二、一步步教你配置NAT(華為3COM篇)
上一篇我們講解了如何使用WINDOWS操作系統建立NAT(一步步教你配置NAT服務器篇),成功的將內網計算機隱藏在NAT服務器之下,一方面提高了網絡的安全性,另一方面解決了公網絡IP地址不夠用的問題。我們還可以通過在路由器上做配置,讓路由器在路由數據包的同時起到NAT的作用。今天就將詳細配置指令教給大家。
1.網絡環境:
內網用戶IP地址為10.83.91.0/255.255.254.0,也就是說IP地址為兩個C類地址,涵蓋范圍為10.83.91.0到10.83.92.255。路由器使用的是華為公司出品的2621產品,該產品有兩個以太網口供我們使用。網口一連接外網,IP地址為公網地址;網口二連接內 網,IP地址為私網地址。
2.配置過程:
公司希望在路由器上配置NAT功能,讓內網中的用戶使用NAT訪問外網。2621路由器上已經配置了外網接口IP為61.51.3.103(公網IP地址),內網接口IP地址為10.83.91.254。NAT配置命令如下,筆者將一一做詳細注釋。
“acl 1”
命令解釋:設置一個訪問控制列表,列表號為1。
“rule normal permit source 10.83.91.254 0.0.1.255”
命令解釋:為訪問控制列表添加規則,容許10.83.91.254/255.255.254.0這個網段的所有地址通過。注意一點的是命令中使用的是0.0.1.255這樣的反向掩碼形式,實際上他代表子網掩碼為255.255.254.0。
“nat outbound 1 interface”
命令解釋:在NAT出口接口上進行設置,即外網接口,啟用NAT功能。容許NAT的主機為訪問控制列表1中規定的地址。
小提示:華為路由器啟用NAT功能時使用了一種稱作EASYIP的技術,可以讓內網IP映射為路由器的外網接口IP地址,從而讓多個內網IP地址對應一個公網IP,這個技術可以在數量上節省一個公網IP地址。
3.附屬功能:
有的公司可能有專門的WWW服務器或MAIL服務器,對于這些服務器來說不能使用NAT進行映射,因為NAT后如果沒有采用其他諸如端口映射的方法外網用戶是不能正常訪問WWW和MAIL服務器的。這時可以在路由器上使用nat server命令解決這個問題,對主機進行宣告。例如上面的公司如果其WWW服務器的IP地址內網是10.83.91.2,公網發布地址為61.51.3.104的話,可以使用如下命令宣告:“nat server global 61.51.3.104 any inside 10.83.91.2 any ip”。
總結:
筆者在公司的2621上配置了NAT后網絡運行非常穩定,不過配置時要注意以下幾點,一是設置訪問控制列表時一定要設置相應的規則,如果ACL是空或者規則采用permit any都會造成NAT的失效,因為路由器將不知道哪個接口為NAT外網接口,哪個是內網接口。