功能介紹：

NAT：網(wǎng)絡地址轉換。正常數(shù)據(jù)轉發(fā)時，IP頭部的源和目的地址以及端口號是不會被更改的，而使用了NAT技術后，它將更改報文頭部內(nèi)容，實現(xiàn)隱藏內(nèi)外部主機真實地址、多臺主機共享少量IP訪問內(nèi)外部網(wǎng)絡、解決IP地址空間重疊、服務器負載均衡等功能。

PAT：端口地址轉換，又叫網(wǎng)絡地址端口轉換（NAPT）或NAT的端口復用（用IP地址+端口號來對應和區(qū)別各個數(shù)據(jù)流進行網(wǎng)絡地址轉換，以達到多內(nèi)部主機通過一個或少量合法IP地址來訪問外部網(wǎng)絡）

NAT的術語：

Inside：內(nèi)部

Outside：外部

Inside local：內(nèi)部本地地址（內(nèi)部主機的實際地址，一般為私有地址）

Inside global：內(nèi)部全局地址（內(nèi)部主機經(jīng)NAT轉換后去往外部的地址，是ISP分配的合法IP地址）

Outside local：外部本地地址（外部主機由NAT設備轉換后的地址，一般為私有地址，內(nèi)部主機訪問該外部主機時，認為它是一個內(nèi)部的主機而非外部主機）

Outside global：外部全局地址（外部主機的真實地址，互聯(lián)網(wǎng)上的合法IP地址）

---

02? 源地址轉換

功能介紹：

我司產(chǎn)品支持在以太網(wǎng)口上運行PPP(PPPOE，PPP over Ethernet)，進行DDR按需撥號。其特性如DDR撥號，有數(shù)據(jù)通信則刺激撥號，空閑指定時間以后，自動掛斷線路。

我司產(chǎn)品的PPPOE實現(xiàn)類似于高級DDR( DDR Profiles)，將以太網(wǎng)口綁定至邏輯撥號接口，具體協(xié)商使用邏輯接口進行。

應用場景

企業(yè)通過租用運營商的寬帶撥號線路來訪問互聯(lián)網(wǎng)的資源。

一、組網(wǎng)需求

內(nèi)網(wǎng)使用RG-RSR路由器上網(wǎng)，外網(wǎng)線路是ADSL撥號線路。

二、組網(wǎng)拓撲

三、配置要點

1、配置撥號

2、配置NAT上網(wǎng)

3、配置默認路由

四、配置步驟

1、物理接口下開啟pppoe

Ruijie>enable?

Ruijie#configure terminal

Ruijie(config)#interface FastEthernet 0/0

Ruijie(config-if-FastEthernet 0/0)#pppoe enable//打開pppoe功能

Ruijie(config-if-FastEthernet 0/0)# pppoe-client dial-pool-number 5 no-ddr???? ?//綁定以太網(wǎng)口到撥號池5

Ruijie(config-if-FastEthernet 0/0)# ip ref//開啟路由器流轉發(fā)，如果命令不識別，表示該路由器已經(jīng)默認開啟

Ruijie(config-if-FastEthernet 0/0)#exit

2、配置撥號邏輯接口

Ruijie(config)#interface dialer 0

Ruijie(config-if-dialer 0)# ip ref//開啟路由器流轉發(fā)，如果命令不識別，表示該路由器已經(jīng)默認開啟

Ruijie(config-if-dialer 0)#encapsulation ppp//封裝ppp

Ruijie(config-if-dialer 0)#ppp chap hostname pppoe//配置chap加密的用戶名：pppoe

Ruijie(config-if-dialer 0)#ppp chap password? pppoe//配置chap加密的密碼：pppoe

Ruijie(config-if-dialer 0)#ppp pap sent-username pppoe password pppoe//配置pap加密的用戶名和密碼

Ruijie(config-if-dialer 0)#ip address negotiate//地址協(xié)商獲取

Ruijie(config-if-dialer 0)#dialer pool 5//關聯(lián)撥號池5

Ruijie(config-if-dialer 0)#dialer-group 1?//刺激撥號的規(guī)則

Ruijie(config-if-dialer 0)#dialer idle-timeout 300//300s沒有流量后，撥號斷開

Ruijie(config-if-dialer 0)#mtu 1492

Ruijie(config-if-dialer 0)#exit

Ruijie(config)#access-list 1 permit any

Ruijie(config)#dialer-list 1 protocol ip permit//全局的撥號規(guī)則列表

3、配置NAT

?Ruijie(config)#access-list 100 permit ip any any????? //定義要執(zhí)行NAT的數(shù)據(jù)流，此處定義的是所有。

?Ruijie(config)#ip nat pool ruijie prefix-length 24//配置nat地址池名為ruijie 匹配掩碼24位

?Ruijie(config-ipnat-pool)#address interface dialer 0 match interface dialer 0?//配置nat轉換ip,數(shù)據(jù)從dialer 0轉發(fā)，那么 使用dialer 0上的地址做NAT

?Ruijie(config-nat-pool)#exit

?Ruijie(config)#ip nat inside source list 100 pool ruijie overload????? // 配置NAT策略，100表示access-list 100 ;ruijie 表示NAT地址池

?Ruijie(config)#interface dialer 0

?Ruijie(config-if-dialer 0)#ip nat outside?//定義為NAT外網(wǎng)接口

?Ruijie(config-if-dialer 0)#interface fastEthernet 0/1??????

?Ruijie(config-if-FastEthernet 0/1)#ip nat inside//定義為NAT內(nèi)網(wǎng)接口

?Ruijie(config-if-FastEthernet 0/1)#ip address 192.168.1.1 255.255.255.0//配置內(nèi)網(wǎng)的地址，作為內(nèi)網(wǎng)網(wǎng)關

?Ruijie(config-if-FastEthernet 0/1)#ip ref

Ruijie(config)#ip route 0.0.0.0 0.0.0.0? dialer 0

五、配置驗證

1、檢查是否撥號成功

Ruijie#show ip interface brief

InterfaceIP-Address(Pri)OK?Status??

FastEthernet 0/0no addressYESDOWN????

FastEthernet 0/1192.168.1.1/24YESUP

dialer 0??????????222.168.1.2YESUP

說明：如果配置無誤，查看接口ip線路的時候可以看到dialer 0??? 后面可以獲取到ip地址。

2、內(nèi)網(wǎng)的電腦配置192.168.1.x的ip地址，掩碼255.255.255.0 ，網(wǎng)關配置為192.168.1.1，配置正確DNS，即可正常上網(wǎng)

2.2? 上網(wǎng)配置——無交換口路由器

章節(jié)介紹：

該章節(jié)主要介紹，針對無交換口路由器的基本上網(wǎng)配置，這些路由器型號包含RSR1002，RSR20-04，RSR20-14，RSR20-18，RSR20-24，RSR30-44（無搭配NMX-24ESW卡），RSR30-X，RSR50系列，RSR77系列。這些設備的共同特點為設備都為路由接口，并不存在交換接口，如有多臺PC需要上網(wǎng)，需要在內(nèi)網(wǎng)使用交換機配合。通過該章節(jié)，可以實現(xiàn)通過NAT上網(wǎng)以及內(nèi)網(wǎng)服務器映射功能。

功能介紹：

PAT：端口地址轉換，又叫網(wǎng)絡地址端口轉換（NAPT），通過 外網(wǎng)接口的IP地址+端口號來對應和區(qū)別各個數(shù)據(jù)流進行網(wǎng)絡地址轉換，以達到多內(nèi)部主機通過外網(wǎng)接口的IP地址來訪問外部網(wǎng)絡的目的。通常用在只有一個公網(wǎng)地址時的場景。

