NAT技術是我們網絡中非常重要的技術,大部分的單位私網訪問公網都需要使用NAT技術,在咱們NE的課程中NAT技術是作為重點介紹的,而且NE教材中有關NAT技術寫的非常詳細, 所以今天原理就不多說了,重點需要大家關注NAT配置的注意事項。
拓撲圖如下圖所示:
上圖左側部分模擬的是企業的私網,右側模擬的是公網,RT2設備作為NAT設備,要保證私網主機通過NAT技術訪問公網。
我們這裡採用easy ip技術給大家做介紹。配置如下所示:
[RT2]acl number 2000
[RT2-acl-basic-2000]rule 0 permit source 192.168.1.0 0.0.0.255
[RT2]interface GigabitEthernet 0/0/0
[RT2-GigabitEthernet0/0/1]nat outbound 2000
因為採用的是easy ip技術,所以私網192.168.1.0/24網段的地址是通過NAT映射成公網出接口也就是20.1.1.1這個地址。
首先NAT在配置時,NAT的配置本身難度不大,但是對於NE的很多同學而言,需要關注路由的配置。一般私網訪問公網會採用默認路由,公網也需要考慮回程路由的配置。
這裡需要強調的一點是,之前有同學會有這種誤導,就是NAT中一定要配置ACL,因為ACL的目的就是讓當中的IP地址訪問公網的,不在ACL中的地址不能訪問公網。這裡注意,ACL的作用非常單純,就是用來識別數據流的,而ACL用在NAT中可以實現匹配ACL中的地址可以讓它進行地址轉換,轉換成公網地址,而不是說讓網絡通或者不通。
那麼有同學問了,acl中如果只配置了一條規則,那麼不在這個規則中的地址,能不能進行地址轉換,我們給大家演示一下,如下圖所示:
我們發現不在ACL中的192.168.2.2這個地址不能進行地址轉換訪問公網。說明不匹配ACL規則中的網段,不能進行地址轉換,訪問公網。
那如果配置NAT時,不配置ACL呢?
[RT2]interface GigabitEthernet 0/0/1
[RT2-GigabitEthernet0/0/1]nat outbound
因為RT2的出口NAT沒有配置ACL,那麼我們來看一下效果,如下圖所示:
192.168.1.2可以進行NAT轉換訪問8.8.8.8。
同樣192.168.1.2也可以通過NAT訪問8.8.8.8。那麼如果配置NAT不使用ACL的話,那麼對進行NAT轉換的私網源IP地址沒有限制。
閱讀更多 王海軍老師 的文章
