埠複用動態地址轉換
埠複用動態地址轉換
內部網路使用的IP地址段為10.100.100.1~10.100.100.254,路由器區域網埠(即預設閘道器)的IP地址為10.100.100.1,子網掩碼為255.255.255.0。網路分配的合法IP地址範圍為202.99.160.0~202.99.160.3,路由器廣域網中的IP地址為202.99.160.1,子網掩碼為255.255.255.252,可用於轉換的IP地址為202.99.160.2。要求將內部網址10.100.100.1~10.100.100.254 轉換為合法IP地址202.99.160.2。[@more@]第一步,設定外部埠。
interface serial 0
ip address 202.99.160.1 255.255.255.252
in nat outside
第二步,設定內部埠。
interface ethernet 0
?ip address 10.100.100.1 255.255.255.0
?ip nat inside
第三步,定義合法IP地址池。
in nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252
// 指明地址緩衝池的名稱為onlyone,IP地址範圍為202.99.160.2,子網掩碼為255.255.255.252。由於本例只有一個IP地址可用,所以,起始IP地址與終止IP地址均為202.99.160.2。如果有多個IP地址,則應當分別鍵入起止的IP直址。
第四步,定義內部訪問列。
access-list 1 permit 10.100.100.0 0.0.0.255
允許訪問Internetr的網段為10.100.100.0~10.100.100.255,子網掩碼為255.255.255.0。需要注意的是,在這裡子網掩碼的順序跟平常所寫的順序相反,即0.255.255.255。
第五步,設定複用動態地址轉換。
在全域性設定模式下,設定在內部的本地地址與內部合法IP地址間建立複用動態地址轉換。命令語法如下:
ip nat inside source list訪問列表號pool內部合法地址池名字overload
示例:
ip nat inside source list1 pool onlyone overload //以埠複用方式,將訪問列表1中的私有IP地址轉換為onlyone IP地址池中定義的合法IP地址。
至此,埠複用動態地址轉換完成。
網路地址轉換(NAT)-例項
示例一:全部採用埠複用地址轉換
當ISP分配的IP地址數量很少,網路又沒有其他特殊需求,即無需為Internet提供網路服務時,可採用埠利用地址轉換方式,使網路內的計算機採用同一IP地址訪問Internet,在節約IP地址資源的同時,又可有效保護網路內部的計算機。
網路環境為:
區域網採用10Mb/s光纖,以都會網路方式接入Internet,如圖4-2-2所示。路由器選用擁有2個10/100 Mb/s自適應埠的Cisco 2611。內部網路使用的IP地址段為192.168.100.1~192.101.254,區域網埠Ethernet 0的IP地址為192.168.100.1,子網掩碼為255.255.0.0。網路分配的合法IP地址範圍為202.99.160.128~202.99.160.131,連線ISP的埠Ethernet 1的IP地址為202.99.160.129,子網掩碼為255.255.255.252。可用於轉換的IP地址為202.99.160.130。要求網路內部的所有計算機均可訪問Internet。
案例分析:
既然只有一個可用的合法IP地址,同時處於區域網的伺服器又只為區域網提供服務,而不允許Internet中的主機對其訪問,因此完全可以採用埠複用地址轉換方式實現NAT,使得網路內的所有計算機均可獨立訪問Internet。
配置清單:
interface fastethernet0/0
ip address 192.168.100.1 255.255.0.0 //定義本地埠IP地址
duplex auto
speed auto
ip nat inside // 定義為本地埠
!
interface fastethernet0/1
ip address 202.99.160.129 255.255.255.252
duplx auto
speed auto
ip nat outside
!
