主要配置在cisco命令中进行了说明。 华为、H3C等大同小异,原理相同。
图1
网络地址转换协议(NAT )提供了一种将内部网络与因特网网络完全隔离的方法,允许内联网的少数合法IP (甚至一个合法IP )访问因特网资源(分析器:例如在一个网吧内只有一个公用IP,而内联网使用私有IP地址,使得私有IP不能接入公共网络。 此时经过NAT转换,将内部网内所有计算机的专用地址转换为其公用IP后离开)
NAT有三种类型的:
静态转换:是指将内部网络的专用IP转换为公共IP。 它们是一对一的,没有指定就不会转换。
路由器的全局配置模式命令格式为:
ip nat inside source static //内部专用地址内部的合法地址。 其中,内部专用地址是内部专用地址,内部合法地址是公共网络IP地址。
在接口模式下启用NAT。 格式为:
请注意,ip nat inside/outside在此处使用inside作为:内部网接口,使用outside作为外部网接口进行跟进。
例如,在图1中,要将172.168.1.1静态转换为202.103.24.68,必须按如下方式配置:
ipnatinsidesourcestatic 172.168.1.1202.103.24.68
灵活运用于接口的:
进入intf0/0//f0/0接口模式
在ip nat inside //接口模式下安装
进入ints1/1//s1/1接口模式
在ip nat outside //接口模式下设置
图2
动态变换:意味着在将内部网络的私有IP变换为公用IP时不确定且随机,所有私有IP都能够变换为随机指定的公用IP。
动态转换需要定义用于内部网的标准ACL (如ACL前面几章所述)命令格式:
访问列表访问列表编号permit { deny } local-IP-address
定义NAT的地址池:
ipnat pool-name start-ipend-ipnet mask
将ACL映射到:格式的NAT地址池
ipnatinsidesourcelistaccess-list-numberpoolpool-name
最后,进入接口模式启用NAT
ip nat inside/outside
如图2所示,允许合法地址池202.103.24.1/24---- 202.103.24.254/24转换的内部网范围172.168.1.0/24、173.163
ipnatpoolaaa 202.103.24.1202.103.24.254 net mask 255.255.255.0//公共地址池名称定义为AAA (名称可以是自由的),合法的发布
定义访问列表1 permit//标准ACL (permit允许,deny拒绝) )。
启用ipnatinsidesourcelist1pool AAA//NAT后,地址池名称可以进行AAA转换。
最后在接口模式下运用
ip nat inside/ip nat outside
图3
PAT端口复用:意味着可以更改源包的端口以进行端口转换,也就是端口地址转换,从而使内部所有主机共享一个公共网络IP。
端口复用与动态转换相同,必须配置ACL。 端口映射命令的格式为:
ip nat inside source list访问列表编号pool内部全局地址池名称overload
在图3中,将172.168.1.0/24173.168.1.0/24174.168.1.0/24转换为路由器s1/1接口的地址10.10.10.1/24
通过定义访问列表1权限172.168.1.0.0.0.0.0.255//控制列表,允许172.168.1.0网段
通过定义访问列表1权限173.168.1.0.0.0.0.0.255//控制列表,允许173.168.1.0网段
通过定义访问列表1权限174.168.1.0.0.0.0.0.255//控制列表,允许174.168.1.0网段
ipnatinsidesourcelist1ints1/1overload//定义将来自NAT控件列表1的网段到s1/1接口的s1/1接口地址复用
进入int f0/0 //内部网接口
在ip nat inside //内部网接口上启用NAT
进入int s1/1 //外部接口
启用IPNAToutside//NAT
份额不容易。 如果这篇文章对你有帮助的话,请称赞或关注。 之后也在持续更新。 谢谢你。