CISCO NAT配置命令

在CISCO路由器上配置NA T功能随着internet的网络迅速发展，IP地址短缺已成为一个十分突出的问题。

为了解决这个问题，出现了多种解决方案。

下面几绍一种在目前网络环境中比较有效的方法即地址转换(NA T)功能。

一、NA T简介NA T(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NA T功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的I P地址（即经过申请的IP地址）进行通信。

二、NA T的应用环境情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NA T将内部网络与外部Internet隔离开，则外部用户根本不知道通过NA T设置的内部I P地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NA T功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。

三、设置NA T所需路由器的硬件配置和软件配置：设置NA T功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。

内部端口连接的网络用户使用的是内部IP地址。

一般来说内、外部端口可以为任意指定。

设置NA T功能的路由器的IOS应支持NA T功能(本文示例所用路由器为Ｃisco2811)。

四、关于NA T的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。

内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。

需要申请才可取得的IP地址。

五、CISC O路由器NA T的设置方法：CISCO各种型号路由器NA T设置方法及命令基本相同。

static 静态NA T配置：1.首先设定R1的ip地址和开启端口conf#inter e0/0if# ip add 192.168.1.1 255.255.255.0if# no shutconf#inter e0/1if# ip add 10.0.0.1 255.255.255.0if# no shut2.然后设置NA T静态转换conf# ip nat ins source static 192.168.1.10 10.0.0.1 将内部地址192.168.1.1 转换成10.0.0.1conf# ip nat ins source static 192.168.1.20 10.0.0.13.再开启NA Tconf# inter e0/0conf# ip nat insideconf# inter e0/1conf# ip nat outside4.设置静态路由conf# ip route 0.0.0.0 0.0.0.0 10.0.0.0完成，可以show ip nat translations 查看动态NA T配置：1.首先设定R1的ip地址和开启端口conf#inter e0/0if# ip add 192.168.1.1 255.255.255.0if# no shutconf#inter e0/1if# ip add 10.0.0.1 255.255.255.0if# no shut2.定义内部网络中允许访问外部网络的IPConf#access-list permit 192.168.1.10 0.0.0.255(允许192.168.1.10 访问外部网络，0.0.0.255 为反子网掩码具体参考ACCESS链路访问规则)Conf#access-list permit 192.168.1.20 0.0.0.2553.定义地址池Conf# ip nat pool jiangqi 192.168.1.10 192.168.1.20 netmask 255.255.255.0(将192.168.1.10 到192.168.1.20 的IP 定义为地址池jiangqi 子网为255.255.255.0)4．实现网络地址转换Conf# ip nat inside source list 1 pool jiangqi(将ACCESS LIST 制定的内部地址，与制定的全局地址进行转换)5.再开启NA Tconf# inter e0/0conf# ip nat insideconf# inter e0/1conf# ip nat outside6. 设置静态路由conf# ip route 0.0.0.0 0.0.0.0 10.0.0.0。

ASA的NA T配置配置1.nat-control命令解释命令解释pix7.0版本前默认为nat-control,并且不可以更改并且不可以更改nat-control。

可以类似路由器一样，直接走路由；如果启用no nat-controlpix7.0版本后默认为no nat-control，那就与pix7.0版本前同。

版本前同。

2.配置动态nat 把内部网段：172.16.25.0/24 转换成为一个外部的地址池转换成为一个外部的地址池200.1.1.1-200.1.1.99 NA T配置命令配置命令ASA(config)# nat (inside) 1 172.16.25.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 1 200.1.1.1-200.1.1.99 （定义地址池）（定义地址池）注意：id必须匹配，并且大于1，这里先使用1 检测命令：检测命令：ASA(config)# show run nat ASA(config)# show run global ASA(config)# show xlate ASA(config)# show connect 3.配置P A T 把内部网段：172.16.26.0/24 转换成为一个外部的一个地址：200.1.1.149 NA T配置命令配置命令ASA(config)# nat (inside) 2 172.16.26.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 2 200.1.1.149 （定义地址）（定义地址）ASA(config)# global (outside) 2 interface（或者直接转换为外网接口地址）（或者直接转换为外网接口地址）注意：id必须匹配，并且大于2，这里先使用2 4.配置sta c NAT 把内部网段：172.16.27.27/24 转换成为一个外部的一个地址：200.1.1.100 NA T配置命令配置命令ASA(config)# sta c (inside,outside) 200.1.1.100 172.16.27.27 命令格式是内外对应的，红色的接口和红色的地址对应。

思科配置(NAT和ACL)实操1、看懂下面代码；2、把红色的重点代码写一遍R1(config)#interface f0/0R1(config-if)#no shutdownR1(config-if)#R1(config-if)#ip add 192.168.40.1 255.255.255.0R1(config-if)#exitR1(config)#interface f0/1R1(config-if)#no shutdownR1(config-if)#ip add 200.168.10.1 255.255.255.0R1(config-if)#R1(config-if)#exitR1(config)#router rip 动态路由配置R1(config-router)#network 192.168.40.0R1(config-router)#network 200.168.10.0R1(config-router)#exitR1(config)#line vty 0 4R1(config-line)#password 123R1(config-line)#loginR1(config-line)#exitR1(config)#enable password 123R1(config)#ip access-list extended NOtelnet 禁止外网远程登录R1(config-ext-nacl)#denyR1(config-ext-nacl)#deny tcp any any eq 23R1(config-ext-nacl)#permit ip any anyR1(config-ext-nacl)#exitR1(config)#interface f0/1R1(config-if)#ip access-group NOtelnet inR1(config)#ip nat inside source static 192.168.10.10 88.88.88.88 静态NATR1(config)#ip nat inside source static 192.168.10.20 99.99.99.99R1(config)#R1(config)#access-list 10 permit 192.168.30.0 0.0.0.255 动态NATR1(config)#ip nat pool XXB 110.110.110.110 110.110.110.210 netmask 255.255.255.0 R1(config)#ip nat inside source list 10 pool XXBR1(config)#R1(config)#access-list 20 permit 192.168.20.0 0.0.0.255 PATR1(config)#ip nat pool RSB 58.58.58.58 58.58.58.58 netmask 255.255.255.0R1(config)#ip nat inside source list 20 pool RSB overloadR1(config)#R1(config)#interface f0/0R1(config-if)#ip nat insideR1(config-if)#exitR1(config)#interface f0/1R1(config-if)#ip nat outside三层交换机（SW-3）代码如下：Switch>Switch>enSwitch#conf tSwitch(config)#hostname SW-3SW-3(config)#SW-3(config)#interface range f0/1-4SW-3(config-if-range)#no switchportSW-3(config-if-range)#SW-3(config-if-range)#exitSW-3(config)#SW-3(config)#interface f0/1SW-3(config-if)#ip address 192.168.10.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/2SW-3(config-if)#ip address 192.168.20.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/3SW-3(config-if)#ip address 192.168.30.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/4SW-3(config-if)#ip address 192.168.40.2 255.255.255.0 SW-3(config-if)#exitSW-3(config)#ip routingSW-3(config)#router ripSW-3(config-router)#network 192.168.10.0SW-3(config-router)#network 192.168.20.0SW-3(config-router)#network 192.168.30.0SW-3(config-router)#network 192.168.40.0SW-3(config-router)#exitSW-3(config)#SW-3(config)#ip access-list extended JFACL 信息部员工可以访问机房，人事部员不能访问机房SW-3(config-ext-nacl)#permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255SW-3(config-ext-nacl)#deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255SW-3(config-ext-nacl)#permit ip any anySW-3(config-ext-nacl)#exit、信息部员工不能访问外网，但可以访问机房；4、人事部员可以访问外网，但不能访问机房；SW-3(config)#interface f0/1SW-3(config-if)#ip access-group JFACL outSW-3(config-if)#exitSW-3(config)#SW-3(config)#ip access-list extended WWACL 人事部和信息部经理可以访问外网，信息部不能访问外网SW-3(config-ext-nacl)#permit ip 192.168.20.0 0.0.0.255 200.168.10.0 0.0.0.255SW-3(config-ext-nacl)#permit ip host 192.168.30.20 200.168.10.0 0.0.0.255SW-3(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 200.168.10.0 0.0.0.255 SW-3(config-ext-nacl)#permit ip any anySW-3(config-ext-nacl)#exitSW-3(config)#SW-3(config)#interface f0/4SW-3(config-if)#ip access-group WWACL out。