地址池轉換：公網(wǎng)地址池的IP地址+端口號來對應和區(qū)別各個數(shù)據(jù)流進行網(wǎng)絡地址轉換，以達到多內(nèi)部主機通過少量公網(wǎng)IP地址來訪問外部網(wǎng)絡的目的。通常用在有多個1個出口有多個公網(wǎng)ip地址的情況

靜態(tài)NAT：把內(nèi)部主機的ip地址一對一的映射成公網(wǎng)ip地址，或者 內(nèi)部主機的ip地址+端口 一對一的映射成 公網(wǎng)ip地址+端口。通常用在需要將內(nèi)部主機映射成公網(wǎng)地址，或者內(nèi)部服務器的某個端口映射成公網(wǎng)地址的某個端口，達到通過訪問公網(wǎng)地址或者公網(wǎng)地址+端口號來訪問內(nèi)部服務器的目的。

應用場景

企業(yè)通過租用運營商的專線上網(wǎng)，分別介紹以下三個場景的應用，實現(xiàn)相應的功能。

場景一：當只有一個公網(wǎng)IP地址的時候，需要把內(nèi)網(wǎng)用戶的地址全部轉換成外網(wǎng)接口的IP地址，使內(nèi)網(wǎng)用戶能夠訪問外網(wǎng)。

場景二：當有一個公網(wǎng)IP地址段的時候，需要把內(nèi)網(wǎng)用戶的地址全部轉換成公網(wǎng)地址段的IP地址，使內(nèi)網(wǎng)能夠訪問外網(wǎng)。

場景三：將內(nèi)網(wǎng)服務器映射到某一公網(wǎng)IP，使外網(wǎng)用戶能夠通過訪問該公網(wǎng)IP來訪問內(nèi)網(wǎng)服務器的資源。

一、組網(wǎng)需求

RSR路由器做因特網(wǎng)出口，內(nèi)部PC網(wǎng)關均在路由器上，通過路由器訪問外網(wǎng)，同時內(nèi)網(wǎng)有一臺服務器，需將服務器地址（端口）映射到公網(wǎng)地址（端口），為外界提供服務。????????????

二、組網(wǎng)拓撲

三、配置要點

1、基本ip地址配置

2、基本的ip路由配置

3、DHCP服務器配置

4、定義nat的內(nèi)網(wǎng)口和外網(wǎng)口

5、在R1上配置ACL，把內(nèi)網(wǎng)需要進行NAT轉換的流量匹配出來

6、配置場景一NAT轉換策略

7、配置場景二NAT轉換策略

8、配置場景三NAT轉換策略

四、配置步驟

1、基本ip地址配置

Ruijie(config)#hostname R1

R1(config)#interface gigabitEthernet 0/0

R1(config-GigabitEthernet 0/0)#ip address 172.168.1.254 255.255.255.0

R1(config-GigabitEthernet 0/0)#exit

R1(config)#interface gigabitEthernet 0/1

R1(config-GigabitEthernet 0/1)#ip address 192.168.2.1 255.255.255.0

R1(config-GigabitEthernet 0/1)#exit

2、基本的ip路由配置

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2????? // 出口路由配置到英特網(wǎng)的默認路由

3、DHCP服務器配置

Ruijie(conf)#service dhcp ? ?//開啟DHCP服務

Ruijie(conf)#ip? dhcp pool ruijie ??//ruijie是dhcp地址池的名字，可以隨便取

Ruijie(dhcp-config)#netw 172.16.1.0 255.255.255.0 ? ?//電腦需要獲得的ip地址的網(wǎng)段

Ruijie(dhcp-config)#default-router 172.16.1.254 ??//電腦連接在f0/1下的網(wǎng)關地址，即使f0/1接口的ip地址

Ruijie(dhcp-config)#dns-server 202.96.113.34 202.96.13.35? // 電腦的DNS，前面一個是主的dns，后面一個是備dns?

4、定義nat的內(nèi)網(wǎng)口和外網(wǎng)口

R1(config)#interface gigabitEthernet 0/1

R1(config-GigabitEthernet 0/1)#ip nat outside????? //配置nat的外網(wǎng)口

R1(config-GigabitEthernet 0/1)#exit

R1(config)#int gigabitEthernet 0/0

R1(config-GigabitEthernet 0/0)#ip nat inside//配置nat的內(nèi)網(wǎng)口

R1(config-GigabitEthernet 0/0)#exit

5、在R1上配置ACL，把內(nèi)網(wǎng)需要進行NAT轉換的流量匹配出來

R1(config)#ip access-list standard 10

R1(config-std-nacl)#10 permit 172.16.1.0 0.0.0.255

R1(config-std-nacl)#exit

6、配置場景一nat轉換策略

R1(config)#ip nat inside source list 10 interface gigabitEthernet 0/1 overload???? //將acl 10匹配的流量，執(zhí)行nat轉換，轉換成gigabitEthernet 0/1口的地址

7、配置場景二nat轉換策略

R1(config)#ip nat inside source list 10 pool ruijie overload???? ?//將acl 10匹配的流量，執(zhí)行nat轉換，轉換成地址池ruijie里面的地址

?????? 注意：

?????? overload參數(shù)是執(zhí)行nat重載的含義，若不加overload是執(zhí)行動態(tài)的ip一對一映射，不會執(zhí)行端口轉換，不能解決公網(wǎng)地址不夠的問題。若是在網(wǎng)絡出口執(zhí)行NAT，是為了解決公網(wǎng)地址不夠的問題，必須要加overload參數(shù)。

章節(jié)介紹：

該章節(jié)主要介紹攜帶有二層交換模塊路由器設備的基本上網(wǎng)、端口映射等NAT配置，這些路由器型號包含RSR10-02E、RSR20-04E、RSR20-14E/F、RSR20-X系列、RSR10-X系列和使用擴展交換卡（比如NMX-24ESW）的設備。由于設備本身攜帶或擴展了交換口實現(xiàn)了多臺PC直接連接到交換口接入網(wǎng)絡進行上網(wǎng)。

功能介紹：

PAT：端口地址轉換，又叫網(wǎng)絡地址端口轉換（NAPT），通過 外網(wǎng)接口的IP地址+端口號來對應和區(qū)別各個數(shù)據(jù)流進行網(wǎng)絡地址轉換，以達到多內(nèi)部主機通過外網(wǎng)接口的IP地址來訪問外部網(wǎng)絡的目的。通常用在只有一個公網(wǎng)地址時的場景。

地址池轉換：公網(wǎng)地址池的IP地址+端口號來對應和區(qū)別各個數(shù)據(jù)流進行網(wǎng)絡地址轉換，以達到多內(nèi)部主機通過少量公網(wǎng)IP地址來訪問外部網(wǎng)絡的目的。通常用在有多個1個出口有多個公網(wǎng)ip地址的情況

靜態(tài)NAT：把內(nèi)部主機的ip地址一對一的映射成公網(wǎng)ip地址，或者 內(nèi)部主機的ip地址+端口 一對一的映射成 公網(wǎng)ip地址+端口。通常用在需要將內(nèi)部主機映射成公網(wǎng)地址，或者內(nèi)部服務器的某個端口映射成公網(wǎng)地址的某個端口，達到通過訪問公網(wǎng)地址或者公網(wǎng)地址+端口號來訪問內(nèi)部服務器的目的。

