| 2019-05-23
远程接入方式主要有上面讲到的三类,不过在远程接入管理方面却有很多技术,我们从中选择两个最常用的也是最容易上手的——NAT与VPN。相信听说过这两个名词的朋友一定很多,究竟如何实现配置呢?
所谓网络地址转换不外乎两种,一种是将内网地址转换为外网地址,一种是多个计算机转换成一个IP地址,节省资源。而NAT还有另一个非常重要的功能就是充当防火墙,可以有效的保护内网计算机被外界攻击。高级nat配置非常简单:
配置实例:
内网用户IP地址为10.83.91.0/255.255.255.0,网口一连接外网,IP地址为公网地址;网口二连接内网,IP地址为私网地址。配置命令:
在路由器上进行高级nat配置功能,让内网中的用户使用NAT访问外网。首先在路由器上配置外网接口IP为61.51.3.103(公网IP地址),内网接口IP地址为10.83.91.254。
1、ipnatpoolxxzx61.51.3.10361.51.3.103netmask
255.255.255.252定义一个外网地址池名为xxzx,头一个IP为地址池起始地址,后一个IP为地址池的终止地址。如果公网IP地址不够用的话,可以都用同一个IP地址。NETMASK后是子网掩码。
2、access-list1permit10.83.91.00.0.1.255,定义容许NAT的网段,同样采用反向掩码进行描述,0.0.1.255,代表的子网掩码255.255.255.0。
3、ipnatinsidesourcelist1poolxxzxoverload启用NAT,容许NAT的地址为ACL1中定义的,而转换后使用的IP地址为XXZX地址池中定义的,最后的overload表示所有内网计算机都使用同一个外网IP地址,多台机器复用一个IP。
4、进入内网接口输入ipnatinside命令
5、进入外网接口输入ipnatoutside命令
经过上面五步命令就完成了全部的高级nat配置工作。如果公网地址比较多的话我们还可以不使用overload命令多个复用一个IP地址,在定义地址池时设置好可用的IP地址段,在宣告NAT时取消最后的overload参数即可。
如果希望宣告专门的WWW服务器或MAIL服务器给外网的话,对于这些服务器来说不能使用NAT进行映射,因为NAT后如果没有采用其他诸如端口映射的方法外网用户是不能正常访问WWW和MAIL服务器的。这时可以在路由器上对主机进行宣告。例如上面的公司如果其WWW服务器的IP地址内网是10.83.91.2,公网发布地址为61.51.3.104的话,可以使用如下命令宣告:ipnatinsidesourcestatic61.51.3.10410.83.91.2
有了网络地址转换高级nat配置功能,一方面节省了我们购买防火墙的费用,另一方面我们只要向电信申请少量甚至一两个公网IP地址就可以实现整个公司上百台计算机对外网的正常访问了。
某些互联网宽带服务运营商(简称为ISP)为了扩展所属地区的相关信息业务,或基于其他的技术原因,在用户拥有“公网IP”的同时,在ISP出口作出一个特殊的技术手段处理——NAT转发。
被ISP做NAT转发的用户苦不堪言,明明拥有公网IP地址,使用动态域名解析软件时却出现被解析到另外一个莫名其妙的公网IP地址。oray针对ISP所用的这种技术手段,向用户提供了NAT解决方案。
作为oray的用户,在使用花生壳服务过程中遇到了NAT情况,花生壳付费级别用户可以切换登录服务器线路解决被NAT转换问题。