分类: 系统运维
2011-10-20 10:40:17
本节介绍的示例基本网络结构如图5-19所示。要注意的是,内部网络(通过Inside Device连接)与外部网络(通过Outside Device连接,然后通过Gateway与Router A连接)使用了相同的IP地址段171.68.200.0/24。Router器A用于配置NAT服务,它把内部网络中的地址转换到一个配置名为“test-loop”的内部全局地址池中的地址,外部网络中地址转换到一个配置名为“test-dns”的外部全局地址池中的地址。
图5-19 重叠网络NAT转换配置示例
具体配置如下(可以使用“show ip nat translation”特权模式命令查看以下NAT配置)。
ip domain-name cisco.com
ip name-server 171.69.2.132
!
!—指定外部设备域名和DNS服务器
interface Loopback0
ip address 1.1.1.1 255.0.0.0
!
!—为路由器A环路接口配置IP地址和子网掩码
interface Serial0
ip address 171.68.200.49 255.255.255.0
ip nat inside
!
!—为Serial 0接口配置IP地址和子网掩码,并指定它为NAT内部接口
interface Serial1
ip address 172.16.47.146 255.255.255.240
ip nat outside
!
!—为Serial 1接口配置IP地址和子网掩码,并指定它为NAT外部接口
ip nat pool test-loop 172.16.47.161 172.16.47.165 prefix-length 28
ip nat pool test-dns 172.16.47.177 172.16.47.180 prefix-length 28
!
!—创建两个地址池,前者用于转换内部本地地址,后者用于转换外部本地址。这两个地址池均不与内部网络和外部网络所用地址处于同一网段,但也不是随便取的,它们是与网关处于同一网段的,以便经过网关与对方通信。
ip nat inside source list 7 pool test-loop
ip nat outside source list 7 pool test-dns
!
!—启用双向转换,正向转换时使用“test-loop”地址池;反向转换时使用“test-dns”地址池,所使用的ACL都是后面将要创建的7号标准ACL
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.47.145
access-list 7 permit 171.68.200.0 0.0.0.255
!
!—启用无类别IP网络,配置路由器A到达网关的IP路由,并创建ALC 7,允许172.68.200.0/24网络中的用户使用NAT转换
在本示例中,内部网络的用户不能使用外部网络设备的IP地址,因为内、外网使用了相同的IP地址段。所以内部网络用户将发送一个DNS查询请求,来查询外部设备的域名。这个DNS查询是以内部设备IP地址作为查询源的,然后通过“ip nat inside source list”全局配置命令把这个内部设备地址转换成“test-loop”地址池中的一个地址。
DNS服务器会向由“test-loop”地址池中转换得到的地址内部设备,以包含要查询的外部设备域名相对应IP地址的数据包进行应答。通过“ip nat outside source list”全局配置模式命令,应答数据包中的目的地址转换成内部设备地址,在应答数据包中的有效载荷中的地址被转换成从“test-dns”地址池中得到的地址。所以内部设备学习到的外部设备地址是一个从“test-dns”地址池中得到的地址,而且利用这个地址与外部设备进行通信。
如果没有配置DNS服务器,则只能使用静态NAT方式来解决重叠网络的NAT转换问题了。
本文摘自《路由器配置与管理完全手册(Cisco篇)试读样章》第五章
