思科,NAT配置详解
实验拓扑:
R1做出口路由器,R2做运营商设备,R1做端口映射使R2可以对R3远程管理
实验需求
1、 在R1上做静态NAT使内网主机可以访问外网
2、 在R1上做动态NAT使内网主机可以访问外网
3、 在R1上做PAT使内网主机可以访问外网
4、 在R1上做静态端口映射使R2可以远程管理R3
R1配置:
R1(config)#inter f0/0
R1(config-if)#ip nat inside //指定内部接口
R1(config-if)#inter f0/1
R1(config-if)#ip nat outside //指定外部接口
R1(config-if)#exit
R1(config)#ip nat inside source static 192.168.1.10202.106.1.1 //配置静态NAT使192.168.1.10访问外网转换为202.106.1.1这个公网地址
在R2上做一条回程路由
R2(config)#ip route 202.106.1.1 255.255.255.255 12.0.0.1
Ping测试
在R1上开启查看NAT转换条目执行:
R1#debug ip nat //查看NAT转换条目
动态NAT:
步骤:创建地址池→定义访问控制列表→关联地址池与访问控制列表
R1配置:
R1(config)#inter f0/0
R1(config-if)#ip nat inside
R1(config-if)#inter f0/1
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#ip nat pool abc 202.106.1.1 202.106.1.10 netmask255.255.255.0 //创建一个地址池以202.106.1.1开始到202.106.1.10结束
R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255 //定义一个访问控制列表
R1(config)#ip nat inside source list 10 pool abc //将列表10与地址池关联起来,允许列表10的用户去地址池里面拿地址
动态NAT就配置完成了,然后在R2上配置回程路由就可以通了这里就省略了。
Ping检测
可以通过命令来查看NAT的映射条目
PAT配置
R1配置:
R1(config)#inter f0/0
R1(config-if)#ip nat inside
R1(config-if)#inter f0/1
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#ip nat pool abc 202.106.1.1 202.106.1.1 netmask255.255.255.0 //创建一个地址池只有一个地址
R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255 //定义一个访问控制列表
R1(config)#ip nat inside source list 10 pool abc overload //将地址池与访问控制列表关联起来,并且超载使用地址池里面的地址
Ping测试
会发现不管是C1还是C2都使用202.106.1.1这一个地址了
如果现在一个公网地址都没有了呢?那就只能对外网口的IP进行复用了。
R1配置:
R1(config)#ip nat inside source list 10 interface f0/1overload //让列表中的地址反复是因F0/1的地址
Ping测试
静态端口映射
如果我就一外网口的地址,如何才能让外网的地址访问内网的服务呢?
这里以telnet为例做静态端口映射配置
在R1上做配置:
R1(config)#ip nat inside source static tcp 192.168.1.30 23interface f0/1 23
//将F0/1接口的23端口映射到内网192.168.1.30的23端口
验证:
在R2上telnet R1的F0/1接口
Show ip nat translations :查看静态映射条目
Show run | section nat :查看NAT配置命令
Cleaer ip nat translation * :清除NAT转换条目
Debug IP nat :查看NAT转换条目
本文出自 “SunJ” 博客,谢绝转载!