ip nat pool onlyone 202.99.160.130 202.99.160.130 netmadk 255.255.255.252 //定義合法IP地址池,名稱為onlyone
access-list 1 permit 192.168.100.0 0.0.0.255 //定義本地訪問列表
access-list 1 permit 192.168.100.0 0.0.0.255
ip nat inside source list1 pool onlyone overload //採用埠複用動態地址轉換
示例二:動態地址+埠複用地址轉換
許多FTP網站考慮到伺服器效能和Internet連線頻寬的佔用問題,都限制同一IP地址的多個程式訪問。如果採用埠復地址轉換方式,則網路內的所以計算機都採用同一IP地址訪問Internet,那麼,將因此而被禁止對該網站的訪問。所以,當提供的合法IP地址數量稍多時,可同時採用埠複用和動態地址轉換方式,從而既可保證所有使用者都能夠獲得訪問Internet的權力,同時,又不致、某些計算機因使用同一IP地址而被限制許可權。需要注意的是,由於所有計算機都採用動態地址轉換方式,因此Internet中的所有計算機將無法實現對網路內部伺服器的訪問。
網路環境:
區域網以2Mb/s DNA專線接入Internet,路由器選用安裝了廣域網模組的Cisco 2611,如圖4-2-2所示。內部網路使用的IP地址段為172.16.100.1~172.16.102.254,區域網埠Ethernet 0的IP地址為172.16.100.1,子網掩碼為255.255.0.0。網路分配的合法IP地址範圍為202.99.160.128~202.99.160.129,子網掩碼為255.255.255.192,可用於轉換的IP地址範圍為202.99.160.130~202.99.160.190。要求網路部分的部分計算機可以不受任何限制地訪問Internet,伺服器無需提供Internet訪問服務。
案例分析:
既然要求網路中的部分計算機可以不受任何限制地訪問Internet,同時,伺服器無需提供Internet訪問服務,那麼,只需採用動態地址轉換+埠複用地址轉換方式即可實現。部分有特殊需求的計算機採用動態地址轉換的NAT方式,其他計算機則採用埠複用地址轉換的NAT方式。因此,部分有特殊需求的計算機可採用內部網址172.16.100.1~172.16.100.254,並動態轉換為合法地址202.99.160.130~202.99.160.189,其他計算機採用內部網址172.16.101.1~172.16.102.254,全部轉換為202.99.160.190。
配置清單:
interface fastethernet0/1
ip address 10.100.100.1 255.255.255.0 //定義區域網埠IP地址
duplex auto
speed auto
ip nat inside //定義為局域埠
!
interface serial 0/0
ip address 202.99.160.129 255.255.255.192 //定義廣域網埠IP地址
!
duplex auto
speed auto
ip nat outside //定義為廣域埠
!
ip nat pool public 202.99.160.130 202.130.160.190 netmask 255.255.255.192 //定義合法IP地址池,名稱為public
ip nat pool super 202.99.160.130 202.130.160.189 netmask 255.255.255.192 //定義合法IP地址池,名稱為super
ip nat inside source list1 pool super //定義列表達1採用動態地址轉換
ip nat inside source list2 pool public overload? //定義列表2採用埠複用地址轉換
access-list1 permit 172.16.100.0 0.0.0.255 //定義本地訪問列表1
access-list2 permit 172.16.102.0 0.0.0.255 //定義本地訪問列表2
access-list2 permit 172.16.102.0 0.0.0.255
示例三:靜態地址轉換+埠複用地址轉換
其實在很多時候,網路中的伺服器既為網路內部的客戶提供網路服務,又同時為Internet中的使用者提供訪問服務。因此,如果採用埠複用地址轉換或動態地址轉換,將由於無法確定伺服器的IP地址,而導致Internet使用者無法實現對網路內部伺服器的訪問。此時,就應當採用靜態地址轉換+埠複用地址轉換的NAT方式。也就是說,對伺服器採用靜態地址轉換,以確保伺服器擁有固定的合法IP地址。而對普通的客戶計算機則採用埠複用地址轉換,使所有使用者都享有訪問Internet的權力。
網路環境為:
區域網採用10Mb/s光纖,以都會網路方式接入Internet,如圖4-2-2所示。路由器選用擁有2個10/100 Mb/s自適應埠的Cisco 2611。內部網路使用的IP地址段為10.18.100.1~10.18.104.254,區域網埠Ethernet 0的IP地址為10.18.100.1,子網掩碼為255.255.0.0。網路分配的合法IP地址範圍為211.82.220.80~211.82.220.87,連線ISP的埠Ethernet 1的IP地址為211.82.220.81,子網掩碼為255.255.255.248。要求網路內部的所有計算機均可訪問Internet,並且在Internet中提供Web、E-mail、FTP和Media等4種服務。
案例分析:
既然網路內的伺服器要求能夠被Internet訪問到,那麼,這部分主機必須擁有合法的IP地址,也就是說,伺服器必須採用靜態地址轉換。其他計算機由於沒有任何限制,所以,可採用埠複用地址轉換的NAT方式。因此,伺服器可採用內網址10.18.100.1~10.18.100.254,並分別對映為一個合法的IP地址。其他計算機則採用內部網址10.18.101.1~172.16.104.254,並全部轉換為一個合法的IP地址。
配置清單:
interface fastethernet0/0
ip address 10.18.100.1 255.255.0.0 //定義區域網口IP地址
duplex auto
speed auto
ip nat inside //定義區域網口
!
