[Lab 6]NAT

NAT 有三种类型:静态NAT、动态NAT 端口地址转换(PAT)和静态PAT

NAT术语:

① 内部局部(inside local)地址:在内部网络使用的地址,往往是RFC1918 地址;

② 内部全局(inside global)地址:用来代替一个或多个本地IP 地址的、对外的、

向NIC 注册过的地址;

③ 外部局部(outside local)地址:一个外部主机相对于内部网络所用的IP 地址。

不一定是合法的地址;

④ 外部全局(outside global)地址:外部网络主机的合法IP 地址。

1-静态NAT

拓扑如下:

[Lab6]NAT_第1张图片

我们在R1 上配置如下:

R1(config)#ip nat inside source static 192.168.1.6 202.16.1.5 \\转化后的地址不一定是出接口地址,只有一个要求,外部的路由可以回来

R1#sh run int f0/0

interface FastEthernet0/0

ip address 202.16.1.1 255.255.255.0

ip nat outside

R1#sh run int f0/1

interface FastEthernet0/1

ip address 192.168.1.1 255.255.255.0

ip nat inside

R1#sh ip nat translations

Pro Inside global Inside local Outside local Outside global

udp 202.16.1.5:49191 192.168.1.6:49191 192.168.2.6:33471 192.168.2.6:33471

udp 202.16.1.5:49192 192.168.1.6:49192 192.168.2.6:33472 192.168.2.6:33472

--- 202.16.1.5 192.168.1.6 --- ---

如果你在R1 上开起了debug ip nat,你就会看到下面的信息

clip_p_w_picpath004

2-动态NAT

R1 上配置:

ip nat pool ccie 202.16.1.4 202.16.1.10 netmask 255.255.255.0

ip nat inside source list 1 pool ccie

access-list 1 permit 192.168.1.0 0.0.0.255

R1#sh ip nat statistics

Total active translations: 7 (0 static, 7 dynamic; 6 extended)

\\7个是动态转换的

Peak translations: 7, occurred 00:02:24 ago

Outside interfaces:

FastEthernet0/0

Inside interfaces:

FastEthernet0/1

\\内部和外部接口

Hits: 15 Misses: 0

CEF Translated packets: 8, CEF Punted packets: 7

Expired translations: 2

Dynamic mappings:

-- Inside Source

[Id: 1] access-list 1 pool ccie refcount 7

pool ccie: netmask 255.255.255.0

start 202.16.1.4 end 202.16.1.10

\\POOL的信息

type generic, total addresses 7, allocated 1 (14%), misses 0

\\共7个地址分配出去了1个

Appl doors: 0

Normal doors: 0

Queued Packets: 0

3-PAT

R1 配置如下:

ip nat pool ccie 202.16.1.1 202.16.1.1 netmask 255.255.255.0

ip nat inside source list 1 pool ccie overload

access-list 1 permit 192.168.1.0 0.0.0.255

通过以下命令可以查看

R1#sh ip nat translations verbose

Pro Inside global Inside local Outside local Outside global

icmp 202.16.1.1:10 192.168.1.6:10 192.168.2.6:10 192.168.2.6:10

create 00:00:26, use 00:00:26 timeout:60000, left 00:00:33, Map-Id(In): 1,

flags:

extended, use_count: 0, entry-id: 16, lc_entries: 0

动态NAT 的过期时间是86400秒 (1 day),PAT 的过期时间是60 秒

如果主机的数量不是很多, 可以直接使用outside 接口地址配置PAT,不必定义地址池

命令如下:

R1(config)#ip nat inside source list 1 interface f0/0 overload

R1(config)#ip nat translation timeout timeout \\可以修改time-out,时间为s.

clip_p_w_picpath006

4-静态PAT

针对特殊内部服务端口做NAT, 可以与PAT共存

拓扑图变更如下:

[Lab6]NAT_第2张图片

我们在R6上开起http server

在R4上可以验证成功开启

clip_p_w_picpath010

R1 配置静态PAT

R1(config)#ip nat inside source static tcp 192.168.1.7 23 interface f0/0 8080

那么我们在R3上telent 202.16.1.1 8080端口 就会映射到R6的80端口

clip_p_w_picpath012

5-常用命令

clear ip nat translation * 清除动态NAT 表

show ip nat translation 查看NAT 表

show ip nat statistics 查看NAT 转换的统计信息

debug ip nat 动态查看NAT 转换过程

ip nat inside source static 配置静态NAT

ip nat inside 配置NAT 内部接口

ip nat outside 配置NAT 外部接口

ip nat pool 配置动态NAT 地址池

ip nat inside source list access-list-number pool name 配置动态NAT

ip nat inside source list access-list-number pool name overload 配置PAT