多出口NAT配置方法

     在企業中會遇到一個路由器上聯了幾個單位或者公司，而內部網絡某一網段或者某一服務器同時須要訪問幾個上聯的單位，並且都須要通過NAT進行訪問，若是是內部網絡中某一臺服務器須要訪問上聯各單位，怎樣配置NAT呢，若是隻訪問一個上聯單位，那確定就簡單了，一條靜態映射就OK了，那麼是兩個上聯單位呢？或者更多呢？下面就經過案例介紹一下：

     如上圖所示：單位A的內部網絡服務器192.168.93.82（在此以loopback來測試），須要訪問單位B的3.3.3.3和單位C的4.4.4.4，但都須要在路由器R2上進行地址轉換，訪問單位B時轉換爲10.49.250.49進行互訪，訪問單位C時轉換成10.11.11.2進行互訪。

     思路很簡單，靜態NAT確定是要配置的，可是若是在設備上只配置通常狀況下咱們所配置的一條靜態轉換（ip nat inside static 192.168.93.82 10.11.11.2），那麼就只能實現訪問一個上聯單位，不能同時實現兩個單位的互訪，而不相互影響，若是再配置一條ip nat inside static 192.168.93.82 10.49.250.49 ,在這種狀況下，這條命令是配置不上去的，因上已經配置了一條轉換到單位C的靜態轉換了。那怎樣才能兩條都配置上去呢？在後面加上route-map就能夠了，使訪問3.3.3.3的轉換成10.49.250.49，訪問4.4.4.4的轉換成10.11.11.2。那麼route-map怎樣來寫呢？只須要匹配兩個條件，一是匹配那一個IP地址或者網段，二是匹配訪問那一個單位（出接口或者下一跳）。

     具體配置以下：

R1：

interface Loopback0
ip address 192.168.93.82 255.255.255.255
!
interface Serial0/0
 ip address 12.1.1.1 255.255.255.252

ip route 0.0.0.0 0.0.0.0 12.1.1.2

R2:

interface Serial0/0
 ip address 12.1.1.2 255.255.255.252
 ip nat inside

interface FastEthernet1/0
 ip address 23.1.1.1 255.255.255.252
 ip nat outside

interface FastEthernet2/0
 ip address 24.1.1.1 255.255.255.252
 ip nat outside

ip nat inside source static 192.168.93.82 10.11.11.2 route-map danweiC

ip nat inside source static 192.168.93.82 10.49.250.59 route-map danweiB

access-list 1 permit 192.168.93.82
!
route-map danweiC permit 10
 match ip address 1
 match interface FastEthernet2/0      //這兒能夠配置下一跳
!
route-map danweiB permit 10
 match ip address 1
 match interface FastEthernet1/0

     R3:

interface Loopback0
 ip address 3.3.3.3 255.255.255.255
!
interface FastEthernet0/0
 ip address 23.1.1.2 255.255.255.252

ip route 10.49.250.0 255.255.255.0 23.1.1.1

     R4：

interface Loopback0
 ip address 4.4.4.4 255.255.255.255
!
interface FastEthernet0/0
 ip address 24.1.1.2 255.255.255.252

ip route 10.11.11.2 255.255.255.255 24.1.1.1

R1測試：

R1#ping 3.3.3.3 source 192.168.93.82

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 192.168.93.82 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 44/52/80 ms

R1#ping 4.4.4.4 source 192.168.93.82

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:
Packet sent with a source address of 192.168.93.82 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/40/60 ms

R2上的轉換會話：

R2#show ip nat translations 
Pro Inside global      Inside local       Outside local      Outside global
icmp 10.12.1.2:4       192.168.93.82:4    4.4.4.4:4          4.4.4.4:4
icmp 10.12.1.2:5       192.168.93.82:5    4.4.4.4:5          4.4.4.4:5
icmp 10.49.250.59:6    192.168.93.82:6    3.3.3.3:6          3.3.3.3:6
icmp 10.49.250.59:7    192.168.93.82:7    3.3.3.3:7          3.3.3.3:7
icmp 10.49.250.59:8    192.168.93.82:8    3.3.3.3:8          3.3.3.3:8
icmp 10.12.1.2:9       192.168.93.82:9    4.4.4.4:9          4.4.4.4:9
icmp 10.12.1.2:10      192.168.93.82:10   4.4.4.4:10         4.4.4.4:10
--- 10.12.1.2          192.168.93.82      ---                ---
--- 10.49.250.59       192.168.93.82      ---                ---

 

          上面案例是一個服務器訪問兩個上聯單位的狀況配置，若是是某一個網段，就只須要在訪問控制那兒修改access-list 1 permit 192.168.93.0 0.0.0.255。若是轉換地址有多個，那麼就用地址池的方式，配置以下：

ip nat pool danweiC 10.11.11.1 10.11.11.14 prefix-length 28 

           ip nat pool danweiB  10.49.250.1 10.49.250.14 prefix-length 28 

           ip nat inside source route-map danweiC pool danweiC

           ip nat inside source route-map danweiB pool danweiB

route-map 配置不變！