NAT技術(shù)該怎么配置

（一）相關(guān)概念

公司主營業(yè)務(wù)：成都做網(wǎng)站、網(wǎng)站建設(shè)、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)公司是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)公司推出古田免費做網(wǎng)站回饋大家。

為了更好地認識NAT技術(shù)，我們先了解一下它所涉及的幾個概念。

1．內(nèi)部局部地址 在內(nèi)部網(wǎng)上分配到一個主機的IP地址。這個地址可能不是一個有網(wǎng)絡(luò)信息中心（NIC）或服務(wù)提供商所分配的合法IP地址。

2．內(nèi)部全局地址 一個合法的IP地址（由NIC或服務(wù)供應(yīng)商分配），對應(yīng)到外部世界的一個或多個本地IP地址。

3．外部局部地址 出現(xiàn)在網(wǎng)絡(luò)內(nèi)的一個外部主機的IP地址，不一定是合法地址，它可以在內(nèi)部網(wǎng)上從可路由的地址空間進行分配。

4．外部全局地址 由主機擁有者在外部網(wǎng)上分配給主機的IP地址，該地址可以從全局路由地址或網(wǎng)絡(luò)空間進行分配。圖1展示了NAT相關(guān)術(shù)語的圖解。

對于NAT技術(shù)，提供4種翻譯地址的方式，如下所示。

（二）4種翻譯方式

1．靜態(tài)翻譯 是在內(nèi)部局部地址和內(nèi)部全局地址之間建立一對一的映射。

2．動態(tài)翻譯 是在一個內(nèi)部局部地址和外部地址池之間建立一種映射。

3．端口地址翻譯 超載內(nèi)部全局地址通過允許路由器為多個局部地址分配一個全局地址，也就是將多個局部地址映射為一個全局地址的某一端口，因此也被稱為端口地址翻譯（PAT）。

4．重疊地址翻譯 翻譯重疊地址是當(dāng)一個內(nèi)部網(wǎng)中使用的內(nèi)部局部地址與另外一個內(nèi)部網(wǎng)中的地址相同，通過翻譯，使兩個網(wǎng)絡(luò)連接后的通信保持正常。

在實際使用中，通常需要以上幾種翻譯方式配合使用。

二、讓典型應(yīng)用“說話”

現(xiàn)在，我們以常見Cisco路由器為例，闡述典型應(yīng)用中NAT技術(shù)的實現(xiàn)。

1．配置共享IP地址

應(yīng)用需求：當(dāng)您需要允許內(nèi)部用戶訪問Internet，但又沒有足夠的合法IP地址時，可以使用配置共享IP地址連接Internet的NAT轉(zhuǎn)換方式。

圖2是配置內(nèi)部網(wǎng)絡(luò)10.10.10.0/24通過重載一個地址172.16.10.1./24訪問外部網(wǎng)絡(luò)的全過程。如果有多個外部地址，可以利用動態(tài)翻譯進行轉(zhuǎn)換，這里就不多做說明了。清單1展示了具體配置方法。

NAT路由器配置清單1

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定義內(nèi)部轉(zhuǎn)換接口

interface serial 0

ip address 172.16.10.64 255.255.255.0

ip nat outside

!-- 定義外部轉(zhuǎn)換接口

ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24

!-- 定義名為ovrld的NAT地址池和地址池重的地址172.16.10.1

ip nat inside source list 1 pool ovrld overload

!--指出被 access-list 1 允許的源地址會轉(zhuǎn)換成NAT地址池ovrld中的地址并且轉(zhuǎn)換會被內(nèi)部多個機器重載成一個相同的IP地址。

access-list 1 permit 10.10.10.0 0.0.0.31

!-- Access-list 1 允許地址10.10.10.0到10.10.10.255進行轉(zhuǎn)換

NAT路由器配置清單2

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定義內(nèi)部轉(zhuǎn)換接口

interface serial 0

ip address 172.16.20.254 255.255.255.0

ip nat outside

!-- 定義外部轉(zhuǎn)換接口

ip nat inside source static 10.10.10.1 172.16.20.1

!-- 指定將地址10.10.10.1靜態(tài)轉(zhuǎn)換為172.16.20.1

適用范圍：這種情況適合于通信都是由內(nèi)部用戶向Internet發(fā)起的應(yīng)用。

例如小型企業(yè)多個用戶通過共享xDSL連接Internet。另外，也可以用軟件進行NAT轉(zhuǎn)換，Windows 2000的操作系統(tǒng)就有這樣的功能。至于內(nèi)部用戶數(shù)量較多的情況，建議使用代理服務(wù)器。

