公司只有5个公网地址,而内网电脑有600台,怎么让内网主机上网呢?这时候就用到NAT技术了。
下面以最简单的公司网络为例,演示配置路由器NAT,配置时服务器可以不设网关地址;
路由器R1配置:
<Huawei>system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.0.254 255.255.255.0
[R1-GigabitEthernet0/0/0]
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 60.0.0.1 255.0.0.0
[R1-GigabitEthernet0/0/1]
这样做了以后,内网服务器server2能与网关互通了;
但若要内网服务器server2能与服务器server1:60.60.60.60互通了,这时就需要做NAT了。
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat static global 60.1.1.1 inside 192.168.0.1 netmask 255.255.255.255
再行测试,两台服务器之间已经能互通了;
查看地址转换情况
[R1]display nat static
将外网分配的地址段60.0.0.10到60.0.0.19分配给内网地址段192.168.0.0/24使用。
动态地址转换也是将本地地址与内部合法地址一对一的转换,但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址对内部本地地址进行转换。他只转换IP地址,主要用于拨号,动态地址转换也是将本地地址与内部合法地址一对一的转换,但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。
配置外网地址池:
<R1>system-view
[R1]nat address-group 1 60.0.0.10 60.0.0.19
内网地址集合
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.0.0 0.0.0.255
[R1-acl-basic-2000]q
做映射
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
[R1-GigabitEthernet0/0/1]
做测试
当有内网电脑访问外网时,通过<R1>display nat session all可以查看具体转换情况。