interface fastethernet0/1
ip address 211.82.220.81 255.255.255.248 //定義廣域網口IP地址
duplex auto
speed auto
ip nat outside //定義廣域網口
!
ip nat pool every 211.82.220.86 211.82.220.86 netmask 255.255.255.248 //定義合法IP地址池
access-list 1 permit 10.18.101.0 0.0.0.255 //定義本地訪問列表1
access-list 1 premit 10.18.102.0 0.0.0.255
access-list 1 premit 10.18.103.0 0.0.0.255
access-list 1 premit 10.18.104.0 0.0.0.255
ip nat inside source list1 pool every overload //定義列表達1採用埠複用地址轉換
ip nat inside source static 10.18.100.10 211.82.220.82 //定義靜態地址轉換
ip nat inside source static 10.18.100.11 211.82.220.83
ip nat inside source static 10.18.100.12 211.82.220.84
ip nat inside source static 10.18.100.13 211.82.220.85
示例四:TCP/UDP埠NAT對映
如果ISP提供的合法IP地址的數量較多,我們自然可以採用靜態地址轉換+埠複用動態地址轉換的方式得以完美實現。但如果ISP只提供4個IP地址,其中2個作為網路號和廣播地址而不可使用,1個IP地址要用於路由器定義為預設閘道器, 那麼將只剩下1個IP地址可用。當然我們也可以利用這個僅存的一個IP地址採用埠複用地址轉換技術,從而實現整個區域網的Internet接入。但是由於伺服器也採用動態埠,因此,Internet中的計算機將無法訪問到網路內部的伺服器。有沒有好的解決問題的方案呢?這就是TCP/UDP埠NAT對映。
我們知道,不同應用程式使用的TCP/UDP的埠是不同的,比如,Web服務使用50,FTP服務使用21,SMTP服務使用25,POP3服務使用110,等等。因此,可以將不同的TCP埠繫結至不同的內部IP地址,從而只使用一個合法的IP地址,即可在允許內部所有伺服器被Internet訪問的同時,實現內部所有主機對Internet訪問。
網路環境:
區域網採用10Mb/s光纖,以都會網路方式接入Internet,如圖4-2-5所示。路由器選用擁有2個10/100 Mb/s自適應埠的Cisco 2611。內部網路使用的IP地址段為192.168.1.1~192.168.1.254,區域網埠Ethernet 0的IP地址為192.168.1.1,子網掩碼為255.255.255.0。網路分配的合法IP地址範圍為,211.82.220.128~211.82.220.131,連線ISP的埠Ethernet 1的IP地址為211.82.220.129,子網掩碼為255.225.255.252,可用於轉換的IP地址為211.82.220.130。要求網路內部的所有計算機均可訪問Internet。
案例分析:
既然只有一個可用的合法IP地址,當然只能採用埠複用方式實現NAT,不過,由於同時又要求網路內部的伺服器可以被Internet訪問到,因此,必須使用PAT建立TCP/UDP埠的NAT對映。需要注意的是,也可以直接使用廣域埠建立TCP/UDP埠的NAT對映,也就是說,即使只有一個IP地址,也可以完美實現埠複用。由於合法IP地址位於路由器埠上,所以,不再需要定義NAT池,只簡單地使用inside source list語句即可。
需要注意的是,由於每種應用服務都有自己預設的埠,所以,這種NAT方式下,網路內部每種應用服務中只能各自有一臺伺服器成為Internet中的主機,例如,只能有一臺Web伺服器,一臺E-mail服務,一臺FTP伺服器。儘管可以採用改變預設埠的方式建立多臺應用伺服器,但這種伺服器在訪問時比較困難,要求使用者必須先了解某種服務採用的新TCP埠。
配置清單:
interface fastethernet0/0
ip address 192.168.1.1 255.255.255.0//指定區域網口的IP地址
duplex auto
speed auto
ip nat inside //指定區域網介面
!
interface fastethernet0/1
ip address 211.82.220.129 255.255.255.248 //指定廣域網口的IP地址
access-list 1 permit 192.168.1.0 0.0.0.255
!
