在中小企业,通常使用基于端口的端口复用

STEP1:底层配置

R1(config-line)#int s2/1

R1(config-if)#ip ad 12.0.0.2 255.255.255.0

R1(config-if)#no sh

R1(config-if)#int f0/0

R1(config-if)#no ip proxy-arp

R1(config-if)#ip ad 10.0.0.1 255.255.255.0

R1(config-if)#no sh

R2(config-line)#int s2/1

R2(config-if)#ip ad 12.0.0.1 255.255.255.0

R2(config-if)#no sh

R2(config-if)#int s2/2

R2(config-if)#ip ad 23.0.0.1 255.255.255.0

R2(config-if)#no sh

R3(config-line)#int s2/1

R3(config-if)#ip ad 23.0.0.2 255.255.255.0

R3(config-if)#no sh

PC1(config)#int f0/0

PC1(config-if)#no ip proxy-arp

PC1(config-if)#ip ad 10.0.0.2 255.255.255.0

PC1(config-if)#no sh

PC2(config)#int f0/0

PC2(config-if)#no ip proxy-arp

PC2(config-if)#ip ad 10.0.0.3 255.255.255.0

PC2(config-if)#no sh

STEP2:定义NAT的内外口

R1(config)#int f0/0

R1(config-if)#ip nat inside

R1(config-if)#int s2/1

R1(config-if)#ip nat outside

STEP3:使用ACL来定义需要转换的内网用户地址

R1(config)#access-list 1 permit 10.0.0.0 0.0.0.255

STEP4:进行基于接口的NAT复用

R1(config)#ip nat inside source list 1 interface  s2/1 overload

R1的主要配置

interface Serial3/3

 no ip address

 shutdown

 serial restart-delay 0

!

ip nat inside source list 1 interface Serial2/1 overload   //将定义好的地址池封装进S2/1进行复用

ip classless

ip route 0.0.0.0 0.0.0.0 Serial2/1       //默认路由条目

no ip http server

no ip http secure-server

!

access-list 1 permit 10.0.0.0 0.0.0.255             //定义需要转换的内网用户地址池

DEBUG后的输出,看到地址已成功被转换.动态转换后的NAT地址表是必需得有流理以后才能看到地址表的,而且动态转换是靠端口号去识别内网的回包地址的,而且在一定的时期后地址表会被删除,其目的是为了下一次转换提供端口.

00:56:16: NAT: s=10.0.0.2->12.0.0.2, d=23.0.0.2 [17]

00:56:17: NAT*: s=23.0.0.2, d=12.0.0.2->10.0.0.2 [17]

00:56:39: NAT: s=10.0.0.3->12.0.0.2, d=23.0.0.2 [26]

00:56:40: NAT*: s=23.0.0.2, d=12.0.0.2->10.0.0.3 [26]

R1#sh ip nat tr

Pro Inside global      Inside local       Outside local      Outside global

icmp 12.0.0.2:6220     10.0.0.2:6220      23.0.0.2:6220      23.0.0.2:6220

icmp 12.0.0.2:6221     10.0.0.2:6221      23.0.0.2:6221      23.0.0.2:6221

icmp 12.0.0.2:6222     10.0.0.2:6222      23.0.0.2:6222      23.0.0.2:6222

icmp 12.0.0.2:6223     10.0.0.2:6223      23.0.0.2:6223      23.0.0.2:6223

icmp 12.0.0.2:6224     10.0.0.2:6224      23.0.0.2:6224      23.0.0.2:6224

以下为NAT转换地址表过期的提示

01:07:25: NAT: expiring 12.0.0.2 (10.0.0.2) icmp 1001 (1001)

01:07:26: NAT: expiring 12.0.0.2 (10.0.0.2) icmp 1002 (1002)

由此看出,动态NAT适合中小型企业,因为中小型企业为了节省从ISP处购买公网IP的费用,往往会用一个公网IP地址进行动态NAT转换,以便让公司内部通过转通与外部保持连接.

阅读全文 | 回复(0) | 引用通告 | 编辑