NAT 的实现方式如下图:
2 种方式配置 NAT:
WEB 界面:配置过家用的 D -LINK,TP-LINK,磊科类似这样的家用路由器的朋友就一定不会陌生。
命令行界面:凡是配置过思科,华为,H3C 这样的设备的朋友也很熟悉,也就是俗称的用“敲命令”这样的方式去配置。
通过以下拓扑结构图,具体说明:
这个拓扑图,典型的单核心企业网结构图。
组网背景:
1. 单位员工人数(需要上网人数 60 人)
2. 用 VLAN 划分成 3 个网段
192.168.1.X(网关地址 192.168.1.1)
192.168.2.X(网关地址 192.168.2.1)
192.168.3.X(网关地址 192.168.3.1)
这个 3 个网段的 PC 机都需要上外网
3. 从 ISP 申请了 20M 的互联网光纤接入(带固定的公网 IP 地址一个)
比如 ISP 提供的 IP 地址如下:
IP:7.7.7.99
掩码:255.255.255.0
网关:7.7.7.33
4.ISP 提供光电转换器,已经做好了熔纤(也就是已经把光纤口转化成 RJ45 网线接口)
这个时候,应该怎么配置网络设备,让整个单位的 PC 都上外网?(文章重点)
方法如下:
1. 在路由器(其他三层设备)的 WAN 接口(连接互联网网线的接口)首先配置从 ISP 得到的公网 IP 地址
2. 如果是用命令行配置,则定义一个 NAT 地址池,就是 ip natpool, 然后再地址池里面填入在 WAN 接口的,ISP 给你的 IP 地址和子网掩码,这里不用填写网关
3. 如果是思科设备,在做 NAT 时需要在接口上启用 overload 命令,如果是华为设备,需要启用 nat address-group 命令
4. 定义一个 ACL(这里的意思是你想让单位内部的哪些 IP 地址段进行 NAT 转化)
比如你所在的单位内部用 VLAN 化成了 3 个网段
192.168.1.X 192.168.2.X 192.168.3.X 你如果是需要这 3 个网段全部都能上互联网,那么就需要定义这个 3 个全部的网段
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.3.0 0.0.0.255
不定义的网段将无法上网
5. 最后在路由器(其他三层设备)的 WAN 接口与 LAN 接口用 ip nat outside(WAN 接口)和 ip nat inside(LAN 接口)命令应用这个 ACL 就可以了(思科设备)
注意事项:
这里需要注意 2 个事情,在做 NAT 时,需要配置 2 条默认路由,和一条返程路由。(简称“2 默,1 返”缺一不可!!!)
第一个解释“2 默”就是需要配置 2 条默认路由,第一条是在核心的三层交换机上配置。
比如:路由器的 LAN 口地址是 1.1.1.2,那么就需要配成:ip route 0.0.0.0 0.0.0.0 1.1.1.2 (这个意思是把去外网的路由转发全丢给 1.1.1.2 也就是路由器,或者其他三层设备)
第二个解释:就是需要在路由器,防火墙,或者其他网路边界的三层设备上配置。
第二条默认路由, 这个默认路由的下一条 IP 地址就是从 ISP 得到的公网网关地址。
比如:从 ISP 得到的互联网的网关地址是:7.7.7.33,那么就需要配置成:ip route 0.0.0.0 0.0.0.0 7.7.7.33 (这个意思是把去外网的数据全部都丢给 ISP 的网关)
第三个解释:“1 返”这个也是需要在路由器,防火墙,或者其他做 NAT 的三层设备上配置,就是去单位内部的网络路由。
比如:单位内部有 3 个网段,分别是 192.168.1.X 192.168.2.X 192.168.3.X,这 3 个网段的 PC 都需要上外网,所以在配置返程路由时需要配成
ip route 192.168.1.0 255.255.255.0 1.1.1.1
ip route 192.168.2.0 255.255.255.0 1.1.1.1
ip route 192.168.3.0 255.255.255.0 1.1.1.1
这个 1.1.1.1 就是核心的三层交换机与路由器 LAN 口的互联地址。(也就是三层交换机的接口地址)
这样整个网络才可以访问互联网。