NAT配置目录目录第1章配置NAT (2)1.1 NAT概述 (2)1.1.1 NAT应用 (2)1.1.2 NAT的优点 (2)1.1.3 NAT术语 (2)1.1.4 NAT规则匹配顺序 (3)1.2 NAT配置任务表 (3)1.2.1 翻译内部源地址 (3)1.2.2 配置静态转换 (4)1.2.3 PAT的配置 (5)1.2.4 改变翻译超时及限制连接数目 (6)1.2.5 监视和维护NAT (6)1.2.6 动态转换配置实例 (7)第1章配置NATInternet面临的两个关键问题是IP地址空间的缺乏和路由的度量。

网络地址翻译(NAT)是一种允许一个组织的IP网络从外部看上去使用不同的IP地址空间而不是它实际使用的地址空间的特性。

这样，通过将这些地址转换到全局可路由的地址空间，NAT允许一个具有非全局可路由地址的组织连接到Internet。

NAT也允许一个更好的重编码策略，为组织机构更改服务提供商或自动编码到CIDR块。

NAT也在RFC 1631中讲述。

1.1 NAT概述1.1.1 NAT应用NAT的应用主要有以下几种：z需要连接到Internet网上，但是并非所有主机都有唯一的全局IP地址。

NAT 使得使用非注册的IP地址的私有IP互联网络能够连接到互联网上。

NAT一般在单连接域(即内部网络)上和公共网络(即Internet) 的边界交换机上配置。

在发送报文到外部网络之前，NAT将内部本地地址转换到全局唯一的IP地址。

z必须改变内部地址。

可以通过使用NAT完成地址的转换，而无须改变它们，因为那将费时太多。

z要实现基本的TCP传输负载均衡。

可以通过使用TCP负载分布特性将单个全局IP地址映射到多个本地IP地址。

z作为连接问题的解决方案，只有在单连接的域中相对少的主机同时与域外通信时，NAT有实用价值。

此时，只有在需要和外部通信时，内部少量主机的IP才被转换成全局唯一的IP地址。

当不再使用时这些地址又可以被重新使用。

一般我们实际工作中都使用复用NAT，即复用端口NAT，也叫PNAT.所以掌握最后配置就可以了。

静态NAT配置步骤：首先，配置各接口的IP地址。

内网使用私有IP. 外网使用公网IP. 并指定其属于内外接口。

其次，定义静态建立IP地址之间的静态映射。

最后，指定其默认路由。

格式：静态模式在内部本地地址与内部合法地址之间建立静态地址转换。

在全局设置状态下输入：router(config)#Ip nat inside source static 内部本地地址内部合法地址router(config)#ip nat inside source static 10.1.1.2 192.168.1.2指定连接网络的内部端口在端口设置状态下输入：Router(config-if)#ip nat insideRouter(config)#int e0Router(config)#ip add 10.1.1.1 255.255.255.0Router(config-if)#ip nat inside指定连接外部网络的外部端口在端口设置状态下输入：Router(config-if)#ip nat outsideRouter(config)#int s0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#ip nat outsideRouter(config)#ip route 0.0.0.0 0.0.0.0 s0 (指定出口的默认路由，这是容易漏掉的地方)Enter configuration commands, one per line. Endwith CNTL/Z.Router(config)#ho R3 （命名为R3）R3(config)#no ip domain-lo（关闭域名查询，在实验环境中，敲入错误的命令，它将进行域名查询，故关闭他）R3(config)#line c 0 （进入线路CONSOLE接口0下）R3(config-line)#logg syn （启用光标跟随，防止日志信息冲断命令显示的位置）R3(config-line)#exec-t 0 0 （防止超时，0 0 为永不超时）R3(config-line)#exitR3(config)#int e0 （进入以太网接口下）R3(config-if)#ip add 192.168.1.1 255.255.255.0 （设置IP地址）R3(config-if)#ip nat inside （设置为内部接口）R3(config-if)#no shutR3(config-if)#exitR3(config)#int ser1 （进入串口下）R3(config-if)#ip add 100.0.0.1 255.255.255.0R3(config-if)#no shutR3(config-if)#ip nat outside （设置为外部接口）R3(config-if)#exitR3(config)#ip nat inside source static 191.168.1.1100.0.0.1（设置静态转换，其中ip nat inside source 为NAT转换关键字，这里是静态，故为STATIC）R3(config)#ip classlessR3(config)#ip route 0.0.0.0 0.0.0.0 s0(这里是出口或者下一跳地址)R3(config)#exit动态NAT配置步骤：首先，配置各需要转换的接口的IP，设置内外网IP等。

CISCONAT配置命令CISCO NAT 配置命令21.1.在路由器上启用基本的NAT功能Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#access-list 15 permit 192.168.0.0 0.0.255.255 Router(config)#ip nat inside source list 15 interface FastEthernet0/0 overloadRouter(config)#interface FastEthernet0/2Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface FastEthernet0/1Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface Ethernet0/0Router(config-if)#ip address 172.16.1.5 255.255.255.252Router(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#endRouter#注释例子中的配置实现了对地址段192.168.0.0/16访问外部网络重写为172.16.1.5的功能，基本的地址翻译功能21.2. 动态分配外部地址Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#access-list 15 permit 192.168.0.0 0.0.255.255 Router(config)#ip nat pool NATPOOL 172.16.1.100 172.16.1.150 netmask 255.255.255.0Router(config)#ip nat inside source list 15 pool NATPOOLRouter(config)#interface FastEthernet 0/0Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface FastEthernet 0/1Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface Ethernet1/0Router(config-if)#ip address 172.16.1.2 255.255.255.0Router(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#endRouter#注释ip nat inside source list 15 pool NATPOOL 定义了翻译出去的地址池，如果地址池可以地址用完新的翻译将不成功，如果加上了overload参数将会从第一个地址开始翻译进行复用。

cisco路由器nat配置本文档涉及附件：1、NAT配置范例（附件1）2、Cisco路由器配置指南（附件2）本文所涉及的法律名词及注释：1、NAT：网络地质转换，是一种将私有IP地质转换为公有IP 地质的技术。

它允许私有网络中的多个设备共享一个公有IP地质，并通过在数据包中修改IP地质和端口号来实现通信。

2、Cisco路由器：Cisco公司生产的网络设备，用于在计算机网络中转发数据包。

3、IP地质：Internet Protocol Address的缩写，是互联网上每一个设备的唯一标识。

4、公有IP地质：用于公共互联网上的网络设备的IP地质，由互联网服务提供商分配。

5、私有IP地质：用于局域网内部设备的IP地质，根据RFC 1918标准规定为以下三个范围.10：0：0：0 - 10.255.255.255，172.16：0：0 - 172.31.255.255，192.168：0：0 -192.168.255.255：6、端口号：在计算机网络中，用于标识不同应用程序或服务的数字。

端口号范围从0到65535：7、ACL：访问控制列表（Access Control List）是一种网络安全机制，用于限制或允许网络流量通过网络设备。

它基于规则集对数据包进行过滤和重定向。

8、PAT：端口地质转换（Port Address Translation）是一种NAT技术，用于将多个私有IP地质映射到一个公有IP地质。

它通过修改数据包中的IP地质和端口号来实现。

9、NAT池：一组可用于NAT转换的公有IP地质。

10、NAT超时：NAT超时是指在NAT转换表中保留NAT会话的时间。

一旦超时时间到达，相应的NAT转换将被删除。

11、Source NAT：源地质转换（Source Network Address Translation）操作将源IP地质和端口号更改为公有IP地质和端口号。

12、Destination NAT：目的地质转换（Destination Network Address Translation）操作将目的IP地质和端口号更改为私有IP 地质和端口号。

CISCO IP nat 常用命令及原理详解ip nat语法：ip nat {inside | outside}no ip nat {inside | outside}本命令用于设置应用NAT的内网和外网的接口。

