• 冒险村物语
  • 英雄无敌3塔防
  • 驾考家园手游

利用nat实现单向访问

2015-06-17

利用nat实现单向访问
 
 
 拓扑如图所示,要实现的目标是:R1的环口192.168.1.1/24可以访问R3的环口10.1.1.3/24,而反过来却不行。
这样的问题,大家第一点想到的可能就是利用acl,但是细细探究一下,发现利用acl还真没办法实现,原因在于通讯是双向的。
      步入正题,看看如何通过nat实现。nat最基本的功能就是地址转换,而由此带来的好处之一就是对外可以隐藏转换前的内部地址,地址可以被隐藏,那么路由一样也可以被隐藏!具体配置如下:
  www.zhishiwu.com  
第一步:基本配置如图片所示;
第二步:R2和R3启用动态路由协议,如EIGRP,其中R2只参与e0/1口,R3的e0/0和环口都参与其中,目的是让R2知道去往R3各个网络的路由;
第三步:R2上配置一条静态路由指向192.168.1.0/24;
第四步:R1上配置默认路由指向R2
第五步:在R2上配置nat接口超载,e0/0为入口  e0/1为出口,转换源地址为192.168.1.0/24;
 
第六步:测试!
当然,上述6步也不是唯一的,采用别的方法一样也可以做到殊途同归,但是关系到nat的原理确实一样的,下面就结合这个例子来分析下:
事实上,从R1上的环口P R3的环口,出去的路由是有的,因为R1把数据交给R2,R2完全知道10.1.1.0的网络怎么走,但是回来的路由R3就不清楚了,R3完全不知道网络192.168.1.0怎么走,但是R3却知道172.17.1.0/24的网络,在R2上配置NAT接口超载后,R1环口192.168.1.0/24网络发往R3环口网络的数据包,R3完全把目标地址当做是R2接口的IP了,实际上对R3而言这是一个直连网络,因此把数据包返回到R2,而R2经过nat转换回来后,根据路由表中的静态路由,直接把数据包交给R1,因此网路通了。
  www.zhishiwu.com  
而R3不能P通R1的原因:R3上没有到192.168.1.0/24的路由,所以不能主动与R1的192.168.1.0/24通讯。
实际上,这种模型在我们实际工程当中很常见,我们上网基本都是采用这种模型,譬如说:我们可以直接上新浪网,但是新浪网不可能访问到我们,真要想外网能够访问到我们,需要在路由器或者防火墙上做端口映射,实现起来也很简单。
 
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)

人气推荐

知识阅读

精彩推荐

  • 游戏
  • 软件
查看更多>>