思科NAT配置实例
思科路由实现内网访问Internet静态NAT
思科路由实现内⽹访问Internet静态NAT 内⽹访问Internet静态NAT1、实验⽬标在路由器上配置NAT2 、试验要求需要在CPE路由器上配置NAT。
内⽹PC0 10.1.1.1访问Internet源地址⽤172.16.1.2.10公⽹地址替换。
其他内⽹的计算机不能访问Internet。
3 、试验拓扑4 、实验过程:4.1 在路由器PCE上Router>enRouter#confi tRouter(config)#ip nat inside source static 10.1.1.1 172.16.12.10指定对应关系Router(config)#interface fastEthernet 0/1Router(config-if)#ip nat inside 指定NAT的内⽹接⼝Router(config-if)#exitRouter(config)#interface s0/0Router(config-if)#ip nat outside 指定NAT的外⽹接⼝Router#5 、验证5.1 在PC0上访问Server2的Web站点可以发现PC0能够访问Webserver2。
5.2 在PC1上Ping Server25.3 在Server2上查看会话表明内⽹的计算机访问Server2的Web站点时,源地址使⽤公⽹地址172.16.12.10替换了。
5.4 在路由器CPE上Router#show ip nat translationsRouter#debug ip nat 可以看到NAT转换IP NAT debugging is onRouter#NAT: s=10.1.1.1->172.16.12.10, d=172.16.23.2[0] NAT*: s=172.16.23.2, d=172.16.12.10->10.1.1.1[0] NAT: s=10.1.1.1->172.16.12.10, d=172.16.23.2[0] NAT: s=10.1.1.1->172.16.12.10, d=172.16.23.2[0] NAT*: s=172.16.23.2, d=172.16.12.10->10.1.1.1[0] NAT*: s=172.16.23.2, d=172.16.12.10->10.1.1.1[0] NAT: s=10.1.1.1->172.16.12.10, d=172.16.23.2[0] NAT: s=10.1.1.1->172.16.12.10, d=172.16.23.2[0] NAT*: s=172.16.23.2, d=172.16.12.10->10.1.1.1[0] NAT*: s=172.16.23.2, d=172.16.12.10->10.1.1.1[0]。
思科路由器PPPOE+NAT设置
ADSL 最常见的应用方式是用一台安装了 PPPoE 客户端软件的 PC 来拔号作代理服务 器,让多台主机同时访问 Internet。有的时候该 PC 的任务也可以用路由器来完成,最低 档的 2514 路由器就能胜任,只要路由器有两个以太端网口即可。当然,还需要有适当的 IOS 软件,同时支持 PPPoE Client 和 NAT 两个特性、需求最低的 IOS 是“REMOTE ACCESS SERVER”特性集。以 2621 为例,运行该 IOS 只需 32M 内存、8M Flash,文件 名为:c2600-c-mz.122-4.T1.bin ,这就是下面配置的运行环境。
no cdp enable ppp authentication pap callin ppp pap sent-username abc123@163 password 7 ********** ! ip nat inside source list 1 interface Dialer1 overload ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 permanent no ip http server ip pim bidir-enable ! access-list 1 permit any dialer-list 1 protocol ip permit ! line con 0 line aux 0 line vty 0 4 password ***** login ! end 在下行速度为 2M 的 ADSL 线路上,F0/0 上接只一台 PC,用蚂蚁下载测试时,峰值 速度竟超过 300K,不知道是不是蚂蚁有点夸大了。:-) 值得注意的 是有的地区需要用 chap 认证方式,这时相应的指令为:
思科配置——NAT和ACL
思科配置(NAT和ACL)实操1、看懂下面代码;2、把红色的重点代码写一遍R1(config)#interface f0/0R1(config-if)#no shutdownR1(config-if)#R1(config-if)#ip add 192.168.40.1 255.255.255.0R1(config-if)#exitR1(config)#interface f0/1R1(config-if)#no shutdownR1(config-if)#ip add 200.168.10.1 255.255.255.0R1(config-if)#R1(config-if)#exitR1(config)#router rip 动态路由配置R1(config-router)#network 192.168.40.0R1(config-router)#network 200.168.10.0R1(config-router)#exitR1(config)#line vty 0 4R1(config-line)#password 123R1(config-line)#loginR1(config-line)#exitR1(config)#enable password 123R1(config)#ip access-list extended NOtelnet 禁止外网远程登录R1(config-ext-nacl)#denyR1(config-ext-nacl)#deny tcp any any eq 23R1(config-ext-nacl)#permit ip any anyR1(config-ext-nacl)#exitR1(config)#interface f0/1R1(config-if)#ip access-group NOtelnet inR1(config)#ip nat inside source static 192.168.10.10 88.88.88.88 静态NATR1(config)#ip nat inside source static 192.168.10.20 99.99.99.99R1(config)#R1(config)#access-list 10 permit 192.168.30.0 0.0.0.255 动态NATR1(config)#ip nat pool XXB 110.110.110.110 110.110.110.210 netmask 255.255.255.0 R1(config)#ip nat inside source list 10 pool XXBR1(config)#R1(config)#access-list 20 permit 192.168.20.0 0.0.0.255 PATR1(config)#ip nat pool RSB 58.58.58.58 58.58.58.58 netmask 255.255.255.0R1(config)#ip nat inside source list 20 pool RSB overloadR1(config)#R1(config)#interface f0/0R1(config-if)#ip nat insideR1(config-if)#exitR1(config)#interface f0/1R1(config-if)#ip nat outside三层交换机(SW-3)代码如下:Switch>Switch>enSwitch#conf tSwitch(config)#hostname SW-3SW-3(config)#SW-3(config)#interface range f0/1-4SW-3(config-if-range)#no switchportSW-3(config-if-range)#SW-3(config-if-range)#exitSW-3(config)#SW-3(config)#interface f0/1SW-3(config-if)#ip address 192.168.10.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/2SW-3(config-if)#ip address 192.168.20.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/3SW-3(config-if)#ip address 192.168.30.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/4SW-3(config-if)#ip address 192.168.40.2 255.255.255.0 SW-3(config-if)#exitSW-3(config)#ip routingSW-3(config)#router ripSW-3(config-router)#network 192.168.10.0SW-3(config-router)#network 192.168.20.0SW-3(config-router)#network 192.168.30.0SW-3(config-router)#network 192.168.40.0SW-3(config-router)#exitSW-3(config)#SW-3(config)#ip access-list extended JFACL 信息部员工可以访问机房,人事部员不能访问机房SW-3(config-ext-nacl)#permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255SW-3(config-ext-nacl)#deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255SW-3(config-ext-nacl)#permit ip any anySW-3(config-ext-nacl)#exit、信息部员工不能访问外网,但可以访问机房;4、人事部员可以访问外网,但不能访问机房;SW-3(config)#interface f0/1SW-3(config-if)#ip access-group JFACL outSW-3(config-if)#exitSW-3(config)#SW-3(config)#ip access-list extended WWACL 人事部和信息部经理可以访问外网,信息部不能访问外网SW-3(config-ext-nacl)#permit ip 192.168.20.0 0.0.0.255 200.168.10.0 0.0.0.255SW-3(config-ext-nacl)#permit ip host 192.168.30.20 200.168.10.0 0.0.0.255SW-3(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 200.168.10.0 0.0.0.255 SW-3(config-ext-nacl)#permit ip any anySW-3(config-ext-nacl)#exitSW-3(config)#SW-3(config)#interface f0/4SW-3(config-if)#ip access-group WWACL out。
思科路由器如何配置NAT功能
思科路由器如何配置NAT功能很多网络技术上的新手,还不知道如何配置思科路由器的NAT功能。
不过没关系,看完小编这个文章应该对你帮助会很大。
那么接下来就让小编来教你如何配置思科路由器NAT功能吧。
首先,小编必须要介绍下什么是NAT。
NAT,英文全称为Network Address Translation,是指网络IP 地址转换。
NAT的出现是为了解决IP日益短缺的问题,将多个内部地址映射为少数几个甚至一个公网地址。
这样,就可以让我们内部网中的计算机通过伪IP访问INTERNET的资源。
如我们局域网中的192.168.1.1地址段属私网地址,就是通过NAT转换过来的。
NAT分为静态地址转换、动态地址转换、复用动态地址转换。
下面是小编将列出思科路由器NAT配置实例,希望对您有所帮助。
