|
 |
|
 |
 首页 >> 网络产品 >> 企业组网指导 |
|
|
| 服务器与路由器的NAT技术应用 [企业组网指导] |
| 黑客基地 |
| 2005-4-21 12:11:00 文/ |
|
经常听身边的网管朋友谈论NAT技术,那么什么时候用到NAT技术呢?主要有两方面,第一是公网IP地址不够用,当企业只租用到了数量有限的公网IP时,不可能为内部每台计算机都分配一个公网IP,如何解决IP地址不够用的问题呢?
这时就可以采用NAT技术,多个内部计算机在访问INTERNET时使用同一个公网IP地址;第二是当公司希望对内部计算机进行有效的安全保护时可以采用NAT技术,内部网络中的所有计算机上网时受到路由器或服务器(防火墙)的保护,黑客与病毒的攻击被阻挡在网络出口设备上,大大提高了内部计算机的安全性。
一、NAT服务器篇:
接下来笔者将带领大家一步步在Windows 2003 Server服务器上配置并启用NAT功能。
1.具体网络环境:
电信的ADSL,交换机一个,服务器一台,客户机若干,网线已经做好,所有机器上用的都是windows2000或是XP。
2.配置服务器NAT地址转换
第一步:启动“路由和远程访问”,通过“开始->程序->管理工具->路由和远程访问”,默认状态下,将本地计算机列出为服务器。如果要添加其他服务器,请在控制台目录树中,右键单击“服务器状态”,然后单击“添加服务器”。
第二步:右击要启用的服务器(这里是本地服务器),然后单击“配置并启用路由和远程访问”,启动配置向导。
第三步:出现欢迎页面后单击下一步。出现选择服务器角色设置页面,选择“网络地址转换(NAT)”,接着单击下一步。
第四步:在Internet连接页面中选择“使用Internet连接”,在下面的Internet列表中选项“外网连接”,我们将让客户机通过这条连接访问Internet,界面如下图。单击下一步继续。
小提示:这一点非常重要,一定不能把内网与外网的接口选择错误,否则配置的NAT就无法生效,因此我们在上面将本地连接的名称进行了修改,这里就显得一目了然了。
接下来将出现是否启用基本名称和地址启用服务对话框,如果你没有DHCP和DNS服务器就可以选择启用,单击下一步。完成向导后系统将启动路由和远程访问功能并完成初始化工作。
配置静态路由,通过路由和远程访问窗口的“服务器->IP路由选择->静态路由”。右击“静态路由”,选择“新建静态路由”。弹出“静态路由”配置对话框,在接口处选择“外网连接”,目标与子网掩码均填写“0.0.0.0”,跃点数填写“1”。“确定”退出。
小提示:当目标与子网掩码都填写0.0.0.0时候表示这条静态路由是默认路由,任何到外网的数据包都通过外网接口传输。
3.测试配置结果
首先用随便一个客户机Ping NAT服务器本地地址,即ping 192.168.1.254。接着用客户机Ping NAT服务器本地地址对端地址,即通过ADSL动态获取的IP地址。(这个地址是公网地址)最后用服务器Ping客户机,如:ping 192.168.1.2。
当上述PING均成功连通的话说明我们的NAT设置成功,内部网络的计算机都已经被服务器所保护,而且当他们与INTERNET上的数据进行传输时使用的IP地址也是服务器通过ADSL拨号获得的IP地址。
总结:
NAT得到了广大中小企业的青睐,一台服务器可以轻松的配置成NAT服务器,当然前提是必须安装两个网卡。配置了NAT的网络在安全性和可靠性方面大大提高。不过NAT也存在着缺点,那就是在一定程度上由于数据包要经过一个地址转换的过程,所以传输速度上 会受到影响。
二、一步步教你配置NAT(华为3COM篇)
上一篇我们讲解了如何使用WINDOWS操作系统建立NAT(一步步教你配置NAT服务器篇),成功的将内网计算机隐藏在NAT服务器之下,一方面提高了网络的安全性,另一方面解决了公网络IP地址不够用的问题。我们还可以通过在路由器上做配置,让路由器在路由数据包的同时起到NAT的作用。今天就将详细配置指令教给大家。
1.网络环境:
内网用户IP地址为10.83.91.0/255.255.254.0,也就是说IP地址为两个C类地址,涵盖范围为10.83.91.0到10.83.92.255。路由器使用的是华为公司出品的2621产品,该产品有两个以太网口供我们使用。网口一连接外网,IP地址为公网地址;网口二连接内 网,IP地址为私网地址。
2.配置过程:
公司希望在路由器上配置NAT功能,让内网中的用户使用NAT访问外网。2621路由器上已经配置了外网接口IP为61.51.3.103(公网IP地址),内网接口IP地址为10.83.91.254。NAT配置命令如下,笔者将一一做详细注释。
