在我们的生产环境中常常处于安全考虑将服务器置于内网环境中,但同时得向外网提供各种服务功能,此时就需要用到NAT技术。下面是我用思科的仿真软件搭建的一个实验环境,实现外网PC访问内网服务器。

  

先说明一下实验环境:

 6.PNG

路由器R0左边为内网环境,右边为外网环境,内网服务器IP地址为192.168.1.2,网关为R0接口地址192.168.1.1,外网PC机IP地址为211.211.211.2,网关为路由器R1接口地址211.211.211.1,现在要求实现外网PC访问内网服务器。

 

数据配置如下:

路由器R0:

配置接口地址

interface fastEthernet 0/0

ip add 211.211.211.1 255.255.255.0

no shut

退出接口,进入串口配置数据

interface serial 1/0

ip add 115.115.115.2 255.255.255.0

no shut

退出接口,并宣告外网ip地址

router eigrp 1

network 115.115.115.0 0.0.0.255

路由器R1配置如下:

配置接口地址

interface fastEthernet 0/0

ip add 211.211.211.1 255.255.255.0

no shut

退出接口,进入串口配置数据

interface serial 1/0

ip add 115.115.115.1 255.255.255.0

no shut

退出接口,并宣告外网ip地址

router eigrp 1

network 115.115.115.0 0.0.0.255

network 211.211.211.0 0.0.0.255

配置到此步时可以验证PC机可以ping同R0外网接口地址,但是无法访问内网服务器

1.PNG

3.PNG

此时在路由器R0上配置NAT转换

进入内网接口配置接口类型

interface fastEthernet 0/0

ip nat inside

exit

interface serial 1/0

ip nat outside

exit

配置静态NAT实现地址转换

IP nat inside source static 192.168.1.2 155.155.155.3

注意此处我将内网服务器IP转换到了一个新的外网IP上,此外网IP跟R0路由器外网接口配置的IP地址在同一网段

但是此时外网PC机仍然不能ping通内网服务器IP地址192.168.1.2,注意其实刚开始在这里我也陷入了一个误区,认为服务器内网IP经过静态NAT转换后可以被外网ping通,实际上时NAT技术是将所有发往192.168.1.2的数据全部发给映射后的地址也就是115.115.115.3,此时访问外网被映射后的IP地址115.115.115.3就相当于访问内网服务器。

用命令查看及测试验证

show ip nat translations

5.PNG

4.PNG