前些天,在網(wǎng)上看到些關(guān)于單口nat的配置,發(fā)現(xiàn)此配置全部出于一人之手,而且注釋的很不明白,cisco官方站上也沒有說的很明白,我現(xiàn)在給大家詳細(xì)解釋一下他的原理!




以下對(duì)照此帖講解,可能不太方便,見諒!



首先,什么是單口nat,各位,不知道你們遇到過這種情況沒有,就是有一條adsl線路,但是每臺(tái)機(jī)器只有一塊網(wǎng)卡,想實(shí)現(xiàn)所有機(jī)器共享上網(wǎng),你們說怎么辦呢?^_^,可以花5塊錢再買塊網(wǎng)卡,這當(dāng)然簡(jiǎn)單了,但是我們做技術(shù)的就要想想其他方法,呵呵呵.挑戰(zhàn)一下自己.單口nat說白了就是路由上就一個(gè)口,還必須要做nat以便訪問外網(wǎng),這和傳統(tǒng)的兩口nat,一個(gè)inside,一個(gè)
outside的方式不一樣了,一個(gè)口,一條鏈路,必須承載兩個(gè)網(wǎng)絡(luò)的信息,一個(gè)是內(nèi)網(wǎng),一個(gè)是公網(wǎng).所以,要求這個(gè)口設(shè)兩個(gè)地址,一個(gè)與內(nèi)網(wǎng)交互,一個(gè)與isp交互.實(shí)際的拓?fù)涫沁@樣的:isp過來的線路直接接入交換機(jī),而不是路由器,路由器也接入交換機(jī)的一個(gè)口,它的作用只是做nat,把包的原地址和回包的目的地址重新封裝一下,如圖所示(見原帖),內(nèi)網(wǎng)主機(jī)如果要向外網(wǎng)主機(jī)發(fā)包,這些包到了路由的以太口后,經(jīng)過一系列的轉(zhuǎn)換,最終又從以太口出來,到了isp端.


下面詳細(xì)分析一個(gè)包的來去流程,這樣大家就都明白了.

內(nèi)網(wǎng)一臺(tái)主機(jī)(172.16.1.1)要向公網(wǎng)一個(gè)地址發(fā)包,他當(dāng)然是先轉(zhuǎn)發(fā)給網(wǎng)關(guān)了,所以網(wǎng)關(guān)收到了包,按照順序,路由器先檢查策略路由項(xiàng),然后才走正常路由,現(xiàn)在路由發(fā)現(xiàn),這個(gè)包匹配了access-list 101 permit ip 172.16.1.0 0.0.0.255 any這一句,所以他把這個(gè)包路由到loopback口.說明一下:loopback之所以叫回環(huán)接口,就是因?yàn)?到了這個(gè)口的包會(huì)從這個(gè)口出去,立即又回來了,哈哈哈,可能不好理解,因?yàn)檫@是個(gè)虛擬口,路由器怎么使喚他都行,所以有這個(gè)功能,在這里,包從這個(gè)口出去的時(shí)候,由于包的來源是以太口(nat inside),出口是loopback口(nat ouside),所以在這個(gè)回環(huán)口包做了一次nat,源地址被變成池中地址(ip nat pool pool1 192.168.0.2 192.168.0.3)的一個(gè),好,這個(gè)nat后的包從環(huán)口出去,轉(zhuǎn)了轉(zhuǎn)(俺也實(shí)在不知道他到哪兒去轉(zhuǎn)去了),又準(zhǔn)備從loopback口再回到路由內(nèi)部,但是這一次,路由對(duì)包不作任何改變,因?yàn)閚at outside,ip nat inside "source"......只對(duì)從路由內(nèi)部出去的包做nat.好了,現(xiàn)在包的源地址是,比如192.168.0.2,目的地址還是公網(wǎng)的那個(gè)你要訪問的地址,這個(gè)包下一步還要接受路由的檢查,由于loopback口沒有配置ip policy route-map,所以這次只匹配常規(guī)路由,好,看看原帖…………,除了直連路由外,就是缺省路由了(ip route 0.0.0.0 0.0.0.0 192.168.0.6 ),所以他終于把這個(gè)包成功路由到了isp.(好累啊).


