说起NAT这个技术我想大家一定不会陌生,不管是甲方(企业网管)还是乙方的系统工程师,甚至是家用的无线路由器,只要是需要做互联网接入的都需要用,那么今天我就来具体的介绍下NAT在企业当中的应用,配置步骤和注意事项。

 

NAT的概念和应用场景我就不再这篇文章中多说了,在我的另外一篇博文当中已经说的很详细了,不知道的朋友可以先看下那篇文章。或者网上找下NAT的资料。

 

 

都说NAT用的非常广泛,因为还是那句话,只要是需要接入到互联网就都需要用。那么NAT的实现方式有什么呢?如图所示:


NAT在企业当中的应用及配置步骤_第1张图片


这个就是我总结出来的,目前NAT技术的实现方式,也就是NAT一般都在企业当中的什么地方进行配置,或者启用

 

那么在上述设备中是怎样进行NAT的配置呢?目前有2中方式可以配置。

如图所示:

NAT在企业当中的应用及配置步骤_第2张图片



这个就是NAT的配置方式,也就是说在网络设备中,可以通过WEB界面,进行图形化的配置。

这个我想我就不用介绍了,只要指配置过家用的D-LINK,TP-LINK,磊科类似这样的家用路由器的朋友就一定不会陌生。

 

第二个就是通过命令行界面进行配置,凡是配置过思科,华为,H3C这样的设备的朋友也很熟悉,也就是俗称的用“敲命令”这样的方式去配置。



下面我就通过拓扑结构图,来给大家具体说明下:

NAT在企业当中的应用及配置步骤_第3张图片


这个拓扑图,我想只要是做过网工的朋友,或者在单位做过企业网管的朋友一定不会陌生,典型的单核心企业网结构图。


组网背景:

1.单位员工人数(需要上网人数60人)

 

2.VLAN划分成3个网段

192.168.1.X (网关地址192.168.1.1

192.168.2.X (网关地址192.168.2.1

192.168.3.X (网关地址192.168.3.1

这个3个网段的PC机都需要上外网

 

3.单位的网管从ISP申请了20M的互联网光纤接入(带固定的公网IP地址一个)

ISP的网络开通单上写明了ISP提供的网络地址:

 

比如ISP提供的IP地址如下:

IP7.7.7.99

掩码:255.255.255.0

网关:7.7.7.33

 

4.ISP提供光电转换器,已经做好了熔纤。也就是已经把光纤口转化成RJ45网线接口。

如图所示:

NAT在企业当中的应用及配置步骤_第4张图片


这个时候,如果你是这个单位的企业网管应该怎么配置网络设备呢,让整个单位的PC都上外网?

 

好了。这个也就是这篇文章的重点了。


方法如下:

 

1.在路由器(其他三层设备)的WAN接口(连接互联网网线的接口)首先配置从ISP得到的公网IP地址。

 

2.如果是用命令行配置,则定义一个NAT地址池,就是ip natpool,然后再地址池里面填入在WAN接口的,ISP给你的IP地址和子网掩码,这里不用填写网关。

 

3.如果是思科设备,在做NAT时需要在接口上启用overload命令,如果是华为设备,需要启用nat address-group命令

 

4.定义一个ACL(这里的意思是你想让单位内部的哪些IP地址段进行NAT转化)

 

比如你所在的单位内部用VLAN化成了3个网段

192.168.1.X 192.168.2.X   192.168.3.X 你如果是需要这3个网段全部都能上互联网,那么就需要定义这个3个全部的网段

 

access-list 1 permit 192.168.1.0 0.0.0.255

access-list 1 permit 192.168.2.0 0.0.0.255

access-list 1 permit 192.168.3.0 0.0.0.255

 

不定义的网段将无法上网

 

5.最后在路由器(其他三层设备)的WAN接口与LAN接口ip nat outsideWAN接口) ip nat insideLAN接口)命令应用这个ACL就可以了。(思科设备)

 

 

注意事项:

这里需要注意2个事情,在做NAT时,需要配置2条默认路由,和一条返程路由。

 简称“2默,1返”。缺一不可!!!

 

第一个解释“2默”就是需要配置 2条默认路由,第一条是在核心的三层交换机上配置

 

比如:路由器的LAN口地址是1.1.1.2 ,那么就需要配成:ip route 0.0.0.0 0.0.0.0 1.1.1.2 (这个意思是把去外网的路由转发全丢给1.1.1.2也就是路由器,或者其他三层设备)

 

 

第二个解释:就是需要在路由器,防火墙,或者其他网路边界的三层设备上配置。

 

第二条默认路由,这个默认路由的下一条IP地址就是从ISP得到的公网网关地址。

 

比如:从ISP得到的互联网的网关地址是:7.7.7.33 ,那么就需要配置成:ip route 0.0.0.0 0.0.0.0 7.7.7.33 (这个意思是把去外网的数据全部都丢给ISP的网关)

 

 

第三个解释:“1返”这个也是需要在路由器,防火墙,或者其他做NAT的三层设备上配置,就是去单位内部的网络路由。

 

比如:单位内部有3个网段,分别是192.168.1.X 192.168.2.X 192.168.3.X,这3个网段的PC都需要上外网,所以在配置返程路由时需要配成

 

ip route 192.168.1.0 255.255.255.0 1.1.1.1

ip route 192.168.2.0 255.255.255.0 1.1.1.1

ip route 192.168.3.0 255.255.255.0 1.1.1.1

 

这个1.1.1.1就是核心的三层交换机与路由器LAN口的互联地址。也就是三层交换机的接口地址。

 

这样整个网络才可以访问互联网。