NAT的双线接入

 

您可能会碰到这样的问题：一个公司会与两个 Internet 服务提供商连接 .

这样做最大的作用是提高内网访问 Internet 的速度和外网访问内部服务器的速度。当今日新月异的网络发展，导致不同的 ISP 之间因为竞争关系互访缓慢。就延伸出了这样的网络。那么这就要解决公司如何科学的出外网的问题。

现在进入我们的正题—— NAT 的双线接入。首先来看一下拓扑图：

 

从图上可以看出：

ü   公司的出口路由器 NAT-Router 将 LAN 和两个 Internet 服务提供商 ISP-A 和 ISP-B 连接。在 LAN 中有一台 WEB 服务器需要发布到 Internet 上，供外网访问。

ü   NAT-Router 上 S0/0 的接口地址是 200.200.200.1/24 ，可用于 NAT 的地址是 200.200.200.10-12/24 ，对端 ISP-A 的地址是 200.200.200.2/24

ü   NAT-Router 上 S0/1 的接口地址是 201.201.201.1/24 ，可用于 NAT 的地址是 201.201.201.10-12/24 ，对端 ISP-A 的地址是 201.201.201.2/24

ü   NAT-Router 内网口的地址是 192.168.1.1/24.

目前的要求是：

公司内部服务器需要分别转换成 ISP-A 地址和 ISP-B 地址，以便不同的 ISP 用户更快地访问服务器，并且内部访问 Internet 时，使用访问网站所在 ISP 的 NAT 地址进行地址转化。

现在开始具体的配置和分析：

第一步：配置接口地址

NAT-Router(config)#int s0/0

NAT-Router(config-if)#ip add 200.200.200.1 255.255.255.0

NAT-Router(config-if)#no sh

NAT-Router(config)#int s0/1

NAT-Router(config-if)#ip add 201.201.201.1 255.255.255.0

NAT-Router(config-if)#no sh

NAT-Router(config-if)#int f0/0

NAT-Router(config-if)#ip add 192.168.1.1 255.255.255.0

NAT-Router(config-if)#no sh

 

第二步：配置 PAT ，实现内网访问外网

1.        定义访问控制列表，由于需要根据访问的 IP 地址的不同来选择进行转换的 NAT 地址，所以需要使用扩展访问控制列表，控制 PAT 转换使用的地址池。

NAT-Router(config)#access-list 100 permit ip any 200.200.210.0  0.0.0 .255

NAT-Router(config)#access-list 101 deny ip any 200.200.210.0  0.0.0 .255

NAT-Router(config)#access-list 101 permit ip any any

 

说明： Access-list 100 定义了到达 ISP-A 所有网段的 ACL ，此处以 200.200.210.0 代表 ISP-A 所有网段 .access-list 101 定义到达 ISP-A 所有网段以外的地址的 ACL 。也就是说只有目标是 ISP-A 的数据包才会去往 ISP-A 。

2.        定义合法的地址池，分别定义 ISP-A 、 ISP-B 两个合法的地址池。

NAT-Router(config)#ip nat pool ISP-A 200.200.200.10 200.200.200.12 netmask 255.255.255.0

NAT-Router(config)#ip nat pool ISP-B 201.201.201.10 201.201.201.12 netmask 255.255.255.0

 

3.        配置 PAT 转换

NAT-Router(config)#ip nat inside source list 100 pool ISP-A overload

NAT-Router(config)#ip nat inside source list 101 pool ISP-B overload

 

说明：这样配置之后，满足 access-list 100 的数据包选择 ISP-A 的地址进行转换，满足 access-list 101 的数据包选择 ISP-B 的 NAT 地址池进行转换，转换后，数据包的源地址和目的地址便属于同一个 ISP ，这样的话大大加快了访问的速度。（注意：参数 overload 不要忘了配置）

第三步：配置静态 NAT ，实现外网访问内网服务器

NAT-Router(config)#ip nat inside source static tcp 192.168.1.2 80 200.200.200.1 80 extendable

NAT-Router(config)#ip nat inside source static tcp 192.168.1.2 80 201.201.201.1 80 extendable

 

说明：此处 192.168.1.2 是内网 WEB 服务器的地址， 200.200.200.1 是外接口 s0/0 上 ISP-A 的地址， 201.201.201.1 是外接口 s0/1 上 ISP-B 的地址。（注意：参数 extendable 不可忽略，因为此处是将同一个内部局部地址转换到多个内部全局地址。）

第四步：在内部和外部接口上启用 NAT

NAT-Router(config)#int s0/0

NAT-Router(config-if)#ip nat outside

NAT-Router(config-if)#int s0/1

NAT-Router(config-if)#ip nat outside

NAT-Router(config-if)#int f1/0

NAT-Router(config-if)#ip nat inside

 

 

 

（注意：此处是两个外接口）

第五步：配置静态路由，实现对内网访问外网路由的控制

NAT-Router(config)#ip route 200.200.210.0 255.255.255.0 200.200.200.2

NAT-Router(config)#ip route  0.0.0 .0 0.0.0.0 201.201.201.2

NAT-Router(config)#ip route  0.0.0 .0 0.0.0.0 200.200.200.2 120

 

（注意：通过路由选择原则，将 ISP-A 的目的地址配置静态路由并且下一跳指向 ISP 的路由器，再配置一条默认路由并且下一跳指向 ISP-B 的路由器，最后再配置一条管理距离为 120 的默认路由，用以对外出路由备份。）

好了，现在我们可以看到设置好的结果，现在就实现了 NAT 的双线接入。

 

现在公司内部的服务器被转换成了两个不同的 ISP 地址，不同的 ISP 用户可以更加快速便捷的访问服务器。公司内部访问 Internet 时，将会使用目的网站所在的 ISP 的 NAT 地址池进行地址转化。大大加快了员工访问外网的速度。