使用no 选项可使接口不再应用NAT。

参数：inside：表示该接口连接内部网络。

outside：表示该接口连接外部网络。

缺省值：接口上没有应用NAT。

命令模式：接口配置模式。

说明：数据包只有在outside 接口和inside 接口之间路由时，并且符合一定规则的，才会进行NAT转换。

所以实现NAT的路由器必须配置至少一个outside 接口和一个inside 接口，也可配置多个。

范例：Ruijie(config)#interface f0/0Ruijie(config-if)#ip address 192.168.10.1 255.255.255.0Ruijie(config-if)#ip nat insideRuijie(config-if)#no shutdownRuijie(config-if)#interface f0/1Ruijie(config-if)#ip address 200.19.12.17 255.255.255.0Ruijie(config-if)#ip nat outsideRuijie(config-if)#no shutdown本例路由器的fastethernet 0/0 连接的是内网，被定义为inside 接口，fastethernet 0/1 连接的是外网，被定义为outside 接口。

相关命令：show ip nat statistics 查看NAT统计数据和规则，包括inside和outside接口ip nat inside destination语法：ip nat inside destination list access-list-number pool pool-nameno ip nat inside destination list access-list-number pool pool-name启用NAT内部目标地址转换。

Cisco–NAT和PAT的配置下面是实验拓扑图：相关说明：NAT用于提供几乎无限的地址空间并掩藏内部网络寻址方案，地址管理更加容易，它允许严格控制进入和离开网络的流量；但是静态或动态NAT都存在一个问题，它只能提供一对一的地址转换。

使用端口地址转换PA T可以实现地址复用的功能，使用PAT后，所有通过地址转换设备的机器都拥有了分配给它们相同IP地址，因此源端口号用来区分不同的连接。

实验过程：I：配置各路由器的IP地址，确保直连接口能Ping通。

II：KC-R1模拟企业网关路由器。

KC-R1(config)#ip route 0.0.0.0 0.0.0.0 173.16.1.128 #指向外网的静态路由IV：配置NAT。

方法一：静态NA TKC-R1(config)#int f0/0KC-R1(config-if)#ip nat inside #将f0/0设置为内网口*Mar 1 00:05:49.875: %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to upKC-R1(config-if)#exitKC-R1(config)#int s1/0KC-R1(config-if)#ip nat outside #将s1/0设置为外网口KC-R1(config-if)#exitKC-R1(config)#ip nat inside source static 10.1.1.1 173.16.1.56 #静态NATKC-R1(config)#exitPing测试:PC-1#ping 202.101.1.149 #测试证明能通Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.101.1.149, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 120/122/132 ms此时PC-1能通，PC-2不能通。

一：NAT简介：network address translation 网络地址转换二：NAT分类：静态、动态、PAT.三：网络实验拓扑：四：基本配置;Switch 0:傻瓜式交换机Router 0：interface FastEthernet0/0ip address 192.168.0.1 255.255.255.0ip nat inside //将接口标记为内部接口duplex autospeed auto!interface FastEthernet0/1ip address 202.106.0.1 255.255.255.0ip nat outside ////将接口标记为外部接口duplex autospeed auto!router ripnetwork 202.106.0.0!Router 1：interface FastEthernet0/0ip address 202.106.0.2 255.255.255.0duplex autospeed auto!interface FastEthernet0/1ip address 202.106.1.1 255.255.255.0duplex autospeed auto!router ripnetwork 202.106.0.0network 202.106.1.0!五:静态NAT：配置如上后，PC0 和PC1 只能ping通router0 的FA0/1口，无法ping通PC2 ，而router0 是可以ping通PC2 的，现在在router0 上作nat，使PC0 能够ping通PC2.Router(config)#ip nat inside source static 192.168.0.2 202.106.0.3此时路由器将192.168.0.2这个内网地址转换成了202.106.0.3这个外网地址，则PC0就可以ping通PC2了，但PC1是不可以的，除非也敲个静态转换命令，但假若地址转换过多咧？谁原意一遍遍的重复相同的动作?!六：动态NAT:上面讲到为了节省操作员的工作，动态NAT给我们带来了方便，只需要三个命令即可实现。

思科CCNA认证学习笔记（⼗五）思科ACL、NAT配置命令总结本⽂讲述了思科ACL、NAT配置命令。

分享给⼤家供⼤家参考，具体如下：ACL 访问控制列表ACL可以根据设定的条件对接⼝上的数据包进⾏过滤，允许其通过或丢弃。

被⼴泛地应⽤于路由器和三层交换机，借助于ACL，可以有效地控制⽤户对⽹络的访问，从⽽最⼤程度地保障⽹络安全。

ACL功能：1. 访问控制—在路由器上流量进或出的接⼝上规则流量；2. 定义感兴趣流量 —为其他的策略匹配流量，抓取流量访问控制：定义ACL列表后，将列表调⽤于路由器的接⼝上，当流量通过接⼝时，进⾏匹配，匹配成功后按照设定好的动作进⾏处理即可，动作——允许、拒绝匹配规则：⾄上⽽下逐⼀匹配，上条匹配按上条执⾏，不再查看下条；末尾隐含拒绝所有；ACL分类：1. 标准ACL–仅关注数据包中的源ip地址2. 扩展ACL–关注数据包中源、⽬标ip地址、⽬标端⼝号、协议号配置ACL有两种写法：编号写法 1-99 标准 100-199 扩展删除⼀条整表消失命名写法⼀个名字⼀张列表可以随意删除某条，配置：标准ACL—编号：由于标准ACL仅关注数据包中的源ip地址，调⽤时尽量的靠近⽬标，避免误删；编号写法：Router(config)#access-list 1 deny host 192.168.4.2 拒绝单⼀设备Router(config)#access-list 1 deny 192.168.4.2 0.0.0.0 拒绝单⼀设备Router(config)#access-list 1 deny 192.168.4.0 0.0.0.255 拒绝范围Router(config)#access-list 1 deny any 拒绝所有Router(config)#access-list 1 deny host 192.168.4.2 拒绝172.16.4.2Router(config)#access-list 1 permit any 允许所有Router(config)#interface fastEthernet 0/0.1 进接⼝Router(config-subif)#ip access-group 1 out 调⽤命名写法：Router(config)#ip access-list standard aRouter(config-std-nacl)#deny host 192.168.4.2Router(config-std-nacl)#permit anyRouter(config-std-nacl)#exitRouter(config)# no ip access-list standard a 删除表扩展ACL配置：扩展ACL关注数据包中的源、⽬标ip地址，故调⽤时应该尽量的靠近源，当然不能在源上，因为ACL不能限制本地产⽣的流量；编号写法：r1(config)#access-list 100 deny ip host 192.168.4.2 host 192.168.1.2前⾯是源ip地址，后⾯是⽬标ip地址，也就是拒绝192.168.4.0 0.0.0.255—192.168.1.0 0.0.0.255 这个范围r1(config)#access-list 100 permit ip any anyr1(config)#interface fastEthernet 0/0r1(config-if)#ip access-group 100 in命名写法Router(config)#ip access-list extended aRouter(config-ext-nacl)#deny host 192.168.4.2Router(config-ext nacl)#permit anyRouter(config-ext -nacl)#exitRouter(config)#no ip access-list extended a 删除表关注⽬标端⼝号：ICMP——ping 跨层封装协议，不存在端⼝号Telnet——远程登录基于TCP⽬标23号端⼝设备开启远程登录配置命令：r1(config)#username ccna privilege 15 secret 123456r1(config)#line vty 0 4 0 4 代表最多五个账户登录r1(config-line)#login local规则⼀个设备到另⼀个设备的⽬标端⼝远程登录被拒绝r1(config)#access-list 101 deny tcp host 1.1.1.1 host 2.2.2.2 eq 23r1(config)#access-list 101 permit ip any anyr1(config)#access-list 102 deny icmp host 1.1.1.1 host 2.2.2.2 拒绝pingr1(config)#access-list 102 permit ip any any 单向ping 后加echoNAT ⽹络地址转换配置了NAT的路由器⾄少有⼀个有效的外部全球IP地址，即公有IP地址，这样，所有使⽤本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特⽹连接。

要想配置思科的防火墙得先了解这些命令：常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global(if_name)nat_id ip_address-ip_address[netmark global_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat(if_name)nat_id local_ip[netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route(if_name)00gateway_ip[metric]其中：(if_name)：表示接口名称。