Current configuration:!version 12.0service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname 2611!enable secret 5 $JIeG$UZJNjKhcptJXHPc/BP5GG0enable password 2323ipro!ip subnet-zerono ip source-routeno ip finger!!!interface Ethernet0/0ip address 192.168.10.254 255.255.255.0 secondary ip address 218.27.84.249 255.255.255.248no ip directed-broadcastip accounting output-packetsno ip mroute-cacheno cdp enable!interface Serial0/0ip unnumbered Ethernet0/0no ip directed-broadcastip accounting output-packetsip nat outsideno ip mroute-cacheno fair-queueno cdp enable!interface Ethernet0/1ip address 192.168.2.254 255.255.255.0no ip directed-broadcastip nat insideno ip mroute-cacheno cdp enable!interface Virtual-T okenRing35no ip addressno ip directed-broadcastno ip mroute-cacheshutdownring-speed 16!router ripredistribute connectednetwork 192.168.2.0network 192.168.10.0network 218.27.84.0!ip default-gateway 218.27.127.217ip nat pool nat-pool 218.27.84.252 218.27.84.254 netmask 255.255.255.248ip nat inside source list 1 pool nat-pool overloadip nat inside source static 192.168.2.254 218.27.84.249ip classlessip route 0.0.0.0 0.0.0.0 Serial0/0ip http serverip http port 9091ip ospf name-lookup!ip access-list extended filterinpermit tcp any host 218.27.84.249 eq www reflect httpfilter access-list 1 permit 192.168.2.0 0.0.0.255no cdp run!line con 0transport input noneline aux 0line vty 0 4password routrlogin!end按照步骤敲完这些代码,那么你应该就会了解到如何配置思科路由器NAT功能了。
思科NAT配置实例
CISCONAT配置一、NAT简介NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。
在网络内部,各计算机间通过内部的IP地址进行通讯。
而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。
二、NAT 的应用环境:情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。
情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。
可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。
三、设置NAT所需路由器的硬件配置和软件配置:设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。
内部端口连接的网络用户使用的是内部IP地址。
内部端口可以为任意一个路由器端口。
外部端口连接的是外部的网络,如Internet 。
外部端口可以为路由器上的任意端口。
设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。
四、关于NAT的几个概念:内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。
内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。
需要申请才可取得的IP地址。
五、NAT的设置方法:NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。
1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。
cisco路由器nat配置
cisco路由器nat配置本文档涉及附件:1、NAT配置范例(附件1)2、Cisco路由器配置指南(附件2)本文所涉及的法律名词及注释:1、NAT:网络地质转换,是一种将私有IP地质转换为公有IP 地质的技术。
它允许私有网络中的多个设备共享一个公有IP地质,并通过在数据包中修改IP地质和端口号来实现通信。
2、Cisco路由器:Cisco公司生产的网络设备,用于在计算机网络中转发数据包。
3、IP地质:Internet Protocol Address的缩写,是互联网上每一个设备的唯一标识。
4、公有IP地质:用于公共互联网上的网络设备的IP地质,由互联网服务提供商分配。
5、私有IP地质:用于局域网内部设备的IP地质,根据RFC 1918标准规定为以下三个范围.10:0:0:0 - 10.255.255.255,172.16:0:0 - 172.31.255.255,192.168:0:0 -192.168.255.255:6、端口号:在计算机网络中,用于标识不同应用程序或服务的数字。
端口号范围从0到65535:7、ACL:访问控制列表(Access Control List)是一种网络安全机制,用于限制或允许网络流量通过网络设备。
它基于规则集对数据包进行过滤和重定向。
8、PAT:端口地质转换(Port Address Translation)是一种NAT技术,用于将多个私有IP地质映射到一个公有IP地质。
它通过修改数据包中的IP地质和端口号来实现。
9、NAT池:一组可用于NAT转换的公有IP地质。
10、NAT超时:NAT超时是指在NAT转换表中保留NAT会话的时间。
一旦超时时间到达,相应的NAT转换将被删除。
11、Source NAT:源地质转换(Source Network Address Translation)操作将源IP地质和端口号更改为公有IP地质和端口号。
12、Destination NAT:目的地质转换(Destination Network Address Translation)操作将目的IP地质和端口号更改为私有IP 地质和端口号。
思科交换机NAT配置介绍及实例
思科交换机NAT配置介绍及实例思科交换机(Cisco Switch)是企业级网络设备中最常用的一种。
与传统的路由器不同,交换机主要用于在局域网(LAN)内部提供数据包的转发和过滤功能。
然而,在一些情况下,我们可能需要使用交换机进行网络地址转换(NAT)来实现特定的网络部署需求。
本文将介绍思科交换机的NAT配置方法,并提供实例说明。
1.NAT概述网络地址转换(NAT)是一种在不同网络之间转换IP地址的技术。
它主要用于解决IPv4地址空间的短缺问题,并允许多个主机通过一个公网IP地址来访问互联网。
NAT实现了将内部网络地址与外部IP地址之间进行映射,使得内部主机可以通过共享公网IP地址来与外部网络进行通信。
2.NAT配置方法在思科交换机上配置NAT通常涉及以下步骤:步骤1:创建访问控制列表(ACL)访问控制列表(Access Control List)用于定义需要进行NAT转换的数据包。
我们可以根据源地址、目标地址、端口等条件来配置ACL,以确定哪些数据包需要进行NAT转换。
例如,下面是一条配置ACL的命令示例:access-list 10 permit 192.168.1.0 0.0.0.255该命令表示允许192.168.1.0/24网段的内部主机进行NAT转换。
步骤2:创建NAT池NAT池用于定义可以被映射到的公网IP地址范围。
我们可以通过配置交换机的外部接口和NAT池来设置NAT转换的目标IP地址。
例如,下面是一条配置NAT池的命令示例:ip nat pool NAT_POOL 203.0.113.1 203.0.113.10 netmask255.255.255.0该命令表示创建一个名为NAT_POOL的NAT池,其中可用的IP地址范围为203.0.113.1至203.0.113.10。
步骤3:创建NAT规则NAT规则用于将内部网络的私有IP地址映射到NAT池的公网IP地址。
我们可以通过配置NAT类型(静态/动态)、内部地址、外部地址等参数来创建NAT规则。
思科网络技术实验12:在NAT中使用Access List 和Route Maps
实验 1-2:在 NAT 中使用 Access List 和 Route Maps【实验目的】:在本次实验中,你需要使用网络地址转换(NAT )去允许内网路由器(PxR3和PxR4)从TFTP 服务器卜载 配置文件为了完成本次实验,你需要完成卜列任务:建立在NAT 中需要使用的访问控制列表在NAT 中使用ROUTE-MAPS 执行分开的并发地址转换。
连接到内部路由器到TFTP 服务器或者在边界路由器使用适当的地址转换 为内部路由器卜.载配置文件 【实验拓扑】:NAT Using Access Lists and Route MapsO一<0一S【命令列表】: 命令描述(config-iDttaccess-Iist IOO permit ip 10. 1. x. 0 0. 0. 0. 255 指定需要NAT 的流量内容 Clear ip nat translation *清除XAT 表中的所有地址转换Debug ip nat detail即时跟踪调试∖AT 信息CiscocomNATtOl 92【实验帮助】:如果出现任何问题,可以向在值的辅导老师提出并请求提供帮助。
【任务一】X连接到内部路由器PxR3和PxR4使用TELNET或者其他终端程序建立与路由器建立联接。
记住在本实验中X是你的机架编号,y是你的路由器编号。
实验过程:第一步:连接路由器(PXRl和PXR2)。
你的路由器现在应该没有任何配置。
如果有,请使用erase start 命令删除配置,并使用reload命令重启路由器。
第二步:连接到你的内部路由器(PxR3和PXR4)。
激活并分配IP地址到Eo接口。
路由器PxR3的Eo 口的IP地址应该是10. X. 1. 3/24,路由器PxRd的EO 口的IP地址应该是10. x. 1.4/24.第三步:路由器PxRl的EO I=J IP地址为10. X. 1. 1路由器PxR2的EO 口IP地址为10. x. 2. 2。
思科路由器配置命令详解及实例
思科路由器配置命令详解及实例思科路由器配置命令详解及实例一、路由器基本配置1.1 登录路由器为了配置和管理思科路由器,您需要登录到路由器的控制台或通过远程登录方式。
使用以下命令登录路由器,并进行必要的身份验证:```Router> enableRouterconfigure terminalEnter configuration commands, one per line: End with TL/Z:Router(config)hostname [路由器名称]Router(config)enable secret [密码]Router(config)line console 0Router(config-line)password [密码]Router(config-line)logging synchronousRouter(config-line)exitRouter(config)line vty 0 4Router(config-line)password [密码]Router(config-line)logging synchronous```1.2 配置接口接下来,您需要配置路由器的接口,以便与其他网络设备进行通信。
使用以下命令配置接口:```Router(config)interface [接口类型] [接口编号]Router(config-if)ip address [IP地址] [子网掩码]Router(config-if)no shutdownRouter(config-if)exit```二、路由配置2.1 静态路由静态路由是手动配置的路由项,将特定的网络目的地与下一跳路由器关联起来。
以下是配置静态路由的示例命令:```Router(config)ip route [目的网络] [子网掩码] [下一跳地址]```2.2 动态路由动态路由是通过路由协议动态学习并自动更新的路由项。
运维之思科篇——NAT基础配置
运维之思科篇——NAT基础配置⼀、 NAT(⽹络地址转换)1、作⽤:通过将内部⽹络的私有IP地址翻译成全球唯⼀的公⽹IP地址,使内部⽹络可以连接到互联⽹等外部⽹络上。
2、优点:节省公有合法IP地址处理地址重叠增强灵活性安全性3、NAT的缺点延迟增⼤配置和维护的复杂性不⽀持某些应⽤,可以通过静态NAT映射来避免4、NAT实现⽅式1)静态转换IP地址的对应关系是⼀对⼀,⽽且是不变的,借助静态转换,能实现外部⽹络对内部⽹络中某些特设定服务器的访问。
