分类: 系统运维
2011-10-20 10:27:47
内部地址的动态NAT转换是在一个内部本地址与一个内部全局地址池之间建立一个映射。内部地址的动态NAT转换是在内网中的多个用户需要访问外部网络时使用,当某用户中断与外部网络连接时,原来映射的内部全局地址将被释放,可供其他用户继续使用。它是一种临时租用关系。内部地址的动态NAT转换的基本配置思路如下:
(1)使用“ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}”全局配置命令建立一个用于内部网络用户动态映射的内部全局地址池。每次用户使用动态NAT转换时就会从这个地址池中动态地分配到一个内部全局地址,每次分配的全局地址可能不一样,就像DHCP自动为客户端分配IP地址一样。它们与用户内部本地地址的映射关系是临时的,NAT应用结束后就会自动释放这种映射关系。这个地址池中的地址数应足够多,以便每个用户都可以临时分配到一个全局地址来访问外部网络。
(2)使用“access-list access-list-number permit source [source-wildcard]”全局配置命令创建一个ACL表项,以限制可以使用动态NAT的内部网络用户。
(3)使用“ip nat inside source list access-list-number pool name”全局配置命令指定在进行内部地址动态NAT转换过程中要应用的上述ACL和全局地址池。
(4)使用“ip nat inside”和“ip nat outside”接口配置命令指定路由器上进行NAT转换过程中所需要的NAT内、外部接口。
(5)使用“ip address ip-address mask”接口配置命令为NAT内、外部接口配置IP地址,并启用这两个接口。
对比5.3.1节介绍的内部地址静态NAT转换的基本配置思路可见,动态NAT的配置中以建立全局地址来取代了静态NAT中的本地址与全局地址的一一对应映射关系的建立,同时还可以在动态NAT中指定并应用ACL,限制可以使用动态NAT的内部网络用户。具体的配置步骤如表5-3所示。
表5-3 内部地址动态NAT转换配置步骤
|
|
|
|
|
Step 1 |
|
进入特权模式。如果设置了特权模式密码,则在进入时会提示要你输入密码。 |
|
Step 2 |
terminal
|
进入全局配置模式。
|
|
Step 3 |
name start-ip end-ip {netmask netmask | prefix-length prefix-length}
(config)# ip nat pool net-208 171.69.233.208 171.69.233.223 prefix-length 28 |
定义一个需要的内部全局地址池。示例中建立的是一个名为net-208,起始地址为171.69.233.208,结束地址为171.69.233.223,地址前缀为28(相当于子网掩码为255.255.255.240)的内部全局地址范围。 |
|
Step 4 |
access-list-number permit source [source-wildcard]
(config)# access-list 1 permit 192.5.34.0 0.0.0.255 |
定义一个限制地址转换的标准ACL。示例中创建的标准ACL号码为1,允许192.5.34.0/24这个网段用户通信通过的标准ACL。
|
|
Step 5 |
access-list-number pool name
(config)# ip nat inside source list 1 pool net-208 |
建立动态源地址转换,并与前面创建的ACL进行关联。示例中是指定在内部地址转换中使用上一步所创建的标准ACL 1,使用的全局地址池为net-208。 |
|
Step 6 |
type number
(config)# interface ethernet 1 |
指定要应用动态转换的内部网络接口,进入接口配置模式。
|
|
Step 7 |
ip-address mask
(config-if)# ip address 10.114.11.39 255.255.255.0 |
为该内部网络接口配置IP地址。
|
|
Step 8 |
(config-if)# ip nat inside |
标记该接口为NAT内部接口。
|
|
Step 9 |
(config-if)# exit |
退出接口配置模式,返回到全局配置模式。
|
|
Step 10 |
type number
(config-if)# interface ethernet 0 |
指定要应用动态转换的外网路由器接口,进入接口配置模式。
|
|
Step 11 |
ip-address mask
(config)# ip address 172.69.232.182 255.255.255.240 |
为该外部网络接口设置IP地址。
|
|
Step 12 |
(config-if)# ip nat outside |
标记该接口为NAT外部接口。
|
