网络设备之NAT

一、思科路由器

1、静态地址转换：适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转

ip nat inside source static 192.168.2.2  10.10.10.4 ---------------------前者为内网地址，后者为外网地址

interface GigabitEthernet0/1---------------------------------------------------外网接口
 ip address 10.10.10.1 255.255.255.0
 ip nat outside

interface GigabitEthernet0/2---------------------------------------------------内网接口
 ip address 192.168.3.2 255.255.255.0
 ip nat inside

如果用内外网都是用ospf，则在边界路由器上需要配置‘

在内网的ospf进程里面配置：default-information originate

router ospf 1
 log-adjacency-changes
 network 192.168.3.0 0.0.0.255 area 0
 default-information originate

还需要配置一条指向外网的默认路由：ip route 0.0.0.0 0.0.0.0 10.10.10.2

内网可以访问互联网，互联网可以访问外网

 

ip nat inside source static tcp  192.168.2.2 80 10.10.10.4 80 （8080） ---------------------前者为内网地址，后者为外网地址，可以进行端口转换，方便外网访问

内部服务器，端口可以内外用相同端口，也可以用不同的端口，内80------>外80或内80------>外8080

interface GigabitEthernet0/1---------------------------------------------------外网接口
 ip address 10.10.10.1 255.255.255.0
 ip nat outside

interface GigabitEthernet0/2---------------------------------------------------内网接口
 ip address 192.168.3.2 255.255.255.0
 ip nat inside

 

2、动态地址转换适用的环境：动态地址转换也是将本地地址与内部合法地址一对一的转换，匹配的内网地址会是随机选择公网地址池里面的地址进行转换，公网地址用完后，其余地址将不能在进行删网。

access-list 99 permit 192.168.1.0 0.0.0.255
ip nat pool test 10.10.10.3 10.10.10.10 netmask 255.255.255.0
ip nat inside source list 99 pool test

interface GigabitEthernet0/1---------------------------------------------------外网接口
 ip address 10.10.10.1 255.255.255.0
 ip nat outside

interface GigabitEthernet0/2---------------------------------------------------内网接口
 ip address 192.168.3.2 255.255.255.0
 ip nat inside

 

 

3、复用动态地址转换适用的环境（PNAT）：复用动态地址转换首先是一种动态地址转换， 但是它可以允许多个内部本地地址共用一个内部合法地址，通过用随机产生的端口来标识不同的转换地址。

access-list 99 permit 192.168.1.0 0.0.0.255
ip nat pool test 10.10.10.3 10.10.10.10 netmask 255.255.255.0
ip nat inside source list 99 pool test overload

interface GigabitEthernet0/1---------------------------------------------------外网接口
 ip address 10.10.10.1 255.255.255.0
 ip nat outside

interface GigabitEthernet0/2---------------------------------------------------内网接口
 ip address 192.168.3.2 255.255.255.0
 ip nat inside

 

要实现外网能够访问内网服务器，必须用静态地址端口转换；

 

 

二、华为路由器NAT

 1、静态NAT

interface GigabitEthernet0/0/1
 ip address 10.10.10.1 255.255.255.0
 nat static global 10.10.10.3 inside 192.168.1.2 netmask 255.255.255.255
 nat static protocol tcp global 10.10.10.4 www inside 192.168.2.2 www netmask 255.255.255.255
 nat static enable

 

2、动态NAT

[GW]nat address-group 0 202.100.1.100 202.100.1.200

[GW]acl number 2000 
[GW-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

[GW-GigabitEthernet0/0/0]int g0/0/1 
[GW-GigabitEthernet0/0/1] nat outbound 2000 address-group 0 no-pat 
注：no-pat表示一对一转换，只转换地址，不转换端口，直接回车表示IP和端口都做转换

 

3、端口复用PAT

[GW]nat address-group 0 202.100.1.100 202.100.1.200

[GW]acl number 2000 
[GW-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

[GW-GigabitEthernet0/0/0]int g0/0/1 
[GW-GigabitEthernet0/0/1] nat outbound 2000 address-group 0