應用場景

企業(yè)通過租用運營商的專線上網(wǎng)，分別介紹以下三個場景的應用，實現(xiàn)相應的功能。

場景一：當只有一個公網(wǎng)IP地址的時候，需要把內(nèi)網(wǎng)用戶的地址全部轉換成外網(wǎng)接口的IP地址，使內(nèi)網(wǎng)用戶能夠訪問外網(wǎng)。

場景二：當有一個公網(wǎng)IP地址段的時候，需要把內(nèi)網(wǎng)用戶的地址全部轉換成公網(wǎng)地址段的IP地址，使內(nèi)網(wǎng)能夠訪問外網(wǎng)。

場景三：將內(nèi)網(wǎng)服務器映射到某一公網(wǎng)IP，使外網(wǎng)用戶能夠通過訪問該公網(wǎng)IP來訪問內(nèi)網(wǎng)服務器的資源。

一、組網(wǎng)需求

RSR路由器做因特網(wǎng)出口，內(nèi)部PC和服務器網(wǎng)關均在路由器上，通過路由器訪問外網(wǎng)，同時內(nèi)網(wǎng)有一臺服務器，需將服務器地址（端口）映射到公網(wǎng)地址（端口），為外界提供服務。注，內(nèi)網(wǎng)pc屬于vlan10網(wǎng)段，內(nèi)網(wǎng)服務器屬于vlan20網(wǎng)段。

二、組網(wǎng)拓撲

三、配置要點

1、基本ip地址配置

2、內(nèi)網(wǎng)終端劃分到相應的vlan中

3、基本的ip路由配置

4、DHCP服務器配置

5、定義nat的內(nèi)網(wǎng)口和外網(wǎng)口

6、在R1上配置ACL，把內(nèi)網(wǎng)需要進行NAT轉換的流量匹配出來

7、配置場景一NAT轉換策略

8、配置場景二NAT轉換策略

9、配置場景三NAT轉換策略

四、配置步驟

1、基本ip地址配置

Ruijie(config)#hostname R1

R1(config)#interface gigabitEthernet 0/1

R1(config-GigabitEthernet 0/1)#ip address 192.168.2.1 255.255.255.0

R1(config-GigabitEthernet 0/1)#exit

R1(config)#vlan 10????

R1(config-vlan)#exit

R1(config)#vlan 20

R1(config-vlan)#exit

R1(config)#inter vlan 10

R1(config-if-VLAN 10)#ip add 172.16.1.254 255.255.255.0

R1(config-if-VLAN 10)#exit

R1(config)#inter vlan 20

R1(config-if-VLAN 20)#ip add 172.16.2.254 255.255.255.0

2、內(nèi)網(wǎng)終端劃分到相應的vlan中

R1(config)#inter fastEthernet 1/2

R1(config-if-FastEthernet 1/2)#switchport access vlan 10// 劃分內(nèi)網(wǎng)pc接口屬于vlan10

R1(config)#inter fastEthernet 1/13

R1(config-if-FastEthernet 1/13)#switchport access vlan 20? // 劃分服務器接口屬于vlan20

3、配置出口路由器路由

????? R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2????? // 出口路由配置到英特網(wǎng)的默認路由

4、DHCP服務器配置

R1(conf)#service dhcp//開啟DHCP服務

R1(conf)#ip? dhcp pool ruijie//ruijie是dhcp地址池的名字，可以隨便取

R1(dhcp-config)#netw 172.16.1.0 255.255.255.0//電腦需要獲得的ip地址的網(wǎng)段

R1(dhcp-config)#default-router 172.16.1.254//電腦屬于VLAN 10下的網(wǎng)關地址，即使vlan10的接口的ip地址

R1(dhcp-config)#dns-server 202.96.113.34 202.96.13.35? // 電腦的DNS，前面一個是主的dns，后面一個是備dns

R1(conf)#ip? dhcp pool ruijie2//ruijie2是dhcp地址池的名字，可以隨便取

R1(dhcp-config)#netw 172.16.2.0 255.255.255.0//電腦需要獲得的ip地址的網(wǎng)段

R1(dhcp-config)#default-router 172.16.2.254//電腦屬于VLAN 10下的網(wǎng)關地址，即使vlan10的接口的ip地址

R1(dhcp-config)#dns-server 202.96.113.34 202.96.13.35? // 電腦的DNS，前面一個是主的dns，后面一個是

5、定義nat的內(nèi)網(wǎng)口和外網(wǎng)口

R1(config)#interface gigabitEthernet 0/1

R1(config-GigabitEthernet 0/1)#ip nat outside????? //配置nat的外網(wǎng)口

R1(config-GigabitEthernet 0/1)#exit

R1(config)#inter vlan 10

R1(config-if-VLAN 10)#ip nat inside

R1(config-if-VLAN 10)#exit

R1(config)#inter vlan 20

R1(config-if-VLAN 20)#ip nat inside

6、在R1上配置ACL，把內(nèi)網(wǎng)需要進行NAT轉換的流量匹配出來

R1(config)#ip access-list standard 10

R1(config-std-nacl)#10 permit 172.16.1.0 0.0.0.255

R1(config-std-nacl)#10 permit 172.16.2.0 0.0.0.255

R1(config-std-nacl)#exit

7、配置場景一nat轉換策略

R1(config)#ip nat inside source list 10 interface gigabitEthernet 0/1 overload???? //將acl 10匹配的流量，執(zhí)行nat轉換，轉換成gigabitEthernet 0/1口的地址

8、配置場景二nat轉換策略

1）配置公網(wǎng)地址池

R1(config)#ip nat pool ruijie netmask 255.255.255.0??????? ?//配置一個名字為ruijie的公網(wǎng)地址池

R1(config-ipnat-pool)#address 192.168.2.10 192.168.2.11? ??//公網(wǎng)地址的起始ip地址，結束ip地址

R1(config-ipnat-pool)#address 192.168.2.15 192.168.2.15//若有多個公網(wǎng)地址，但是不連續(xù)，可以配置多個公網(wǎng)地址段

R1(config-ipnat-pool)#exit

?????? 注意：

?????? ????? 1）公網(wǎng)地址池的地址，不一定要跟外網(wǎng)口的地址在同一個網(wǎng)段，只要是外網(wǎng)分配的可用ip地址就可以。

2）公網(wǎng)地址的起始ip地址和結束ip地址可以不連續(xù)

?????? 2）配置nat轉換策略

R1(config)#ip nat inside source list 10 pool ruijie overload???? ?//將acl 10匹配的流量，執(zhí)行nat轉換，轉換成地址池ruijie里面的地址

?????? 注意：

?????? overload參數(shù)是執(zhí)行nat重載的含義，若不加overload是執(zhí)行動態(tài)的ip一對一映射，不會執(zhí)行端口轉換，不能解決公網(wǎng)地址不夠的問題。若是在網(wǎng)絡出口執(zhí)行NAT，是為了解決公網(wǎng)地址不夠的問題，必須要加overload參數(shù)。

9、配置場景三nat轉換策略

?????? 將內(nèi)網(wǎng)服務器172.16.2.100 映射成公網(wǎng)地址192.168.2.168；或者將內(nèi)網(wǎng)172.16.1.100 tcp 80端口 映射成公網(wǎng)的192.168.2.168 的80端口。

?????? 如下分別為基于ip地址的一對一映射及基于TCP、UDP協(xié)議的端口映射的配置示例：

??????? 1）基于ip地址的一對一映射

R1(config)#ip nat inside source static 172.16.2.100 192.168.2.168 permit-inside??? ??//把內(nèi)網(wǎng)172.16.1.100 映射成公網(wǎng)的192.168.2.168