再說說回來的包,外網(wǎng)要給本地的對(duì)外地址(192.168.0.2)回應(yīng)了,本地路由的以太口通過交換機(jī)收到了isp發(fā)過來的包,由于這個(gè)包對(duì)于路由器來說是從內(nèi)向外走得(路由并不知道其實(shí)以太連接的是isp),所以要先路由,后nat,好,路由器同樣先匹配策略路由,看看原帖.................,他匹配了這一句:access-list 101 permit ip any 192.168.0.0 0.0.0.7,因?yàn)樵刂肥枪W(wǎng)地址,也就是"any",所以他路由到loopback口,在環(huán)口,這個(gè)包又將要被nat一次了,但是,請(qǐng)注意,這里,這個(gè)包不符合nat的要求,請(qǐng)看看:ip nat inside source list 10 pool pool1 overload ,access-list 10 permit 172.16.1.0 0.0.0.255,由于這個(gè)包的原地址并不在access-list 10所規(guī)定的范圍內(nèi),所以包沒有被nat,這也是這個(gè)技術(shù)最巧妙的地方,這樣包保留了原地址的真實(shí)性!! 好,這個(gè)包又從環(huán)口又溜達(dá)回來了,注意::!!!由于路由器已經(jīng)做過nat動(dòng)作了,所以本身保存了一張nat表,由于包從loopback
進(jìn)來的,所以對(duì)于路由器來說是從外流向內(nèi),所以路由器要先nat,后路由,所以他要匹配nat表了,好,他檢查到目的地址192.168.0.2實(shí)際上對(duì)應(yīng)著內(nèi)部主機(jī)172.16.1.1,所以他把包的目的地址nat成172.16.1.1,好, 現(xiàn)在接受路由匹配(好麻煩啊!呵呵),看看...................,由于從loopback口進(jìn)入不用匹配策略路由,所以查常規(guī)路由,發(fā)現(xiàn)目的地址172.16.1.1存在于直連路由中,所以最終發(fā)到了以太口,最終到達(dá)目的主機(jī):172.16.1.1.



對(duì)于adsl單網(wǎng)卡代理,也是同樣的道理,只不過路由器還成了主機(jī)而已,而且裝了些代理軟件,比如ccproxy,這些軟件的功能就是和上述的路由器一樣,實(shí)現(xiàn)單口nat.單接口NAT配置實(shí)例 精典，轉(zhuǎn)貼大家測(cè)試下

---

單接口NAT配置實(shí)例





條件：

1、IOS在12.1(5)T9及以上版本。更低版本未做驗(yàn)證。

2、至少具有兩個(gè)或多個(gè)ISP提供的的global地址。


實(shí)現(xiàn)思路：


1、將ISP提供的地址作為secondary地址配置在以太接口上。該以太接口同時(shí)作為inside接口。作為內(nèi)部主機(jī)的網(wǎng)關(guān)。

2、 創(chuàng)建一個(gè)loopback接口做為nat的outside.

3、使用route-map，強(qiáng)行將內(nèi)部網(wǎng)出去的數(shù)據(jù)包及從外部返回的對(duì)應(yīng)數(shù)據(jù)包路由到loopback接口。

實(shí)例：


拓樸如下圖所示：




配置如下：

interface Loopback0

　　ip address 172.16.2.254 255.255.255.252

　　ip nat outside

!

//創(chuàng)建一個(gè)loopback接口，并作為NAT outside接口。

interface Ethernet0

　　ip address 192.168.0.1 255.255.255.248 secondary

　　ip address 172.16.1.254 255.255.255.0

　　ip Nat inside

　　ip policy route-map rm-nat

!

//在E0接口上配置172.16.1.254做為IP，同時(shí)將ISP提供的地址做為Secondary地址。e0做為inside接口。

在本接口上應(yīng)用rm-nat這個(gè)route-map

ip nat pool pool1 192.168.0.2 192.168.0.3 prefix-length 29

ip nat inside source list 10 pool pool1 overload

//常規(guī)NAT配置

ip classless

ip route 0.0.0.0 0.0.0.0 192.168.0.6

ip route 172.16.1.0 255.255.255.0 Ethernet0

access-list 10 permit 172.16.1.0 0.0.0.255

//配置路由及NAT所需要的access-list

access-list 101 permit ip 172.16.1.0 0.0.0.255 any

access-list 101 permit ip any 192.168.0.0 0.0.0.7

//配置route-map所需要的acl。第一句匹配出去的包，第二句匹配返回的包。

route-map rm-nat permit 10

　　match ip address 101

　　set ip next-hop 172.16.2.254

//配置所需要的route-map,凡是滿足access-list 101條件的包均被轉(zhuǎn)發(fā)到172.16.2.254(loopback0接口)。 文章錄入：csh    責(zé)任編輯：csh 

最新評(píng)論