静态NAT配置:配置接⼝IP及路由全局:Ip nat inside source static 192.168.1.1 61.159.62.131在内外接⼝上启⽤NAT:进⼊出⼝配置:ip nat outside进⼊⼊⼝配置:ip nat inside端⼝映射:ip nat inside source static tcp 192.168.1.6 80 61.159.62.133 802)动态转换IP地址的对应关系是不确定的,⽽是随机的,所有被授权访问互联⽹的私有地址可随机转换为任何指定的合法的外部IP地址。
(内部⽹络同时访问Internet的主机数少于配置的合法地址中的IP个数时适⽤)动态NAT的配置:1.全局:access-list 1 permit 192.168.1.0 0.0.0.2552.全局:ip nat pool nsd 210.13.114.113 210.13.114.118 netmask 255.255.255.248(定义地址池名称为nsd,地址池IP范围210.13.114.113 到210.13.114.118)3.全局:ip nat inside source list 1 pool nsd4.进⼊出⼝配置:ip nat outside进⼊⼊⼝配置:ip nat inside动态转换NAT配置步骤:1.配置ACL,⽤于限定可以做地址转换的内⽹范围2.配置电信给予的地址池3.设置ACL和地址池的映射关系,匹配做地址转换的数据流4.指定内外部接⼝3)端⼝多路复⽤(PAT)通过改变外出数据包的源IP地址和源端⼝并进⾏端⼝转换,内部⽹络的所有主机均可共享⼀个合法IP地址实现互联⽹的访问,节约IP。
NAT详解及CISCO路由器上的实现方法
NAT详解及CISCO路由器上的实现方法NAT(Network Address Translation)是一种网络协议,用于将私有IP地址转换为公共IP地址,以实现内部网络与外部网络的互联。
NAT的原理是通过在路由器或防火墙中进行IP地址转换,将内部网络的私有IP地址与公共IP地址进行映射。
这样,内部网络的用户可以通过公共IP地址访问互联网,而对外部网络来说,只能看到路由器的公共IP地址,无法直接访问内部网络的私有IP地址,从而提高了网络的安全性。
在CISCO路由器上,可以通过以下步骤实现NAT:1.确定内部网络和外部网络的接口:在CISCO路由器上,需要为内部和外部网络分配两个不同的接口。
内部网络通常是一个局域网,外部网络通常是连接到互联网的广域网接口。
2. 创建ACL(Access Control List):创建一个ACL,用于定义需要进行NAT转换的内部网络地址范围。
3.创建NAT池:创建一个NAT池,用于分配公共IP地址给内部网络的私有IP地址。
4.创建NAT转换规则:设置NAT转换规则,将内部网络的私有IP地址映射到NAT池中的公共IP地址。
5.将ACL与NAT转换规则绑定:将ACL与NAT转换规则进行绑定,以确保只有满足ACL条件的数据包才会进行NAT转换。
6.应用配置:最后,将配置应用到路由器上,使其生效。
下面是一个详细的例子,展示如何在CISCO路由器上配置NAT:```interface GigabitEthernet0/0ip address 192.168.10.1 255.255.255.0ip nat insideinterface GigabitEthernet0/1ip address 203.0.113.1 255.255.255.0ip nat outsideaccess-list 1 permit 192.168.10.0 0.0.0.255ip nat pool NATPOOL 203.0.113.5 203.0.113.10 netmask255.255.255.0ip nat inside source list 1 pool NATPOOL overload```在上述配置中,GigabitEthernet0/0接口为内部网络接口,GigabitEthernet0/1接口为外部网络接口。
思科三层交换机VLAN+NAT+静态路由(已经修改过的)
一台思科三层交换机划分两个VLAN 其中VLAN2 IP地址为 192.168.1.1 子网掩码 255.255.255.0 另外一个VLAN3 IP地址为 192.168.2.1 子网掩码255.255.255.0 三层交换机的F0/2接口绑定到VLAN2中而三层交换机F0/3口绑定到对应的VLAN3中而三层交换机F0/2口下面连了一台思科的二层交换机的F0/1口而三层交换机F0/3口下面也连了一台思科二层交换机F0/1口 F0/2口下面连的二层交换机所有的24个端口都养绑定到VLAN2里面而F0/3口下面的二层交换机所有的24个端口都养绑定到VLAN3里面,当然要求两台交换机都要能够互相PING通对方!同时也要求三层交换机和二层交换机全部都要开启telnet功能方便以后通过电脑可以远程管理交换机!同时思科三层交换机的F0/1口还连着一台思科路由器!思科路由器做NAT 和端口映射!要求二层交换机连着的那些电脑都能够通过这台思科路由器上因特网,并且服务器通过端口映射可以让因特网的电脑访问到这些服务器具体网络拓扑结构如下图首先在三层交换机上做如下操作!C3550>enableC3550#vlan databaseC3550(vlan)#vlan 2C3550(vlan)#vlan 3C3550(vlan)#exitC3550#conf tC3550(config)#int f0/2C3550(config-if)#switchport mode accessC3550(config-if)#switchport access vlan 2C3550(config-if)#no shut downC3550(config-if)#int f0/3C3550(config-if)#switchport mode accessC3550(config-if)#switchport access vlan 3C3550(config-if)#no shut downC3550(config-if)#exitC3550(config)#int vlan 2C3550(config-if)#ip address 192.168.1.1 255.255.255.0 C3550(config-if)#int vlan 3C3550(config-if)#ip address 192.168.2.1 255.255.255.0 C3550(config-if)#exitC3550(config)#ip routingC3550(config)#endC3550(config)#int f0/2C3550(config-if)#switchport mode trunkC3550(config-if)#switchport trunk encapsulation dot1q C3550(config-if)#switchport trunk allowed vlan allC3550(config)#int f0/3C3550(config-if)#switchport mode trunkC3550(config-if)#switchport trunk encapsulation dot1q C3550(config-if)#switchport trunk allowed vlan allC3550#vlan databaseC3550(vlan)#vtp serverC3550(vlan)#vtp domain ntC3550(vlan)#vtp password 123C3550(vlan)#exitC3550#conf tC3550 (config)#line vty 0 4C3550 (config-line)#password 123C3550 (config-line)#loginC3550 (config-line)#exitC3550#copy running-config startup-config然后在二层交换机上做如下操作C2900>enableC2900#vlan databaseC2900(vlan)#vtp clientC2900(vlan)#vtp domain ntC2900(vlan)#vtp password 123C2900(vlan)#exitC2900#config tC2900(config)#int f0/1C2900(config-if)#switchport mode trunkC2900(config-if)#switchport trunk encapsulation dot1q C2900(config-if)#switchport trunk allowed vlan allC2900(config-if)#no shut downC2900(config)#int range f0/2 -24C2900(config-if)#switchport mode accessC2900(config-if)#switchport access vlan 2C2900(config-if)#exitC2900(config)#int vlan 2C2900(config-if)#ip address 192.168.1.200 255.255.255.0 C2900(config-if)#ip default-gateway 192.168.1.1C2900(config)#line vty 0 4C2900 (config-line)#password 123C2900 (config-line)#loginC2900 (config-line)#exitC2900#copy running-config startup-config在另外一台二层交换机上做如下操作C2900>enableC2900#vlan databaseC2900(vlan)#vtp clientC2900(vlan)#vtp domain ntC2900(vlan)#vtp password 123C2900(vlan)#exitC2900#config tC2900(config)#int f0/1C2900(config-if)#switchport mode trunkC2900(config-if)#switchport trunk encapsulation dot1qC2900(config-if)#switchport trunk allowed vlan allC2900(config-if)#no shut downC2900(config)#int range f0/2 -24C2900(config-if)#switchport mode accessC2900(config-if)#switchport access vlan 3C2900(config-if)#no shut downC2900(config-if)#exitC2900(config)#int vlan 3C2900(config-if)#ip address 192.168.2.200 255.255.255.0 C2900(config-if)#ip default-gateway 192.168.2.1C2900(config)#line vty 0 4C2900 (config-line)#password 123C2900 (config-line)#loginC2900 (config-line)#exitC2900#copy running-config startup-config接着再回到三层交换机上做如下操作C3550>enableC3550#conf tC3550(config)#int f0/1C3550(config)#no switchportC3550(config-if)#ip address 192.168.3.1 255.255.255.0C3550(config-if)#exitC3550#copy running-config startup-config接着到路由器上做如下操作(假设找ISP申请了三个外网IP地址 202.99.96.63 202.99.96.64 202.99.96.65 子网掩码255.255.255.248 统一用202.99.96.63这个外网IP上因特网R1>enableR1#config tR1(config)#int f0/0R1(config-if)#ip address 192.168.3.2 255.255.255.0R1(config-if)#ip nat insideR1(config-if)#no shut downR1(config-if)#exitR1(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1R1(config)int s0/0R1(config-if)#ip address 202.99.96.63 255.255.255.248R1(config-if)#no shut downR1(config-if)#ip nat outsideR1(config-if)#exitR1(config)#ip nat pool nt 202.99.96.63 202.99.96.65R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255R1(config)#access-list 2 permit 192.168.2.0 0.0.0.255R1(config)#access-list 3 permit 192.168.3.0 0.0.0.255R1(config)#ip nat inside source list 1 pool nt overloadR1(config)#ip nat inside source list 2 pool nt overloadR1(config)#ip nat inside source list 3 pool nt overloadR1(config)#ip route 0.0.0.0 0.0.0.0 s0/0R1(config)#line vty 0 4R1 (config-line)#password 123R1 (config-line)#loginR1(config-line)#exit此外局域网中还有一个80端口的WEB服务器还有一个21端口的FTP服务器需要把这两个服务器做端口映射映射到因特网上!R1(config)#ip nat inside source static tcp 192.168.1.200 80202.99.96.63 80R1(config)#ip nat inside source static tcp 192.168.1.201 21202.99.96.63 21R1(config)#exitR1#copy running-config startup-config最后回到三层交换机做一下操作C3550 (config)#ip route 0.0.0.0 0.0.0.0 192.168.3.2C3550#copy running-config startup-config所有的操作都已经完成了!