科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道网络管理:如何配置静态NAT

网络管理:如何配置静态NAT

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

最近有朋友问我如何配置NAT才能让互联网上的用户通过Cisco路由器访问到内网的Web和邮件服务器。很明显这种功能需要在公网IP和内网IP间做NAT。以下是具体实现方法。

作者:论坛管理 来源:zdnet安全频道 2008年12月22日

关键字: 网络管理

  • 评论
  • 分享微博
  • 分享邮件

最近有朋友问我如何配置NAT才能让互联网上的用户通过Cisco路由器访问到内网的Web和邮件服务器。很明显这种功能需要在公网IP和内网IP间做NAT。以下是具体实现方法。

目前很多人都通过NAT接入互联网。NAT可以在内网IP和公网IP间转换,这样内网用户就可以直接访问到互联网了。大多数用户使用的NAT叫做端口地址转换(PAT),Cisco称这种方式为NAT overload 。

在开始前,我们首先了解一下什么是静态NAT。图A是一个网络拓扑图。

网络管理:如何配置静态NAT
 
我们的目标是:将互联网上的静态IP通过路由器转换为内部网络IP。

对于带有Web设置界面的Linksys路由器来说,这个工作实现起来很简单。但是对于采用命令行(CLI)模式的Cisco路由器来说,如果不知道相应的命令就麻烦了。

因此在开始前多收集一些信息是很必要的。比如在我们给出的图例中,我们需要通过以下方法采集必要的信息:

◆路由器内联端口 E0/0: IP 10.1.1.1
◆路由器外联端口 S0/0: IP 63.63.63.1
◆Web/mail服务器内网 IP: 10.1.1.2
◆Web/mail 服务器公网 IP: 63.63.63.2

要让外网用户访问内网的 Web/mail服务器,有两步必要的工作:

1.配置NAT
2.配置防火墙

在本文中,我重点讲述基本的静态NAT配置。但是各位读者应该确保外网的有关数据可以通过防火墙进入内网。

不论是使用ACL还是Cisco IOS配置防火墙,都要确保你熟悉Cisco IOS的操作顺序,并设定正确的IP地址(公网和内网)。换句话说,你应该知道是NAT先工作还是防火墙过滤先工作。

在获取了相关信息后,我们就开始配置静态NAT了。在我们的例子中,我们首先进行一下基本配置:

interface Serial0/0
  ip address 63.63.63.1 255.255.255.0
  ip nat outside
interface Ethernet0/0
  ip address 10.1.1.1 255.255.255.0
  ip nat inside

我们需要使用 NAT转换将Web/mail服务器的公网IP地址从63.63.63.2 转换到 10.1.1.2 (并从10.1.1.2 转换到 63.63.63.2)。 下面就是内网和公网间的NAT配置:

router (config)# ip nat inside source static tcp 10.1.1.2 25 63.63.63.2 25
router (config)# ip nat inside source static tcp 10.1.1.2 443 63.63.63.2 443
router (config)# ip nat inside source static tcp 10.1.1.2 80 63.63.63.2 80
router (config)# ip nat inside source static tcp 10.1.1.2 110 63.63.63.2 110

之所以用以上端口,是因为这些端口符合相应服务所对应的端口。比如25端口对应SMTP邮件发送,443端口对应安全的Web连接HTPS,80端口对应HTTP,110端口对应POP3收信。

以上配置是假定我们有一个固定的公网IP,如果没有,我们也可以使用路由器出口IP(本例中是Serial 0/0),配置方法如下:

router (config)# ip nat inside source static tcp 10.1.1.2 25 interface serial 0/0 25

如果你的公网IP地址是通过ISP的DHCP分配的 IP,也可以用上述配置方式。

另外,我们还需要将Web服务器和邮件服务器的域名注册到互联网上的DNS注册表中。这样当用户在浏览器中输入域名就可以访问到我们的网站了。比如用户输入www.mywebserver.com,就可以访问到63.63.63.2,然后我们的路由器会把这个地址转化为10.1.1.2 。这样Web服务器就会受到浏览请求并顺利进行响应。

除了配置静态NAT,也许你希望同时能学会如何配置动态NAT,这样你的内网PC就可以通过动态NAT(比如NAT overload或PAT)访问互联网了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章