?????? 2）基于TCP、UDP協(xié)議的端口映射

R1(config)#ip nat inside source static tcp 172.16.2.100 80 192.168.2.168 80 permit-inside????? //把內(nèi)網(wǎng)172.16.1.100 tcp 23端口 映射成公網(wǎng)的192.168.2.168 的23端口

注意：

1）靜態(tài)nat轉換，可以進行ip地址一對一的轉換，也可以基于TCP、UDP協(xié)議進行端口轉換。

2）permit-inside功能：當有內(nèi)網(wǎng)服務器靜態(tài)映射成公網(wǎng)地址時，內(nèi)網(wǎng)PC若需要通過該公網(wǎng)地址訪問服務器，就必須配置permit-inside參數(shù)，在配置靜態(tài)nat時，建議都配置permit-inside參數(shù)。

五、配置驗證

場景一驗證：測試內(nèi)網(wǎng)能否正常訪問外網(wǎng)，若內(nèi)網(wǎng)PC可以正常訪問外網(wǎng)，則NAT配置正確。在出口路由器上查看NAT轉換表項如下：

場景二驗證：測試內(nèi)網(wǎng)能否正常訪問外網(wǎng)，若內(nèi)網(wǎng)PC可以正常訪問外網(wǎng)，則NAT配置正確。在出口路由器上查看NAT轉換表項如下：

功能介紹：

在外網(wǎng)有多出口存在的情況下，數(shù)據(jù)包從不同的外網(wǎng)口轉發(fā)時，將內(nèi)外的數(shù)據(jù)流轉化成不同的ip地址+端口。同時permit-inside功能可以實現(xiàn)內(nèi)網(wǎng)主機通過公網(wǎng)地址訪問內(nèi)部的服務器。

應用場景：

企業(yè)租用多個不同運營商的專線上網(wǎng)，內(nèi)網(wǎng)有一臺服務器需要映射到兩個外網(wǎng)口上，讓外網(wǎng)的用戶也能訪問到服務器上的資源，若要想實現(xiàn)內(nèi)網(wǎng)用戶也能用外網(wǎng)口的IP地址訪問內(nèi)網(wǎng)的服務器（有時候需要用域名來訪問服務器，而通常域名解析后對應的都是公網(wǎng)的IP地址），此時可以使用NAT轉換的permit-inside功能，實現(xiàn)內(nèi)外網(wǎng)用戶均能用公網(wǎng)地址訪問服務器。

一、組網(wǎng)需求

如下網(wǎng)絡拓撲，R1到外網(wǎng)有2個出口 R3和R4，需要實現(xiàn)內(nèi)網(wǎng) 172.16.1.0/24 訪問外網(wǎng)走R3出口，并轉換成該出口的公網(wǎng)地址；內(nèi)網(wǎng) 172.16.2.0/24 訪問外網(wǎng)走R4出口，并轉換成該出口的公網(wǎng)地址。內(nèi)網(wǎng)一臺服務器172.16.1.100，轉換成公網(wǎng)地址 192.168.2.168，內(nèi)外網(wǎng)PC都需要通過該公網(wǎng)地址訪問服務器。

??????

二、組網(wǎng)拓撲

三、配置要點

1、基本ip地址配置

2、基本的ip路由配置

3、定義nat的內(nèi)網(wǎng)口和外網(wǎng)口

4、在R1上配置ACL，把內(nèi)網(wǎng)需要進行NAT轉換的流量匹配出來

5、配置公網(wǎng)地址池

6、配置nat轉換策略

7、配置靜態(tài)nat

8、在R1上配置ACL，把內(nèi)網(wǎng)的流量匹配出來

9、配置策略路由

10、應用策略路由

四、配置步驟

1、基本ip地址配置

Ruijie(config)#hostname R1

R1(config)#interface gigabitEthernet 0/0

R1(config-GigabitEthernet 0/0)#ip address 192.168.1.1 255.255.255.0

R1(config-GigabitEthernet 0/0)#exit

R1(config)#interface gigabitEthernet 0/1

R1(config-GigabitEthernet 0/1)#ip address 192.168.2.1 255.255.255.0

R1(config-GigabitEthernet 0/1)#exit

R1(config)#interface gigabitEthernet 0/2

R1(config-GigabitEthernet 0/2)#ip address 192.168.3.1 255.255.255.0

R1(config-GigabitEthernet 0/2)#exit

Ruijie(config)#hostname R2

R2(config)#interface gigabitEthernet 0/0

R2(config-GigabitEthernet 0/0)#ip address 192.168.1.2 255.255.255.0

R2(config-GigabitEthernet 0/0)#exit

R2(config)#interface gigabitEthernet 0/1

R2(config-GigabitEthernet 0/1)#ip address 172.16.1.1 255.255.255.0

R2(config-GigabitEthernet 0/1)#exit

R2(config)#interface gigabitEthernet 0/2

R2(config-GigabitEthernet 0/2)#ip address 172.16.2.1 255.255.255.0

R2(config-GigabitEthernet 0/2)#exit

Ruijie(config)#hostname R3

R3(config)#interface fastEthernet 0/0

R3(config-if-FastEthernet 0/0)#ip address 192.168.2.2 255.255.255.0

R3(config-if-FastEthernet 0/0)#exit

Ruijie(config)#hostname R4

R4(config)#interface fastEthernet 0/0

R4(config-if-FastEthernet 0/0)#ip address 192.168.3.2 255.255.255.0

R4(config-if-FastEthernet 0/0)#exit

2、基本的ip路由配置，使全網(wǎng)可達

R1(config)#ip route 172.16.0.0 255.255.0.0 192.168.1.2

R2(config)#ip route 100.1.1.0 255.255.255.0 192.168.1.1

R2(config)#ip route 192.168.0.0 255.255.0.0 192.168.1.1

3、定義nat的內(nèi)網(wǎng)口和外網(wǎng)口

R1(config)#interface gigabitEthernet 0/1

R1(config-GigabitEthernet 0/1)#ip nat outside????? //配置第1個nat的外網(wǎng)口

R1(config-GigabitEthernet 0/1)#exit

R1(config)#interface gigabitEthernet 0/2

R1(config-GigabitEthernet 0/1)#ip nat outside????? //配置第2個nat的外網(wǎng)口

R1(config-GigabitEthernet 0/1)#exit

R1(config)#int gigabitEthernet 0/0

R1(config-GigabitEthernet 0/0)#ip nat inside???? //配置nat的內(nèi)網(wǎng)口

R1(config-GigabitEthernet 0/0)#exit

4、在R1上配置ACL，把內(nèi)網(wǎng)需要進行NAT轉換的流量匹配出來

R1(config)#ip access-list standard 10

R1(config-std-nacl)#10 permit 172.16.1.0 0.0.0.255

R1(config-std-nacl)#20 permit 172.16.2.0 0.0.0.255

R1(config-std-nacl)#exit

5、配置公網(wǎng)地址池

注意：

當有多個公網(wǎng)出口時，從不同出口轉發(fā)數(shù)據(jù)包，需要nat成對應出口的可用公網(wǎng)地址。我司設備是使用nat地址池下的 match interface 參數(shù)來匹配數(shù)據(jù)包的出接口，把數(shù)據(jù)包源地址nat成該出接口可用的公網(wǎng)地址。

R1(config)#ip nat pool nat_ruijie netmask 255.255.255.0???? //配置nat公網(wǎng)地址池 nat_ruijie

R1(config-ipnat-pool)#address 192.168.2.10 192.168.2.11 match interface GigabitEthernet 0/1?? //當數(shù)據(jù)包從GigabitEthernet 0/1口轉發(fā)出去時，nat成地址 192.168.2.10 - 192.168.2.11