00：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name)outside_ip_addr inside_ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

external_if_name表示外部网络接口，安全级别较低，如outside。

思科路由开启NAT的2种方法（命令行）在使用思科路由器设备的时候，有时需要开通nat功能，下面是店铺整理的一些关于思科路由开启NAT的2种方法（命令行），供你参考。

思科路由开启NAT的2种方法（命令行）的方法一router(config)#enrouter(config)#conf trouter(config)#access-list 1 permit 192.168.1.0 0.0.0.255 建立访问控制列表准备做nat转换Router(config)#ip nat inside source list 1 interface F0/1 建立NAT转换，将192.168.1.0的地址转换为接口的地址Router(config)#int F0/1 #进入接口模式Router(config-if)#ip nat inside #设定F0/1为NAT内部接口Router(config-if)#int s1/1 #进入F0/1的接口模式Router(config-if)#ip nat outside #设定F0/1为NAT外部接口router(config)#ip nat inside source static tcp 192.168.0.101 21 202.99.111.2 2121 extendable思科路由开启NAT的2种方法（命令行）的方法二ip nat inside source list 1 interface F0/1 overload (将192.168.0.0的地址转换为接口F0/1的地址)access-list 1 permit 192.168.0.0 0.0.0.255 建立访问控制列表允许192.168.0.0的地址做nat转换)ip nat inside source static tcp 192.168.0.101 21 202.99.111.2 2121 extendableip nat inside source static tcp 映射地址映射端口外网地址对外映射端口 extendable命令show ip nat translations可以查看nat转换情况。

思科NAT的配置3.0（静态、动态和PAT）下面的代码要理解，多看多理解。

(可以不写)三层交换机SW-3代码如下：Switch>Switch>enSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#hostname SW-3SW-3(config)#ip routingSW-3(config)#interface rang f0/1-4SW-3(config-if-range)#no switchportSW-3(config-if-range)#%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to down%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to upSW-3(config-if-range)#exitSW-3(config)#interface f0/1SW-3(config-if)#ip add 192.168.10.1 255.255.255.0SW-3(config-if)#exitSW-3(config)#interface f0/2SW-3(config-if)#ip add 192.168.20.1 255.255.255.0SW-3(config-if)#exitSW-3(config)#interface f0/3SW-3(config-if)#ip add 192.168.30.1 255.255.255.0SW-3(config-if)#exitSW-3(config)#interface f0/4SW-3(config-if)#ip add 192.168.40.2 255.255.255.0SW-3(config-if)#exitSW-3(config)#ip route 220.168.10.0 255.255.255.0 192.168.40.1 SW-3(config)#exitSW-3#%SYS-5-CONFIG_I: Configured from console by consoleSW-3#writeBuilding configuration...[OK]路由器R1代码如下：Router>Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface f0/0Router(config-if)#no shutdownRouter(config-if)#ip address 192.168.40.1 255.255.255.0Router(config-if)#exitRouter(config)#Router(config)#Router(config)#interface f0/1Router(config-if)#no shutdownRouter(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to upRouter(config-if)#ip address 220.168.10.1 255.255.255.0Router(config-if)#exitRouter(config)#ip route 0.0.0.0 0.0.0.0 192.168.40.2Router(config)#hoRouter(config)#hostname R1R1(config)#access-list 10 permit 192.168.30.0 0.0.0.255R1(config)#ip nat pool MPH 58.58.58.58 58.58.58.58 netmask 255.255.255.0 R1(config)#ip nat inside source list 10 pool MPH overloadR1(config)#R1(config)#access-list 20 permit 192.168.10.0 0.0.0.255R1(config)#ip nat pool LL 99.99.99.99 99.99.99.199 netmask 255.255.255.0 R1(config)#ip nat inside source list 20 pool LLR1(config)#R1(config)#ip nat inside source static 192.168.20.10 25.25.25.25R1(config)#ip nat inside source static 192.168.20.20 26.26.26.26R1(config)#R1(config)#interface f0/0R1(config-if)#ip nat insideR1(config-if)#exitR1(config)#R1(config)#interface f0/1R1(config-if)#ip nat outsideR1(config-if)#R1#writeBuilding configuration...[OK]R1#。

NAT实验一．实验拓扑结构图二．IP地址规划PC0——192.168.10.10 默认网关——192.168.10.254PC1——202.20.20.10 默认网关——202.20.20.254Router0：Fa0/0——192.168.10.254 S1/0——202.10.10.10 Router1：Fa0/0——202.20.20.254 S1/0——202.10.10.20地址池：202.30.30.1——202.30.30.30 name changsha 三．配置过程1.Router0的配置：Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#int fa0/0Router(config-if)#ip address 192.168.10.254 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#int s1/0Router(config-if)#ip address 202.10.10.10 255.255.255.0Router(config-if)#clock rate 9600Router(config-if)#no shut2．Router1的配置Router(config)#int fa0/0Router(config-if)#ip add 202.20.20.254 255.255.255.0Router(config-if)#no shutRouter(config-if)#int s1/0Router(config-if)#ip add 202.10.10.20 255.255.255.0Router(config-if)#no shut3．Router0配置NA T转换Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255Router(config)#ip nat pool network 202.30.30.1 202.30.30.30 netmask 255.255.255.0 Router(config)#ip nat inside source list 1 pool networkRouter(config)#int fa0/0Router(config-if)#ip nat insideRouter(config-if)#int s1/0Router(config-if)#ip nat outside4．Router0配置静态路由Router(config)#ip route 202.20.20.0 255.255.255.0 202.10.10.205．Router1配置静态路由Router(config)#ip route 202.30.30.0 255.255.255.0 202.10.10.106．实验测试（1）在PC0上输入ping指令PC>ping 202.20.20.10Pinging 202.20.20.10 with 32 bytes of data:Reply from 202.20.20.10: bytes=32 time=156ms TTL=126Reply from 202.20.20.10: bytes=32 time=156ms TTL=126Reply from 202.20.20.10: bytes=32 time=156ms TTL=126Reply from 202.20.20.10: bytes=32 time=156ms TTL=126 （2）在Router0中输入测试指令Router#debug ip natIP NAT debugging is onRouter#NA T: s=192.168.10.10->202.30.30.1, d=202.20.20.10 [13] NA T*: s=202.20.20.10, d=202.30.30.1->192.168.10.10 [4] NA T: s=192.168.10.10->202.30.30.1, d=202.20.20.10 [14] NA T*: s=202.20.20.10, d=202.30.30.1->192.168.10.10 [5] NA T: s=192.168.10.10->202.30.30.1, d=202.20.20.10 [15] NA T*: s=202.20.20.10, d=202.30.30.1->192.168.10.10 [6] NA T: s=192.168.10.10->202.30.30.1, d=202.20.20.10 [16] NA T*: s=202.20.20.10, d=202.30.30.1->192.168.10.10 [7]。