2．配置在Internet上發(fā)布的服務(wù)器

應(yīng)用需求：當(dāng)您需要將內(nèi)部設(shè)備發(fā)布到Internet上時，可以使用配置在Internet上發(fā)布的服務(wù)器的NAT轉(zhuǎn)換方式。

圖3是將內(nèi)部網(wǎng)絡(luò)的郵件服務(wù)器（IP地址為10.10.10.1/24）發(fā)布到外部網(wǎng)絡(luò)的全過程，使用靜態(tài)翻譯可以實現(xiàn)這種轉(zhuǎn)換。清單2展示了具體配置方法。

適用范圍：這種情況適合于訪問是從外部網(wǎng)絡(luò)向內(nèi)部設(shè)備發(fā)起的應(yīng)用。

3．配置端口映射

應(yīng)用需求：假設(shè)您在Internet上發(fā)布一臺在內(nèi)部網(wǎng)絡(luò)的Web服務(wù)器，服務(wù)器配置成監(jiān)聽8080端口，您需要把外部網(wǎng)絡(luò)對Web服務(wù)器80端口的訪問請求重定向。

圖4為配置端口映射示意圖，清單3展示了具體配置方法。

4．配置TCP傳輸

應(yīng)用需求：TCP傳輸裝載共享是與地址匱乏無關(guān)的問題，它將數(shù)個設(shè)備的地址映射成一個虛擬設(shè)備的地址，從而實現(xiàn)設(shè)備間的負載均衡。

圖5是將地址從10.10.10.2到10.10.10.15的真實設(shè)備映射成虛擬10.10.10.1地址的全過程。清單4展示了具體配置方法。

5．真實應(yīng)用案例

應(yīng)用需求：筆者所在的單位內(nèi)部的局域網(wǎng)已建成，并穩(wěn)定運行著各種應(yīng)用系統(tǒng)。隨著業(yè)務(wù)的發(fā)展，需要實施一個數(shù)據(jù)中心在外單位的新應(yīng)用。出于安全方面的考慮，不能夠?qū)ΜF(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進行大的調(diào)整和改動；另外，由于資金方面的原因，需要盡可能地節(jié)省設(shè)備等方面的投入。

應(yīng)用現(xiàn)狀：我單位內(nèi)部網(wǎng)結(jié)構(gòu)如下：具有3個VLAN。VLAN 1（即10.1.1.X），使用單位內(nèi)部應(yīng)用系統(tǒng)，與數(shù)據(jù)中心沒有數(shù)據(jù)交換；VLAN 2（即10.2.2.X），使用數(shù)據(jù)中心提供的應(yīng)用系統(tǒng)，約有100臺機器；VLAN 3（即10.3.3.X），只用2臺機器使用數(shù)據(jù)中心提供的應(yīng)用，分別是10.3.3.1和10.3.3.2。

數(shù)據(jù)中心提供一臺Cisco 3640，Serial口與數(shù)據(jù)中心通過HDSL連接，分配的地址分別是192.168.252.1和255.255.255.252，F(xiàn)astEthernet口與單位內(nèi)部局域網(wǎng)連接，分配的地址分別是192.168.1.0和255.255.255.0。

實施方案：由于不打算更改內(nèi)部網(wǎng)的結(jié)構(gòu)，所以將內(nèi)部網(wǎng)地址作為內(nèi)部局部地址，數(shù)據(jù)中心分配的地址作為內(nèi)部全局地址，實施NAT應(yīng)用。另外NAT需要兩個端口，一個做為inside，另一個做為outside，因此考慮使用FastEthernet口做inside，Serial口做outside。圖6 為本單位NAT技術(shù)的應(yīng)用圖。