R1(config-ipnat-pool)#address 192.168.3.10 192.168.3.11 match interface GigabitEthernet 0/2?? ?//當數(shù)據(jù)包從GigabitEthernet 0/2口轉發(fā)出去時，nat成地址 192.168.3.10 - 192.168.3.11

R1(config-ipnat-pool)#exit

6、配置nat源地址池轉換

R1(config)#ip nat inside source list 10 pool nat_ruijie overload?????? ??//將acl 10匹配的流量，轉換成 nat_ruijie 地址池的地址，并做nat重載

注意：

overload參數(shù)是執(zhí)行nat重載的含義，若不加overload是執(zhí)行動態(tài)的ip一對一映射，不會執(zhí)行端口轉換，不能解決公網(wǎng)地址不夠的問題。若是在網(wǎng)絡出口執(zhí)行NAT，是為了解決公網(wǎng)地址不夠的問題，必須要加overload參數(shù)。

7、配置靜態(tài)nat

注意：

1）靜態(tài)nat轉換，可以進行ip地址一對一的轉換，也可以基于TCP、UDP協(xié)議進行端口轉換。

2）permit-inside功能：當有內(nèi)網(wǎng)服務器靜態(tài)映射成公網(wǎng)地址時，內(nèi)網(wǎng)PC若需要通過該公網(wǎng)地址訪問服務器，就必須配置permit-inside參數(shù)，在配置靜態(tài)nat時，建議都配置permit-inside參數(shù)。

如下分別為基于ip地址的一對一映射及基于TCP、UDP協(xié)議的端口映射的配置示例：

1）基于ip地址的一對一映射

R1(config)#ip nat inside source static 172.16.1.100 192.168.2.168 permit-inside ?????//把內(nèi)網(wǎng)172.16.1.100 映射成公網(wǎng)的192.168.2.168

2）基于TCP、UDP協(xié)議的端口映射

R1(config)#ip nat inside source static tcp 172.16.1.100 23 192.168.2.168 23? permit-inside ?????//把內(nèi)網(wǎng)172.16.1.100 tcp 23端口 映射成公網(wǎng)的192.168.2.168 tcp 23端口

8、在R1上配置策略路由匹配的ACL，把內(nèi)網(wǎng)的流量匹配出來

注意：

基于我司流表的處理機制限制，nat的permit-inside功能和策略路由有沖突，需要在策略路由中ACL中將內(nèi)網(wǎng)用戶到服務器的網(wǎng)段流量deny掉，當內(nèi)網(wǎng)訪問服務器互訪時，不執(zhí)行策略路由，因此配置如下：

R1(config)#ip access-list extended 110?????? //配置ACL 110，匹配內(nèi)網(wǎng)172.16.1.0/24 訪問外網(wǎng)的流量

R1(config-ext-nacl)#10 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

R1(config-ext-nacl)#20 permit ip 172.16.1.0 0.0.0.255 any

R1(config)#ip access-list extended 120??? //配置ACL 120，匹配內(nèi)網(wǎng)172.16.2.0/24 訪問外網(wǎng)的流量

R1(config-ext-nacl)#10 deny ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255

R1(config-ext-nacl)#20 permit ip 172.16.2.0 0.0.0.255 any

R1(config-ext-nacl)#exit

如果不配置內(nèi)網(wǎng)服務器與用戶之間的deny 則數(shù)據(jù)轉換情況分析如下：

內(nèi)網(wǎng)中有一臺PC 172.16.2.10 通過192.168.2.168來訪問該服務器，那么有以下轉換過程：

基于我司的流表處理機制，當進行以上源、目IP地址轉換后，將會認為這是一條源地址為172.16.2.10，目的地址為172.16.1.100的數(shù)據(jù)流。因此在策略路由ACL的配置中，需要注意首先要將該類流量丟棄（即所有內(nèi)網(wǎng)網(wǎng)段到服務器所在網(wǎng)段的流量），否則將導致該類流量被策略路由重定向到指定的外網(wǎng)口下一跳。另外由于服務器所在網(wǎng)段172.16.1.0也做了策略路由，也存在該問題。

9、配置策略路由

R1(config)#route-map ruijie permit 10??????? //配置route-map ruijie

R1(config-route-map)#match ip address 110??? ?//匹配內(nèi)網(wǎng)acl 110的流量

R1(config-route-map)#set ip next-hop 192.168.2.2 ??//強制設置ip報文的下一跳為 192.168.2.2，走R3出口

R1(config-route-map)#exit

R1(config)#route-map ruijie permit 20

R1(config-route-map)#match ip address 120

R1(config-route-map)#set ip next-hop 192.168.3.2

R1(config-route-map)#exit

10、應用策略路由

R1(config)#interface gigabitEthernet 0/0

R1(config-GigabitEthernet 0/0)#ip policy route-map ruijie??? ?//應用策略路由

R1(config-GigabitEthernet 0/0)#exit

五、配置驗證

1、測試內(nèi)網(wǎng)PC能否正常訪問外網(wǎng)，并且查看是否按照策略路由選路。若172.16.1.0/24可用正常訪問外網(wǎng)并且走R3出口；172.16.2.0/24可用正常訪問外網(wǎng)并且走R4出口，則多出口NAT及策略路由配置正確。

R2#traceroute 100.1.1.1 source 172.16.1.1

? < press Ctrl+C to break >

Tracing the route to 100.1.1.1

?1??? 192.168.1.1 0 msec 0 msec 0 msec

?2??? 192.168.2.2 10 msec 0 msec 10 msec???? //172.16.1.0/24 訪問外網(wǎng)走R3出口

? 其它路徑省略

2、測試內(nèi)外網(wǎng)PC通過公網(wǎng)ip，能否正常訪問服務器，若內(nèi)網(wǎng)PC通過公網(wǎng)ip，都可以正常訪問服務器，則靜態(tài)nat配置正確。內(nèi)網(wǎng)PC通過公網(wǎng)地址訪問服務器，nat映射表如下：

功能介紹：

當內(nèi)部主機需要訪問外部網(wǎng)絡，但是不想引入外部路由時，可以使用外部源地址轉換，將外部主機的ip地址+端口，轉換成內(nèi)部網(wǎng)絡的ip地址+端口。

一、組網(wǎng)需求

內(nèi)網(wǎng)有相應的安全策略，只允許內(nèi)網(wǎng)PC之間的互訪，? 但是又需要訪問外網(wǎng)的服務器，通過nat的外部源地址轉換功能，把外網(wǎng)服務器的公網(wǎng)地址轉換成內(nèi)網(wǎng)地址，使內(nèi)網(wǎng)用戶在訪問外網(wǎng)的時候，感知不到自己已經(jīng)訪問了外網(wǎng)。