NAT配置NA T配置在讨论NAT配置之前,来看一看目前我们介入Internet所遇到的地址分配问题.由于Internet 用户数目迅速膨胀,因此,地址分配越来越紧张,绝大多数需要接入Internet的企业网络往往会遇到这种情况:只申请到十几个或几十个合法IP地址,但是他们的网络用户却有几百个.为了解决Internet IP地址紧张的问题,出现了几种解决办法,NAT(Network Address Translation)即地址转换是其中的一种解决办法,而且已经被广泛使用.所谓的NAT是首先在RFC 1631中定义的,根据某种策略改变IP数据包报头及应用数据流中的源地址或目的地址的一种技术.一.采用NAT的好处•可以实现私用地址(即为进行过登记的IP地址)和合法IP地址之间的转换,不需要大量的合法IP地址•可以实现地址复用,即多个地址转换为同一个地址•通过NAT技术可以屏蔽网络内部的IP地址,增加网络的安全性二.NAT 应用NAT 有以下几种主要的应用1.连接公用IP网络,如Internet,通过NAT可以将转发到公用网络的IP数据包的本地私用IP源地址转换为合法的IP源地址,并且可以通过地址复用节省大量合法IP地址同时屏蔽私用网络2.在进行网络改造时,为了避免改变原有的IP地址分配,采用NAT技术,减少工作量3.通过一个全局IP地址与多个本地地址的对应,采用NAT 技术,实现TCP负载均衡三.关于Cisco 路由器上NAT的几个术语NAT内部端口(Inside Interface)连接内部网络的路由器物理或逻辑的启用了IP协议栈端口NAT外部端口(Outside Interface)连接外部网络,通常为公用IP网络如Internet,路由器的物理或逻辑的启用了IP协议栈端口内部本地地址(Inside local address)内部网络分配给特定用户计算机的内部私用IP地址,该地址很可能为没有在ISP或Internet 管理部门的IP地址.内部全局地址(Inside global address)在Internet管理部门或ISP登记的合法IP地址,该地址代表一个或多个内部本地地址,对于外部连接到同一个IP公用网络的用户来说,他们只能访问到该合法IP地址,即内部全局地址.外部本地地址(Outside local address)在内部网络用户看来的进入到内部网络的外部网络用户的IP 地址.该地址不必为合法IP 地址 外部全局地址(Outside global address)在Internet 或ISP 公用网络上所看到的外部网络用户的IP 地址这里我们举例来说明这几个术语这里,路由器的e0端口连接内部网络,为内部端口;S0连接外部的Internet,为外部端口.PC1为内部网络的一台计算机,它的内部本地地址为1.1.1.10,没有在Internet 管理部门登记,PC1与内部网络其他计算机进行通信时,使用10.1.1.10.在Internet 上有一个计算机PC2,它的IP 地址为合法IP 地址,即已经在Internet 管理部门登记了的IP 地址,该地址在内部网络用户PC1看来为PC2的外部全局地址.如果不采用NAT 技术,PC1如何与外界通信呢?通信是建立不起来的,一般情况下,PC1可以将数据包发往外部网络,但是,外部网络无法将数据包发送回1.1.1.10,因为,PC1采用非法IP 地址,外部网络将数据包发送到了合法的拥有1.1.1.10的计算机上,(如果它开机的话).这里,采用NAT 技术,当PC1与外部网络进行数据通信时,路由器R1将用合法IP 地址192.1.1.10替换数据包中的源地址1.1.1.10,然后将数据包转发出去,而外部网络只能看到192.1.1.10为PC1的合法IP 地址.这里192.1.1.10为PC1的内部全局地址.我们再看一下PC2如何与PC1通信,如果不采用NAT 技术,他们根本无法通信,因为,一般情况下,由于PC1的内部本地地址与PC2的外部全局地址在同一网段,因此,PC1不会将数据包转发到路由器R1上,因此,在路由器R1上采用NAT 技术,将进入到内部网的数据包的PC2的外部全局地址转换为10.1.1.100,则10.1.1.100为PC2的外部本地地址,由PC1返回到PC2的数据经过路由器R1时,R1会将10.1.1.100转换回1.1.1.100,再转发出去.四.以上例子向我们提出了一个问题,即地址冲突问题,原则上,内部网络可以用IP 协议中规定的任何有效的IP 地址,但是采用与合法IP 地址重复的IP 地址,将增加很多不必要的麻烦,因此,建议采用以下网段进行内部网络地址分配,这些网段已经在RFC 1981规定,在Internet 上无人使用的IP 网段A 类 10.0.0.0-10.255.255.255B 类172.16.0.0-172.31.255.255C类192.168.0.0-192.168.255.255 五.Cisco路由器NAT所支持的应用类型:六.支持NAT的IOS及Cisco产品情况七.NAT 的主要配置方法:1 静态地址转换将指定好的内部或外部本地地址与内部或外部全局地址进行一对一的明确转换.该种方法主要用在内部网络有对外提供服务的服务器,如邮件服务器.但是该种办法不会节省合法IP地址空间,如果某个合法IP地址已经被NAT静态地址转换定义,即使该地址没有被使用,也不能被用作其他的地址转换2 动态地址转换将内部本地地址动态地转换为在一段地址池的某一个未被用过的内部全局地址,该地址为由未被使用的地址组成的地址池中在定义时排在最前面的一个,在数据传输完毕,路由器将把使用完的内部全局地址放回地址池中,以供其他内部本地地址进行转换,但在该地址在使用时,不能使用该地址进行再一次转换3 端口地址转换(PAT)所谓的端口地址转换,从功能上说通过它可以实现多个不同本地地址或具有相同本地地址但具有不同应用端口号的通信进程同时使用一个地址进行转换进行同时通信.Cisco 路由器可以实现大约同时4000个PAT转换4 基于路由图(ROUTE-MAP)的NAT配置八.NAT具体配置步骤1 在端口配置状态下,定义内部端口ip nat inside2 在端口配置状态下,定义外部端口ip nat outside3 定义NAT策略哪些内部本地地址需要转换转换成哪些内部全局地址哪些外部全局地址需要转换转换成哪些外部本地地址所有NAT配置方法都有相同的步骤1和2,只有在定义NAT策略时不同.下面分别举例介绍几种NAT的配置方法:1 静态NAT地址转换配置如下图,其中在R3上有2个loopback端口,地址分别为loopback0:10.1.2.1/32,loopback1:10.1.2.2/32R2作为外部网络的路由器,R1的E0连接内部网络,要求将地址10.1.1.10静态转换为192.1.1.10,10.1.1.212静态转换为192.1.1.212,10.1.2.1静态转换为192.1.3.1,10.1.2.2静态转换为1.1静态地址转换策略定义步骤在全局配置状态下ip nat inside source static 内部本地地址内部全局地址ip nat 关键字inside 关键字,表示对内部地址进行转换source 关键字,表示对源地址进行转换static 关键字,表示进行静态转换1.2 R1具体配置version 11.3!hostname R1ip nat inside source static 10.1.2.2 192.1.3.2!定义将10.1.2.2静态转换为192.1.3.2ip nat inside source static 10.1.2.1 192.1.3.1!定义将10.1.2.1静态转换为192.1.3.1ip nat inside source static 10.1.1.10 192.1.1.100!定义将10.1.1.10静态转换为192.1.1.100ip nat inside source static 10.1.1.212 192.1.1.212!定义将10.1.1.212静态转换为192.1.1.212interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!定义该端口为内部端口interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outside!定义该端口为外部端口clockrate 2000000!ip classlessip route 10.1.2.0 255.255.255.0 10.1.1.10!定义指向10.1.2.0网段的静态路由ip route 192.1.0.0 255.255.0.0 192.1.1.2!定义指向192.1.0.0网段的静态路由,该路由为聚合路由R3的具体配置version 11.3!hostname R3!interface Loopback0ip address 10.1.2.1 255.255.255.255!定义该端口,主要是模拟一台IP地址为10.1.2.1的计算机interface Loopback1ip address 10.1.2.2 255.255.255.255!interface Ethernet0ip address 10.1.1.10 255.255.255.0ip classlessip route 0.0.0.0 0.0.0.0 10.1.1.1!定义缺省路由,将所有去到其他网段的数据包均转发给10.1.1.1R2的具体配置version 11.3hostname R2!interface Loopback0ip address 192.1.2.1 255.255.255.0!interface Serial0ip address 192.1.1.2 255.255.255.0ip classlessip route 192.1.3.0 255.255.255.0 192.1.1.1!定义指向192.1.3.0网段的静态路由,指向192.1.1.1即R1,在定义NAT时,需要有指向NAT转换后!的地址的路由1.3检查手段:1 我们首先可以采用show命令进行检查是否NAT定义正确采用show ip nat translations verbose可以看到当前正在进行的NAT的具体情况R1#show ip nat translations verbosePro Inside global Inside local Outside local Outside global (内部全局地址) (内部本地地址) (外部本地地址) (外部全局地址) --- 192.1.1.100 10.1.1.10 --- ---(表示没有转换)create 00:42:43, use 00:01:53, flags: static表示建立了多长时间,已经累计用了多长时间,flag后为转换类型,此处表示为静态转换--- 192.1.1.212 10.1.1.212 --- --- create 00:42:43, use 00:42:43, flags: static--- 192.1.3.1 10.1.2.1 --- --- create 00:31:47, use 00:31:47, flags: static--- 192.1.3.2 10.1.2.2 --- --- create 00:31:29, use 00:31:29, flags: static采用show ip nat statistics可以检查NAT运行情况R1#show ip nat statisticsTotal active translations: 4 (4 static, 0 dynamic; 0 extended)!