利用以上設(shè)置，我們成功實現(xiàn)了內(nèi)部地址的翻譯轉(zhuǎn)換，并實現(xiàn)了在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的情況下與數(shù)據(jù)中心連網(wǎng)的目標(biāo)。

三、有比較有選擇

1．與代理服務(wù)器的比較

用戶經(jīng)常把NAT和代理服務(wù)器相混淆。NAT設(shè)備對源機器和目標(biāo)機器都是透明的，地址翻譯只在網(wǎng)絡(luò)邊界進行。代理服務(wù)器不是透明的，源機器知道它需要通過代理服務(wù)器發(fā)出請求，而且需要在源機器上做出相關(guān)的配置，目標(biāo)機器則以為代理服務(wù)器就是發(fā)出請求的源機器，并將數(shù)據(jù)直接發(fā)送到代理服務(wù)器，由代理服務(wù)器將數(shù)據(jù)轉(zhuǎn)發(fā)到源機器上。

NAT路由器配置清單3

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定義內(nèi)部轉(zhuǎn)換接口

interface serial 0

ip address 172.16.30.254 255.255.255.0

ip nat outside

!-- 定義外部轉(zhuǎn)換接口

ip nat inside source static tcp 10.10.10.8 8080 172.16.30.8 80

!-- 指定將地址10.10.10.8:8080靜態(tài)轉(zhuǎn)換為172.16.30.8:80

NAT路由器配置清單4

interface ethernet 0

ip address 10.10.10.17 255.255.255.0ip nat inside

!-- 定義內(nèi)部轉(zhuǎn)換接口

interface serial 0

ip address 10.10.10.254 255.255.255.0ip nat outside

!-- 定義外部轉(zhuǎn)換接口

ip nat pool real-hosts 10.10.10.2 10.10.10.15 prefix-length 28 type rotaryip nat inside destination list 1 pool real-hosts

!--定義地址池real-hosts地址范圍是從10.10.10.2到10.10.10.15

!--指定將地址將地址池real-hosts轉(zhuǎn)換為10.10.10.1

access-list 1 permit 10.10.10.1

代理服務(wù)器工作在OSI模型的第4層傳輸層，NAT則是工作在第3層網(wǎng)絡(luò)層，由于高層的協(xié)議比較復(fù)雜，通常來說，代理服務(wù)器比NAT要慢一些。

但是NAT比較占用路由器的CPU資源，加上NAT隱藏了IP地址，跟蹤起來比較困難，不利于管理員對內(nèi)部用戶對外部訪問的跟蹤管理和審計工作。所有NAT技術(shù)只適用于內(nèi)部用戶數(shù)量較少的應(yīng)用，如果訪問外部網(wǎng)絡(luò)的用戶數(shù)量大，而且管理員對內(nèi)部用戶有訪問策略設(shè)置和訪問情況跟蹤的應(yīng)用，還是使用代理服務(wù)器較好一些。

NAT路由器配置清單5

interface fastethernet 1/0

ip nat inside

!-- 定義內(nèi)部轉(zhuǎn)換接口

interface serial 0/0

ip address 192.168.252.1 255.255.255.252

ip address 192.168.1.254 255.255.255.0 secondary

ip nat outside

!-- 為節(jié)省端口，將數(shù)據(jù)中心提供的地址全部綁在Serial口

ip nat pool ToCenter 192.168.1.1 192.168.1.253 prefix-length 24

ip nat inside source list 1 pool ToCenter

!-- 建立動態(tài)源地址翻譯，指定在前一步定義的訪問列表

access-list 1 permit 10.3.3.1

access-list 1 permit 10.3.3.2

access-list 1 permit 10.2.2.0 0.0.0.255

!-- 定義一個標(biāo)準(zhǔn)的訪問列表，對允許訪問數(shù)據(jù)中心的地址進行翻譯

2．與防火墻比較

防火墻是一個或一組安全系統(tǒng)，它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信數(shù)據(jù)進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口，禁止特定端口的流出通信，封鎖特洛伊木馬等。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