ip nat inside source list1 interface fastethernet0/1 overload //啟用埠複用地址轉換,並直接採用fastethernet0/1的IP地址。
ip nat inside source static tcp 192.168.1.11 80 202.99.160.129.80
ip nat inside source static tcp 192.168.1.12 21 202.99.160.129.21
ip nat inside source static tcp 192.168.1.13 25 202.99.160.129.25
ip nat inside source static tcp 192.168.1.13 110 202.99.160.129 110
示例五:利用地址轉換實現負載均衡
隨著訪問量的上升,當一臺伺服器難以勝任時,就必須採用負載均衡技術,將大量的訪問合理地分配至多臺伺服器上。當然,實現負載均衡的手段有許多種,比如可以採用伺服器群集負載均衡、交換機負載均衡、DNS解析負載均衡等等。
其實除此以外,也可以透過地址轉換方式實現伺服器的負載均衡。事實上,這些負載均衡的實現大多是採用輪詢方式實現的,使每臺伺服器都擁有平等的被訪問機會。
網路環境:
區域網以2Mb/s DDN專線拉入Internet,路由器選用安裝了廣域網模組的Cisco 2611,如圖4-2-6所示。內部網路使用的IP地址段為10.1.1.1~10.1.3.254,區域網埠Ethernet 0的IP地址為10.1.1.1,子網掩碼為255.255.0.0。網路分配的合法IP地址範圍為202.110.198.80~202.110.198.87,連線ISP的埠Ethernet 1的IP地址為202.110.198.81,子網掩碼為255.255.255.248。要求網路內部的所有計算機均可訪問Internet,並且在3臺Web伺服器和2臺FTP伺服器實現負載均衡。
案例分析:
既然要求網路內所有計算機都可以接入Internet,而合法IP地址又只有5個可用,當然可採用埠複用地址轉換方式。本來對伺服器透過採用靜態地址轉換,賦予其合法IP地址即可。但是,由於伺服器的訪問量太大(或者是伺服器的效能太差),不得不使用多臺伺服器作負載均衡,因此,必須將一個合法IP地址轉換成多相內部IP地址,以輪詢方式減輕每臺伺服器的訪問壓力。
配置檔案:
interface fastethernet0/1
ip adderss 10.1.1.1 255.255.0.0 //定義區域網埠IP地址
duplex auto
speed auto
ip nat inside //定義為局域埠
!
interface serial 0/0
ip address 202.110.198.81 255.255.255.248 //定義廣域網埠IP地址
duplex auto
speed auto
ip nat outside //定義為廣域埠
!
access-list 1 permit 202.110.198.82 //定義輪詢地址列表1
access-list 2 permit 202.110.198.83
access-list 3 permit 10.1.1.0 0.0.255.255 //定義本地訪問列表3
!
ip nat pool websev 10.1.1.2 10.1.1.1 255.255.255.248 type rotary //定義Web伺服器的IP地址池,Rotary關鍵字表示準備使用輪詢策略從NAT池中取出相應的IP地址用於轉換進來的IP報文,訪問202.110.198.82的請求將依次傳送給10.1.1.2、10.1.1.3和10.1.1.4
ip nat pool ftpsev 10.1.1.8 10.1.1.9 255.255.255.248 type rotary
ip nat pool normal 202.110.198.84 202.110.198.84 netmask 255.255.255.248 //定義合法IP地址池,名稱為normal
ip nat inside destination list 1 pool websev //inside destination list 語句定義與列表1相匹配的IP地址的報文將使用輪詢策略
ip nat inside destination list 2 pool ftpsev
內部網路使用的IP地址段為10.100.100.1~10.100.100.254,路由器區域網埠(即預設閘道器)的IP地址為10.100.100.1,子網掩碼為255.255.255.0。網路分配的合法IP地址範圍為202.99.160.0~202.99.160.3,路由器廣域網中的IP地址為202.99.160.1,子網掩碼為255.255.255.252,可用於轉換的IP地址為202.99.160.2。要求將內部網址10.100.100.1~10.100.100.254 轉換為合法IP地址202.99.160.2。[@more@]第一步,設定外部埠。
interface serial 0
ip address 202.99.160.1 255.255.255.252
in nat outside
第二步,設定內部埠。
interface ethernet 0
?ip address 10.100.100.1 255.255.255.0
?ip nat inside
第三步,定義合法IP地址池。
in nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252
// 指明地址緩衝池的名稱為onlyone,IP地址範圍為202.99.160.2,子網掩碼為255.255.255.252。由於本例只有一個IP地址可用,所以,起始IP地址與終止IP地址均為202.99.160.2。如果有多個IP地址,則應當分別鍵入起止的IP直址。
