有的公司可能有專門的www伺服器或mail伺服器,對於這些伺服器來說不能使用nat進行對映,因為nat後如果沒有采用其他諸如埠對映的方法網路使用者是不能正常訪問www和mail伺服器的。這時可以在路由器上使用nat server命令解決這個問題,對主機進行宣告。例如上面的公司如果其www伺服器的ip地址內網是10.83.91.2,公網釋出地址為61.51.3.104的話,可以使用如下命令宣告:“nat server global 61.51.3.104 any inside 10.83.91.2 any ip”。
1、網路環境:
內網使用者ip地址為10.83.91.0/255.255.254.0,也就是說ip地址為兩個c類地址,涵蓋範圍為10.83.91.0到10.83.92.255。路由器使用的是華為公司出品的2621產品,該產品有兩個乙太網口供我們使用。網口一連線網路,ip地址為公網地址;網口二連線內網,ip地址為私網地址。
2、配置過程:
公司希望在路由器上配置nat功能,讓內網中的使用者使用nat訪問網路。2621路由器上已經配置了網路介面ip為61.51.3.103(公網ip地址),內網介面ip地址為10.83.91.254。nat配置命令如下,筆者將一一做詳細註釋。
“acl 1”
命令解釋:設定一個訪問控制列表,列表號為1。
“rule normal permit source 10.83.91.254 0.0.1.255”
命令解釋:為訪問控制列表新增規則,容許10.83.91.254/255.255.254.0這個網段的所有地址透過。注意一點的是命令中使用的是0.0.1.255這樣的反向掩碼形式,實際上他代表子網掩碼為255.255.254.0。
“nat outbound 1 interface”
命令解釋:在nat出口介面上進行設定,即網路介面,啟用nat功能。容許nat的主機為訪問控制列表1中規定的地址。
小提示:華為路由器啟用nat功能時使用了一種稱作easyip的技術,可以讓內網ip對映為路由器的網路介面ip地址,從而讓多個內網ip地址對應一個公網ip,這個技術可以在數量上節省一個公網ip地址。
3、附屬功能:
有的公司可能有專門的www伺服器或mail伺服器,對於這些伺服器來說不能使用nat進行對映,因為nat後如果沒有采用其他諸如埠對映的方法網路使用者是不能正常訪問www和mail伺服器的。這時可以在路由器上使用nat server命令解決這個問題,對主機進行宣告。例如上面的公司如果其www伺服器的ip地址內網是10.83.91.2,公網釋出地址為61.51.3.104的話,可以使用如下命令宣告:“nat server global 61.51.3.104 any inside 10.83.91.2 any ip”。
總結:筆者在公司的2621上配置了nat後網路執行非常穩定,不過配置時要注意以下幾點,一是設定訪問控制列表時一定要設定相應的規則,如果acl是空或者規則採用permit any都會造成nat的失效,因為路由器將不知道哪個介面為nat網路介面,哪個是內網介面