长距离以太网 (LRE) 和数字用户线 (xDSL) : 非对称数字用户线 (ADSL)

配置网络地址转换与静态端口地址转换以支持内部 Web 服务器

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

思科IOS�网络地址转换(NAT)为IP地址简单化和保存设计。它启用使用未注册的IP地址连接到互联网的私有IP互联网络。NAT给一起连接两网络的Cisco路由器作手术,并且转换在内部网络的私有(Inside local)地址对公共地址(外部本地),在数据包转发对另一网络前。作为此功能的部分,您只能配置NAT通告整个网络的一个地址对外界。这有效隐藏从世界的内部网络。所以,它提供附加安全性。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

其中一个NAT主要功能是静态端口地址转换(PAT),也指“超载”在Cisco IOS配置里。静态PAT设计允许本地和全局地址之间的一对一映射。对静态PAT的一般使用是允许互联网用户从公共网络访问位于专用网络的网络服务器。

为了获得关于NAT的更多信息,参考NAT支持页

此表显示IP地址空间联机三块私有网络的。欲了解更详细的信息参见leavingcisco.com RFC 1918关于这些特殊网络。

IP地址空间 中集集团
10.0.0.0 - 10.255.255.255(以 10/8 作为前缀) A 类
172.16.0.0 - 172.31.255.255(以 172.16/12 作为前缀) B 类
192.168.0.0 - 192.168.255.255(以 192.168/16 作为前缀) C 类

注意: 第一块是一A类网络号,而第二块是一套16个相邻的B类网络编号,并且第三块是一套256个相邻的C类网络编号。

在本例中,互联网服务提供商分配DSL用户仅单个IP地址, 171.68.1.1/24。指定的IP地址是注册的独立IP地址和呼叫内部全局地址。来自公共网络到达在私有网络的Web服务器的互联网用户用于此注册的IP地址通过整个私有网络浏览互联网并且。

专用LAN, 192.168.0.0/24,连接对NAT路由器的以太网接口。此专用LAN包含几PCs和Web服务器。NAT路由器配置翻译来自这些PCs到单个公网IP地址的未注册的IP地址(内部本地地址) (Inside Global - 171.68.1.1)浏览互联网。

IP地址192.168.0.5 (Web服务器)在不可能路由到互联网的专用地址空间的一个地址。公共互联网用户的唯一的可视IP地址能到达Web服务器是171.68.1.1。因此,对NAT路由器进行配置,从而执行IP地址171.68.1.1 端口80 (端口80用于浏览互联网页)和192.168.0.5端口80之间的一对一映射。此映射允许在公共侧的互联网用户访问内部网络服务器。

此网络拓扑和配置示例可以用于Cisco 827, 1417, SOHO77和1700/2600/3600 ADSL WIC。为例, Cisco 827用于本文。

配置

在此部分,您可以看到本文所描述功能的配置信息。

注意: 为了找到关于用于本文的命令的其他信息,参考IOS命令查找工具(仅限注册用户)。

网络图

本文档使用此网络设置。

/image/gif/paws/12905/827spat.gif

配置

Cisco 827
Current Configuration:
! 
version 12.1
service timestamps debug uptime
service timestamps log uptime
!
hostname 827
!
ip subnet-zero
no ip domain-lookup
!
bridge irb
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside

!--- This is the inside local IP address and it is a private IP address. 

!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto 
bridge-group 1
!
interface BVI1
ip address 171.68.1.1 255.255.255.240
ip nat outside

!--- This is the inside global IP address.
!--- This is your public IP address and it is provided to you by your ISP.

!
ip nat inside source list 1 interface BVI1 overload

!--- This statement makes the router perform PAT for all the 
!--- End Stations behind the Ethernet interface that  uses 
!--- private IP addresses defined in access list #1.

ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable 

!--- This statement performs the static address translation for the Web server. 
!--- With this statement, users  that try to reach 171.68.1.1 port 80 (www)  are 
!--- automatically redirected to 192.168.0.5 port 80 (www). In this case 
!--- it is the Web server.

ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.254

!--- IP address 171.68.1.254 is the next hop IP address, also
!--- called the default gateway.
!--- Your ISP can tell you what IP address to configure as the next hop address.

!
access-list 1 permit 192.168.0.0 0.0.0.255

!--- This access list defines the private network 
!--- that  is network address translated. 

bridge 1 protocol ieee 
bridge 1 route ip 
!
end

验证

从show ip nat translation命令输出,Inside local 是被分配到内部网络的网络服务器的配置的IP地址。注意192.168.0.7是专用地址空间中的一个地址,不能路由到互联网。内部全局是内部主机,Web服务器,显示在外部网络的IP地址。此地址是已知的那个人民谁设法访问从互联网的Web服务器。

因为看起来对网络内部,外部本地是外部主机的IP地址。它不一定是合法地址。但是,它从在里面可以路由的地址空间分配。

外部全局地址是IP地址分配到在外部网络的一台主机由主机的所有者。从能够全局路由的地址或网络空间,分配地址。

注意地址171.68.1.1用端口号80 (HTTP)翻译到192.168.0.5端口80,反之亦然。所以,即使网络服务器在一个专用网络与专用IP地址,互联网用户能访问网络服务器。

为了获得关于如何的更多信息排除故障NAT,参考正在验证的NAT操作和基本NAT故障排除

827#
827#show ip nat translation
Pro Inside global      Inside local      Outside local       Outside global
tcp 171.68.1.1:80      192.168.0.5:80    ---                 ---
tcp 171.68.1.1:80      192.168.0.5:80    198.133.219.1:11000 198.133.219.1:11000
827#

故障排除

为了排除故障地址转换,您能发出term mondebug ip nat被选派的on命令路由器发现地址是否正确地翻译。外部用户的可视IP地址能到达Web服务器是171.68.1.1。例如,设法到达171.68.1.1端口80从互联网公共侧的用户(www)自动地重定向到192.168.0.5端口80 (www),在这种情况下是Web服务器。

827#term mon
827#debug ip nat detailed
IP NAT detailed debugging is on
827#
03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1
03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80 
03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0]
<... snipped ...>

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 12905