第四步,定義內部訪問列。
access-list 1 permit 10.100.100.0 0.0.0.255
允許訪問Internetr的網段為10.100.100.0~10.100.100.255,子網掩碼為255.255.255.0。需要注意的是,在這裡子網掩碼的順序跟平常所寫的順序相反,即0.255.255.255。
第五步,設定複用動態地址轉換。
在全域性設定模式下,設定在內部的本地地址與內部合法IP地址間建立複用動態地址轉換。命令語法如下:
ip nat inside source list訪問列表號pool內部合法地址池名字overload
示例:
ip nat inside source list1 pool onlyone overload //以埠複用方式,將訪問列表1中的私有IP地址轉換為onlyone IP地址池中定義的合法IP地址。
至此,埠複用動態地址轉換完成。
網路地址轉換(NAT)-例項
示例一:全部採用埠複用地址轉換
當ISP分配的IP地址數量很少,網路又沒有其他特殊需求,即無需為Internet提供網路服務時,可採用埠利用地址轉換方式,使網路內的計算機採用同一IP地址訪問Internet,在節約IP地址資源的同時,又可有效保護網路內部的計算機。
網路環境為:
區域網採用10Mb/s光纖,以都會網路方式接入Internet,如圖4-2-2所示。路由器選用擁有2個10/100 Mb/s自適應埠的Cisco 2611。內部網路使用的IP地址段為192.168.100.1~192.101.254,區域網埠Ethernet 0的IP地址為192.168.100.1,子網掩碼為255.255.0.0。網路分配的合法IP地址範圍為202.99.160.128~202.99.160.131,連線ISP的埠Ethernet 1的IP地址為202.99.160.129,子網掩碼為255.255.255.252。可用於轉換的IP地址為202.99.160.130。要求網路內部的所有計算機均可訪問Internet。
案例分析:
既然只有一個可用的合法IP地址,同時處於區域網的伺服器又只為區域網提供服務,而不允許Internet中的主機對其訪問,因此完全可以採用埠複用地址轉換方式實現NAT,使得網路內的所有計算機均可獨立訪問Internet。
配置清單:
interface fastethernet0/0
ip address 192.168.100.1 255.255.0.0 //定義本地埠IP地址
duplex auto
speed auto
ip nat inside // 定義為本地埠
!
interface fastethernet0/1
ip address 202.99.160.129 255.255.255.252
duplx auto
speed auto
ip nat outside
!
ip nat pool onlyone 202.99.160.130 202.99.160.130 netmadk 255.255.255.252 //定義合法IP地址池,名稱為onlyone
access-list 1 permit 192.168.100.0 0.0.0.255 //定義本地訪問列表
access-list 1 permit 192.168.100.0 0.0.0.255
ip nat inside source list1 pool onlyone overload //採用埠複用動態地址轉換
示例二:動態地址+埠複用地址轉換
許多FTP網站考慮到伺服器效能和Internet連線頻寬的佔用問題,都限制同一IP地址的多個程式訪問。如果採用埠復地址轉換方式,則網路內的所以計算機都採用同一IP地址訪問Internet,那麼,將因此而被禁止對該網站的訪問。所以,當提供的合法IP地址數量稍多時,可同時採用埠複用和動態地址轉換方式,從而既可保證所有使用者都能夠獲得訪問Internet的權力,同時,又不致、某些計算機因使用同一IP地址而被限制許可權。需要注意的是,由於所有計算機都採用動態地址轉換方式,因此Internet中的所有計算機將無法實現對網路內部伺服器的訪問。
網路環境:
區域網以2Mb/s DNA專線接入Internet,路由器選用安裝了廣域網模組的Cisco 2611,如圖4-2-2所示。內部網路使用的IP地址段為172.16.100.1~172.16.102.254,區域網埠Ethernet 0的IP地址為172.16.100.1,子網掩碼為255.255.0.0。網路分配的合法IP地址範圍為202.99.160.128~202.99.160.129,子網掩碼為255.255.255.192,可用於轉換的IP地址範圍為202.99.160.130~202.99.160.190。要求網路部分的部分計算機可以不受任何限制地訪問Internet,伺服器無需提供Internet訪問服務。
案例分析:
既然要求網路中的部分計算機可以不受任何限制地訪問Internet,同時,伺服器無需提供Internet訪問服務,那麼,只需採用動態地址轉換+埠複用地址轉換方式即可實現。部分有特殊需求的計算機採用動態地址轉換的NAT方式,其他計算機則採用埠複用地址轉換的NAT方式。因此,部分有特殊需求的計算機可採用內部網址172.16.100.1~172.16.100.254,並動態轉換為合法地址202.99.160.130~202.99.160.189,其他計算機採用內部網址172.16.101.1~172.16.102.254,全部轉換為202.99.160.190。
配置清單:
interface fastethernet0/1
ip address 10.100.100.1 255.255.255.0 //定義區域網埠IP地址
duplex auto
speed auto
ip nat inside //定義為局域埠
!
