配置网络地址转换与静态端口地址转换以支持内部 Web 服务器

下载选项

  • PDF     (409.7 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (89.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (98.7 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2007 年 4 月 9 日
文档 ID:12905

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

Cisco IOS®网络地址转换(NAT)旨在简化和保留IP地址。它支持使用非注册 IP 地址的私有 IP 网际网络连接到互联网。NAT 依托于思科路由器将两个网络连接在一起。在将数据包转发到另一个网络之前,NAT 会将内部网络的私有(内部本地)地址转换为公有(外部本地)地址。作为此功能的一部分,您可以将 NAT 配置为整个内部网络广播单一地址与外部网络连接。这有效隐藏了内部网络。因此,这有助于进一步提高安全性。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

规则

有关文件规则的更多信息请参见“ Cisco技术提示规则”。

背景信息

NAT的一个主要功能是静态端口地址转换(PAT),在Cisco IOS配置中也被称为“过载”。静态PAT旨在允许本地地址和全局地址之间的一对一映射。对静态PAT的一般使用是允许互联网用户从公共网络访问位于专用网络的网络服务器。

要获取有关NAT的详细信息,请参阅NAT技术支持页。

下表显示了可用于专用网络的三个IP地址空间块。有关这些特殊网络的更多详细信息,请参阅RFC 1918leavingcisco.com

IP地址空间 分类
10.0.0.0 - 10.255.255.255(10/8前缀) A 类
172.16.0.0 - 172.31.255.255(以 172.16/12 作为前缀) B 类
192.168.0.0 - 192.168.255.255(192.168/16前缀) C 类

注意:第一个地址块只是一个A类网络号码,而第二个地址块是由16个连续的B类网络号组成的组,第三个地址块是由256个连续的C类网络号组成的组。

在本示例中,Internet服务提供商(ISP)只为DSL用户分配一个IP地址171.68.1.1/24。分配的IP地址是注册的唯一的IP地址,称为内部全局地址。整个专用网络使用此注册的IP地址浏览Internet,来自公共网络的Internet用户也使用此地址访问专用网络中的Web服务器。

专用LAN 192.168.0.0/24连接到NAT路由器的以太网接口。此专用LAN包含多台PC和一台Web服务器。NAT路由器配置为将来自这些PC的未注册IP地址(内部本地地址)转换为单个公有IP地址(内部全局 — 171.68.1.1)以浏览Internet。

IP地址192.168.0.5(Web服务器)是私有地址空间中的地址,不能路由到Internet。公共Internet用户访问Web服务器的唯一可见IP地址是171.68.1.1。因此,对NAT路由器进行配置,从而执行IP地址171.68.1.1 端口80 (端口80用于浏览互联网页)和192.168.0.5端口80之间的一对一映射。此映射允许公共端的Internet用户访问内部Web服务器。

此网络拓扑和示例配置可用于Cisco 827、1417、SOHO77和1700/2600/3600 ADSL WIC。例如,本文档中使用Cisco 827。

配置

在此部分,您可以看到本文所描述功能的配置信息。

注意:要查找有关本文档中所用命令的其他信息,请参阅IOS命令查找工具(仅注册客户)。

网络图

本文档使用此网络设置。

827spat.gif

配置

Cisco 827 
Current Configuration:
! 
version 12.1
service timestamps debug uptime
service timestamps log uptime
!
hostname 827
!
ip subnet-zero
no ip domain-lookup
!
bridge irb
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside

!--- This is the inside local IP address and it is a private IP address. 

!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto 
bridge-group 1
!
interface BVI1
ip address 171.68.1.1 255.255.255.240
ip nat outside

!--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP.

!
ip nat inside source list 1 interface BVI1 overload

!--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that uses !--- private IP addresses defined in access list #1.

ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable 

!--- This statement performs the static address translation for the Web server. !--- With this statement, users that try to reach 171.68.1.1 port 80 (www) are !--- automatically redirected to 192.168.0.5 port 80 (www). In this case !--- it is the Web server.

ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.254

!--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address.

!
access-list 1 permit 192.168.0.0 0.0.0.255

!--- This access list defines the private network !--- that is network address translated. 

bridge 1 protocol ieee 
bridge 1 route ip 
!
end

验证

从show ip nat translation命令输出,Inside local 是被分配到内部网络的网络服务器的配置的IP地址。注意192.168.0.7是专用地址空间中的一个地址,不能路由到互联网。内部全局是内部主机,Web服务器,显示在外部网络的IP地址。此地址是尝试从Internet访问Web服务器的人所知道的地址。

Outside local是外部主机显示给内部网络的IP地址。它不一定是合法地址。但是,它是从可在内部路由的地址空间分配的。

Outside global地址是主机所有者分配给外部网络上主机的IP地址。从能够全局路由的地址或网络空间,分配地址。

请注意,端口号为80(HTTP)的地址171.68.1.1转换为192.168.0.5端口80,反之亦然。所以,即使网络服务器在一个专用网络与专用IP地址,互联网用户能访问网络服务器。

要获取有关如何排除NAT故障的详细信息,请参阅检验NAT运行和基本NAT故障排除

827#
827#show ip nat translation
Pro Inside global      Inside local      Outside local       Outside global
tcp 171.68.1.1:80      192.168.0.5:80    ---                 ---
tcp 171.68.1.1:80      192.168.0.5:80    198.133.219.1:11000 198.133.219.1:11000
827#

故障排除

要对地址转换进行故障排除,可以在路由器上发出term mondebug ip nat detailed命令,以查看地址转换是否正确。外部用户访问Web服务器的可见IP地址是171.68.1.1。例如,来自Internet公共端并尝试访问171.68.1.1端口80(www)的用户会自动重定向到192.168.0.5端口80(www),在本例中为Web服务器。

827#term mon
827#debug ip nat detailed
IP NAT detailed debugging is on
827#
03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1
03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80 
03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0]
<... snipped ...>

相关信息

修订历史记录

版本 发布日期 备注
1.0
02-Dec-2013
初始版本

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品