-
拓扑如图所示,要实现的目标是:R1的环口192.168.1.1/24可以访问R3的环口10.1.1.3/24,而反过来却不行。这样的问题,大家第一点想到的可能就是利用acl,但是细细探究一下,发现利用acl还真没办法实现,原因在于通讯是双向的。 步入正题,看看如何通过nat实现。nat最基本的功能就是地址转换,而由此带来的好处之一就是对外可以隐藏转换前的内部地址,地址可以被隐藏,那么路由一样也可以被隐藏!具体配置如下: www.zhishiwu.com 第一步:基本配置如图片所示;第二步:R2和R3启用动态路由协议,如EIGRP,其中R2只参与e0/1口,R3的e0/0和环口都参与其中,目的是让R2知道去往R3各个网络的路由;第三步:R2上配置一条静态路由指向192.168.1.0/24;第四步:R1上配置默认路由指向R2第五步:在R2上配置nat接口超载,e0/0为入口 e0/1为出口,转换源地址为192.168.1.0/24; 第六步:测试!当然,上述6步也不是唯一的,采用别的方法一样也可以做到殊途同归,但是关系到nat的原理确实一样的,下面就结合这个例子来分析下:事实上,从R1上的环口P R3的环口,出去的路由是有的,因为R1把数据交给R2,R2完全知道10.1.1.0的网络怎么走,但是回来的路由R3就不清楚了,R3完全不知道网络192.168.1.0怎么走,但是R3却知道172.17.1.0/24的网络,在R2上配置NAT接口超载后,R1环口192.168.1.0/24网络发往R3环口网络的数据包,R3完全把目标地址当做是R2接口的IP了,实际上对R3而言这是一个直连网络,因此把数据包返回到R2,而R2经过nat转换回来后,根据路由表中的静态路由,直接把数据包交给R1,因此网路通了。 www.zhishiwu.com 而R3不能P通R1的原因:R3上没有到192.168.1.0/24的路由,所以不能主动与R1的192.168.1.0/24通讯。实际上,这种模型在我们实际工程当中很常见,我们上网基本都是采用这种模型,譬如说:我们可以直接上新浪网,但是新浪网不可能访问到我们,真要想外网能够访问到我们,需要在路由器或者防火墙上做端口映射,实现起来也很简单。