资料下载

在Cisco路由器上配置NAT超载

由管理员撰写。发表于 思科路由器-配置思科路由器

4.1475409836066 1 1 1 1 1 评分4.15(61投票)
 压住他

NAT(网络地址转换)是一种允许在数据包/数据报穿越网络时转换(修改)IP地址的方法。 NAT重载,也称为PAT(端口地址转换),实质上是具有TCP / UDP端口转换功能的NAT。

NAT的主要目的是隐藏客户端的IP地址(通常是私有的),以保留公共地址空间。例如,一个具有100个主机的完整网络可以具有100个私有IP地址,并且仍然可以作为单个IP地址对外界可见(互联网)。 NAT的其他好处包括手头IP地址范围的安全性和经济使用。

以下步骤说明基本的Cisco路由器NAT过载配置。 NAT过载是全球大多数企业中最常见的操作,因为它使整个网络都可以使用一个真实的IP地址访问Internet。如果您想进一步了解NAT理论,请务必阅读我们流行的 NAT文章,深入解释了当今网络中的NAT功能和应用。

 

示例场景

下图表示我们的示例网络,该网络由多个内部客户端和一个通过其串行接口连接到ISP的路由器组成。已为公司分配了以下C类子网:200.2.2.0/30(255.255.255.252)。

这将转换为在路由器的串行接口上​​配置的一个可用的实际IP地址-200.2.2.1。 IP地址200.2.2.2将在另一端使用,即ISP的路由器。我们的ISP还为我们提供了必要的默认网关IP地址(在我们的路由器上配置-未显示),以便将所有流量路由到Internet。

在此示例中,我们的目标是配置NAT过载(PAT),并使用一个公共IP地址(200.2.2.1)为所有内部工作站提供Internet访问。


配置NAT过载-PAT(端口地址转换)

“过载”意味着分配给路由器的单个公共IP可以由多个内部主机同时使用。通过转换数据包中的源UDP / TCP协议 端口并在保存在路由器中的转换表(在本例中为R1)中跟踪它们来完成此操作。这是当今几乎所有网络的典型NAT配置。

此外, NAT过载 ()在Firewall.cx上进行了深入介绍。有兴趣的人可以访问我们 NAT过载(PAT)文章.

tk-cisco-router-nat-ovld-1

任何NAT配置的第一步都是定义 接口。我们必须定义这些接口以使NAT重载起作用。

将快速以太网0/0接口设置为内部接口:
R1# 配置终端
R1(配置)# 接口fastethernet0 / 0
R1(config-if)# ip nat里面

下一步是将串行接口S0 / 0设置为外部接口:
R1(config-if)# 接口serial0 / 0
R1(config-if)# ip nat外
R1(config-if)# 出口


现在,我们需要创建一个访问控制列表(ACL),其中将包括本地(专用)主机或网络。此ACL稍后将应用于NAT服务命令,从而有效控制将能够访问Internet的主机。您可以根据需要使用标准或扩展访问列表:

R1(config)#访问列表100备注== [控制NAT服务] ==
R1(config)#访问列表100允许ip 192.168.0.0 0.0.0.255任何

上面的命令指示路由器允许192.168.0.0/24网络到达任何目的地。请注意,Cisco路由器标准和扩展ACL始终使用通配符(0.0.0.255)。

现在剩下的就是启用NAT重载并将其绑定到先前选择的外部接口:

R1(配置)# 源列表中的ip nat 100接口串行0/0重载

从此以后,路由器将愉快地创建所有必需的转换,以允许192.168.0.0/24网络访问Internet。

 

验证NAT重载操作

查看NAT转换表有时可以显示有关网络活动的许多重要信息。在这里,您将能够识别不应路由到Internet的流量或看似可疑的流量。

当数据包开始遍历路由器时,它将逐渐建立其NAT / 拍 转换表,如下所示:

R1# 显示ip nat翻译
Pro Inside全球           Inside local            Outside local         Outside global
  192.168.0.6:53427      74.200.84.4:53        74.200.84.4:53
  192.168.0.6:53427      195.170.0.1:53        195.170.0.1:53
TCP协议 协议 200.2.2.1:53638   192.168.0.6:53638      64.233.189.99:80    64.233.189.99:80
TCP协议 协议 200.2.2.1:57585   192.168.0.7:57585      69.65.106.48:110    69.65.106.48:110
TCP协议 协议 200.2.2.1:57586   192.168.0.7:57586      69.65.106.48:110    69.65.106.48:110

如图所示,前2个翻译针对 74.200.84.4 & 195.170.0.1 是来自内部主机的DNS请求 192.168.0.6。第三个条目似乎是对具有IP地址的Web服务器的http请求 64.233.189.99.

查看第四和第五个翻译条目,您应该将它们标识为对外部服务器的pop3请求,可能是电子邮件客户端生成的。

由于这些条目都是动态创建的,因此它们是临时的,过一段时间后将从翻译表中删除。

您可能还需要记住的另一点是,当我们使用创建大量连接的程序(例如Utorrent,Limewire等)时,由于路由器试图保持所有连接的速度,因此您可能会看到路由器性能低下。通过路由器运行成千上万个连接会给CPU带来很大压力。

在这些情况下,我们可能需要彻底清除IP NAT表以释放资源。
使用以下命令可以轻松完成此操作:

R1# 清除ip nat翻译* 
假设输入命令后没有立即发送请求,则NAT转换表应为空:

R1# 显示ip nat翻译
Pro Inside全球...........内部本地.....外部本地.......外部全球

最后,您可以获得有关过载NAT服务的统计信息。这将向您显示我们的NAT表跟踪的当前翻译数量,以及更多:

R1# 显示ip nat统计信息
有效翻译总数:200(0静态,200动态; 200扩展)
外部接口:
串行0/0
内部接口:
FastEthernet0 / 0
点击数:163134904错过数:0
CEF转换后的数据包:161396861,CEF已平整的数据包:3465356
过期的翻译:2453616
动态映射:
-内部消息
[Id:2]访问列表100接口序列0/0引用计数195
应用门:0
普通门:0
排队数据包:0

 

文章摘要

在本文中,我们介绍了Cisco路由器上NAT超载的配置。我们还看到了如何使用ACL控制NAT Overload服务并获得有关NAT服务的详细统计信息。此处提供的配置和命令与所有Cisco路由器型号和IOS兼容。

如果您发现这篇文章有用,我们将非常感谢您使用本文左上角提供的服务与他人分享。共享我们的文章仅需您一分钟的时间,可帮助Firewall.cx通过此类服务吸引更多人。

关于作家

Ammar Muqaddas是CCNA认证的工程师,CCNA讲师和Firewall.cx团队的成员。

Chris Partsenidis是CCNA认证的工程师,MCP,LCP创始人&Firewall.cx的高级编辑

 返回思科路由器部分

 压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网 客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置