一般的防火墻都具有NAT功能，或者能和NAT配合使用。應(yīng)用到防火墻技術(shù)中的NAT技術(shù)可以把個別IP地址隱藏起來不被外界發(fā)現(xiàn)，使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備。作為網(wǎng)絡(luò)安全的一個重要手段，是選用單純的NAT技術(shù)還是帶NAT技術(shù)的防火墻，要從幾個方面考慮：

一是您的企業(yè)和運營機構(gòu)如何運用訪問控制策略，是為了明確地拒絕除對于連接到網(wǎng)絡(luò)至關(guān)重的服務(wù)之外的所有服務(wù)，還是為了訪問提供一種計量和審計的方法；

二是您對企業(yè)網(wǎng)需要何種程度的監(jiān)視、冗余度以及控制水平；

三則是財務(wù)上的考慮，一個高端完整的防火墻系統(tǒng)是十分昂貴的。是否采用防火墻需要在易用性、安全性和預(yù)算之間做出平衡的決策。

四、安全中的不安全

我們可以從以下幾個方面窺視NAT技術(shù)的安全性問題。

1．NAT只對地址進行轉(zhuǎn)換而不進行其他操作，因此，當(dāng)您建立了與外部網(wǎng)絡(luò)的連接時，NAT不會阻止任何從外部返回的惡意破壞信息。

2．雖然NAT隱藏了端到端的IP地址，但它并不隱藏主機信息。例如您通過NAT設(shè)備訪問Windows Streaming Media服務(wù)器，您會發(fā)現(xiàn)服務(wù)器記錄的不僅是您的主機名，還有您的內(nèi)部IP地址和操作系統(tǒng)。

3．Internet上的惡意攻擊通常針對機器的“熟知端口”，如HTTP的80端口、FTP的21端口和POP的110端口等。雖然NAT可以屏蔽不向外部網(wǎng)絡(luò)開放的端口，但針對面向熟知端口的攻擊，它是無能為力的。

4．許多NAT設(shè)備都不記錄從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接，這會使您受到來自外部網(wǎng)絡(luò)的攻擊，但由于沒有記錄可以追查，您根本無法發(fā)覺自己受到過什么攻擊。

NAT隱藏了內(nèi)部IP地址，使其具有一定的安全性，但從上面的分析我們可以知道，不能將NAT作為網(wǎng)絡(luò)單一的安全防范措施。

Win中配置NAT服務(wù)器

本文介紹了如何通過使用Windows Server 2003來配置網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)服務(wù)器。Windows Server 2003“路由和遠程訪問”服務(wù)包括NAT路由協(xié)議。如果將NAT路由協(xié)議安裝和配置在運行“路 由和遠程訪問”的服務(wù)器上，則使用專用Internet協(xié)議(IP)地址的內(nèi)部網(wǎng)絡(luò)客戶端可以通過NAT服務(wù)器的外部接口訪問Internet。

如何配置路由和遠程訪問NAT服務(wù)器

當(dāng)內(nèi)部網(wǎng)絡(luò)客戶端發(fā)送要連接Internet的請求時，NAT協(xié)議驅(qū)動程序會截取該請求，并將其轉(zhuǎn)發(fā)到目標(biāo)Internet服務(wù)器。所有請求看上去都像是來自NAT服務(wù)器的外部IP地址。這樣就隱藏您的'內(nèi)部IP地址配置。

