分类: 系统运维
2011-10-20 10:28:56
图5-14显示一个动态NAT转换的基本网络结构。在这个示例中,我们想要通过NAT允许内部网络中的部分用户(每个子网中的前31个用户)可以与外部网络通信(注意,这里的内部网络有两个,连接了不同子网)。所配置的内部全局地址池为172.16.10.1~172.16.10.63。为了达到这个目的,可以使用动态NAT。使用动态NAT时,路由器中最初的NAT表是空的,只有当需要转换的通信通过路由器时来建立NAT条目。相反,静态NAT中,路由器一开始就配置有固定的NAT条目,无论是否有需要转换的通信通过路由器。
图5-14 动态NAT转换应用配置示例
在这个示例中,我们可以配置NAT转换内部网络中每个用户的内部本地地址为唯一有效地址,或者转换为相同的有效地址(此时就是重载NAT了)。下面是的配置示例是不使用重载NAT,而使用基本动态NAT方式来实现的。可以使用“show ip nat translation”特权模式命令在路由器上查看以下NAT配置。
interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside
!---为Ethernet 0接口定义IP地址,并指定它为NAT内部接口
interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside
!---为Ethernet 1接口定义IP地址,并指定它也为NAT内部接口
interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside
!---为serial 0接口定义IP地址,并指定它为NAT外部接口
ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24
!
!---定义一个名称为no-overload,地址范围为172.16.10.1 - 172.16.10.63,子网掩码为255.255.255.0的内部全局地址池。
ip nat inside source list 7 pool no-overload
!
!
!--- 指定在进行动态NAT转换时使用ACL号码为7的ACL,地址池为no-overload的内部全局地址池。内部网络中的用户本地址都将动态地转换成地址池中的一个全局地址
access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31
!--- 创建一个标准ACL(ACL号为7),允许IP地址在10.10.10.0-10.10.10.31,以及10.10.20.0-10.10.20.31间的用户使用NAT转换与外部网络通信。