二、組網(wǎng)拓撲

三、配置要點

1、基本ip地址配置

2、基本的ip路由配置

3、定義nat的內(nèi)網(wǎng)口和外網(wǎng)口

4、配置nat外網(wǎng)源地址轉換

四、配置步驟

1、基本ip地址配置

Ruijie(config)#hostname R1

R1(config)#interface gigabitEthernet 0/0

R1(config-GigabitEthernet 0/0)#ip address 192.168.1.1 255.255.255.0

R1(config-GigabitEthernet 0/0)#exit

R1(config)#interface gigabitEthernet 0/1

R1(config-GigabitEthernet 0/1)#ip address 192.168.2.1 255.255.255.0

R1(config-GigabitEthernet 0/1)#exit

Ruijie(config)#hostname R2

R2(config)#interface gigabitEthernet 0/0

R2(config-GigabitEthernet 0/0)#ip address 192.168.1.2 255.255.255.0

R2(config-GigabitEthernet 0/0)#exit

R2(config)#interface gigabitEthernet 0/1

R2(config-GigabitEthernet 0/1)#ip address 172.16.1.1 255.255.255.0

R2(config-GigabitEthernet 0/1)#exit

R2(config)#interface gigabitEthernet 0/2

R2(config-GigabitEthernet 0/2)#ip address 172.16.2.1 255.255.255.0

R2(config-GigabitEthernet 0/2)#exit

Ruijie(config)#hostname R3

R3(config)#interface fastEthernet 0/0

R3(config-if-FastEthernet 0/0)#ip address 192.168.2.2 255.255.255.0

R3(config-if-FastEthernet 0/0)#exit

2、基本的ip路由配置

R1(config)#ip route 172.16.0.0 255.255.0.0 192.168.1.2

R1(config)#ip route 100.1.1.0 255.255.255.0 192.168.2.2

R2(config)#ip route 192.168.0.0 255.255.0.0 192.168.1.1

R3(config)#ip route 172.16.0.0 255.255.0.0 192.168.2.1????? //配置外網(wǎng)到內(nèi)網(wǎng)的回程路由（若外網(wǎng)沒有內(nèi)網(wǎng)的回程路由，還需在出口路由器做內(nèi)部源地址轉換）

3、定義nat的內(nèi)網(wǎng)口和外網(wǎng)口

R1(config)#interface gigabitEthernet 0/1

R1(config-GigabitEthernet 0/1)#ip nat outside????? //配置nat的外網(wǎng)口

R1(config-GigabitEthernet 0/1)#exit

R1(config)#int gigabitEthernet 0/0

R1(config-GigabitEthernet 0/0)#ip nat inside???? //配置nat的內(nèi)網(wǎng)口

R1(config-GigabitEthernet 0/0)#exit

4、配置nat外網(wǎng)源地址轉換

注意：

1）外部源地址轉換，可以進行ip地址一對一的轉換，也可以基于TCP、UDP協(xié)議進行端口轉換。

2）外部源地址轉換，外網(wǎng)服務器的內(nèi)部本地地址，該地址不需要一定是出口路由器上的網(wǎng)段，只要內(nèi)網(wǎng)路由可達，能夠把內(nèi)網(wǎng)PC訪問該服務器的報文路由到出口路由器就可以。

如下分別為基于ip地址的一對一映射及基于TCP、UDP協(xié)議的端口映射的配置示例：

1、基于ip地址的一對一映射

R1(config)#ip nat outside source static 100.1.1.1 192.168.1.168?????? //當內(nèi)網(wǎng)訪問192.168.1.168時，將目的ip地址轉換成 100.1.1.1

2、基于TCP、UDP協(xié)議的端口映射

R1(config)#ip nat outside source static tcp 100.1.1.1 23 192.168.1.168 23??? ?//當內(nèi)網(wǎng)訪問192.168.1.168 的tcp 23端口時，將目的ip地址轉換成 100.1.1.1 的23端口

五、配置驗證

測試內(nèi)網(wǎng)能否通過外網(wǎng)服務器在本網(wǎng)絡可見的私網(wǎng)地址，正常訪問，若可以正常訪問外網(wǎng)的服務器，則外部源地址轉換NAT配置正確。在出口路由器上查看NAT轉換表項如下：

功能介紹：

當我們內(nèi)部有幾臺提供相同服務的服務器時，我們可以用NAT來做到負載均衡；該功能也稱為TCP負載均衡技術。

一、組網(wǎng)需求

內(nèi)網(wǎng)服務器的地址通過靜態(tài)NAT，轉換成相同的外網(wǎng)的地址，外網(wǎng)訪問該服務器時，可以通過NAT實現(xiàn)負載均衡。

二、組網(wǎng)拓撲

三、配置要點

1、基本ip地址配置

2、基本的ip路由配置

3、定義nat的內(nèi)網(wǎng)口和外網(wǎng)口

4、通過ACL匹配外網(wǎng)訪問內(nèi)網(wǎng)服務器的流量

5、配置服務器的地址池

6、配置目的地址轉換

四、配置步驟

1、基本ip地址配置

Ruijie(config)#hostname R1

R1(config)#interface gigabitEthernet 0/0

R1(config-GigabitEthernet 0/0)#ip address 192.168.1.1 255.255.255.0

R1(config-GigabitEthernet 0/0)#exit

R1(config)#interface gigabitEthernet 0/1

R1(config-GigabitEthernet 0/2)#ip address 192.168.2.1 255.255.255.0

R1(config-GigabitEthernet 0/2)#exit

Ruijie(config)#hostname R2

R2(config)#interface fastEthernet 0/0

R2(config-if-FastEthernet 0/0)#ip address 192.168.2.2 255.255.255.0

R2(config-if-FastEthernet 0/0)#exit

2、基本的ip路由配置

R2(config)#ip route 192.168.10.0 255.255.255.0 192.168.2.1????? //配置外網(wǎng)到服務器公網(wǎng)地址的路由

3、定義nat的內(nèi)網(wǎng)口和外網(wǎng)口

R1(config)#interface gigabitEthernet 0/1

R1(config-GigabitEthernet 0/1)#ip nat outside????? //配置nat的外網(wǎng)口

R1(config-GigabitEthernet 0/1)#exit

R1(config)#int gigabitEthernet 0/0

R1(config-GigabitEthernet 0/0)#ip nat inside???? //配置nat的內(nèi)網(wǎng)口

R1(config-GigabitEthernet 0/0)#exit

4、通過ACL匹配外網(wǎng)訪問內(nèi)網(wǎng)服務器的流量

R1(config)#ip access-list extended 100

R1(config-ext-nacl)#10 permit ip any host 192.168.10.168???? //外網(wǎng)到服務器公網(wǎng)地址（192.168.10.168）的流量

R1(config-ext-nacl)#exit

注意：

1）我司的TCP負載均衡中只支持擴展ACL配置，不支持標準ACL配置。

2）服務器外網(wǎng)IP地址選擇

在TCP負載均衡的配置中，假如服務器映射的外網(wǎng)IP選擇與外網(wǎng)口IP同網(wǎng)段的其它IP地址，會由于設備不對該IP地址的ARP請求進行回應而導致映射失效（設備會認為這是一臺與本出口在同一網(wǎng)段的其它設備地址，而不是自身的地址，因此不對該IP地址的ARP請求進行回應）；因此TCP負載均衡只支持映射為外網(wǎng)口出口IP地址或其它網(wǎng)段的IP地址，不能映射為與出接口同網(wǎng)段的其它IP地址。如以上例子中，可以將兩臺服務器映射至192.168.2.1，或其它網(wǎng)段地址（如192.168.10.0/24）；但無法映射為192.168.2.0/24（與出口同網(wǎng)段的其它地址）。

5、配置服務器的地址池

R1(config)#ip nat pool server 192.168.1.100 192.168.1.101 netmask 255.255.255.0 type rotary ????//定義名為server的地址池，地址池類型為rotary（循環(huán)），在做目的nat轉換時，循環(huán)轉換為內(nèi)網(wǎng)服務器的地址

6、配置目的地址轉換

R1(config)#ip nat inside destination list 100 pool server ?????//將acl 100的流量，報文的目的地址轉換成server地址池的地址

