利用上層的如TCP或UDP埠號等唯一標識某臺計算機。

複用動態地址轉換配置步驟:

在全域性設定模式下,定義內部合地址池

ip nat pool 地址池名字 起始IP地址 終止IP地址 子網掩碼

其中地址池名字可以任意設定。

在全域性設定模式下,定義一個標準的access-list規則以允許哪些內部本地地址可以進行動態地址轉換。

access-list 標號 permit 源地址 萬用字元

其中標號為1-99之間的整數。

在全域性設定模式下,設定在內部的本地地址與內部合法IP地址間建立複用動態地址轉換。

ip nat inside source list 訪問列表標號 pool 內部合法地址池名字 overload

在埠設定狀態下,指定與內部網路相連的內部埠

ip nat inside

在埠設定狀態下,指定與外部網路相連的外部埠

ip nat outside

例項:應用了複用動態NAT地址轉換功能。將2501的以太口作為內部埠,同步埠0作為外部埠。10.1.1.0網段採用複用動態地址轉換。假設企業只申請了一個合法的IP地址192.1.1.1。

2501的配置

Current configuration:

version 11.3

no service password-encryption

hostname 2501

ip nat pool bbb 192.1.1.1 192.1.1.1 netmask 255.255.255.0

ip nat inside source list 1 pool bbb overload

interface Ethernet0

ip address 10.1.1.1 255.255.255.0

ip nat inside

interface Serial0

ip address 192.1.1.1 255.255.255.0

ip nat outside

no ip mroute-cache

bandwidth 2000

no fair-queue

clockrate 2000000

interface Serial1

no ip address

shutdown

no ip classless

ip route 0.0.0.0 0.0.0.0 Serial0

access-list 1 permit 10.1.1.0 0.0.0.255

line con 0

line aux 0

line vty 0 4

password cisco

end

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/262387/viewspace-1015851/,如需轉載,請註明出處,否則將追究法律責任。

相關文章