1、NAT 的双线接入NAT 的双线接入。首先来看一下拓扑图:从图上可以看出:公司的出口路由器 NAT-Router 将 LAN 和两个 Internet 服务提供商 ISP-A和 ISP-B 连接。在 LAN 中有一台 WEB 服务器需要发布到 Internet 上,供外网访问。NAT-Router 上 S0/0 的接口地址是 200.200.200.1/24,可用于 NAT 的地址是 200.200.200.10-12/24,对端 ISP-A 的地址是 200.200.200.2/24NAT-Router 上 S0/1 的接口地址是 201.201.201.1/24,可用于 NAT 的地址是
2、201.201.201.10-12/24,对端 ISP-A 的地址是 201.201.201.2/24NAT-Router 内网口的地址是 192.168.1.1/24.目前的要求是:公司内部服务器需要分别转换成 ISP-A 地址和 ISP-B 地址,以便不同的 ISP 用户更快地访问服务器,并且内部访问 Internet 时,使用访问网站所在 ISP 的 NAT 地址进行地址转化。现在开始具体的配置和分析:第一步:配置接口地址NAT-Router(config)#int s0/0NAT-Router(config-if)#ip add 200.200.200.1 255.255.255.0N
3、AT-Router(config-if)#no shNAT-Router(config)#int s0/1NAT-Router(config-if)#ip add 201.201.201.1 255.255.255.0NAT-Router(config-if)#no shNAT-Router(config-if)#int f0/0NAT-Router(config-if)#ip add 192.168.1.1 255.255.255.0NAT-Router(config-if)#no sh第二步:配置 PAT,实现内网访问外网1. 定义访问控制列表,由于需要根据访问的 IP 地址的不同来选择进
4、行转换的 NAT 地址,所以需要使用扩展访问控制列表,控制 PAT 转换使用的地址池。NAT-Router(config)#access-list 100 permit ip any 200.200.210.0 0.0.0.255NAT-Router(config)#access-list 101 deny ip any 200.200.210.0 0.0.0.255NAT-Router(config)#access-list 101 permit ip any any说明:Access-list 100 定义了到达 ISP-A 所有网段的 ACL,此处以 200.200.210.0 代表 I
5、SP-A 所有网段.access-list 101 定义到达 ISP-A 所有网段以外的地址的 ACL。也就是说只有目标是 ISP-A 的数据包才会去往 ISP-A。2. 定义合法的地址池,分别定义 ISP-A、ISP-B 两个合法的地址池。NAT-Router(config)#ip nat pool ISP-A 200.200.200.10 200.200.200.12 netmask 255.255.255.0NAT-Router(config)#ip nat pool ISP-B 201.201.201.10 201.201.201.12 netmask 255.255.255.03.
6、配置 PAT 转换NAT-Router(config)#ip nat inside source list 100 pool ISP-A overloadNAT-Router(config)#ip nat inside source list 101 pool ISP-B overload说明:这样配置之后,满足 access-list 100 的数据包选择 ISP-A 的地址进行转换,满足 access-list 101 的数据包选择 ISP-B 的 NAT 地址池进行转换,转换后,数据包的源地址和目的地址便属于同一个 ISP,这样的话大大加快了访问的速度。(注意:参数 overload 不
7、要忘了配置)第三步:配置静态 NAT,实现外网访问内网服务器NAT-Router(config)#ip nat inside source static tcp 192.168.1.2 80 200.200.200.1 80 extendableNAT-Router(config)#ip nat inside source static tcp 192.168.1.2 80 201.201.201.1 80 extendable说明:此处 192.168.1.2 是内网 WEB 服务器的地址,200.200.200.1 是外接口 s0/0 上 ISP-A 的地址, 201.201.201.1
8、是外接口 s0/1 上 ISP-B 的地址。(注意:参数 extendable 不可忽略,因为此处是将同一个内部局部地址转换到多个内部全局地址。)第四步:在内部和外部接口上启用 NATNAT-Router(config)#int s0/0NAT-Router(config-if)#ip nat outsideNAT-Router(config-if)#int s0/1NAT-Router(config-if)#ip nat outsideNAT-Router(config-if)#int f1/0NAT-Router(config-if)#ip nat insid(注意:此处是两个外接口)第五
9、步:配置静态路由,实现对内网访问外网路由的控制NAT-Router(config)#ip route 200.200.210.0 255.255.255.0 200.200.200.2NAT-Router(config)#ip route 0.0.0.0 0.0.0.0 201.201.201.2 NAT-Router(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.2 120(注意:通过路由选择原则,将 ISP-A 的目的地址配置静态路由并且下一跳指向 ISP 的路由器,再配置一条默认路由并且下一跳指向 ISP-B 的路由器,最后再配置一条管理距离为 120 的默认路由,用以对外出路由备份。)好了,现在我们可以看到设置好的结果,现在就实现了 NAT 的双线接入。现在公司内部的服务器被转换成了两个不同的 ISP 地址,不同的 ISP 用户可以更加快速便捷的访问服务器。公司内部访问 Internet 时,将会使用目的网站所在的 ISP 的 NAT 地址池进行地址转化。大大加快了员工访问外网的速度。
