網(wǎng)管員經(jīng)驗(yàn)分享：?jiǎn)挝锢斫涌贜AT的總結(jié)

一：從inside到outside的NAT

　　1.有inside和outside接口

　　2.inside接口接收到NAT“感興趣的包”（由ACL定義）

　　3.檢查是否有經(jīng)過outside接口到外網(wǎng)的路由（先策略路由后常規(guī)路由）。

　　4.執(zhí)行NAT，源地址被NAT轉(zhuǎn)換。

　　5.被轉(zhuǎn)換的包經(jīng)outside接口轉(zhuǎn)發(fā)出去。

　　二：從outside到inside的NAT

　　1.NAT表中是否有相應(yīng)的NAT紀(jì)錄

　　2.執(zhí)行NAT，目的地址被轉(zhuǎn)換

　　3.執(zhí)行路由（先策略路由后常規(guī)路由）

　　4.被轉(zhuǎn)換的包經(jīng)inside接口轉(zhuǎn)發(fā)出去。

　　三：配置實(shí)例1分析：

　　特點(diǎn)是: loopback0做outside接口

　　interface Loopback0

　　ip address 172.16.2.254 255.255.255.252

　　ip nat outside

　　!

　　interface Ethernet0

　　ip address 192.168.0.1 255.255.255.248 sec

　　ip address 172.16.1.254 255.255.255.0

　　ip nat inside

　　ip policy route-map nat

　　!

　　ip nat pool pool1 192.168.0.2 192.168.0.3 prefix-length 29

　　ip nat inside source list 10 pool pool1 overload

　　ip classless

　　ip route 0.0.0.0 0.0.0.0 192.168.0.6

　　ip route 172.16.1.0 255.255.255.0 Ethernet0

　　access-list 10 permit 172.16.1.0 0.0.0.255

　　access-list 101 permit ip 172.16.1.0 0.0.0.255 any

　　access-list 101 permit ip any 192.168.0.0 0.0.0.7

　　!

　　route-map nat permit 10

　　match ip address 101

　　set interface loopback0

　　(一)：源地址=172.16.1.0/24的包到達(dá)E0接口時(shí)：

　　1.E0接口是inside接口

　　2.包是NAT感興趣的包(ACL 10定義)

　　3.檢查路由，先執(zhí)行策略路由nat，有set interface loopback0,即有經(jīng)outside接口loopback0到達(dá)外網(wǎng)的路由，因此滿足NAT執(zhí)行的條件

　　4.執(zhí)行NAT，源=172.16.1.0/24被轉(zhuǎn)換為=192.168.0.2~3(地址池pool1定義)。

　　5.從outside接口loopback0轉(zhuǎn)發(fā)出去。

　　6.loopback0是邏輯環(huán)路接口，因此應(yīng)用ip route 0.0.0.0 0.0.0.0 192.168.0.6，192.168.0.6是ISP端地址。

　　7.被轉(zhuǎn)換的包就經(jīng)E0接口轉(zhuǎn)發(fā)到ISP路由器。

　　(二)：返回包（目的地址=192.168.0.2~3）到達(dá)E0接口時(shí)

　　1.返回包不是NAT感興趣的包，因此按常規(guī)包處理

　　2.執(zhí)行策略路由nat，set interface loopback0,即路由到outside接口。

　　3.NAT有相應(yīng)的NAT紀(jì)錄，

　　4.執(zhí)行NAT,目的地址192.168.0.2~3被轉(zhuǎn)換為172.16.1.0/24

　　5.執(zhí)行路由，loopback0接口上無策略路由，因此執(zhí)行常規(guī)路由。

　　6.被轉(zhuǎn)換的包經(jīng)E0接口轉(zhuǎn)發(fā)出去。

　　四：配置2實(shí)例

　　特點(diǎn)是：loopback0做inside接口。

　　interface Loopback0

　　ip address 172.16.1.1 255.255.255.248

　　ip nat inside

　　ip policy route-map rm_nat

　　!

　　interface FastEthernet0/0

　　ip address 172.16.0.1 255.255.255.0 secondary

　　ip address 192.168.0.1 255.255.255.252

　　ip nat outside

　　ip policy route-map no_route

　　!

　　ip nat pool st_pool 61.233.13.193 61.233.13.198 netmask 255.255.255.248

　　ip nat inside source list 10 pool st_pool

　　ip classless

　　ip route 0.0.0.0 0.0.0.0 Loopback0

　　access-list 10 permit 172.16.0.0 0.0.0.255

　　access-list 101 permit ip any any

　　access-list 102 permit ip 172.16.0.0 0.0.0.255 any

　　route-map no_route permit 10

　　match ip address 102

　　set interface Loopback0

　　!

　　route-map rm_nat permit 10

　　match ip address 101

　　set ip next-hop 192.168.0.2

　　該實(shí)例的主要區(qū)別是采用了2個(gè)策略路由，其目的都是實(shí)現(xiàn)使包到達(dá)inside接口或outside接口，且滿足NAT轉(zhuǎn)換的路由條件。

　　需要注意的是：NAT地址池的地址不必非要與ISP端路由器地址同一網(wǎng)段，可以是公網(wǎng)IP，也可以是私網(wǎng)地址。只要ISP能區(qū)分就行。且ISP必須有到達(dá)NAT地址池的路由（靜態(tài)或動(dòng)態(tài)都行）。

　　對(duì)于NAT路由器來說，只需要有“ip route 0.0.0.0 0.0.0.0 ISP端IP地址”這條命令即可。

【推薦閱讀】

◆網(wǎng)管軟件專區(qū)

 ◆網(wǎng)絡(luò)管理維護(hù)技巧：實(shí)現(xiàn)VLAN環(huán)境下DHCP服務(wù)

◆網(wǎng)管員技巧：學(xué)會(huì)限制路由器多臺(tái)電腦上網(wǎng)

◆網(wǎng)絡(luò)管理維護(hù)技巧：路由器故障排除技巧

◆IT運(yùn)維管理專區(qū)