目录
NAT的三种实现方式
| 静态转换 | 将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 |
| 动态转换 | 将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。动态转换可以使用多个合法外部地址集,一个公网地址只能同时被一个内网地址使用 |
| 端口多路复用(PAT) | 内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源 |
思科
??
###配置测试环境?
R0:
Router(config)#int f0/1
Router(config-if)#ip add 12.0.0.1 255.255.255.0
Router(config-if)#int f0/0
Router(config-if)#ip add 192.168.1.1 255.255.255.0
R1:
Router(config)#ip route 121.12.76.227 255.255.255.255 12.0.0.1 ///配置默认路由,回包,方便测试
Router(config)#int f0/0
Router(config-if)#ip add 12.0.0.2 255.255.255.0
Router(config-if)#no shutdown
静态转换
R0:
Router(config)#int f0/0
Router(config-if)#ip nat inside 内网接口
Router(config-if)#no shut
Router(config-if)#int f0/1
Router(config-if)#ip nat outside 外网接口
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#ip nat inside source static 192.168.1.10 121.12.76.227 配置静态NAT使内网192.168.1.10访问外网转换为121.12.76.227这个公网地址动态转换
R0:
Router(config)#int f0/0
Router(config-if)#ip nat inside 内网接口
Router(config-if)#no shut
Router(config-if)#int f0/1
Router(config-if)#ip nat outside 外网接口
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#ip nat pool name 121.12.76.227 121.12.76.230 netmask 255.255.255.0 创建一个公网地址池
Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 为内部网络定义一个标准的ACL
Router(config)#ip nat inside source list 10 pool name 将ACL映射到公网地址池
?端口复用
###pool关联方法:
Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 创建内网ACL
Router(config)#ip nat pool name 121.12.76.227 121.12.76.227 netmask 255.255.255.0 创建只有一个IP地址的公网地址池
Router(config)#ip nat inside source list 10 pool name overload 将ACL与公网地址池关联,并设置超载使用
###端口关联方法:
Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 创建内网ACL
Router(config)#ip nat inside source list 10 int f0/1 overload 将ACL映射到外网出口
###端口映射(外网访问内网)
ip nat inside source static tcp 服务器内网IP 80 公网IP 8080
例子:ip nat inside source static tcp 192.168.1.30 23 121.12.76.227 23 H3C
静态转换
[H3C]nat static outbound 192.168.1.10 10.10.10.1
[H3C]int g0/1 连接外网的端口
[H3C-GigabitEthernet0/1]nat static enable
动态转换
[H3C]nat address-group 10
[H3C-address-group-10]address 10.10.10.1 10.10.10.3 创建公网地址池
[H3C]acl basic 2000
[H3C-acl-ipv4-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255
[H3C]int g0/1
[H3C-GigabitEthernet0/1]nat outbound 2000 address-group 10 no-pat no-pat,一对一转换,只转换地址,不转换port端口复用
###地址池关联方法:
[H3C]nat address-group 10
[H3C-address-group-10]address 10.10.10.1 10.10.10.1 创建只有一个公网地址的池
[H3C]acl basic 2000
[H3C-acl-ipv4-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255
[H3C]int g0/1
[H3C-GigabitEthernet0/1]nat outbound 2000 address-group 10 不带no-pat,进行端口复用
###端口关联(Easy ip)方法:
[H3C]acl basic 2000
[H3C-acl-ipv4-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255
[H3C]int g0/1
[H3C-GigabitEthernet0/1]nat outbound 2000 所有内网地址都转换成G0/1端口的公网地址
###端口映射(外网访问内网)
[H3C-GigabitEthernet0/1]nat server protocol tcp global 10.10.10.1 80 inside 192.168.1.10 8080
HUAWEI?
静态转换
[Huawei]nat static global 172.16.1.100 inside 192.168.1.2
[Huawei-GigabitEthernet0/0/0]nat static enable
OR
[R1-GigabitEthernet0/0/0]nat static global 202.106.1.1 inside 192.168.10.254动态转换
[R1]nat address-group 1 202.106.1.1 202.106.1.100 创建公网地址池
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255 创建内网地址池
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat 关联公网和内网地址池端口复用
###地址池关联方法:
[R1]nat address-group 7 202.106.1.1 202.106.1.1 建立只有一个地址的公网池
[R1]acl 2000
[R1-acl-basic-2000]rule 1 permit source 192.168.10.0 0.0.0.255
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 7 关联公网池和内网池时,不配置no-pat
###端口关联(Easy ip)方法:
[R1]acl 2000
[R1-acl-basic-2000]rule 1 permit source 192.168.10.0 0.0.0.255
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000 所有内网地址都转换成G0/1端口的公网地址
###端口映射(外网访问内网)
[R1-GigabitEthernet0/0/0]nat static protocol tcp global current-interface 1212 inside 192.168.1.20 23 将当前接口的1212端口映射到内网192.168.1.20的23端口