注意：

1）路由器不檢測內(nèi)網(wǎng)服務器的可用性

如果內(nèi)網(wǎng)服務器群里有一臺或多臺、甚至是全部服務器都不工作了，由于路由器上沒有相關檢測服務器是否正常工作的功能，因此路由器是無法判斷內(nèi)網(wǎng)服務器的可用性，依舊會將流量進行負載均衡，而不管服務器能否應答。

2）只對TCP流量進行轉換

只對TCP流量進行轉換，不會對ICMP等其它協(xié)議進行轉換。

3）我司設備進行TCP負載均衡時，是基于源ip地址的hash值進行負載均衡，若外網(wǎng)2個ip訪問沒有實現(xiàn)負載均衡，是由于這2個ip地址的hash值一樣，可以嘗試變更外網(wǎng)ip地址做測試。

五、配置驗證

分別測試多個外網(wǎng)PC訪問服務器的公網(wǎng)地址，若第一PC訪問該服務器時轉換成192.168.1.100的內(nèi)網(wǎng)地址，第二PC訪問該服務器時轉換成192.168.1.101的內(nèi)網(wǎng)地址，則NAT復雜均衡配置正確。

第一個PC訪問服務器時，訪問到server-1，查看nat轉換表如下

R2#telnet 192.168.10.168

Trying 192.168.10.168, 23...

server-1>

R1#show ip nat translations

Pro Inside global??????????? Inside local??????????? Outside local????????? Outside global

tcp 192.168.10.168:23 ?192.168.1.100:23?? 192.168.2.2:1052?? 192.168.2.2:1052

第二個PC訪問服務器時，訪問到server-2，查看nat轉換表如下

R4#telnet 192.168.10.168

Trying 192.168.10.168, 23...

server-2>

R1#show ip nat translations

Pro Inside global??????????? Inside local???????????? Outside local????????? Outside global

tcp 192.168.10.168:23 ?192.168.1.101:23?? 192.168.2.3:1053?? 192.168.2.3:1053

功能介紹：

雙向nat轉換，可以同時轉換數(shù)據(jù)包的源ip、目的ip、源端口、目的端口。金融行業(yè)外聯(lián)網(wǎng)中，內(nèi)部服務器地址不能直接被外聯(lián)單位訪問，需要轉換成外網(wǎng)的地址，且不希望外聯(lián)單位的路由引入內(nèi)網(wǎng)，避免外聯(lián)單位地址重疊，需要實現(xiàn)外聯(lián)單位的源地址轉換。

一、組網(wǎng)需求

如下網(wǎng)絡拓撲，外聯(lián)單位 100.1.1.1 需要訪問內(nèi)網(wǎng)服務器 172.16.1.100，內(nèi)網(wǎng)服務器靜態(tài)映射成外網(wǎng)地址 192.168.2.168，同時對外網(wǎng) 100.1.1.1 進行外部源地址轉換，轉換成內(nèi)網(wǎng)地址 172.16.10.168，從而實現(xiàn)內(nèi)網(wǎng)無需引入外網(wǎng)的路由。

二、組網(wǎng)拓撲

三、配置要點

1、基本ip地址配置

2、基本的ip路由配置

3、定義nat的內(nèi)網(wǎng)口和外網(wǎng)口

4、配置內(nèi)部服務器靜態(tài)nat映射成外網(wǎng)地址

5、配置nat外網(wǎng)源地址轉換

四、配置步驟

1、基本ip地址配置

Ruijie(config)#hostname R1

R1(config)#interface fastEthernet 0/0

R1(config-if-FastEthernet 0/0)#ip address 192.168.2.1 255.255.255.0

R1(config-if-FastEthernet 0/0)#exit

R1(config)#interface fastEthernet 0/1

R1(config-if-FastEthernet 0/1)#ip address 192.168.1.1 255.255.255.0

R1(config-if-FastEthernet 0/1)#exit

Ruijie(config)#hostname R2

R2(config)#interface gigabitEthernet 0/0

R2(config-GigabitEthernet 0/0)#ip address 192.168.1.2 255.255.255.0

R2(config-GigabitEthernet 0/0)#exit

R2(config)#interface gigabitEthernet 0/1

R2(config-GigabitEthernet 0/0)#ip address 172.16.1.1 255.255.255.0

R2(config-GigabitEthernet 0/0)#exit

Ruijie(config)#hostname R3

R3(config)#interface gigabitEthernet 0/0

R3(config-GigabitEthernet 0/0)#ip address 192.168.2.2 255.255.255.0

R3(config-GigabitEthernet 0/0)#exit

2、基本的ip路由配置

R1(config)#ip route 100.1.1.0 255.255.255.0 192.168.2.2????? //到外網(wǎng)目的網(wǎng)段的路由

R1(config)#ip route 172.16.1.0 255.255.255.0 192.168.1.2??? //到內(nèi)網(wǎng)服務器的路由

R2(config)#ip route 192.168.10.0 255.255.255.0 192.168.1.1???? //R2到外部本地地址的路由，把內(nèi)網(wǎng)發(fā)給外部本地地址的數(shù)據(jù)包，送到出口路由器

3、定義nat的內(nèi)網(wǎng)口和外網(wǎng)口

R1(config)#interface fastEthernet 0/0

R1(config-if-FastEthernet 0/0)#ip nat outside

R1(config-if-FastEthernet 0/0)#exit

R1(config)#interface fastEthernet 0/1

R1(config-if-FastEthernet 0/1)#ip nat inside

R1(config-if-FastEthernet 0/1)#exit

4、配置內(nèi)部服務器靜態(tài)nat映射成外網(wǎng)地址

注意：

靜態(tài)nat轉換，可以進行ip地址一對一的轉換，也可以基于TCP、UDP協(xié)議進行端口轉換。

如下分別為基于ip地址的一對一映射及基于TCP、UDP協(xié)議的端口映射的配置示例：

1）基于ip地址的一對一映射

R1(config)#ip nat inside source static 172.16.1.100 192.168.2.168?? //把內(nèi)網(wǎng)172.16.1.100 映射成公網(wǎng)的192.168.2.168

2）基于TCP、UDP協(xié)議的端口映射

R1(config)#ip nat inside source static tcp 172.16.1.100 23 192.168.2.168 23?? //把內(nèi)網(wǎng)172.16.1.100 tcp 23端口 映射成公網(wǎng)的192.168.2.168 的23端口

5、配置nat外網(wǎng)源地址轉換

注意：

1）外部源地址轉換，可以進行ip地址一對一的轉換，也可以基于TCP、UDP協(xié)議進行端口轉換。

2）外部源地址轉換，外網(wǎng)PC的內(nèi)部本地地址，該地址不需要一定是出口路由器上的網(wǎng)段，只要內(nèi)網(wǎng)路由可達，能夠把內(nèi)網(wǎng)服務器到外網(wǎng)PC的回程報文路由到出口路由器就可以。若外網(wǎng)PC的源端口號不固定，那么外部源地址轉換，只能是做基于ip地址的一對一映射。

如下分別為基于ip地址的一對一映射及基于TCP、UDP協(xié)議的端口映射的配置示例：

1）基于ip地址的一對一映射

R1(config)#ip nat outside source static 100.1.1.1 172.16.10.168?????? //當內(nèi)網(wǎng)訪問172.16.10.168時，將目的ip地址轉換成 100.1.1.1

2）基于TCP、UDP協(xié)議的端口映射

R1(config)#ip nat outside source static tcp 100.1.1.1 1025 172.16.10.168 1025??? ?//外部全局地址的100.1.1.1 tcp 源端口 1025，轉換成外部本地地址172.16.10.168 tcp 源端口 1025

