路由器配置静态的NAT地址转换
如何配置NAT(网络地址转换),以便互联网上的计算机可以通过其Cisco路由器访问其内部Web和电子邮件服务器。这需要专用公共IP地址和专用私有IP地址之间的静态NAT转换。下面是解决这个问题的一些具体方法。
最近,大多数人使用NAT连接互联网。NAT将私有IP地址转换为公共IP地址,以便用户可以访问公共互联网。我们大多数人都使用这种形式的NAT,这被称为端口地址转换(PAT),思科称之为NAT过载。
要开始这项工作,让我们首先看看我们需要操作什么。请看下图:
这就是我们的目标:我们要在外网(也就是互联网)和内网(也就是私网)之间通过路由器配置一个静态的IP转换。
在具有基本Web界面的Linksys路由器上,这并不难做到。然而,在使用命令行界面(CLI)的路由器上,如果您不知道正确的命令或在哪里使用它们,您将面临困难。
在你开始之前,收集你需要的数据是一个好主意。以下是我们在本例中需要的信息:
路由器内部接口E0/0: IP 10.1.1.1
路由器外部接口s0/0:IP 63.63.63.1
Web/邮件服务器的私有IP地址:10.1.1.2
网站/邮件服务器的公共IP地址:63.63.63.2
要实现网络内部和网络/邮件服务器之间的数据通信,您可以采取两个重要措施:
1.NAT配置
2.防火墙配置
在本文中,作者将提供基本的NAT配置。但是,无论您的防火墙采用了什么配置,都要确保允许这些数据通信通过。
无论您使用的是基本访问控制列表(ACL)还是Cisco的IOS防火墙属性集(有关详细信息,请参阅:Cisco IOS防火墙功能集),请确保您了解Cisco IOS的操作顺序,以便您可以为适当的IP地址(公共或专用)配置防火墙。换句话说,是哪一个先发生的?是NAT转换还是防火墙过滤?例如,使用ACL时,在NAT转换之前会检查传入的ACL。因此,您需要牢牢记住带有公共IP地址的ACL。
现在我们知道了这些背景信息,让我们开始静态NAT配置之旅。对于我们示例,我们将从以下基本配置开始:
接口Serial0/0
ip地址63.63.63.1 255 . 255 . 255 . 0
IP NAT外部
接口以太网0/0
ip地址10 . 1 . 1 . 1 255 . 255 . 255 . 0
IP NAT内部
我们需要NAT转换来将Web/ email服务器的外部IP地址从63.63.63.2转换到10.1.1.2(从10.1.1.2转换到63 . 63 . 63 . 2)。以下是外部和内部NAT配置之间的缺失链路中的操作:
路由器(配置)#ip nat内部源静态TCP 10 . 1 . 1 . 2 25 63.63.63.2 25
路由器(配置)# ip nat内部源静态TCP 10 . 1 . 1 . 2 443 63.63.63.2 443
路由器(配置)#ip nat内部源静态TCP 10 . 1 . 1 . 2 80 63.63.63.2 80
路由器(配置)#ip nat内部源静态TCP 10 . 1 . 1 . 1 . 2 110 63.63.63.2 110
我们使用上面的端口号,因为它们适合于描述我们想要执行的操作。但是请记住,您的端口号可能不同。我关闭了SMTP端口25(发送邮件)、HTTPS端口443(安全Web)、HTTP端口80(Web通信)和POP3端口110(从邮件服务器接收邮件)。
此配置假设您有一组IP地址。如果没有,可以使用路由器上的外部IP地址(本例中为Serial 0/0)。您可以按如下方式进行配置:
路由器(配置)#ip nat内部源静态tcp 10.1.1.2 25接口serial 0/0 25
如果您有来自ISP的动态DHCP IP地址,您甚至可以使用此命令。
我们还需要在公共互联网DNS服务器中注册此电子邮件和Web服务器的IP地址。因此,当用户在其web浏览器中键入www.myWebserver.com时,浏览器会将其转换为63.63.63.2,路由器会将其转换为10.1.1.2。web服务器将接收该请求,并通过路由器给出响应,路由器会将其转换回公共IP地址。
除了配置静态NAT,您可能还会想到同时使用动态NAT。鉴于此,您的内部PC可以使用动态NAT来访问互联网(即NAT过载或PAT)。然而,这有点复杂。如果您感兴趣,请参考Cisco的同时配置静态和动态NAT文档。
位律师回复
0条评论