NAT笔记
NAT 用于实现内网和外网之间的互访。
静态NAT
静态NAT实现内网地址和外网地址的一对一转换。
有2种配置方法:
全局模式下设置静态NAT
[R1]nat static global 172.10.10.10 inside 192.168.10.10
[R1]int g0/0/1 #外网接口
[R1-GigabitEthernet0/0/1]nat static enable
直接在接口上声明静态NAT
[R1]int g0/0/1 #外网接口
[R1-GigabitEthernet0/0/1]nat static global 172.10.10.10 inside 192.168.10.10[R1]dis nat static #查看NAT静态配置信息动态NAT
有地址池的概念,多个内网地址对应多个外网地址,基于地址池一对一映射。
配置方法:
定义地址池
[R1]nat address-group 1 100.0.0.100 100.0.0.200 定义ACL
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255在外网接口接配置动态地址转换,no pat表示不做端口转换,只做IP地址转换,默认为pat
[R1-acl-basic-2000]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat 查看NAT Outbound的信息
[R1]dis nat outbound
PAT端口多路复用
PAT引入了端口的概念,可以将多个内网地址映射到同一个外网IP的不同端口上。
PAT的类型有以下:
- 动态PAT,包括 NAPT 和 Easy IP。
- 静态PAT,包括 NAT Server。
NAPT
在动态NAT的基础上,基于地址池,不仅IP转换,同时做端口转换,配置方法也与动态NAT类似。
定义地址池
[R1]nat address-group 1 100.0.0.100 100.0.0.200 定义ACL
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255在外网出口配置PAT转化
[R1-acl-basic-2000]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 查看NAT Outbound的信息
[R1]dis nat outbound
EasyIp
EasyIp没有地址池的概念,直接将内网地址转换为外网接口的那个IP地址,基于不同端口实现IP地址多对一转换。
定义ACL
[R1]acl 2000
[R1-acl-adv-2000]rule permit ip source 192.168.10.0 0.0.0.255 在外网接口配置EasyIp
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 查看NAT的流表信息
[R1]display nat session all
NATServer
端口映射,将内网服务器的端口映射到外网地址的端口上,实现内网服务器供外网用户访问。
知道外网接口IP地址的情况下,在外网接口,基于IP地址做端口映射
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 12.12.12.12 www inside 10.1.1.1 www不知道外网接口IP地址的时候,在外网接口,基于外网口做端口映射
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 10.1.1.1 www