软件版本:1.3以上
路由器:NetHammerM/G系列路由器
二、 配置事例
1、 共享一公网IP
如图所示,某公司内部网络通过一个公网IP访问INTERNET
具体配置:
Router1(config-if-bri1/0)# ip address negotiated
Router1(config-if-bri1/0)# ip nat outside
Router1(config-if-bri1/0)# encapsulation ppp
Router1(config-if-bri1/0)# ppp pap sent-username 169 password 169
Router1(config-if-bri1/0)# ppp multilink
Router1(config-if-bri1/0)# dialer load-threshold 60
Router1(config-if-bri1/0)# dialer in-band
Router1(config-if-bri1/0)# dialer-group 1
Router1(config-if-bri1/0)# dialer string 169
Router1(config-if-bri1/0)# exit
!
Router1(config)# dialer-list 1 protocol ip permit
Router1(config)# access-list 1 permit any
Router1(config)# ip route 0.0.0.0/0 interface bri2/0
Router1(config)# ip nat on
Router1(config)# ip nat inside source list 1 interface bri 2/0
!
Router1(config)# interface eth 0/0
Router1(config-if-eth0/0)# ip address 192.168.0.1/24
Router1(config-if-eth0/0)# ip nat inside
2、负载均衡
如图所示路由器上有两个接口:以太网接口E0/0与内部网相连,使用私有地址192.168.0.1;以太网接口E0/1与因特网相连,地址为61.20.12.4;使用三台PC服务器来提供WEB服务,它们使用私有地址。
具体配置:
Router(config)# ip nat pool websvrs
Router(config)# type rotary
Router(config-ipnat-pool)# address 192.168.0.2 192.168.0.4
Router(config)# access-list 1 permit 61.20.12.4/32
Router(config)# ip nat inside destination list 1 pool websvrs
Router(config)# interface eth0/0
Router(config-if-eth0/0)# ip nat inside
Router(config)# interface eth0/1
Router(config-if-eth0/1)# ip nat outside
Router(config)# ip nat on
注:所有由外网发往61.20.12.4的请求都会被轮流转发给地址池中的三台服务器处理。
三、NAT的监控与维护
如图所示路由器上有两个接口:以太网接口E0/0与内部网相连,使用私有地址192.168.0.1;以太网接口E0/1与因特网相连,地址为61.20.12.4;使用三台PC服务器来提供WEB服务,它们使用私有地址。
可以用show ip nat statistics命令显示关于NAT的统计信息,输出如下:
Total active translations: 75 当前的NAT转换的总数
Outside interfaces: 当前设置的外部接口
dialer0
Inside interfaces: 当前设置的内部接口
eth0/0
可以用show ip nat translations命令显示当前的NAT转换表,输出如下:
Pro Inside global Inside local Outside local Outside global
6 61.149.32.147:1514 192.168.0.33:1514 202.107.35.22:5555 202.107.35.22:5555
6 61.149.32.147:1222 192.168.0.39:1222 202.96.137.34:80 202.96.137.34:80
6 61.149.32.147:1090 192.168.0.36:1090 64.4.12.51:1863 64.4.12.51:1863
6 61.149.32.147:2097 192.168.0.55:2097 216.136.171.200:80 216.136.171.200:80
6 61.149.32.147:1225 192.168.0.39:1225 x 3d.aa.97.ec:43b x 3d.aa.97.ec:43b
6 61.149.32.147:2098 192.168.0.55:2098 216.136.171.200:80 216.136.171.200:80
6 61.149.32.147:1907 192.168.0.42:1907 64.4.12.84:1863 64. 4.12.84:1863
Total translation: 19 当前的NAT转换表项数
第一列显示连接的协议号;
第二列显示连接的内部全局地址;
第三列显示连接的内部本地地址;
第四列显示连接的外部本地地址;
第五列显示连接的外部全局地址;
若连接的协议包含端口,则会在地址中显示端口,若地址太长,则使用地址的十六进制表示,并在该地址前添加一个x;
可用debug ip nat命令查看地址转换的详细信息,输出如下:
NAT*: 0x1f2c34 inside initiated connection --- proto 1 (192.168.0.234.) -> (202.112.58.200) pool (61.34.2.42 – 61.34.2.42)
表示将对内部主机发出的一个icmp进行地址转换处理,可供使用的内部全局地址是61.34.2.42;
NAT*: 0x1f2c34 do snat --- proto 1 (192.168.0.234) >> (61.34.2.42)
表示改变了报文的源地址,从内部本地地址192.168.0.234转换成内部全局地址61.34.2.42;
NAT*: 0x1f2c34 closed
表示连接已关闭。