以上所有的操作都是本人自己总结的!也是自己写的!请问我完成了以上的那些操作之后是否可以达到我刚开始说的那些要求!如果可以达到我刚开始说的那些要求的话请说出为什么能达到!没有命令是错误的?如果不可以达到我刚开始说的那些要求的话请说出为什么不能达到!请问还有哪些命令是错误的呢?请写出具体正确的命令!谢谢!Inter vlan 2Ip address 192.168.1.200 255.255.255.0Ip default-gateway 192.168.1.1Inter vlan 3Ip address 192.168.2.200 255.255.255.0Ip default-gateway 192.168.2.1。
cisco路由器nat配置(参考内容)
NAT包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。
静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址;动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络;端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。
根据不同的需要,选择相应的NAT技术类型。
一般我们实际工作中都使用复用NAT,即复用断口NAT,也叫PNAT,所以掌握最后配置就可以了。
静态NAT配置步骤:首先,配置各接口的IP地址。
内网使用私有IP.外网使用公网IP.并指定其属于内外接口。
其次,定义静态建立IP地址之间的静态映射。
最后,指定其默认路由。
Router>en (进入特权模式)Router#config (进入全局配置模式)Configuring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.Router(config)#ho R3 (命名为R3)R3(config)#no ip domain-lo(关闭域名查询,在实验环境中,敲入错误的命令,它将进行域名查询,故关闭他)R3(config)#line c 0 (进入线路CONSOLE接口0下)R3(config-line)#logg syn (启用光标跟随,防止日志信息冲断命令显示的位置)R3(config-line)#exec-t 0 0 (防止超时,0 0 为永不超时)R3(config-line)#exitR3(config)#int e0 (进入以太网接口下)R3(config-if)#ip add 192.168.1.1 255.255.255.0 (设置IP地址)R3(config-if)#ip nat inside (设置为内部接口)R3(config-if)#no shutR3(config-if)#exitR3(config)#int ser1 (进入串口下)R3(config-if)#ip add 100.0.0.1 255.255.255.0R3(config-if)#no shutR3(config-if)#ip nat outside (设置为外部接口)R3(config-if)#exitR3(config)#ip nat inside source static 191.168.1.1 100.0.0.1(设置静态转换,其中ip nat inside source 为NAT转换关键字,这里是静态,故为STATIC)R3(config)#ip classlessR3(config)#ip route 0.0.0.0 0.0.0.0 s0(这里是出口或者下一跳地址)R3(config)#exit动态NAT配置步骤:首先,配置各需要转换的接口的IP,设置内外网IP等。
思科NAT配置实例
CISCONAT配置一、NAT简介NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。
在网络内部,各计算机间通过内部的IP地址进行通讯。
而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。
二、NAT 的应用环境:情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。
情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。
可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。
三、设置NAT所需路由器的硬件配置和软件配置:设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。
内部端口连接的网络用户使用的是内部IP地址。
内部端口可以为任意一个路由器端口。
外部端口连接的是外部的网络,如Internet 。
外部端口可以为路由器上的任意端口。
设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。
四、关于NAT的几个概念:内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。
内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。
需要申请才可取得的IP地址。
五、NAT的设置方法:NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。
1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。
CiscoNAT详细实验
NAT实验一.实验拓扑结构图二.IP地址规划PC0——192.168.10.10 默认网关——192.168.10.254PC1——202.20.20.10 默认网关——202.20.20.254Router0:Fa0/0——192.168.10.254 S1/0——202.10.10.10 Router1:Fa0/0——202.20.20.254 S1/0——202.10.10.20地址池:202.30.30.1——202.30.30.30 name changsha 三.配置过程1.Router0的配置:Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#int fa0/0Router(config-if)#ip address 192.168.10.254 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#int s1/0Router(config-if)#ip address 202.10.10.10 255.255.255.0Router(config-if)#clock rate 9600Router(config-if)#no shut2.Router1的配置Router(config)#int fa0/0Router(config-if)#ip add 202.20.20.254 255.255.255.0Router(config-if)#no shutRouter(config-if)#int s1/0Router(config-if)#ip add 202.10.10.20 255.255.255.0Router(config-if)#no shut3.Router0配置NA T转换Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255Router(config)#ip nat pool network 202.30.30.1 202.30.30.30 netmask 255.255.255.0 Router(config)#ip nat inside source list 1 pool networkRouter(config)#int fa0/0Router(config-if)#ip nat insideRouter(config-if)#int s1/0Router(config-if)#ip nat outside4.Router0配置静态路由Router(config)#ip route 202.20.20.0 255.255.255.0 202.10.10.205.Router1配置静态路由Router(config)#ip route 202.30.30.0 255.255.255.0 202.10.10.106.实验测试(1)在PC0上输入ping指令PC>ping 202.20.20.10Pinging 202.20.20.10 with 32 bytes of data:Reply from 202.20.20.10: bytes=32 time=156ms TTL=126Reply from 202.20.20.10: bytes=32 time=156ms TTL=126Reply from 202.20.20.10: bytes=32 time=156ms TTL=126Reply from 202.20.20.10: bytes=32 time=156ms TTL=126 (2)在Router0中输入测试指令Router#debug ip natIP NAT debugging is onRouter#NA T: s=192.168.10.10->202.30.30.1, d=202.20.20.10 [13] NA T*: s=202.20.20.10, d=202.30.30.1->192.168.10.10 [4] NA T: s=192.168.10.10->202.30.30.1, d=202.20.20.10 [14] NA T*: s=202.20.20.10, d=202.30.30.1->192.168.10.10 [5] NA T: s=192.168.10.10->202.30.30.1, d=202.20.20.10 [15] NA T*: s=202.20.20.10, d=202.30.30.1->192.168.10.10 [6] NA T: s=192.168.10.10->202.30.30.1, d=202.20.20.10 [16] NA T*: s=202.20.20.10, d=202.30.30.1->192.168.10.10 [7]。
cisco路由器nat配置