表示共有4个激活的地址转换,4个静态转换,0个动态转换,0个扩展的转换Outside interfaces:Serial0!表示外部端口为Serial0Inside interfaces:Ethernet0!表示内部端口为Ethernet0Hits: 264 Misses: 0!表示共有264次转换成功,0次失败Expired translations: 0Dynamic mappings:2 我们也可以采用debug命令实时监控NAT工作情况R1#debug ip nat detailedIP NAT detailed debugging is on我们在R3上采用扩展的PING,从10.1.2.1 PING 192.1.1.1R3#pingProtocol [ip]:Target IP address: 192.1.1.1Repeat count [5]: 100000Datagram size [100]: 1000Timeout in seconds [2]:Extended commands [n]: ySource address or interface: 10.1.2.1R1#debug ip nat detailed04:32:47: NAT: i: icmp (10.1.2.1, 14883) -> (192.1.1.1, 14883) [13036]!R1在Ethernet 0端口接收从10.1.1.10转发过来的IP数据包,源地址为10.1.2.1,目的地址!为192.1.1.1,数据包为ICMP类型,PING由ICMP ECHO 及ECHO-REPLY 类型实现04:32:47: NAT: o: icmp (192.1.1.1, 14883) -> (192.1.3.1, 14883) [13036]!R1将10.1.2.1静态转换为192.1.3.1,因此,192.1.1.1发送的ECHO-REPLY数据包的目的地址!为192.1.3.11.4 这里,我们在R1,R2,R3上采用静态路由,也可以采用动态路由,但是需要注意一个问题:因为采用了NAT地址转换,内部本地地址对外部网络来说是不可见的,在绝大多数情况下,内部本地地址为非法地址,因此,内部本地地址不能广播到外部网络中,因此需要采用路由过滤.如上面的配置改成动态路由,不只是静态NAT,所有NAT转换都会碰到这个问题.采用NAT的路由器的路由广播基于以下原则,对于需要转换的内部本地地址,禁止广播出去,对于不需要转换的地址且这些地址需要与外部网络进行通信,外部网络需要知道到达这些地址的路由,即如果用动态路由,需要将这些地址网段广播出去.R1的配置如下version 11.3hostname R1!ip nat inside source static 10.1.2.2 192.1.3.2ip nat inside source static 10.1.2.1 192.1.3.1ip nat inside source static 10.1.1.10 192.1.1.100ip nat inside source static 10.1.1.212 192.1.1.212!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!router ripredistribute static!将ip route 192.1.3.0 255.255.255.0 Null0定义的静态路由重定向到RIP中并由RIP广播出去,!由于RIP只把从其他路由器学到的路由及正常工作的物理及逻辑端口的IP网段广播出去,RIP不会!把没有端口的192.1.3.0这个网段加到路由表中广播出去,因此,采用重定向技术,将静态路由加!入到RIP路由表中network 10.0.0.0network 192.1.1.0distribute-list 1 out!引用包过滤规则1,对于目的地址网段符合包过滤规则1的路由,将禁止广播出去distribute-list 1 in! 引用包过滤规则1,对于接收道德目的地址网段符合包过滤规则1的路由,将删掉ip classlessip route 192.1.3.0 255.255.255.0 Null0!该静态路由将下一跳地址指向Null0端口,表示对于发往192.1.3.0网段的数据包,本路由器将丢掉!其实,该路由并无实际路由作用,它只是指明有192.1.3.0这个网段,以供RIP广播出去.该路由器!接收到去192.1.3.0网段的数据包,首先要进行NAT转换,然后才进行路由查找.access-list 1 deny 10.0.0.0access-list 1 permit any!定义包过滤表1,表示10.0.0.0网段将丢掉,其他网段允许通过,该过滤表供RIP过滤使用1.5 静态地址转换适用环境●当与IP公用网进行连接时,有需要对外部网络提供服务的计算机,而且该计算机放在内部网络中,必须采用静态地址转换●需要针对于IP地址进行记费2 动态地址转换具体配置具体配置步骤地址转换策略配置步骤2.1 在全局配置状态下,定义标准包过滤,包过滤表中包含有允许进行地址转换的内部本地地址access-list 包过滤序号[permit|deny] 内部本地地址集合2.2 在全局配置状态下,定义内部全局地址所组成的地址池ip nat pool 地址池名字字符串起始IP地址终止IP地址netmask 子网掩码ip nat pool 关键字netmask 关键字2.3 在全局配置状态下,将包过滤定义的内部本地地址与由内部全局地址组成的地址池相关连,表示按照定义的先后顺序将内部本地地址依次与内部本地地址进行一一映射,进行地址转换ip nat inside source list 由2.1.1步骤定义的包过滤序号pool 由2.1.2定义的地址池名字字符串ip nat inside source list 关键字pool 关键字我们仍然采用静态地址例子的拓扑结构,并且要求将内部本地地址10.1.2.1/24,10.1.2.2/24采用动态一对一地址转换方法转换到192.1.3.1/24,这样做,主要为了观察该种NAT转换的特点具体配置实例R1的具体配置version 11.3!hostname R1!ip nat pool test 192.1.3.1 192.1.3.1 netmask 255.255.255.0!定义内部全局地址池从192.1.3.1到192.1.3.1,子网掩码为24位,地址池的名字位testip nat inside source list 2 pool test!将由包过滤2定义的内部本地地址池依次与test地址池中的地址进行一一映射,进行转换ip nat inside source static 10.1.1.212 192.1.1.212ip nat inside source static 10.1.1.10 192.1.1.100!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!router ripredistribute staticnetwork 10.0.0.0network 192.1.1.0distribute-list 1 out Serial0distribute-list 1 in Serial0!ip classlessip route 192.1.3.0 255.255.255.0 Null0!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 2 permit 10.1.2.1 0.0.0.0access-list 2 permit host 10.1.2.2!定义包过滤规则2,允许10.1.2.1/24,10.1.2.2地址,其他均拒绝,该过滤规则提供给NAT转换用! access-list 2 permit 10.1.2.1 0.0.0.0完全等效与access-list 2 permit host 10.1.2.1检查手段:首先,采用sho ip nat translations verbose命令R1#sho ip nat translations verbosePro Inside global Inside local Outside local Outside global--- 192.1.1.100 10.1.1.10 --- ---create 00:34:54, use 00:34:54, flags: static--- 192.1.1.212 10.1.1.212 --- ---create 00:34:54, use 00:34:54, flags: static我们发现没有动态的地址转换的列表,因为,该命令只显示当前正在正在转换的地址列表,静态转换定义好后转换就会始终起作用,但是动态转换只有有数据包穿过NAT内外端口且需要转换时才进行转换.我们在R3上同时采用扩展的ping,从10.1.2.1 ping 192.1.1.2,从10.1.2.2 ping 192.1.1.2我们会发现,如果10.1.2.1转换为192.1.3.1,10.1.2.2就无法进行转换,只有在10.1.2.1数据传输完毕一段时间后,R1才释放192.1.3.1,10.1.2.2才能转换到192.1.3.1,反之亦然.因此,这种转换方法内部本地地址与内部全局地址之间是一一映射的,内部本地地址以定义的先后顺序与内部全局地址进行转换,如果所有内部全局地址正在使用,需要进行转换的内部本地地址只有等待有内部全局地址释放出来.路由器如何确定在内部本地地址传输完数据后到释放内部全局地址的时间间隔呢?我们可以通过设置参数进行控制.在全局配置状态下,定义在内部本地地址传输完数据后到释放内部全局地址的时间间隔.R1(config)#ip nat translation timeout 时间间隔参数(单位秒)ip nat translation timeout 关键字,其后可以跟两种参数ip nat translation timeout ?<0-2147483647> Timeout in secondsnever Never timeout如果,采用never参数,则如果一对内部本地地址与内部全局地址转换成功,则该转换永远有效,除非路由器关掉电源或强行删除该地址转换.这个参数很少使用,也不建议使用.现在,我们看一下正在工作的地址转换列表R1#sho ip nat translationsPro Inside global Inside local Outside local Outside global--- 192.1.1.100 10.1.1.10 --- ------ 192.1.1.212 10.1.1.212 --- ------ 192.1.3.1 10.1.2.1 --- ---我们也可以强行删除正在工作的动态生成的地址转换列表在超级权限状态下,删除所有正在工作的动态生成的地址转换列表R1#clear ip nat translation *clear ip nat translation 关键字* 表示所有动态生成的地址转换列表我们再来看一下正在工作的地址转换列表R1#sho ip nat translationsPro Inside global Inside local Outside local Outside global--- 192.1.1.100 10.1.1.10 --- ------ 192.1.1.212 10.1.1.212 --- ---静态地址转换列表无法用clear命令删除,只能通过删除静态地址转换配置删除.