NAT技术是我们网络中非常重要的技术,大部分的单位私网访问公网都需要使用NAT技术,在咱们NE的课程中NAT技术是作为重点介绍的,而且NE教材中有关NAT技术写的非常详细, 所以今天原理就不多说了,重点需要大家关注NAT配置的注意事项。
拓扑图如下图所示:
上图左侧部分模拟的是企业的私网,右侧模拟的是公网,RT2设备作为NAT设备,要保证私网主机通过NAT技术访问公网。
我们这里采用easy ip技术给大家做介绍。配置如下所示:
[RT2]acl number 2000
[RT2-acl-basic-2000]rule 0 permit source 192.168.1.0 0.0.0.255
[RT2]interface GigabitEthernet 0/0/0
[RT2-GigabitEthernet0/0/1]nat outbound 2000
因为采用的是easy ip技术,所以私网192.168.1.0/24网段的地址是通过NAT映射成公网出接口也就是20.1.1.1这个地址。
首先NAT在配置时,NAT的配置本身难度不大,但是对于NE的很多同学而言,需要关注路由的配置。一般私网访问公网会采用默认路由,公网也需要考虑回程路由的配置。
这里需要强调的一点是,之前有同学会有这种误导,就是NAT中一定要配置ACL,因为ACL的目的就是让当中的IP地址访问公网的,不在ACL中的地址不能访问公网。这里注意,ACL的作用非常单纯,就是用来识别数据流的,而ACL用在NAT中可以实现匹配ACL中的地址可以让它进行地址转换,转换成公网地址,而不是说让网络通或者不通。
那么有同学问了,acl中如果只配置了一条规则,那么不在这个规则中的地址,能不能进行地址转换,我们给大家演示一下,如下图所示:
我们发现不在ACL中的192.168.2.2这个地址不能进行地址转换访问公网。说明不匹配ACL规则中的网段,不能进行地址转换,访问公网。
那如果配置NAT时,不配置ACL呢?
[RT2]interface GigabitEthernet 0/0/1
[RT2-GigabitEthernet0/0/1]nat outbound
因为RT2的出口NAT没有配置ACL,那么我们来看一下效果,如下图所示:
192.168.1.2可以进行NAT转换访问8.8.8.8。
同样192.168.1.2也可以通过NAT访问8.8.8.8。那么如果配置NAT不使用ACL的话,那么对进行NAT转换的私网源IP地址没有限制。