NAT配置NA T配置在讨论NAT配置之前,来看一看目前我们介入Internet所遇到的地址分配问题.由于Internet 用户数目迅速膨胀,因此,地址分配越来越紧张,绝大多数需要接入Internet的企业网络往往会遇到这种情况:只申请到十几个或几十个合法IP地址,但是他们的网络用户却有几百个.为了解决Internet IP地址紧张的问题,出现了几种解决办法,NAT(Network Address Translation)即地址转换是其中的一种解决办法,而且已经被广泛使用.所谓的NAT是首先在RFC 1631中定义的,根据某种策略改变IP数据包报头及应用数据流中的源地址或目的地址的一种技术.一.采用NAT的好处•可以实现私用地址(即为进行过登记的IP地址)和合法IP地址之间的转换,不需要大量的合法IP地址•可以实现地址复用,即多个地址转换为同一个地址•通过NAT技术可以屏蔽网络内部的IP地址,增加网络的安全性二.NAT 应用NAT 有以下几种主要的应用1.连接公用IP网络,如Internet,通过NAT可以将转发到公用网络的IP数据包的本地私用IP源地址转换为合法的IP源地址,并且可以通过地址复用节省大量合法IP地址同时屏蔽私用网络2.在进行网络改造时,为了避免改变原有的IP地址分配,采用NAT技术,减少工作量3.通过一个全局IP地址与多个本地地址的对应,采用NAT 技术,实现TCP负载均衡三.关于Cisco 路由器上NAT的几个术语NAT内部端口(Inside Interface)连接内部网络的路由器物理或逻辑的启用了IP协议栈端口NAT外部端口(Outside Interface)连接外部网络,通常为公用IP网络如Internet,路由器的物理或逻辑的启用了IP协议栈端口内部本地地址(Inside local address)内部网络分配给特定用户计算机的内部私用IP地址,该地址很可能为没有在ISP或Internet 管理部门的IP地址.内部全局地址(Inside global address)在Internet管理部门或ISP登记的合法IP地址,该地址代表一个或多个内部本地地址,对于外部连接到同一个IP公用网络的用户来说,他们只能访问到该合法IP地址,即内部全局地址.外部本地地址(Outside local address)在内部网络用户看来的进入到内部网络的外部网络用户的IP 地址.该地址不必为合法IP 地址 外部全局地址(Outside global address)在Internet 或ISP 公用网络上所看到的外部网络用户的IP 地址这里我们举例来说明这几个术语这里,路由器的e0端口连接内部网络,为内部端口;S0连接外部的Internet,为外部端口.PC1为内部网络的一台计算机,它的内部本地地址为1.1.1.10,没有在Internet 管理部门登记,PC1与内部网络其他计算机进行通信时,使用10.1.1.10.在Internet 上有一个计算机PC2,它的IP 地址为合法IP 地址,即已经在Internet 管理部门登记了的IP 地址,该地址在内部网络用户PC1看来为PC2的外部全局地址.如果不采用NAT 技术,PC1如何与外界通信呢?通信是建立不起来的,一般情况下,PC1可以将数据包发往外部网络,但是,外部网络无法将数据包发送回1.1.1.10,因为,PC1采用非法IP 地址,外部网络将数据包发送到了合法的拥有1.1.1.10的计算机上,(如果它开机的话).这里,采用NAT 技术,当PC1与外部网络进行数据通信时,路由器R1将用合法IP 地址192.1.1.10替换数据包中的源地址1.1.1.10,然后将数据包转发出去,而外部网络只能看到192.1.1.10为PC1的合法IP 地址.这里192.1.1.10为PC1的内部全局地址.我们再看一下PC2如何与PC1通信,如果不采用NAT 技术,他们根本无法通信,因为,一般情况下,由于PC1的内部本地地址与PC2的外部全局地址在同一网段,因此,PC1不会将数据包转发到路由器R1上,因此,在路由器R1上采用NAT 技术,将进入到内部网的数据包的PC2的外部全局地址转换为10.1.1.100,则10.1.1.100为PC2的外部本地地址,由PC1返回到PC2的数据经过路由器R1时,R1会将10.1.1.100转换回1.1.1.100,再转发出去.四.以上例子向我们提出了一个问题,即地址冲突问题,原则上,内部网络可以用IP 协议中规定的任何有效的IP 地址,但是采用与合法IP 地址重复的IP 地址,将增加很多不必要的麻烦,因此,建议采用以下网段进行内部网络地址分配,这些网段已经在RFC 1981规定,在Internet 上无人使用的IP 网段A 类 10.0.0.0-10.255.255.255B 类172.16.0.0-172.31.255.255C类192.168.0.0-192.168.255.255 五.Cisco路由器NAT所支持的应用类型:六.支持NAT的IOS及Cisco产品情况七.NAT 的主要配置方法:1 静态地址转换将指定好的内部或外部本地地址与内部或外部全局地址进行一对一的明确转换.该种方法主要用在内部网络有对外提供服务的服务器,如邮件服务器.但是该种办法不会节省合法IP地址空间,如果某个合法IP地址已经被NAT静态地址转换定义,即使该地址没有被使用,也不能被用作其他的地址转换2 动态地址转换将内部本地地址动态地转换为在一段地址池的某一个未被用过的内部全局地址,该地址为由未被使用的地址组成的地址池中在定义时排在最前面的一个,在数据传输完毕,路由器将把使用完的内部全局地址放回地址池中,以供其他内部本地地址进行转换,但在该地址在使用时,不能使用该地址进行再一次转换3 端口地址转换(PAT)所谓的端口地址转换,从功能上说通过它可以实现多个不同本地地址或具有相同本地地址但具有不同应用端口号的通信进程同时使用一个地址进行转换进行同时通信.Cisco 路由器可以实现大约同时4000个PAT转换4 基于路由图(ROUTE-MAP)的NAT配置八.NAT具体配置步骤1 在端口配置状态下,定义内部端口ip nat inside2 在端口配置状态下,定义外部端口ip nat outside3 定义NAT策略哪些内部本地地址需要转换转换成哪些内部全局地址哪些外部全局地址需要转换转换成哪些外部本地地址所有NAT配置方法都有相同的步骤1和2,只有在定义NAT策略时不同.下面分别举例介绍几种NAT的配置方法:1 静态NAT地址转换配置如下图,其中在R3上有2个loopback端口,地址分别为loopback0:10.1.2.1/32,loopback1:10.1.2.2/32R2作为外部网络的路由器,R1的E0连接内部网络,要求将地址10.1.1.10静态转换为192.1.1.10,10.1.1.212静态转换为192.1.1.212,10.1.2.1静态转换为192.1.3.1,10.1.2.2静态转换为1.1静态地址转换策略定义步骤在全局配置状态下ip nat inside source static 内部本地地址内部全局地址ip nat 关键字inside 关键字,表示对内部地址进行转换source 关键字,表示对源地址进行转换static 关键字,表示进行静态转换1.2 R1具体配置version 11.3!hostname R1ip nat inside source static 10.1.2.2 192.1.3.2!定义将10.1.2.2静态转换为192.1.3.2ip nat inside source static 10.1.2.1 192.1.3.1!定义将10.1.2.1静态转换为192.1.3.1ip nat inside source static 10.1.1.10 192.1.1.100!定义将10.1.1.10静态转换为192.1.1.100ip nat inside source static 10.1.1.212 192.1.1.212!定义将10.1.1.212静态转换为192.1.1.212interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!定义该端口为内部端口interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outside!定义该端口为外部端口clockrate 2000000!ip classlessip route 10.1.2.0 255.255.255.0 10.1.1.10!定义指向10.1.2.0网段的静态路由ip route 192.1.0.0 255.255.0.0 192.1.1.2!定义指向192.1.0.0网段的静态路由,该路由为聚合路由R3的具体配置version 11.3!hostname R3!interface Loopback0ip address 10.1.2.1 255.255.255.255!定义该端口,主要是模拟一台IP地址为10.1.2.1的计算机interface Loopback1ip address 10.1.2.2 255.255.255.255!interface Ethernet0ip address 10.1.1.10 255.255.255.0ip classlessip route 0.0.0.0 0.0.0.0 10.1.1.1!定义缺省路由,将所有去到其他网段的数据包均转发给10.1.1.1R2的具体配置version 11.3hostname R2!interface Loopback0ip address 192.1.2.1 255.255.255.0!interface Serial0ip address 192.1.1.2 255.255.255.0ip classlessip route 192.1.3.0 255.255.255.0 192.1.1.1!定义指向192.1.3.0网段的静态路由,指向192.1.1.1即R1,在定义NAT时,需要有指向NAT转换后!的地址的路由1.3检查手段:1 我们首先可以采用show命令进行检查是否NAT定义正确采用show ip nat translations verbose可以看到当前正在进行的NAT的具体情况R1#show ip nat translations verbosePro Inside global Inside local Outside local Outside global (内部全局地址) (内部本地地址) (外部本地地址) (外部全局地址) --- 192.1.1.100 10.1.1.10 --- ---(表示没有转换)create 00:42:43, use 00:01:53, flags: static表示建立了多长时间,已经累计用了多长时间,flag后为转换类型,此处表示为静态转换--- 192.1.1.212 10.1.1.212 --- --- create 00:42:43, use 00:42:43, flags: static--- 192.1.3.1 10.1.2.1 --- --- create 00:31:47, use 00:31:47, flags: static--- 192.1.3.2 10.1.2.2 --- --- create 00:31:29, use 00:31:29, flags: static采用show ip nat statistics可以检查NAT运行情况R1#show ip nat statisticsTotal active translations: 4 (4 static, 0 dynamic; 0 extended)!表示共有4个激活的地址转换,4个静态转换,0个动态转换,0个扩展的转换Outside interfaces:Serial0!表示外部端口为Serial0Inside interfaces:Ethernet0!表示内部端口为Ethernet0Hits: 264 Misses: 0!表示共有264次转换成功,0次失败Expired translations: 0Dynamic mappings:2 我们也可以采用debug命令实时监控NAT工作情况R1#debug ip nat detailedIP NAT detailed debugging is on我们在R3上采用扩展的PING,从10.1.2.1 PING 192.1.1.1R3#pingProtocol [ip]:Target IP address: 192.1.1.1Repeat count [5]: 100000Datagram size [100]: 1000Timeout in seconds [2]:Extended commands [n]: ySource address or interface: 10.1.2.1R1#debug ip nat detailed04:32:47: NAT: i: icmp (10.1.2.1, 14883) -> (192.1.1.1, 14883) [13036]!R1在Ethernet 0端口接收从10.1.1.10转发过来的IP数据包,源地址为10.1.2.1,目的地址!为192.1.1.1,数据包为ICMP类型,PING由ICMP ECHO 及ECHO-REPLY 类型实现04:32:47: NAT: o: icmp (192.1.1.1, 14883) -> (192.1.3.1, 14883) [13036]!R1将10.1.2.1静态转换为192.1.3.1,因此,192.1.1.1发送的ECHO-REPLY数据包的目的地址!为192.1.3.11.4 这里,我们在R1,R2,R3上采用静态路由,也可以采用动态路由,但是需要注意一个问题:因为采用了NAT地址转换,内部本地地址对外部网络来说是不可见的,在绝大多数情况下,内部本地地址为非法地址,因此,内部本地地址不能广播到外部网络中,因此需要采用路由过滤.如上面的配置改成动态路由,不只是静态NAT,所有NAT转换都会碰到这个问题.采用NAT的路由器的路由广播基于以下原则,对于需要转换的内部本地地址,禁止广播出去,对于不需要转换的地址且这些地址需要与外部网络进行通信,外部网络需要知道到达这些地址的路由,即如果用动态路由,需要将这些地址网段广播出去.R1的配置如下version 11.3hostname R1!ip nat inside source static 10.1.2.2 192.1.3.2ip nat inside source static 10.1.2.1 192.1.3.1ip nat inside source static 10.1.1.10 192.1.1.100ip nat inside source static 10.1.1.212 192.1.1.212!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!router ripredistribute static!将ip route 192.1.3.0 255.255.255.0 Null0定义的静态路由重定向到RIP中并由RIP广播出去,!由于RIP只把从其他路由器学到的路由及正常工作的物理及逻辑端口的IP网段广播出去,RIP不会!