interface serial 0/0
ip address 202.99.160.129 255.255.255.192 //定義廣域網埠IP地址
!
duplex auto
speed auto
ip nat outside //定義為廣域埠
!
ip nat pool public 202.99.160.130 202.130.160.190 netmask 255.255.255.192 //定義合法IP地址池,名稱為public
ip nat pool super 202.99.160.130 202.130.160.189 netmask 255.255.255.192 //定義合法IP地址池,名稱為super
ip nat inside source list1 pool super //定義列表達1採用動態地址轉換
ip nat inside source list2 pool public overload? //定義列表2採用埠複用地址轉換
access-list1 permit 172.16.100.0 0.0.0.255 //定義本地訪問列表1
access-list2 permit 172.16.102.0 0.0.0.255 //定義本地訪問列表2
access-list2 permit 172.16.102.0 0.0.0.255
示例三:靜態地址轉換+埠複用地址轉換
其實在很多時候,網路中的伺服器既為網路內部的客戶提供網路服務,又同時為Internet中的使用者提供訪問服務。因此,如果採用埠複用地址轉換或動態地址轉換,將由於無法確定伺服器的IP地址,而導致Internet使用者無法實現對網路內部伺服器的訪問。此時,就應當採用靜態地址轉換+埠複用地址轉換的NAT方式。也就是說,對伺服器採用靜態地址轉換,以確保伺服器擁有固定的合法IP地址。而對普通的客戶計算機則採用埠複用地址轉換,使所有使用者都享有訪問Internet的權力。
網路環境為:
區域網採用10Mb/s光纖,以都會網路方式接入Internet,如圖4-2-2所示。路由器選用擁有2個10/100 Mb/s自適應埠的Cisco 2611。內部網路使用的IP地址段為10.18.100.1~10.18.104.254,區域網埠Ethernet 0的IP地址為10.18.100.1,子網掩碼為255.255.0.0。網路分配的合法IP地址範圍為211.82.220.80~211.82.220.87,連線ISP的埠Ethernet 1的IP地址為211.82.220.81,子網掩碼為255.255.255.248。要求網路內部的所有計算機均可訪問Internet,並且在Internet中提供Web、E-mail、FTP和Media等4種服務。
案例分析:
既然網路內的伺服器要求能夠被Internet訪問到,那麼,這部分主機必須擁有合法的IP地址,也就是說,伺服器必須採用靜態地址轉換。其他計算機由於沒有任何限制,所以,可採用埠複用地址轉換的NAT方式。因此,伺服器可採用內網址10.18.100.1~10.18.100.254,並分別對映為一個合法的IP地址。其他計算機則採用內部網址10.18.101.1~172.16.104.254,並全部轉換為一個合法的IP地址。
配置清單:
interface fastethernet0/0
ip address 10.18.100.1 255.255.0.0 //定義區域網口IP地址
duplex auto
speed auto
ip nat inside //定義區域網口
!
interface fastethernet0/1
ip address 211.82.220.81 255.255.255.248 //定義廣域網口IP地址
duplex auto
speed auto
ip nat outside //定義廣域網口
!
