23. 2010/11/2
23
NAT的功能
• 內部連上Internet的遠端電腦可以藉由NAT來轉換Public
IP存取外部資源。
• 透過Router 公司內部Server & PC不易輕易外露。
• 公司內部與分公司內部PC可藉由NAT做溝通。
• 轉址方式有3種,Static NAT , Dynamic NAT , PAT (Port
Address Translation).
• Router 依據ACL(Access Control List)決定是否讓封包通
過。
ACL程式執行的邏輯
Deny
Deny
Deny
Deny
Match
Next
Test
Match
First
Test
Match
Last
Test
Permit
Permit
Permit
YY
Y Y
YY
N
N
N 隱藏的最後一行
Destination
Interface
Packets to
interface in
the Access Group
Packet
Discard
Bucket If No Match , Deny All
24. 2010/11/2
24
Router 1的設定
(config) #int s 0/2/0
(config-if) #description to ISP
(config-if) #ip address 172.16.1.1 255.255.255.252
(config-if) #ip nat outside
(config) #ip nat inside source list 1 interface s 0/2/0 overload
(config) #ip route 0.0.0.0 0.0.0.0 s 0/2/0
(config) #int S 0/1/0
(config-if) #ip address 172.16.1.9 255.255.255.252
(config-if) #ip nat inside
(config-if) #exit
(config) #int f 0/0
(config-if) #ip address 192.168.1.252 255.255.255.0
(config-if) #ip nat inside
(config-if) #exit
Router 2的設定
(config) #int s 0/0/0
(config-if) #description to ISP
(config-if) #ip address 172.16.1.5 255.255.255.252
(config-if) #ip nat outside
(config) #ip nat inside source list 1 interface s 0/0/0 overload
(config) #ip route 0.0.0.0 0.0.0.0 s 0/0/0
(config) #int S 0/0/1
(config-if) #ip address 172.16.1.10 255.255.255.252
(config-if) #ip nat inside
(config-if) #exit
(config) #int f 0/0
(config-if) #ip address 192.168.1.253 255.255.255.0
(config-if) #ip nat inside
(config-if) #exit
25. 2010/11/2
25
ACL的設定
(config) #int s 0/1/0
(config-if) #ip access-group 1 in
(config-if) #exit
(config) #int f 0/0
(config-if) #ip access-group 1 in
(config-if) #exit
(config) #int s 0/0/1
(config-if) #ip access-group 1 in
(config-if) #exit
(config) #int f 0/0
(config-if) #ip access-group 1 in
(config-if) #exit
Virtual Private Network (VPN)
謝明洋
VPN
Site to Site VPN (IPsec VPN)
Remote access VPN (SSL VPN)