把没有端口的192.1.3.0这个网段加到路由表中广播出去,因此,采用重定向技术,将静态路由加!入到RIP路由表中network 10.0.0.0network 192.1.1.0distribute-list 1 out!引用包过滤规则1,对于目的地址网段符合包过滤规则1的路由,将禁止广播出去distribute-list 1 in! 引用包过滤规则1,对于接收道德目的地址网段符合包过滤规则1的路由,将删掉ip classlessip route 192.1.3.0 255.255.255.0 Null0!该静态路由将下一跳地址指向Null0端口,表示对于发往192.1.3.0网段的数据包,本路由器将丢掉!其实,该路由并无实际路由作用,它只是指明有192.1.3.0这个网段,以供RIP广播出去.该路由器!接收到去192.1.3.0网段的数据包,首先要进行NAT转换,然后才进行路由查找.access-list 1 deny 10.0.0.0access-list 1 permit any!定义包过滤表1,表示10.0.0.0网段将丢掉,其他网段允许通过,该过滤表供RIP过滤使用1.5 静态地址转换适用环境●当与IP公用网进行连接时,有需要对外部网络提供服务的计算机,而且该计算机放在内部网络中,必须采用静态地址转换●需要针对于IP地址进行记费2 动态地址转换具体配置具体配置步骤地址转换策略配置步骤2.1 在全局配置状态下,定义标准包过滤,包过滤表中包含有允许进行地址转换的内部本地地址access-list 包过滤序号[permit|deny] 内部本地地址集合2.2 在全局配置状态下,定义内部全局地址所组成的地址池ip nat pool 地址池名字字符串起始IP地址终止IP地址netmask 子网掩码ip nat pool 关键字netmask 关键字2.3 在全局配置状态下,将包过滤定义的内部本地地址与由内部全局地址组成的地址池相关连,表示按照定义的先后顺序将内部本地地址依次与内部本地地址进行一一映射,进行地址转换ip nat inside source list 由2.1.1步骤定义的包过滤序号pool 由2.1.2定义的地址池名字字符串ip nat inside source list 关键字pool 关键字我们仍然采用静态地址例子的拓扑结构,并且要求将内部本地地址10.1.2.1/24,10.1.2.2/24采用动态一对一地址转换方法转换到192.1.3.1/24,这样做,主要为了观察该种NAT转换的特点具体配置实例R1的具体配置version 11.3!hostname R1!ip nat pool test 192.1.3.1 192.1.3.1 netmask 255.255.255.0!定义内部全局地址池从192.1.3.1到192.1.3.1,子网掩码为24位,地址池的名字位testip nat inside source list 2 pool test!将由包过滤2定义的内部本地地址池依次与test地址池中的地址进行一一映射,进行转换ip nat inside source static 10.1.1.212 192.1.1.212ip nat inside source static 10.1.1.10 192.1.1.100!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!router ripredistribute staticnetwork 10.0.0.0network 192.1.1.0distribute-list 1 out Serial0distribute-list 1 in Serial0!ip classlessip route 192.1.3.0 255.255.255.0 Null0!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 2 permit 10.1.2.1 0.0.0.0access-list 2 permit host 10.1.2.2!定义包过滤规则2,允许10.1.2.1/24,10.1.2.2地址,其他均拒绝,该过滤规则提供给NAT转换用! access-list 2 permit 10.1.2.1 0.0.0.0完全等效与access-list 2 permit host 10.1.2.1检查手段:首先,采用sho ip nat translations verbose命令R1#sho ip nat translations verbosePro Inside global Inside local Outside local Outside global--- 192.1.1.100 10.1.1.10 --- ---create 00:34:54, use 00:34:54, flags: static--- 192.1.1.212 10.1.1.212 --- ---create 00:34:54, use 00:34:54, flags: static我们发现没有动态的地址转换的列表,因为,该命令只显示当前正在正在转换的地址列表,静态转换定义好后转换就会始终起作用,但是动态转换只有有数据包穿过NAT内外端口且需要转换时才进行转换.我们在R3上同时采用扩展的ping,从10.1.2.1 ping 192.1.1.2,从10.1.2.2 ping 192.1.1.2我们会发现,如果10.1.2.1转换为192.1.3.1,10.1.2.2就无法进行转换,只有在10.1.2.1数据传输完毕一段时间后,R1才释放192.1.3.1,10.1.2.2才能转换到192.1.3.1,反之亦然.因此,这种转换方法内部本地地址与内部全局地址之间是一一映射的,内部本地地址以定义的先后顺序与内部全局地址进行转换,如果所有内部全局地址正在使用,需要进行转换的内部本地地址只有等待有内部全局地址释放出来.路由器如何确定在内部本地地址传输完数据后到释放内部全局地址的时间间隔呢?我们可以通过设置参数进行控制.在全局配置状态下,定义在内部本地地址传输完数据后到释放内部全局地址的时间间隔.R1(config)#ip nat translation timeout 时间间隔参数(单位秒)ip nat translation timeout 关键字,其后可以跟两种参数ip nat translation timeout ?<0-2147483647> Timeout in secondsnever Never timeout如果,采用never参数,则如果一对内部本地地址与内部全局地址转换成功,则该转换永远有效,除非路由器关掉电源或强行删除该地址转换.这个参数很少使用,也不建议使用.现在,我们看一下正在工作的地址转换列表R1#sho ip nat translationsPro Inside global Inside local Outside local Outside global--- 192.1.1.100 10.1.1.10 --- ------ 192.1.1.212 10.1.1.212 --- ------ 192.1.3.1 10.1.2.1 --- ---我们也可以强行删除正在工作的动态生成的地址转换列表在超级权限状态下,删除所有正在工作的动态生成的地址转换列表R1#clear ip nat translation *clear ip nat translation 关键字* 表示所有动态生成的地址转换列表我们再来看一下正在工作的地址转换列表R1#sho ip nat translationsPro Inside global Inside local Outside local Outside global--- 192.1.1.100 10.1.1.10 --- ------ 192.1.1.212 10.1.1.212 --- ---静态地址转换列表无法用clear命令删除,只能通过删除静态地址转换配置删除.我们也可以将关于地址转换的统计数字清零,以便进行重新计数在超级权限状态下, 将关于地址转换的统计数字清零,以便进行重新计数R1#clear ip nat statistics适用环境内部全局地址多于或等于内部本地地址内部全局地址少于内部本地地址,但是,同时访问外部网络的内部本地地址数目在绝大多数情况下少于内部全局地址2.2 PAT地址转换配置PAT(端口地址转换)是一种扩展的地址转换,路由器将通过纪录地址,应用端口等唯一标识一个转换,通过这种转换可以使多个内部本地地址同时与同一个内部全局地址进行转换同时对外部网网络进行访问.PAT有两种配置方法方法一PAT地址转换策略配置1 在全局配置状态下,定义标准包过滤,包过滤表中包含有允许进行地址转换的内部本地地址access-list 包过滤序号[permit|deny] 内部本地地址集合2 在全局配置状态下,定义内部全局地址所组成的地址池ip nat pool 地址池名字字符串起始IP地址终止IP地址netmask 子网掩码ip nat pool 关键字netmask 关键字其中起始IP地址与终止IP地址应为同一个IP地址,终止IP地址也可以大于起始IP地址,但是路由器只使用第一个IP地址进行PAT转换.3 在全局配置状态下,将包过滤定义的内部本地地址与由内部全局地址相关连,进行PAT地址转换ip nat inside source list 由步骤1定义的包过滤序号pool 由步骤2定义的地址池名字字符串overloadip nat inside source list 关键字pool 关键字overload 关键字,表示PAT地址转换.这种PAT地址转换与动态一对一地址转换配置步骤唯一的区别就是这个参数.我们仍然采用静态地址例子的拓扑结构,并且要求将内部本地地址10.1.2.1/24,10.1.2.2/24,10.1.2.3/24采用动态一对多地址转换方法转换到192.1.3.1/24.在R3上添加一个loopback端口,地址为10.1.2.3/32这样做,主要为了观察该种NAT转换的特点具体配置实例version 11.3hostname R1!ip nat translation timeout 10ip nat pool test 192.1.3.1 192.1.3.2 netmask 255.255.255.0!这里起始IP地址与终止IP地址并不是一个,好像可以用两个内部全局地址进行转换,其实路由器只!使用192.1.3.1进行转换,并不使用192.1.3.2,因此,建议两个地址为同一个地址ip nat inside source list 2 pool test overload!将由list 2定义的内部本地地址范围与由test定义的内部全局地址进PAT转换ip nat inside source static 10.1.1.10 192.1.1.100ip nat inside source static 10.1.1.212 192.1.1.212!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!router ripredistribute staticnetwork 10.0.0.0network 192.1.1.0distribute-list 1 out Serial0distribute-list 1 in Serial0!ip classlessip route 192.1.3.0 255.255.255.0 Null0!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 2 permit 10.1.2.1access-list 2 permit 10.1.2.3access-list 2 permit 10.1.2.2检查手段R1#sho ip nat traslationsPro Inside global Inside local Outside local Outside global--- 192.1.1.100 10.1.1.10 --- ------ 192.1.1.212 10.1.1.212 --- ---icmp 192.1.3.1:6631 10.1.2.2:6631 192.1.1.2:6631 192.1.1.2:6631icmp 192.1.3.1:5973 10.1.2.1:5876 192.1.1.2:5876 192.1.1.2:5973icmp 192.1.3.1:8537 10.1.2.3:8537 192.1.1.2:8537 192.1.1.2:8537icmp 192.1.3.1:6630 10.1.2.2:6630 192.1.1.2:6630 192.1.1.2:6630icmp 192.1.3.1:5972 10.1.2.1:5875 192.1.1.2:5875 192.1.1.2:5972这里我们可以看到我们虽然定义了192.1.3.1,192.1.3.2两个内部全局地址,但是路由器只使用192.1.3.1一个地址进行转换. icmp 192.1.3.1:6631,冒号后应用端口号适用环境:NAT内外部端口,均有独立的IP地址,并且有专门的IP地址用来进行PAT转换.NAT内外部端口,均有独立的IP地址,没有专门的IP地址用来进行PAT转换.所有内部用户需要同时访问外部网络,并且内部本地地址远远多于内部全局地址.