ip nat pool every 211.82.220.86 211.82.220.86 netmask 255.255.255.248 //定義合法IP地址池
access-list 1 permit 10.18.101.0 0.0.0.255 //定義本地訪問列表1
access-list 1 premit 10.18.102.0 0.0.0.255
access-list 1 premit 10.18.103.0 0.0.0.255
access-list 1 premit 10.18.104.0 0.0.0.255
ip nat inside source list1 pool every overload //定義列表達1採用埠複用地址轉換
ip nat inside source static 10.18.100.10 211.82.220.82 //定義靜態地址轉換
ip nat inside source static 10.18.100.11 211.82.220.83
ip nat inside source static 10.18.100.12 211.82.220.84
ip nat inside source static 10.18.100.13 211.82.220.85
示例四:TCP/UDP埠NAT對映
如果ISP提供的合法IP地址的數量較多,我們自然可以採用靜態地址轉換+埠複用動態地址轉換的方式得以完美實現。但如果ISP只提供4個IP地址,其中2個作為網路號和廣播地址而不可使用,1個IP地址要用於路由器定義為預設閘道器, 那麼將只剩下1個IP地址可用。當然我們也可以利用這個僅存的一個IP地址採用埠複用地址轉換技術,從而實現整個區域網的Internet接入。但是由於伺服器也採用動態埠,因此,Internet中的計算機將無法訪問到網路內部的伺服器。有沒有好的解決問題的方案呢?這就是TCP/UDP埠NAT對映。
我們知道,不同應用程式使用的TCP/UDP的埠是不同的,比如,Web服務使用50,FTP服務使用21,SMTP服務使用25,POP3服務使用110,等等。因此,可以將不同的TCP埠繫結至不同的內部IP地址,從而只使用一個合法的IP地址,即可在允許內部所有伺服器被Internet訪問的同時,實現內部所有主機對Internet訪問。
網路環境:
區域網採用10Mb/s光纖,以都會網路方式接入Internet,如圖4-2-5所示。路由器選用擁有2個10/100 Mb/s自適應埠的Cisco 2611。內部網路使用的IP地址段為192.168.1.1~192.168.1.254,區域網埠Ethernet 0的IP地址為192.168.1.1,子網掩碼為255.255.255.0。網路分配的合法IP地址範圍為,211.82.220.128~211.82.220.131,連線ISP的埠Ethernet 1的IP地址為211.82.220.129,子網掩碼為255.225.255.252,可用於轉換的IP地址為211.82.220.130。要求網路內部的所有計算機均可訪問Internet。
案例分析:
既然只有一個可用的合法IP地址,當然只能採用埠複用方式實現NAT,不過,由於同時又要求網路內部的伺服器可以被Internet訪問到,因此,必須使用PAT建立TCP/UDP埠的NAT對映。需要注意的是,也可以直接使用廣域埠建立TCP/UDP埠的NAT對映,也就是說,即使只有一個IP地址,也可以完美實現埠複用。由於合法IP地址位於路由器埠上,所以,不再需要定義NAT池,只簡單地使用inside source list語句即可。
需要注意的是,由於每種應用服務都有自己預設的埠,所以,這種NAT方式下,網路內部每種應用服務中只能各自有一臺伺服器成為Internet中的主機,例如,只能有一臺Web伺服器,一臺E-mail服務,一臺FTP伺服器。儘管可以採用改變預設埠的方式建立多臺應用伺服器,但這種伺服器在訪問時比較困難,要求使用者必須先了解某種服務採用的新TCP埠。
配置清單:
interface fastethernet0/0
ip address 192.168.1.1 255.255.255.0//指定區域網口的IP地址
duplex auto
speed auto
ip nat inside //指定區域網介面
!
interface fastethernet0/1
ip address 211.82.220.129 255.255.255.248 //指定廣域網口的IP地址
access-list 1 permit 192.168.1.0 0.0.0.255
!
ip nat inside source list1 interface fastethernet0/1 overload //啟用埠複用地址轉換,並直接採用fastethernet0/1的IP地址。
ip nat inside source static tcp 192.168.1.11 80 202.99.160.129.80
ip nat inside source static tcp 192.168.1.12 21 202.99.160.129.21
ip nat inside source static tcp 192.168.1.13 25 202.99.160.129.25
ip nat inside source static tcp 192.168.1.13 110 202.99.160.129 110
示例五:利用地址轉換實現負載均衡
隨著訪問量的上升,當一臺伺服器難以勝任時,就必須採用負載均衡技術,將大量的訪問合理地分配至多臺伺服器上。當然,實現負載均衡的手段有許多種,比如可以採用伺服器群集負載均衡、交換機負載均衡、DNS解析負載均衡等等。
其實除此以外,也可以透過地址轉換方式實現伺服器的負載均衡。事實上,這些負載均衡的實現大多是採用輪詢方式實現的,使每臺伺服器都擁有平等的被訪問機會。
網路環境:
區域網以2Mb/s DDN專線拉入Internet,路由器選用安裝了廣域網模組的Cisco 2611,如圖4-2-6所示。內部網路使用的IP地址段為10.1.1.1~10.1.3.254,區域網埠Ethernet 0的IP地址為10.1.1.1,子網掩碼為255.255.0.0。網路分配的合法IP地址範圍為202.110.198.80~202.110.198.87,連線ISP的埠Ethernet 1的IP地址為202.110.198.81,子網掩碼為255.255.255.248。要求網路內部的所有計算機均可訪問Internet,並且在3臺Web伺服器和2臺FTP伺服器實現負載均衡。
案例分析:
既然要求網路內所有計算機都可以接入Internet,而合法IP地址又只有5個可用,當然可採用埠複用地址轉換方式。本來對伺服器透過採用靜態地址轉換,賦予其合法IP地址即可。但是,由於伺服器的訪問量太大(或者是伺服器的效能太差),不得不使用多臺伺服器作負載均衡,因此,必須將一個合法IP地址轉換成多相內部IP地址,以輪詢方式減輕每臺伺服器的訪問壓力。
配置檔案:
interface fastethernet0/1
ip adderss 10.1.1.1 255.255.0.0 //定義區域網埠IP地址
duplex auto
speed auto
ip nat inside //定義為局域埠
!
interface serial 0/0
ip address 202.110.198.81 255.255.255.248 //定義廣域網埠IP地址
duplex auto
speed auto
ip nat outside //定義為廣域埠
!
access-list 1 permit 202.110.198.82 //定義輪詢地址列表1
access-list 2 permit 202.110.198.83
access-list 3 permit 10.1.1.0 0.0.255.255 //定義本地訪問列表3
!
ip nat pool websev 10.1.1.2 10.1.1.1 255.255.255.248 type rotary //定義Web伺服器的IP地址池,Rotary關鍵字表示準備使用輪詢策略從NAT池中取出相應的IP地址用於轉換進來的IP報文,訪問202.110.198.82的請求將依次傳送給10.1.1.2、10.1.1.3和10.1.1.4
ip nat pool ftpsev 10.1.1.8 10.1.1.9 255.255.255.248 type rotary
ip nat pool normal 202.110.198.84 202.110.198.84 netmask 255.255.255.248 //定義合法IP地址池,名稱為normal
ip nat inside destination list 1 pool websev //inside destination list 語句定義與列表1相匹配的IP地址的報文將使用輪詢策略
ip nat inside destination list 2 pool ftpsev
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/262387/viewspace-1016034/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 動態地址轉換+埠複用地址轉換
- 靜態地址轉換+埠複用地址轉換
- 網路埠地址轉換 NAPT 配置APT
- 網路地址轉換NAT原理及應用-連線跟蹤--埠轉換*******************
- vbox 網路地址轉換(NAT) 埠轉發
- DEDE整站動態/靜態轉換
- 一文打盡埠複用 VS Haproxy埠複用
- Excel地址轉換Excel
- 用動態連結動態洩露system地址並利用
- 埠複用大揭密
- 使用者態程式的虛擬地址如何轉換成實體地址
- 動態獲取tomcat啟動埠,控制檯列印專案訪問地址Tomcat
- C++ 動態型別轉換C++型別
- 談用Delphi程式獲取撥號連線的動態IP地址 (轉)
- CE的使用及靜態地址與動態地址
- URL地址特殊字元轉換字元
- 用crash tool觀察ARM64 Linux地址轉換Linux
- presto 轉換靜態catlog為動態catlogREST
- 網路地址轉換 NAT 配置
- NAT(網路地址轉換)(三)
- NAT(網路地址轉換)(四)
- NAT-網路地址轉換
- 什麼是SSH埠轉發(本地轉發、遠端轉發、動態轉發)?
- Windows下換網路卡IP地址佔用的解決(轉)Windows
- java將IP地址轉換為數字以及逆向轉換Java
- Android動態更換應用圖示Android
- ARP協議 地址解析協議:IP地址轉換為MAC地址協議Mac
- 複雜的行列轉換
- iptables(三)網路地址轉換NAT
- 【Go】IP地址轉換:數字與字串之間高效轉換Go字串
- 動態SQL應用小列子 (轉)SQL
- 用 PHP 動態建立 Flash 動畫 (轉)PHP動畫
- IP地址 、域名、 URL、 埠
- Linux的nat埠轉換例項Linux
- 為什麼DRAM採用地址複用技術?為什麼SRAM不採用地址複用技術?
- PTA 7-18 IP地址轉換(JAVA)Java
- 網路地址轉換NAT原理及其作用
- LVS - 地址轉換(NAT)模式示例模式