CISCO NAT 经典配置合集(共5篇)

liwya

1 解决方案1　　interface ethernet0
　　ip address 10.1.1.1 255.255.255.0
　　ip nat inside
　　!
　　interface serial0
　　ip address address 198.50.1.1 255.255.255.252
　　ip nat outside
　　!
　　ip access-list 1 permit 10.0.0.0 0.255.255.555
　　!
　　ip nat pool internet 171.100.1.1 171.100.1.254 netmask 255.255.255.0
　　!
　　ip nat inside source list 1 pool internet
　　!
　　ip route 171.100.1.0 255.255.255.0 null0
　　!
　　router ospf 1
　　network 198.50.1.0 0.0.0.255 area 0
　　redistribute static
　　2 解决方案2
　　interface loopback 0
　　ip address 171.100.1.1 255.255.255.0
　　ip ospf network point-to-point
　　!
　　interface ethernet0
　　ip address 10.1.1.1 255.255.255.0
　　ip nat inside
　　!
　　interface serial0
　　ip address address 198.50.1.1 255.255.255.252
　　ip nat outside
　　!
　　ip access-list 1 permit 10.0.0.0 0.255.255.555
　　!
　　ip nat pool internet 171.100.1.1 171.100.1.254 netmask 255.255.255.0
　　!
　　ip nat inside source list 1 pool internet
　　!
　　ip route 171.100.1.0 255.255.255.0 null0
　　!
　　router ospf 1
　　network 198.50.1.0 0.0.0.255 area 0
　　network 171.100.1.0 0.0.0.255 area 0
　　3 分析
　　在解决方案1中，先定义了用于NAT的接口，并通过将合适的命令放在每个接口下面，来指定该接口是一个NAT内部或外部接口。在每个接口下面定义了适当的NAT命令之后，再定义内部全局地址所在的NAT池。定义全局地址的起始IP地址为171.100.1.1，结束IP地址为171.100.1.254。我们使用除.1和.2地址之外的所有主机地址，是因为这些主机地址都不用于路由器接口。通过在NAT池中使用与用户路由器接口所用子网不同的子网，可以获得一些主机地址。但这又引入了一个新的问题。
　　在前一个示例中，ISP路由器直接连接到分配给NAT池的子网上。这种情况下，ISP路由器只发出一个ARP请求，以请求NAT池中的单个NAT地址，而用户路由器则使用自己的MAC地址来响应，此时工作正常。但是，上游的ISP路由器并不直接连接到NAT地址池子网171.100.1.0/24，所以必须告诉它如何通过路由协议或静态路由的方法到达NAT池所在的子网。在解决方案1中，我们启用了OSPF并且为171.100.1.0/24重新分配一个静态路由到OSPF中。上游的ISP路由器会接收到该路由，并且将所有目的地址为NAT池中地址的报文转发到我们的路由器中。
　　可选地，ISP可以在其路由器上安装一个静态路由，用来将所有171.100.1.0/24网络的报文指向我们的路由器。但是，我们希望：当NAT池地址不是直接从相连的子网上取出时，能够显示出路由信息的传播路径。注意，我们将整个171.10.10/24子网的NAT地址表置为null0。由于我们要指定NAT地址表中的某些表项，而非整个171.100.1.0/24子网，这时路由器并不丢弃这些报文，而是将它们转发到NAT表中所定义的内部主机上。
　　在解决方案2中，我们使用了另一种方法来通知ISP路由器有关NAT池的信息。这种方法是创建一个闭环（loopback）接口，并给其分配一个NAT池中的IP地址。通过将network171.100.1.00.0.0.255 area 0语句包含在我们的OSPF路由进程下面，可以将该闭环地址作为OSPF路由的一部分。注意，我们将.1地址从NAT池中删除，而使用主机地址.2作为NAT池的起始地址，这样就减少了NAT池地址和用于闭环接口上的IP地址重叠的可能性。另外，我们在闭环接口下面使用接口命令ip ospf ntwork point-to-point。一般地，OSPF将闭环接口看成是一个OSPF桩（stub）网络，并且将接口的32位表项作为路由，而非整个子网。在本例中，OSPF进程会发送172.100.1.1/32而非表172.100.1.0/24。在这种情况下，由于需要将整个171.100.1.0/24子网信息传送给上游的ISP路由器，所以该地址转换过程不能工作。OSPF接口命令告诉OSPF传送该接口的路由，就像该网络是点到点网络一样，而不像是一个桩（stub）网络。这意味着它将通过OSPF传送整个171.100.1.0/24子网信息（ip ospf network point-to-point命令在IOS版本11.3或更高版本中使用），这两种方法都能正常工作，但使用哪一种则是读者的偏好问题了。
　　注意：我们知道一个公司通常会在其路由器和ISP路由器之间运行边界网关协议（Border Gateway Protocol, BGP）。在本例中，我们选择了OSPF路由协议，目的是为了分析ip ospf network point-to-point命令。
　　CISCO NAT 经典配置合集(四)