方法二:1 在全局配置状态下,定义标准包过滤,包过滤表中包含有允许进行地址转换的内部本地地址access-list 包过滤序号[permit|deny] 内部本地地址集合2 在全局配置状态下,将包过滤定义的内部本地地址与由NAT外部端口相关连,,进行地址转换ip nat inside source list 由步骤1定义的内部本地地址集合interface 端口号overload具体配置实例version 11.3!hostname R1!ip nat inside source list 2 interface Serial0 overload!表示将包过滤规则2定义的内部本地地址集合,转换为Serial0的IP地址,允许多个内部本地地址!同时转换为Serial 0的地址ip nat inside source static 10.1.1.212 192.1.1.212ip nat inside source static 10.1.1.10 192.1.1.100!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!router ripredistribute staticnetwork 10.0.0.0network 192.1.1.0distribute-list 1 out Serial0distribute-list 1 in Serial0!ip classlessip route 192.1.3.0 255.255.255.0 Null0!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 2 permit 10.1.2.1access-list 2 permit 10.1.2.3access-list 2 permit 10.1.2.2检查手段R1#sho ip nat translations verbosePro Inside global Inside local Outside local Outside globalicmp 192.1.1.1:12245 10.1.2.1:12245 192.1.1.2:12245 192.1.1.2:12245 create 00:00:00, use 00:00:00, left 00:00:59, flags: extendedicmp 192.1.1.1:7850 10.1.2.2:7850 192.1.1.2:7850 192.1.1.2:7850 create 00:00:00, use 00:00:00, left 00:00:59, flags: extended这里,我们可以看到PAT转换的详细资料.Flag:extended,表示扩展的NAT转换,所谓的扩展NAT,是指路由器在转换过程中,不但纪录内部本地地址,内部全局地址,外部本地地址,外部全局地址,而且纪录它们相应的应用段口号,以便唯一识别每一个转换.再看下一个例子,如果内部网络有多个出口去到外部网络,我们需要到达某些外部网络的内部本地地址转换为一个端口地址,而到达另外一些外部网络转换为另一个端口地址,我们可以通过配置多个PAT 来解决本例要求,10.1.2.1,10.1.2.2到达192.1.2.0/24网段的数据包,转换为192.1.1.1,通过Serial 0转发出去,而它们到达192.1.3.0/24网段的数据包,转换为192.1.10.1,通过Serial 1转发出去.具体配置实例 version 11.3 !hostname R1 !ip nat translation timeout 240!将NAT 转换保存时间变为240秒,主要为了能够有足够的时间抓取转换列表的内容 ip nat inside source list 102 interface Serial0 overload!符合包过滤102的内部本地地址采用PAT 地址转换为Serial0的IP 地址, 这里采用扩展的包过滤, !只有源地址,目的地址甚至段口号全部符合的内部本地地址才进行转换,而且进行完全扩展转换, !即纪录内部本地地址,内部全局地址,外部本地地址,外部全局地址和相应的端口号 ip nat inside source list 103 interface Serial1 overload!符合包过滤103的内部本地地址采用PAT 地址转换为Serial1的IP 地址 ip nat inside source static 10.1.1.212 192.1.1.212 ip nat inside source static 10.1.1.10 192.1.1.100 !interface Ethernet0ip address 10.1.1.1 255.255.255.0 ip nat inside !interface Serial0ip address 192.1.1.1 255.255.255.0 ip nat outside clockrate 2000000 !interface Serial1ip address 192.1.10.1 255.255.255.0R4 loopback0 192.1.3.1/24R2ip nat outsideclockrate 2000000!router ripnetwork 10.0.0.0network 192.1.1.0network 192.1.10.0distribute-list 1 outdistribute-list 1 in!ip classless!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 102 permit ip host 10.1.2.1 192.1.2.0 0.0.0.255access-list 102 permit ip host 10.1.2.2 192.1.2.0 0.0.0.255!定义扩展的包过滤规则102以供PAT转换使用,允许从10.1.2.1及10.1.2.2到192.1.2.0的数据包,其!他拒绝access-list 103 permit ip host 10.1.2.1 192.1.3.0 0.0.0.255access-list 103 permit ip host 10.1.2.2 192.1.3.0 0.0.0.255!这里必须如果采用标准的包过滤,路由器在转换之前按照扩展包过滤的所有定义的选项,如源地址即内部本地地址,目的地址,即外部本地地址,应用端口号依次搜索转换列表中是否有符合的转换.比!如,如果采用标准的包过滤,从10.1.2.1到192.1.3.1及10.1.2.1到192.1.2.1的数据流无法区分出来!,如果已经有了对于10.1.2.1的转换,由于转换纪录只保存内部本地地址与内部全局地址的映射如!下,这时从10.1.2.1到外部网络不同地点又有数据流,则路由器只检查内部本地地址是否在转换列!表中存在,如果存在依然采用该转换Pro Inside global Inside local Outside local Outside global--- 192.1.3.1 10.1.2.1 --- ---!这里需要说明一点,在动态地址转换中即使采用扩展的包过滤,路由器也只检查源地址即内部本!地地址部分检查手段R1#sho ip nat translations verbosePro Inside global Inside local Outside local Outside globalicmp 192.1.10.1:4724 10.1.2.2:4724 192.1.3.1:4724 192.1.3.1:4724 create 00:00:05, use 00:00:05, left 00:00:54, flags: extendedicmp 192.1.10.1:1250 10.1.2.1:1250 192.1.3.1:1250 192.1.3.1:1250 create 00:00:36, use 00:00:36, left 00:00:23, flags: extendedicmp 192.1.1.1:2603 10.1.2.2:2603 192.1.2.1:2603 192.1.2.1:2603 create 00:00:21, use 00:00:21, left 00:00:38, flags: extendedicmp 192.1.1.1:1245 10.1.2.1:1245 192.1.2.1:1245 192.1.2.1:1245 create 00:00:53, use 00:00:53, left 00:00:06, flags: extended适用环境NAT内外部端口具有独立的IP地址,无额外的内部全局地址供转换所有内部用户需要同时访问外部网络,并且内部本地地址远远多于内部全局地址.4 基于路由图(ROUTE-MAP)的NAT配置我们知道动态的地址转换的缺陷在于他只能使用标准的包过滤检查源地址即内部本地地址以下场合,动态地址转换并不适合使用●内部网络有多个NAT外部端口,而且同一个内部本地地址从不同的NAT外部端口出去,需要转换为不同的内部全局地址●同一个内部本地地址针对于不同的应用, 需要转换为不同的内部全局地址通过采用基于路由图(ROUTE-MAP)的NAT配置可以解决这个问题,因为这种地址转换方法采用的是完全扩展的地址转换.基于路由图(ROUTE-MAP)的NAT的策略配置●定义扩展包过滤规则,确定符合条件的内部本地地址集合●定义路由图,引用扩展包过滤规则, 确定符合条件的内部本地地址集合在全局配置状态下,route-map 路由图名字字符串[permit|deny] 序列号route-map 关键字match ip address 扩展的包过滤规则match ip address 关键字,检查数据包是否符合扩展的包过滤规则●符合路由图的内部本地地址采用PAT转换或地址池转换采用PAT转换,这种方法与以上介绍的PAT转换效果完全一致.在全局配置状态下ip nat inside source route-map 路由图名字字符串interface 端口号overloadip nat inside source route-map 关键字interface 关键字overload 关键字地址池转换ip nat inside source route-map 路由图名字字符串pool 地址池名字ip nat inside source route-map 关键字pool 关键字配置实例1如图,要求10.1.2.1,10.1.2.2,10.1.2.3到达192.1.2.0/24网段,转换为192.1.1.100至192.1.1.101,它们到达192.1.3.0/24网段时,转换为192.1.10.100至192.1.10.101具体配置实例!version 11.3!hostname R1!ip nat translation timeout 10ip nat pool t0 192.1.1.100 192.1.1.101 netmask 255.255.255.0ip nat pool t1 192.1.10.100 192.1.10.101 netmask 255.255.255.0ip nat inside source route-map test0 pool t0!将路由图test0定义的内部本地地址与地址池t0关联,进行一对一地址转换,如果所有的内部!全局地址用完,则需要转换的内部本地地址只有等待由地址池t0定义的内部全局地址释放!该条语句表示从10.1.2.1,10.1.2.2,10.1.2.3到192.1.2.0/24网段的数据包转换为192.1.1.100或!192.1.1.101ip nat inside source route-map test1 pool t1! 该条语句表示从10.1.2.1,10.1.2.2,10.1.2.3到192.1.3.0/24网段的数据包转换为192.1.10.100!或192.1.10.101ip nat inside source static 10.1.1.212 192.1.1.212ip nat inside source static 10.1.1.10 192.1.1.100!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!interface Serial1ip address 192.1.10.1 255.255.255.0ip nat outsideclockrate 2000000!router ripnetwork 10.0.0.0network 192.1.1.0network 192.1.10.0distribute-list 1 outdistribute-list 1 in!ip classless!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 102 permit ip host 10.1.2.1 192.1.2.0 0.0.0.255access-list 102 permit ip host 10.1.2.2 192.1.2.0 0.0.0.255access-list 102 permit ip host 10.1.2.3 192.1.2.0 0.0.0.255access-list 103 permit ip host 10.1.2.1 192.1.3.0 0.0.0.255access-list 103 permit ip host 10.1.2.2 192.1.3.0 0.0.0.255access-list 103 permit ip host 10.1.2.3 192.1.3.0 0.0.0.255route-map test0 permit 10match ip address 102!