五、配置驗證

若外網(wǎng)能夠通過內(nèi)部服務器的外網(wǎng)地址正常訪問，且內(nèi)部網(wǎng)絡無需引入外網(wǎng)路由，則雙向nat配置正確。

---

06? VRF? NAT

三、配置要點

數(shù)據(jù)傳輸是雙向的，我們需要同時考慮PC1到INTERNET、INTERNET到PC1雙向的路由聯(lián)通性

PC1到INTERNET方向：

需求是：PC1需要訪問INTERNET，但除PC1以外的非VPN業(yè)務不能訪問INTERNET。因此需要在PE1的GI3/1/0入口方向?qū)嵤┛鏥RF的策略路由。只允許PC1網(wǎng)段跨VRF轉發(fā)，其他網(wǎng)段屏蔽。

同時需要在PE1上全局路由表引入默認路由，使得公網(wǎng)非VPN業(yè)務路由器能學到去往INTERNET的默認路由。

INTERNET到PC1方向：

不需要額外的路由配置，因為RSR路由器基于流表機制，在正向NAT轉換流表形成后，自動實現(xiàn)VRF跳轉

四、配置步驟

跨VRF路由一般應用在MPLS-VPN網(wǎng)絡的PE設備上，但其本質(zhì)是VRF間的跳轉，和MPLS無關。因此本案例中不涉及MPLS-VPN配置。

PE1配置：

1、基本路由連通性配置：

ip vrf vpn1???

interface GigabitEthernet 3/1/0

?? ip address 12.0.0.2 255.255.255.0

interface GigabitEthernet 3/1/1

?? ip vrf forwarding vpn1

?? ip address 23.0.0.2 255.255.255.0

interface Loopback 0

?? ip address 2.2.2.2 255.255.255.255

router ospf 1

?? network 2.2.2.2 0.0.0.0 area 0

?? network 12.0.0.2 0.0.0.0 area 0

?? default-information originate always

router ospf 10 vrf vpn1

?? redistribute static subnets

?? network 23.0.0.2 0.0.0.0 area 0

2、PC1到INTERNET方向路由策略（使用策略路由）：

route-map internet permit 10

?? match ip address 100

?? set vrf vpn1

ip access-list extended 100

?? 10 permit ip 10.0.0.0 0.255.255.255 any

interface GigabitEthernet 3/1/0

?? ip policy route-map internet

3、跨VRF NAT：

access-list 1 permit host 10.0.0.1

ip nat inside source list 1 interface gigabitEthernet 3/1/1 vrf vpn1

PE2配置：

interface GigabitEthernet 0/0

?? ip ref

?? ip address 12.0.0.1 255.255.255.0

interface GigabitEthernet 0/1

?? ip ref

?? ip address 10.0.0.254 255.255.255.0

interface Loopback 0

?? ip ref

?? ip address 1.1.1.1 255.255.255.255

router ospf 1

?? network 1.1.1.1 0.0.0.0 area 0

?? network 10.0.0.0 0.0.0.255 area 0

?? network 12.0.0.1 0.0.0.0 area 0

INTERNET出口路由器配置：

interface GigabitEthernet 0/0

?? ip ref

?? ip address 23.0.0.3 255.255.255.0

interface Loopback 0

?? ip ref

?? ip address 3.3.3.3 255.255.255.255

router ospf 1

?? redistribute static subnets

?? network 23.0.0.3 0.0.0.0 area 0

?? default-information originate

ip route 0.0.0.0 0.0.0.0 Loopback 0

五、配置驗證

1、PC1可以PING通INTERNET出口路由器3.3.3.3

PC1#ping 3.3.3.3

Sending 5, 100-byte ICMP Echoes to 3.3.3.3, timeout is 2 seconds:

? < press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/12/20 ms

2、通過show ip nat translations確認NAT映射是否成功。

---

07? 常見問題和故障

1、什么是NAT功能

網(wǎng)絡地址轉換(NAT,Network Address Translation)屬接入廣域網(wǎng)(WAN)技術，是一種將私有（保留）地址轉化為合法IP地址的轉換技術，它被廣泛應用于各種類型Internet接入方式和各種類型的網(wǎng)絡中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。

2、RSR系列路由器是否支持在VRF下做NAT

支持

3、NAT地址池是否可以配置為出接口地址范圍之外的一個地址段

可以

4、RSR系列路由器始發(fā)于本地的流量能否NAT

不支持對始發(fā)于本地的流量進行NAT

5、RSR77路由器為什么show ip nat translation看不到任何轉換表項

RSR77路由器是分布式路由器，需要登錄到outside接口對應的線卡，然后show ip nat translation 查看，也可使用命令show ip nat translation slot x/y來查看

6、RSR系列路由器nat地址池配置多個發(fā)現(xiàn)其中有一些不生效

RSR系列路由器 nat匹配規(guī)則的時候使用訪問列表作為首要條件，地址池配置中只對一個地址池下面的多條規(guī)則逐一查找，不查找多個地址池配置。地址池匹配中可以針對出接口查找，但不支持針對路由下一跳查找。

7、什么是permit-inside功能

若內(nèi)網(wǎng)有一臺服務器映射成為一個公網(wǎng)IP地址，并且將該公網(wǎng)IP注冊至一個域名中。此時內(nèi)網(wǎng)用戶通過直接輸入域名訪問該服務器，域名服務器將該服務器的地址解析為已經(jīng)注冊的公網(wǎng)IP地址。默認情況下，當內(nèi)網(wǎng)用戶通過公網(wǎng)地址來訪問該服務器時，路由器將認為該流量為正常的穿越流量，因此將為該流量做正常的源地址轉換；而在做源地址轉換之前，由于檢查到該公網(wǎng)IP與外網(wǎng)口在同一網(wǎng)段，因此在做源地址轉換前需要預先發(fā)送ARP請求來解析該公網(wǎng)IP的MAC地址；但由于實際外網(wǎng)口網(wǎng)段中不存在一臺配置為該IP的終端，ARP請求將始終得不到響應，因此源地址轉換也將失敗。最終，內(nèi)網(wǎng)用戶訪問該服務器公網(wǎng)地址的現(xiàn)象為：路由器上無相關轉換表項，只在出口發(fā)出ARP請求，并且內(nèi)網(wǎng)用戶得不到任何數(shù)據(jù)應答。此時就需要配置permit-inside功能。

當路由器上配置了permit-inside功能，如下：

ip nat inside source static tcp 192.168.1.254 23 10.0.0.1 23 permit-inside

此時，在內(nèi)網(wǎng)192.168.1.2上telnet 10.0.0.1，在路由器上查看轉換表項如下：

RSR50-40#sh ip nat tran

Pro Inside globalInside local?????? Outside localOutside global

tcp 10.0.0.1:1046192.168.1.2:104610.0.0.1:23192.168.1.254:23

當配置了permit-inside功能后，路由器對相應數(shù)據(jù)包的源、目IP都進行了轉換：

	源IP地址	目的IP地址
轉換前	192.168.1.2:1046	10.0.0.1:23
轉換后	10.0.0.1:1046	192.168.1.254:23

8、NAT應用案例----TCP負載均衡

當我們內(nèi)部有幾臺提供相同服務的服務器時，我們可以用NAT來做到負載均衡；該功能也稱為TCP負載均衡技術。

配置案例：

如下圖所示，內(nèi)網(wǎng)有兩臺相同的服務器192.168.1.253、192.168.1.254共同為外部提供相同的服務（對外提供WWW服務）。為了達到兩臺服務器負載均衡的效果、我們將兩臺服務器共同映射至一個相同的外網(wǎng)地址，并且將外部訪問的流量均衡地分配至兩臺不同的服務器上。