配置“路由和遠程訪問”NAT服務(wù)器：

在管理工具菜單中，選中“路由和遠程訪問”。

在“路由和遠程訪問”MMC中，展開您的服務(wù)器名稱（其中服務(wù)器名稱是您要配置服務(wù)器的名稱，然后展開左窗格中的IP路由。

選中常規(guī)，然后選擇新建路由協(xié)議。

單擊NAT/基本防火墻復(fù)選框，將其選中，然后點確定。

右鍵單擊左窗格中的NAT/基本防火墻，然后單擊新建接口。

單擊表示內(nèi)部網(wǎng)絡(luò)接口的接口，然后單擊確定。

在“網(wǎng)絡(luò)地址轉(zhuǎn)換”屬性中，單擊“專用接口連接到專用網(wǎng)絡(luò)”，然后單擊確定。

右鍵單擊左窗格中的NAT/基本防火墻，然后點新建接口。

單擊表示外部網(wǎng)絡(luò)接口的接口，然后點確定。

在“網(wǎng)絡(luò)地址轉(zhuǎn)換”屬性中，單擊“公用接口連接到Internet”。

單擊“在此接口上啟用NAT”復(fù)選框，將其選中，點確定。

NAT服務(wù)器可以自動為內(nèi)部網(wǎng)絡(luò)客戶端分配IP地址。如果您沒有已給內(nèi)部網(wǎng)絡(luò)上的客戶端分配了地址信息的DHCP服務(wù)器，則可能會需要使用此功能。

如何配置路由和遠程訪問NAT服務(wù)器以分配IP地址和執(zhí)行代理DNS查詢NAT服務(wù)器還可以代表NAT客戶端執(zhí)行域名系統(tǒng)(DNS)查詢。“路由和遠程訪問”NAT服務(wù)器對包括在客戶端請求中的Internet主機名進行解析，然后將該IP地址轉(zhuǎn)發(fā)給該客戶端。

要配置“路由和遠程訪問”NAT服務(wù)器來分配IP地址并且代表內(nèi)部網(wǎng)絡(luò)客戶端執(zhí)行代理DNS查詢，請按以下步驟操作：

右鍵單擊左窗格中的NAT/基本防火墻，然后單擊屬性。

單擊地址分配選項卡，然后單擊“使用DHCP自動分配IP地址”復(fù)選框，將其選中。

在IP地址框中，鍵入網(wǎng)絡(luò)ID。

在掩碼框中，鍵入子網(wǎng)掩碼。

選擇名稱解析選項卡，然后單擊“使用域名系統(tǒng)(DNS)的客戶端”復(fù)選框，將其選中。

如果您使用請求撥號接口連接到Internet，請單擊“當(dāng)名稱需要解析時連接到公用網(wǎng)絡(luò)”復(fù)選框，將其選中。

在請求撥號接口框中，選中要撥號的接口。

選擇應(yīng)用，然后單擊確定。

備注：完成這些基本配置步驟之后，內(nèi)部網(wǎng)絡(luò)客戶端就可以訪問Internet上的服務(wù)器了。

如何配置基于Windows Server 2003的計算機以使用NAT服務(wù)器

單擊開始，指向控制面板，指向網(wǎng)絡(luò)連接，然后單擊本地連接。

單擊屬性。

單擊Internet協(xié)議(TCP/IP)。

單擊屬性。

在“默認網(wǎng)關(guān)”框中，鍵入NAT服務(wù)器的內(nèi)部IP地址。

備注：如果計算機從“動態(tài)主機配置協(xié)議”(DHCP)服務(wù)器接收它的IP地址，請單擊高級，單擊IP設(shè)置選項卡，單擊網(wǎng)關(guān)下的添加，鍵入NAT服務(wù)器的內(nèi)部IP地址，單擊添加，單擊確定，然后繼續(xù)進行第6步。

單擊確定，單擊確定，然后單擊關(guān)閉。

銳捷nat的配置是什么？

1、 靜態(tài)nat，一對一轉(zhuǎn)換

2、 動態(tài)nat：多對多轉(zhuǎn)換

3、 napt：多對1端口轉(zhuǎn)換

【RTA】nat address-group 1 200.10.10.1 200.10.10.1

【RTA】acl 2000

【RTA-acl-basic-2000】rule permit source 192.168.1.0 0.0.0.255

【RTA-GigabitEthernet0/0/0】nat outbound 2000 address-group 1

4、easy ip：出接口多對1端口轉(zhuǎn)換

5、 nat服務(wù)器（NAT Server用于外網(wǎng)用戶需要使用固定公網(wǎng)IP地址訪問內(nèi)部服務(wù)器的情形，目測與靜態(tài)nat區(qū)別是可以做端口轉(zhuǎn)換）