路由图test0引用扩展包过滤规则102对进行地址转换检查route-map test1 permit 10match ip address 103配置实例2要求如果从10.1.1.0/24网段到192.1.3.0/24网段的数据包为ICMP类型,内部本地地址转换为192.1.1.100-192.1.1.101; 如果从10.1.1.0/24,到192.1.3.0/24网段的数据包为telnet类型, 内部本地地址转换为192.1.10.100-192.1.10.101具体配置version 11.3hostname R1ip nat pool t0 192.1.1.100 192.1.1.101 netmask 255.255.255.0ip nat pool t1 192.1.10.100 192.1.10.101 netmask 255.255.255.0ip nat inside source route-map test0 pool t0ip nat inside source route-map test1 pool t1!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!interface Serial1ip address 192.1.10.1 255.255.255.0ip nat outsideclockrate 2000000!router ripnetwork 10.0.0.0network 192.1.1.0network 192.1.10.0distribute-list 1 outdistribute-list 1 in!ip classless!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 102 permit icmp 10.1.1.0 0.0.0.255 192.1.3.0 0.0.0.255!扩展包过滤102表示对于从10.1.1.0/24网段到192.1.3.0/24网段的数据包为ICMP类型,允许!检查通过access-list 103 permit tcp 10.1.1.0 0.0.0.255 192.1.3.0 0.0.0.255 eq telnet! 扩展包过滤103表示从10.1.1.0/24,到192.1.3.0/24网段的数据包为telnet类型, 允许!检查通过route-map test0 permit 10match ip address 102!route-map test1 permit 10match ip address 103检查手段我们可以通过sho ip nat translations verbose检查NAT转换情况R1#sho ip nat translations verbosePro Inside global Inside local Outside local Outside globalicmp 192.1.1.100:5764 10.1.1.10:5764 192.1.3.1:5764 192.1.3.1:5764 create 00:00:35, use 00:00:35, left 00:00:24, flags: extended!我们在从10.1.1.10 ping 192.1.3.1 ,路由器将10.1.1.10转换为192.1.1.100,ping 是通过!ICMP 的ECHO 及ECHO-REPLY实现的tcp 192.1.10.100:58371 10.1.1.10:58371 192.1.3.1:23 192.1.3.1:23。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CISCONAT配置一、NAT简介NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。
在网络内部,各计算机间通过内部的IP地址进行通讯。
而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。
二、NAT 的应用环境:情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。
情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。
可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。
三、设置NAT所需路由器的硬件配置和软件配置:设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。
内部端口连接的网络用户使用的是内部IP地址。
内部端口可以为任意一个路由器端口。
外部端口连接的是外部的网络,如Internet 。
外部端口可以为路由器上的任意端口。
设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。
四、关于NAT的几个概念:内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。
内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。
需要申请才可取得的IP地址。
五、NAT的设置方法:NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。
1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。
如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
静态地址转换基本配置步骤:(1)、在内部本地地址与内部合法地址之间建立静态地址转换。
在全局设置状态下输入:Ip nat inside source static 内部本地地址内部合法地址(2)、指定连接网络的内部端口在端口设置状态下输入:ip nat inside (3)、指定连接外部网络的外部端口在端口设置状态下输入:ip nat outside 注:可以根据实际需要定义多个内部端口及多个外部端口。
实例1:本实例实现静态NAT地址转换功能。
将2501的以太口作为内部端口,同步端口0作为外部端口。
其中10.1.1.2,10.1.1.3,10.1.1.4的内部本地地址采用静态地址转换。
其内部合法地址分别对应为192.1.1.2,192.1.1.3,192.1.1.4。
路由器2501的配置:Current configuration:version 11.3 no service password-encryption hostname 2501 ip nat inside source static 10.1.1.2 192.1.1.2 ip nat inside source static 10.1.1.3 192.1.1.3 ip nat inside source static 10.1.1.4 192.1.1.4 interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside interface Serial0ip address 192.1.1.1 255.255.255.0 ip nat outside no ip mroute-cache bandwidth 2000 no fair-queue clockrate 2000000 interface Serial1 no ip address shutdownno ip classless ip route 0.0.0.0 0.0.0.0 Serial0 line con 0 line aux 0 line vty 0 4 password cisco end配置完成后可以用以下语句进行查看:show ip nat statistcs show ip nat translations2、动态地址转换适用的环境:动态地址转换也是将本地地址与内部合法地址一对一的转换,但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。
动态地址转换基本配置步骤:(1)、在全局设置模式下,定义内部合法地址池ip nat pool 地址池名称起始IP地址终止IP地址子网掩码其中地址池名称可以任意设定。
(2)、在全局设置模式下,定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。
Access-list 标号permit 源地址通配符其中标号为1-99之间的整数。
(3)、在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。
ip nat inside source list 访问列表标号 pool内部合法地址池名字(4)、指定与内部网络相连的内部端口在端口设置状态下:ip nat inside (5)、指定与外部网络相连的外部端口Ip nat outside 实例2:本实例中硬件配置同上,运用了动态NAT地址转换功能。
将2501的以太口作为内部端口,同步端口0作为外部端口。
其中10.1.1.0网段采用动态地址转换。
对应内部合法地址为192.1.1.2~192.1.1.10Current configuration:version 11.3 no service password-encryption hostname 2501 ip nat pool aaa 192.1.1.2 192.1.1.10 netmask 255.255.255.0 ip nat inside source list 1 pool aaa interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside interface Serial0 ip address 192.1.1.1 255.255.255.0 ip nat outside no ip mroute-cache bandwidth 2000 no fair-queue clockrate 2000000 interface Serial1 no ip address shutdownno ip classless ip route 0.0.0.0 0.0.0.0 Serial0access-list 1 permit 10.1.1.0 0.0.0.255 line con 0 line aux 0 line vty 0 4 password cisco end3、复用动态地址转换适用的环境:复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。
只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况,这种转换极为有用。
注意:当多个用户同时使用一个IP地址,外部网络通过路由器内部利用上层的如TCP或UDP端口号等唯一标识某台计算机。
复用动态地址转换配置步骤:在全局设置模式下,定义内部合地址池ip nat pool 地址池名字起始IP地址终止IP地址子网掩码其中地址池名字可以任意设定。
在全局设置模式下,定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换。
access-list 标号permit 源地址通配符其中标号为1-99之间的整数。
在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。
ip nat inside source list 访问列表标号 pool 内部合法地址池名字overload 在端口设置状态下,指定与内部网络相连的内部端口ip nat inside 在端口设置状态下,指定与外部网络相连的外部端口ip nat outside 实例:应用了复用动态NAT地址转换功能。
将2501的以太口作为内部端口,同步端口0作为外部端口。
10.1.1.0网段采用复用动态地址转换。
假设企业只申请了一个合法的IP地址192.1.1.1。
2501的配置Current configuration:version 11.3 no service password-encryption hostname 2501 ip nat pool bbb 192.1.1.1 192.1.1.1 netmask 255.255.255.0 ip nat inside source list 1 pool bbb overload interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside interface Serial0 ip address 192.1.1.1 255.255.255.0ip nat outside no ip mroute-cache bandwidth 2000 no fair-queue clockrate 2000000 interface Serial1 no ip address shutdownno ip classless ip route 0.0.0.0 0.0.0.0 Serial0 access-list 1 permit 10.1.1.0 0.0.0.255 line con 0 line aux 0 line vty 0 4 password cisco end。