扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛管理 来源:zdnet安全频道 2008年12月22日
关键字: 网络管理
最近有朋友问我如何配置NAT才能让互联网上的用户通过Cisco路由器访问到内网的Web和邮件服务器。很明显这种功能需要在公网IP和内网IP间做NAT。以下是具体实现方法。
目前很多人都通过NAT接入互联网。NAT可以在内网IP和公网IP间转换,这样内网用户就可以直接访问到互联网了。大多数用户使用的NAT叫做端口地址转换(PAT),Cisco称这种方式为NAT overload 。
在开始前,我们首先了解一下什么是静态NAT。图A是一个网络拓扑图。
我们的目标是:将互联网上的静态IP通过路由器转换为内部网络IP。
对于带有Web设置界面的Linksys路由器来说,这个工作实现起来很简单。但是对于采用命令行(CLI)模式的Cisco路由器来说,如果不知道相应的命令就麻烦了。
因此在开始前多收集一些信息是很必要的。比如在我们给出的图例中,我们需要通过以下方法采集必要的信息:
◆路由器内联端口 E0/0: IP 10.1.1.1
◆路由器外联端口 S0/0: IP 63.63.63.1
◆Web/mail服务器内网 IP: 10.1.1.2
◆Web/mail 服务器公网 IP: 63.63.63.2
要让外网用户访问内网的 Web/mail服务器,有两步必要的工作:
1.配置NAT
2.配置防火墙
在本文中,我重点讲述基本的静态NAT配置。但是各位读者应该确保外网的有关数据可以通过防火墙进入内网。
不论是使用ACL还是Cisco IOS配置防火墙,都要确保你熟悉Cisco IOS的操作顺序,并设定正确的IP地址(公网和内网)。换句话说,你应该知道是NAT先工作还是防火墙过滤先工作。
在获取了相关信息后,我们就开始配置静态NAT了。在我们的例子中,我们首先进行一下基本配置:
interface Serial0/0
ip address 63.63.63.1 255.255.255.0
ip nat outside
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip nat inside
我们需要使用 NAT转换将Web/mail服务器的公网IP地址从63.63.63.2 转换到 10.1.1.2 (并从10.1.1.2 转换到 63.63.63.2)。 下面就是内网和公网间的NAT配置:
router (config)# ip nat inside source static tcp 10.1.1.2 25 63.63.63.2 25
router (config)# ip nat inside source static tcp 10.1.1.2 443 63.63.63.2 443
router (config)# ip nat inside source static tcp 10.1.1.2 80 63.63.63.2 80
router (config)# ip nat inside source static tcp 10.1.1.2 110 63.63.63.2 110
之所以用以上端口,是因为这些端口符合相应服务所对应的端口。比如25端口对应SMTP邮件发送,443端口对应安全的Web连接HTPS,80端口对应HTTP,110端口对应POP3收信。
以上配置是假定我们有一个固定的公网IP,如果没有,我们也可以使用路由器出口IP(本例中是Serial 0/0),配置方法如下:
router (config)# ip nat inside source static tcp 10.1.1.2 25 interface serial 0/0 25
如果你的公网IP地址是通过ISP的DHCP分配的 IP,也可以用上述配置方式。
另外,我们还需要将Web服务器和邮件服务器的域名注册到互联网上的DNS注册表中。这样当用户在浏览器中输入域名就可以访问到我们的网站了。比如用户输入www.mywebserver.com,就可以访问到63.63.63.2,然后我们的路由器会把这个地址转化为10.1.1.2 。这样Web服务器就会受到浏览请求并顺利进行响应。
除了配置静态NAT,也许你希望同时能学会如何配置动态NAT,这样你的内网PC就可以通过动态NAT(比如NAT overload或PAT)访问互联网了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者