在什么情況下使用NAT

與無類域間路由選擇( CIDR) 一樣，最初開發(fā)NAT 也旨在推遲可用IP 地址空間耗盡的時間，這是通過使用少量公有IP地址表示眾多私有IP 地址實現(xiàn)的。但隨后人們發(fā)現(xiàn)，在網(wǎng)絡(luò)遷移和合并、服務(wù)器負載均衡以及創(chuàng)建虛擬服務(wù)器方面， NAT 也是很有用的工具。

NAT 確實可減少聯(lián)網(wǎng)環(huán)境所需的公有IP地址數(shù); 在兩家使用相同內(nèi)部編址方案的公司合并時，NAT 也提供了便利的解決方案; 在公司更換因特網(wǎng)服務(wù)提供商(ISP )，而網(wǎng)絡(luò)管理員又不想修改內(nèi)部編址方案時， NAT 也能提供很好的解決方案。

下面是NAT 可提供幫助的各種情形:

需要連接到因特網(wǎng)，但主機沒有全局唯一的IP 地址

更換的ISP 要求對網(wǎng)絡(luò)進行重新編址

需要合并兩個使用相同編址方案的內(nèi)聯(lián)網(wǎng)

如何配置NAT?

一、 NAT簡介

NAT的功能就是指將使用私有地址的網(wǎng)絡(luò)與公用網(wǎng)絡(luò)INTERNET相連，使用私有地址的內(nèi)部網(wǎng)絡(luò)通過NAT路由器發(fā)送數(shù)據(jù)時，私有地址將被轉(zhuǎn)化為合法注冊的IP地址從而可以與INTERNET上的其他主機進行通訊。

NAT路由器被置于內(nèi)部網(wǎng)和INTERNET的邊界上并且在把數(shù)據(jù)包發(fā)送到外部網(wǎng)絡(luò)前將數(shù)據(jù)包的源地址轉(zhuǎn)換為合法的IP地址。當(dāng)多個內(nèi)部主機共享一個合法IP地址時，地址轉(zhuǎn)換是通過端口多路復(fù)用即改變外出數(shù)據(jù)包的源端口并進行端口映射完成。

二、 NAT工作過程

假設(shè)某公司申請DDN專線時，電信提供的合法地址為61.138.0.93/30，61.128.0.94/30，公司內(nèi)部網(wǎng)絡(luò)地址為192.168.0.0/24，路由器局域口地址192.168.0.254/24，廣域口地址61.138.0.93/30，

當(dāng)192.168.0.1/24這臺計算機向INTERNET上的服務(wù)器202.98.0.66發(fā)出請求，則相應(yīng)的操作過程如下：

⑴內(nèi)部主機192.168.0.1/24的用戶發(fā)出到INTERNET上主機202.98.0.66的連接請求;

⑵邊界路由器從內(nèi)部主機接到第一個數(shù)據(jù)包時會檢查其NAT映射表，如果還沒有為該地址建立地址轉(zhuǎn)換映射，路由器便決定為該地址進行地址轉(zhuǎn)換，路由器為該內(nèi)部地址192.168.0.1到合法IP地址61.138.0.93的映射，同時附加端口信息，以區(qū)別與內(nèi)部其他主機的映射。

⑶邊界路由器用合法IP地址61.138.0.93及某端口號來替換內(nèi)部IP地址192.168.0.1和對應(yīng)的端口號，并轉(zhuǎn)發(fā)該數(shù)據(jù)包。

⑷INTERNET服務(wù)器202.98.0.66接到該數(shù)據(jù)包，并以該包的地址(61.138.0.93)來對內(nèi)部主機192.168.0.1作出應(yīng)答。