我们也可以将关于地址转换的统计数字清零,以便进行重新计数在超级权限状态下, 将关于地址转换的统计数字清零,以便进行重新计数R1#clear ip nat statistics适用环境内部全局地址多于或等于内部本地地址内部全局地址少于内部本地地址,但是,同时访问外部网络的内部本地地址数目在绝大多数情况下少于内部全局地址2.2 PAT地址转换配置PAT(端口地址转换)是一种扩展的地址转换,路由器将通过纪录地址,应用端口等唯一标识一个转换,通过这种转换可以使多个内部本地地址同时与同一个内部全局地址进行转换同时对外部网网络进行访问.PAT有两种配置方法方法一PAT地址转换策略配置1 在全局配置状态下,定义标准包过滤,包过滤表中包含有允许进行地址转换的内部本地地址access-list 包过滤序号[permit|deny] 内部本地地址集合2 在全局配置状态下,定义内部全局地址所组成的地址池ip nat pool 地址池名字字符串起始IP地址终止IP地址netmask 子网掩码ip nat pool 关键字netmask 关键字其中起始IP地址与终止IP地址应为同一个IP地址,终止IP地址也可以大于起始IP地址,但是路由器只使用第一个IP地址进行PAT转换.3 在全局配置状态下,将包过滤定义的内部本地地址与由内部全局地址相关连,进行PAT地址转换ip nat inside source list 由步骤1定义的包过滤序号pool 由步骤2定义的地址池名字字符串overloadip nat inside source list 关键字pool 关键字overload 关键字,表示PAT地址转换.这种PAT地址转换与动态一对一地址转换配置步骤唯一的区别就是这个参数.我们仍然采用静态地址例子的拓扑结构,并且要求将内部本地地址10.1.2.1/24,10.1.2.2/24,10.1.2.3/24采用动态一对多地址转换方法转换到192.1.3.1/24.在R3上添加一个loopback端口,地址为10.1.2.3/32这样做,主要为了观察该种NAT转换的特点具体配置实例version 11.3hostname R1!ip nat translation timeout 10ip nat pool test 192.1.3.1 192.1.3.2 netmask 255.255.255.0!这里起始IP地址与终止IP地址并不是一个,好像可以用两个内部全局地址进行转换,其实路由器只!使用192.1.3.1进行转换,并不使用192.1.3.2,因此,建议两个地址为同一个地址ip nat inside source list 2 pool test overload!将由list 2定义的内部本地地址范围与由test定义的内部全局地址进PAT转换ip nat inside source static 10.1.1.10 192.1.1.100ip nat inside source static 10.1.1.212 192.1.1.212!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!router ripredistribute staticnetwork 10.0.0.0network 192.1.1.0distribute-list 1 out Serial0distribute-list 1 in Serial0!ip classlessip route 192.1.3.0 255.255.255.0 Null0!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 2 permit 10.1.2.1access-list 2 permit 10.1.2.3access-list 2 permit 10.1.2.2检查手段R1#sho ip nat traslationsPro Inside global Inside local Outside local Outside global--- 192.1.1.100 10.1.1.10 --- ------ 192.1.1.212 10.1.1.212 --- ---icmp 192.1.3.1:6631 10.1.2.2:6631 192.1.1.2:6631 192.1.1.2:6631icmp 192.1.3.1:5973 10.1.2.1:5876 192.1.1.2:5876 192.1.1.2:5973icmp 192.1.3.1:8537 10.1.2.3:8537 192.1.1.2:8537 192.1.1.2:8537icmp 192.1.3.1:6630 10.1.2.2:6630 192.1.1.2:6630 192.1.1.2:6630icmp 192.1.3.1:5972 10.1.2.1:5875 192.1.1.2:5875 192.1.1.2:5972这里我们可以看到我们虽然定义了192.1.3.1,192.1.3.2两个内部全局地址,但是路由器只使用192.1.3.1一个地址进行转换. icmp 192.1.3.1:6631,冒号后应用端口号适用环境:NAT内外部端口,均有独立的IP地址,并且有专门的IP地址用来进行PAT转换.NAT内外部端口,均有独立的IP地址,没有专门的IP地址用来进行PAT转换.所有内部用户需要同时访问外部网络,并且内部本地地址远远多于内部全局地址.方法二:1 在全局配置状态下,定义标准包过滤,包过滤表中包含有允许进行地址转换的内部本地地址access-list 包过滤序号[permit|deny] 内部本地地址集合2 在全局配置状态下,将包过滤定义的内部本地地址与由NAT外部端口相关连,,进行地址转换ip nat inside source list 由步骤1定义的内部本地地址集合interface 端口号overload具体配置实例version 11.3!hostname R1!ip nat inside source list 2 interface Serial0 overload!表示将包过滤规则2定义的内部本地地址集合,转换为Serial0的IP地址,允许多个内部本地地址!同时转换为Serial 0的地址ip nat inside source static 10.1.1.212 192.1.1.212ip nat inside source static 10.1.1.10 192.1.1.100!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!router ripredistribute staticnetwork 10.0.0.0network 192.1.1.0distribute-list 1 out Serial0distribute-list 1 in Serial0!ip classlessip route 192.1.3.0 255.255.255.0 Null0!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 2 permit 10.1.2.1access-list 2 permit 10.1.2.3access-list 2 permit 10.1.2.2检查手段R1#sho ip nat translations verbosePro Inside global Inside local Outside local Outside globalicmp 192.1.1.1:12245 10.1.2.1:12245 192.1.1.2:12245 192.1.1.2:12245 create 00:00:00, use 00:00:00, left 00:00:59, flags: extendedicmp 192.1.1.1:7850 10.1.2.2:7850 192.1.1.2:7850 192.1.1.2:7850 create 00:00:00, use 00:00:00, left 00:00:59, flags: extended这里,我们可以看到PAT转换的详细资料.Flag:extended,表示扩展的NAT转换,所谓的扩展NAT,是指路由器在转换过程中,不但纪录内部本地地址,内部全局地址,外部本地地址,外部全局地址,而且纪录它们相应的应用段口号,以便唯一识别每一个转换.再看下一个例子,如果内部网络有多个出口去到外部网络,我们需要到达某些外部网络的内部本地地址转换为一个端口地址,而到达另外一些外部网络转换为另一个端口地址,我们可以通过配置多个PAT 来解决本例要求,10.1.2.1,10.1.2.2到达192.1.2.0/24网段的数据包,转换为192.1.1.1,通过Serial 0转发出去,而它们到达192.1.3.0/24网段的数据包,转换为192.1.10.1,通过Serial 1转发出去.具体配置实例 version 11.3 !hostname R1 !ip nat translation timeout 240!将NAT 转换保存时间变为240秒,主要为了能够有足够的时间抓取转换列表的内容 ip nat inside source list 102 interface Serial0 overload!符合包过滤102的内部本地地址采用PAT 地址转换为Serial0的IP 地址, 这里采用扩展的包过滤, !只有源地址,目的地址甚至段口号全部符合的内部本地地址才进行转换,而且进行完全扩展转换, !即纪录内部本地地址,内部全局地址,外部本地地址,外部全局地址和相应的端口号 ip nat inside source list 103 interface Serial1 overload!符合包过滤103的内部本地地址采用PAT 地址转换为Serial1的IP 地址 ip nat inside source static 10.1.1.212 192.1.1.212 ip nat inside source static 10.1.1.10 192.1.1.100 !interface Ethernet0ip address 10.1.1.1 255.255.255.0 ip nat inside !interface Serial0ip address 192.1.1.1 255.255.255.0 ip nat outside clockrate 2000000 !interface Serial1ip address 192.1.10.1 255.255.255.0R4 loopback0 192.1.3.1/24R2ip nat outsideclockrate 2000000!router ripnetwork 10.0.0.0network 192.1.1.0network 192.1.10.0distribute-list 1 outdistribute-list 1 in!ip classless!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 102 permit ip host 10.1.2.1 192.1.2.0 0.0.0.255access-list 102 permit ip host 10.1.2.2 192.1.2.0 0.0.0.255!