“acl 1”
命令解释:设置一个访问控制列表,列表号为1。
“rule normal permit source 10.83.91.254 0.0.1.255”
命令解释:为访问控制列表添加规则,容许10.83.91.254/255.255.254.0这个网段的所有地址通过。注意一点的是命令中使用的是0.0.1.255这样的反向掩码形式,实际上他代表子网掩码为255.255.254.0。
“nat outbound 1 interface”
命令解释:在NAT出口接口上进行设置,即外网接口,启用NAT功能。容许NAT的主机为访问控制列表1中规定的地址。
小提示:华为路由器启用NAT功能时使用了一种称作EASYIP的技术,可以让内网IP映射为路由器的外网接口IP地址,从而让多个内网IP地址对应一个公网IP,这个技术可以在数量上节省一个公网IP地址。
3.附属功能:
有的公司可能有专门的WWW服务器或MAIL服务器,对于这些服务器来说不能使用NAT进行映射,因为NAT后如果没有采用其他诸如端口映射的方法外网用户是不能正常访问WWW和MAIL服务器的。这时可以在路由器上使用nat server命令解决这个问题,对主机进行宣告。例如上面的公司如果其WWW服务器的IP地址内网是10.83.91.2,公网发布地址为61.51.3.104的话,可以使用如下命令宣告:“nat server global 61.51.3.104 any inside 10.83.91.2 any ip”。
总结:
笔者在公司的2621上配置了NAT后网络运行非常稳定,不过配置时要注意以下几点,一是设置访问控制列表时一定要设置相应的规则,如果ACL是空或者规则采用permit any都会造成NAT的失效,因为路由器将不知道哪个接口为NAT外网接口,哪个是内网接口。
三、一步步教你配置NAT(思科路由器篇)
上篇我们介绍了如何在华为路由器2621上配置NAT,今天给大家简单介绍下在CISCO路由器上设置NAT功能的命令,理论方面是一样的,只是在具体命令上有所区别。
1.网络环境:
内网用户IP地址为10.83.91.0/255.255.255.0,路由器使用的是CISCO公司出品的2600产品,该产品有两个以太网口供我们使用。网口一连接外网,IP地址为公网地址;网口二连接内网,IP地址为私网地址。
2.配置过程:
公司希望在路由器上配置NAT功能,让内网中的用户使用NAT访问外网。2600系列路由器上已经配置了外网接口IP为61.51.3.103(公网IP地址),内网接口IP地址为10.83.91.254。NAT配置命令如下,笔者将一一做详细注释。
ip nat pool xxzx 61.51.3.103 61.51.3.103 netmask 255.255.255.252
定义一个外网地址池名为xxzx,头一个IP为地址池起始地址,后一个IP为地址池的终止地址。如果公网IP地址不够用的话,可以都用同一个IP地址。NETMASK后是子网掩码。
access-list 1 permit 10.83.91.0 0.0.1.255
定义容许NAT的网段,同样采用反向掩码进行描述,0.0.1.255代表的子网掩码255.255.255.0。
ip nat inside source list 1 pool xxzx overload
启用NAT,容许NAT的地址为ACL 1中定义的,而转换后使用的IP地址为XXZX地址池中定义的,最后的overload表示所有内网计算机都使用同一个外网IP地址,多台机器复用一个IP。然后进入内网接口输入ip nat inside进入外网接口输入ip nat outside命令。经过上面五步命令就完成了全部的NAT配置工作。
3.附属功能:
有的公司可能有专门的WWW服务器或MAIL服务器,对于这些服务器来说不能使用NAT进行映射,因为NAT后如果没有采用其他诸如端口映射的方法外网用户是不能正常访问WWW和MAIL服务器的。这时可以在路由器上对主机进行宣告。例如上面的公司如果其 WWW服务器的IP地址内网是10.83.91.2,公网发布地址为61.51.3.104的话,可以使用如下命令宣告:ip nat inside source static 61.51.3.104 10.83.91.2
·IT产品报价大全 |
|
|
|
|
|
|
|
 相关文章 |
|
|
热点推荐 |
|
|
|
|
|
 |
|
 |
|
|