⑸當(dāng)邊界路由器接受到目的地址為61.138.0.93的數(shù)據(jù)包時路由器將使用該IP地址、端口號從NAT的映射表中查找出對應(yīng)的內(nèi)部地址和端口號，然后將數(shù)據(jù)包的目的地址轉(zhuǎn)化為內(nèi)部地址192.168.0.1，并將數(shù)據(jù)包發(fā)送到該主機。對于每一個請求路由器都重復(fù)2-5的步驟。

三、路由器NAT功能配置

以上面的假設(shè)為例，分別說明在CISCO、3COM路由器下配置NAT功能

一CISCO路由器

以CISCO2501為例，要求其IOS為11.2版本以上

cisco2501#conf t

cisco2501(config)# int e0

cisco2501(config-if)# ip address 192.168.0.254 255.255.255.0

cisco2501(config-if)# ip nat inside

(指定e0口為與內(nèi)部網(wǎng)相連的內(nèi)部端口)

cisco2501(config-if)#int s0

cisco2501(config-if)#encapsulation ppp

(指定封裝方式為PPP)

cisco2501(config-if)#ip address 61.138.0.93 255.255.255.252

cisco2501(config-if)# ip nat outside

(指定s0為與外部網(wǎng)絡(luò)相連的外部端口)

cisco2501(config-if)#exit

cisco2501(config)# bandwidth 128

(指定網(wǎng)絡(luò)帶寬128k)

cisco2501(config)# ip route 0.0.0.0 0.0.0.0 Serial0

(指定缺省路由)

cisco2501(config)# ip nat pool a 61.138.0.93 61.138.0.93 netmask 255.255.255.252

(指定內(nèi)部合法地址池，起始地址，結(jié)束地址為合法IP 61.138.0.93)

cisco2501(config)# access-list 1 permit 192.168.0.0 0.0.0.255

(定義一個標(biāo)準(zhǔn)的access-list規(guī)則，以允許哪些內(nèi)部地址可以進行地址轉(zhuǎn)換)

cisco2501(config)# ip nat inside source list 1 pool a overload

(設(shè)置內(nèi)部地址與合法IP地址間建立地址轉(zhuǎn)換)

cisco2501(config)#end

cisco2501#wr

二3COM路由器

以3COM OCBN8832為例，要求其SOFTWARE VERSION為11.0版本以上

以root注冊，進行如下配置:

⑴配置局域網(wǎng)端口

[1] EnterpriseOS #setdefault !1 -ip netaddress=192.168.0.254 255.255.255.0

[2] EnterpriseOS #setdefault !! -path control =enable (激活路由器局域口PATH)

[3] EnterpriseOS #setdefault !1 -port control=enable (激活路由器局域口PORT)

⑵配置廣域網(wǎng)串行端口

[4] EnterpriseOS #setdefault !3 -path linetype=leased (指明該端口使用的通信線路類型)

[5] EnterpriseOS #setdefault !4 -port owner=ppp (指明該端口的使用者)

[6] EnterpriseOS #setdefault !4 -ip netaddress=61.138.0.93 255.255.255.252

[7] EnterpriseOS #setdefault !4 -nat addressmap 192.168.0.0/24 61.138.0.93 outbound

(指定將192.168.0.0/24內(nèi)部主機使用的IP地址轉(zhuǎn)換成61.138.0.93)

[8] EnterpriseOS #setdault !4 -nat control=enable (啟用NAT服務(wù))

[9] EnterpriseOS #setdault !3 -path control=enable

[10]EnterpriseOS #setdault !4 -port control=enalbe

⑶配置缺省路由

[11]EnterpriseOS #setdault -ip control=router (激活路由器的路由功能)

[12]EnterpriseOS #add -ip route 0.0.0.0 0.0.0.0 !4

網(wǎng)站標(biāo)題：nat服務(wù)器的構(gòu)建與安全配置 nat服務(wù)設(shè)置
文章地址：http://m.newbst.com/article42/dopjchc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、關(guān)鍵詞優(yōu)化、Google、微信公眾號、網(wǎng)站營銷、軟件開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)