定义扩展的包过滤规则102以供PAT转换使用,允许从10.1.2.1及10.1.2.2到192.1.2.0的数据包,其!他拒绝access-list 103 permit ip host 10.1.2.1 192.1.3.0 0.0.0.255access-list 103 permit ip host 10.1.2.2 192.1.3.0 0.0.0.255!这里必须如果采用标准的包过滤,路由器在转换之前按照扩展包过滤的所有定义的选项,如源地址即内部本地地址,目的地址,即外部本地地址,应用端口号依次搜索转换列表中是否有符合的转换.比!如,如果采用标准的包过滤,从10.1.2.1到192.1.3.1及10.1.2.1到192.1.2.1的数据流无法区分出来!,如果已经有了对于10.1.2.1的转换,由于转换纪录只保存内部本地地址与内部全局地址的映射如!下,这时从10.1.2.1到外部网络不同地点又有数据流,则路由器只检查内部本地地址是否在转换列!表中存在,如果存在依然采用该转换Pro Inside global Inside local Outside local Outside global--- 192.1.3.1 10.1.2.1 --- ---!这里需要说明一点,在动态地址转换中即使采用扩展的包过滤,路由器也只检查源地址即内部本!地地址部分检查手段R1#sho ip nat translations verbosePro Inside global Inside local Outside local Outside globalicmp 192.1.10.1:4724 10.1.2.2:4724 192.1.3.1:4724 192.1.3.1:4724 create 00:00:05, use 00:00:05, left 00:00:54, flags: extendedicmp 192.1.10.1:1250 10.1.2.1:1250 192.1.3.1:1250 192.1.3.1:1250 create 00:00:36, use 00:00:36, left 00:00:23, flags: extendedicmp 192.1.1.1:2603 10.1.2.2:2603 192.1.2.1:2603 192.1.2.1:2603 create 00:00:21, use 00:00:21, left 00:00:38, flags: extendedicmp 192.1.1.1:1245 10.1.2.1:1245 192.1.2.1:1245 192.1.2.1:1245 create 00:00:53, use 00:00:53, left 00:00:06, flags: extended适用环境NAT内外部端口具有独立的IP地址,无额外的内部全局地址供转换所有内部用户需要同时访问外部网络,并且内部本地地址远远多于内部全局地址.4 基于路由图(ROUTE-MAP)的NAT配置我们知道动态的地址转换的缺陷在于他只能使用标准的包过滤检查源地址即内部本地地址以下场合,动态地址转换并不适合使用●内部网络有多个NAT外部端口,而且同一个内部本地地址从不同的NAT外部端口出去,需要转换为不同的内部全局地址●同一个内部本地地址针对于不同的应用, 需要转换为不同的内部全局地址通过采用基于路由图(ROUTE-MAP)的NAT配置可以解决这个问题,因为这种地址转换方法采用的是完全扩展的地址转换.基于路由图(ROUTE-MAP)的NAT的策略配置●定义扩展包过滤规则,确定符合条件的内部本地地址集合●定义路由图,引用扩展包过滤规则, 确定符合条件的内部本地地址集合在全局配置状态下,route-map 路由图名字字符串[permit|deny] 序列号route-map 关键字match ip address 扩展的包过滤规则match ip address 关键字,检查数据包是否符合扩展的包过滤规则●符合路由图的内部本地地址采用PAT转换或地址池转换采用PAT转换,这种方法与以上介绍的PAT转换效果完全一致.在全局配置状态下ip nat inside source route-map 路由图名字字符串interface 端口号overloadip nat inside source route-map 关键字interface 关键字overload 关键字地址池转换ip nat inside source route-map 路由图名字字符串pool 地址池名字ip nat inside source route-map 关键字pool 关键字配置实例1如图,要求10.1.2.1,10.1.2.2,10.1.2.3到达192.1.2.0/24网段,转换为192.1.1.100至192.1.1.101,它们到达192.1.3.0/24网段时,转换为192.1.10.100至192.1.10.101具体配置实例!version 11.3!hostname R1!ip nat translation timeout 10ip nat pool t0 192.1.1.100 192.1.1.101 netmask 255.255.255.0ip nat pool t1 192.1.10.100 192.1.10.101 netmask 255.255.255.0ip nat inside source route-map test0 pool t0!将路由图test0定义的内部本地地址与地址池t0关联,进行一对一地址转换,如果所有的内部!全局地址用完,则需要转换的内部本地地址只有等待由地址池t0定义的内部全局地址释放!该条语句表示从10.1.2.1,10.1.2.2,10.1.2.3到192.1.2.0/24网段的数据包转换为192.1.1.100或!192.1.1.101ip nat inside source route-map test1 pool t1! 该条语句表示从10.1.2.1,10.1.2.2,10.1.2.3到192.1.3.0/24网段的数据包转换为192.1.10.100!或192.1.10.101ip nat inside source static 10.1.1.212 192.1.1.212ip nat inside source static 10.1.1.10 192.1.1.100!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!interface Serial1ip address 192.1.10.1 255.255.255.0ip nat outsideclockrate 2000000!router ripnetwork 10.0.0.0network 192.1.1.0network 192.1.10.0distribute-list 1 outdistribute-list 1 in!ip classless!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 102 permit ip host 10.1.2.1 192.1.2.0 0.0.0.255access-list 102 permit ip host 10.1.2.2 192.1.2.0 0.0.0.255access-list 102 permit ip host 10.1.2.3 192.1.2.0 0.0.0.255access-list 103 permit ip host 10.1.2.1 192.1.3.0 0.0.0.255access-list 103 permit ip host 10.1.2.2 192.1.3.0 0.0.0.255access-list 103 permit ip host 10.1.2.3 192.1.3.0 0.0.0.255route-map test0 permit 10match ip address 102!路由图test0引用扩展包过滤规则102对进行地址转换检查route-map test1 permit 10match ip address 103配置实例2要求如果从10.1.1.0/24网段到192.1.3.0/24网段的数据包为ICMP类型,内部本地地址转换为192.1.1.100-192.1.1.101; 如果从10.1.1.0/24,到192.1.3.0/24网段的数据包为telnet类型, 内部本地地址转换为192.1.10.100-192.1.10.101具体配置version 11.3hostname R1ip nat pool t0 192.1.1.100 192.1.1.101 netmask 255.255.255.0ip nat pool t1 192.1.10.100 192.1.10.101 netmask 255.255.255.0ip nat inside source route-map test0 pool t0ip nat inside source route-map test1 pool t1!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!interface Serial1ip address 192.1.10.1 255.255.255.0ip nat outsideclockrate 2000000!router ripnetwork 10.0.0.0network 192.1.1.0network 192.1.10.0distribute-list 1 outdistribute-list 1 in!ip classless!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 102 permit icmp 10.1.1.0 0.0.0.255 192.1.3.0 0.0.0.255!扩展包过滤102表示对于从10.1.1.0/24网段到192.1.3.0/24网段的数据包为ICMP类型,允许!检查通过access-list 103 permit tcp 10.1.1.0 0.0.0.255 192.1.3.0 0.0.0.255 eq telnet! 扩展包过滤103表示从10.1.1.0/24,到192.1.3.0/24网段的数据包为telnet类型, 允许!检查通过route-map test0 permit 10match ip address 102!route-map test1 permit 10match ip address 103检查手段我们可以通过sho ip nat translations verbose检查NAT转换情况R1#sho ip nat translations verbosePro Inside global Inside local Outside local Outside globalicmp 192.1.1.100:5764 10.1.1.10:5764 192.1.3.1:5764 192.1.3.1:5764 create 00:00:35, use 00:00:35, left 00:00:24, flags: extended!我们在从10.1.1.10 ping 192.1.3.1 ,路由器将10.1.1.10转换为192.1.1.100,ping 是通过!ICMP 的ECHO 及ECHO-REPLY实现的tcp 192.1.10.100:58371 10.1.1.10:58371 192.1.3.1:23 192.1.3.1:23。