冒险村物语
英雄无敌3塔防
驾考家园手游

利用nat实现单向访问

2015-06-17

利用nat实现单向访问

拓扑如图所示，要实现的目标是：R1的环口192.168.1.1/24可以访问R3的环口10.1.1.3/24，而反过来却不行。

这样的问题，大家第一点想到的可能就是利用acl，但是细细探究一下，发现利用acl还真没办法实现，原因在于通讯是双向的。

步入正题，看看如何通过nat实现。nat最基本的功能就是地址转换，而由此带来的好处之一就是对外可以隐藏转换前的内部地址，地址可以被隐藏，那么路由一样也可以被隐藏！具体配置如下：

www.zhishiwu.com

第一步：基本配置如图片所示；

第二步：R2和R3启用动态路由协议，如EIGRP，其中R2只参与e0/1口，R3的e0/0和环口都参与其中，目的是让R2知道去往R3各个网络的路由；

第三步：R2上配置一条静态路由指向192.168.1.0/24；

第四步：R1上配置默认路由指向R2

第五步：在R2上配置nat接口超载，e0/0为入口 e0/1为出口，转换源地址为192.168.1.0/24；

第六步：测试！

当然，上述6步也不是唯一的，采用别的方法一样也可以做到殊途同归，但是关系到nat的原理确实一样的，下面就结合这个例子来分析下：

事实上，从R1上的环口P R3的环口，出去的路由是有的，因为R1把数据交给R2，R2完全知道10.1.1.0的网络怎么走，但是回来的路由R3就不清楚了，R3完全不知道网络192.168.1.0怎么走，但是R3却知道172.17.1.0/24的网络，在R2上配置NAT接口超载后，R1环口192.168.1.0/24网络发往R3环口网络的数据包，R3完全把目标地址当做是R2接口的IP了，实际上对R3而言这是一个直连网络，因此把数据包返回到R2，而R2经过nat转换回来后，根据路由表中的静态路由，直接把数据包交给R1，因此网路通了。

www.zhishiwu.com

而R3不能P通R1的原因：R3上没有到192.168.1.0/24的路由，所以不能主动与R1的192.168.1.0/24通讯。

实际上，这种模型在我们实际工程当中很常见，我们上网基本都是采用这种模型，譬如说：我们可以直接上新浪网，但是新浪网不可能访问到我们，真要想外网能够访问到我们，需要在路由器或者防火墙上做端口映射，实现起来也很简单。

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）

人气推荐

知识阅读

精彩推荐

游戏
软件

查看更多>>