随着Internet的迅速发展,IP地址短缺已成为一个十分突出的问题。如我单位,200台计算机,4台服务器只分配了6个C类地址。那么,如何解决这个问题呢?我选择了在路由器上实现NAT的方法来解决这个问题。 NAT(Network Address Translation)顾名思义就是网络IP地址的转换。NAT的出现是为了解决IP日益短缺的问题,将多个内部地址映射为少数几个甚至一个公网地址。这样,就可以让我们内部网中的计算机通过伪IP访问INTERNET的资源。 设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。 内部端口连接的网络用户使用的是内部IP地址(非法IP);外部端口连接的是外部的网络,使用电信部门分配给我们的IP地址。一般来说,内部端口应使用ETHERNET 端口,外部端口使用SERIAL 端口。另外,想要使用NAT功能,路由器的IOS必须支持NAT功能。 NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。以下设置以Cisco路由器为例。 1.静态地址转换 静态地址转换将内部本地地址与内部合法地址进行一对一地转换,且需要指定和哪个合法地址进行转换。如果内部网络有WWW服务器或FTP服务器等可以为外部用户提供服务,则这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 2.动态地址转换 动态地址转换也是将内部本地地址与内部合法地址一对一地转换,但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。 3.复用动态地址转换 复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况,这种转换极为有用。 PAT(Port Address Translation)也称为NAPT,就是将多个内部地址映射为一个公网地址,但以不同的协议端口号与不同的内部地址相对应。这种方式常用于拨号上Internet网。 以下是以2611路由器为例,配置清单如下: Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname 2611 ! enable secret 5 $1$JIeG$UZJNjKhcptJXHPc/BP5GG0 enable password 2323ipro ! ip subnet-zero no ip source-route no ip finger ! ! ! interface Ethernet0/0 ip address 192.168.10.254 255.255.255.0 secondary ip address 218.27.84.249 255.255.255.248 no ip directed-broadcast ip accounting output-packets no ip mroute-cache no cdp enable ! interface Serial0/0 ip unnumbered Ethernet0/0 no ip directed-broadcast ip accounting output-packets ip nat outside no ip mroute-cache no fair-queue no cdp enable ! interface Ethernet0/1 ip address 192.168.2.254 255.255.255.0 no ip directed-broadcast ip nat inside no ip mroute-cache no cdp enable ! interface Virtual-TokenRing35 no ip address no ip directed-broadcast no ip mroute-cache shutdown ring-speed 16 ! router rip redistribute connected network 192.168.2.0 network 192.168.10.0 network 218.27.84.0 ! ip default-gateway 218.27.127.217 ip nat pool nat-pool 218.27.84.252 218.27.84.254 netmask 255.255.255.248 ip nat inside source list 1 pool nat-pool overload ip nat inside source static 192.168.2.254 218.27.84.249 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/0 ip http server ip http port 9091 ip ospf name-lookup ! ! ip access-list extended filterin permit tcp any host 218.27.84.249 eq www reflect httpfilter access-list 1 permit 192.168.2.0 0.0.0.255 no cdp run
! line con 0 transport input none line aux 0 line vty 0 4 password routr login ! end 当然,我们也可以采用PAT技术,但PAT 技术不太适合指定TCP/UDP端口的应用,如电视会议等。因此,如果使用PAT技术,也应当使用NAT+PAT,这样才不至于功能受限。
网站地图
收藏本站
高级搜索
相关文章: