一.NAT的配置
在配置 NAT 过程之前,首先必须弄清楚内部接口和外部接口,以及在那个外部接口上启用NAT。通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如互联网)的接口是NAT外部接口。
1.NAT静态配置
(1)静态nat 配置步骤:
第一步 配置接口地址
int f0/1
ip add
第二步 配置静态地址转换
ip nat inside source static 内部私有地址 转换之后的公网地址
(二)下面将通过示例说明NAT静态的配置:
NAT静态转换网络结构示意图
①公司内部局域网使用的ip 地址范围为192.168.100.2—192.168.100.254
②路由器局域网端口 (默认网关)的ip 地址是192.168.100.1,子网掩码255.255.255.0
③公司从运营商处获得的合法IP地址范围是61.159.62.128—61.159.62.135.
④路由器在广域网的地址是61.159.62.130,子网掩码是 255.255.255.248o
⑤可用于地址转换的地址范围是61.159.62.131—61.159.62.134.
NAT静态转换示意图
要求:公司希望ip 地址的范围为192.168.100.2—192.168.100.3 的两台主机既能访问internet又能被外部网络访问,并且转换为合法的外部地址的范围为61.159.62.131—61.159.62.132.
具体步骤如下:
(1)设置外部端口的IP地址:
router(config)#int f0/0
router(config-if) # ip add 61.159.62.130 255.255.255.248
router (config-if) #no sh
(2)设置内部端口的ip 地址:
router(config)# int f1/0
router (config-if) #ip add 192.168.100.1 255.255.255.0
router (config-if) #no sh
(3) 建立静态地址转换:
router (config)#ip nat inside source static 192.168.100.2 61.159.62.130
router (config)#ip nat inside source static 192.168.100.3 61.159.62.131
(4) 在内部和外部端口上启用NAT:
router(config)#int f0/0
router(config-if)#ip nat out
router(config)#int f1/0
router(config-if)#ip nat in
(5)配置默认路由:
router(config)#ip router 0.0.0.0 0.0.0.0 61.159.62.129
2.NAT端口映射
公司内部192.168.100.2 主机是公司的web服务器(80端口),公司出于安全考虑,希望外部网络访问web服务器时使用8080端口进行访问。
为满足公司要求,我们将需要使用NAT的端口映射功能,在内部局域网ip 地址和内部全局ip 地址之间建立NAT端口映射。
命令如下:
router(config)#ip nat inside source static tcp 192.168.100.2 80 61.159.62.131 8080 extendable
此命令是将TCP或UDP中内部局域地址需要转换的端口号转换成为内部全局地址的端口号。本例子中使用此命令配置NAT端口映射,其他命令不变。
NAT端口映射示意图
3.NAT动态配置
(一)动态nat 配置步骤
第一步 配置接口地址
int f0/1
ip add
第二步 配置标准acl 指定需要转换的多个内部主机地址
access-list 编号 permit 网段地址 子网掩码反码
第三步 配置 转换后的公网地址地址池
ip nat pool 地址池名字 起始地址 结束地址 子网掩码
第四步 配置动态地址转换
ip nat inside source list acl编号 pool 地址池名字
命令单词意思: inside 内部 内网 source 源 list 列表 pool 地址池
(二)下面将通过示例说明NAT动态的配置:
NAT动态转换网络结构示意图
①公司内部局域网使用的ip地址的范围为192.168.100.2—192.168.100.254.
②路由器局域网端口的IP地址是192.168.100.1,子网掩码255.255.255.0
③网络分配的合法ip地址的范围为61.159.62.128—61.159.62.191.
④路由器在广域网的地址是61.159.62.130,子网掩码是255.255.255.192.
⑤可用于地址转换的地址范围为61.159.62.131—61.159.62.190.
NAT动态转换示意图
要求:公司希望将内部IP地址192.168.100.0/24 转换为合法的外部IP地址的范围为61.159.62.131-61.159.62.190
具体步骤如下:
(1)设置外部端口的IP地址
router(config)#int f0/0
router (config-if) #ip add 61.159.62.130 255.255.255.192
(2) 设置内部端口的IP地址
router(config)int f1/0
router (config-if) #ip add 192.168.100.1 255.255.255.0
(3) 定义内部网络中允许访问外部网络的ACL
router (config) #access-list 1 permit 192.168.100.0.0 0.0.0.255
上述命令表示允许内部网络 192.168.100.0/24访问外部网络。
(4)定义合法IP地址池
router(config)# ip nat pool test 0 61.159.62.131 61.159.62.190 network 255.255.255.192
router (config) #ip nat pool test 1 62.159.62. 131 62.159.62.190 network 255.255.255.192
router (config) #ip nat pool test 2 63 .159.62.131 63.159.62.190 network 255.255.255.192
(5)实现网络地址转换
router(config)#ip nat inside source list 1 pool test 0
如何有多个地址池,可一一添加
router(config)#ip nat inside source list 1 pool test 1
router(config)#ip nat inside source list 1 pool test 2
(6)在内部和外部端口上启用NAT
router (config)# int f0/0
router(config-if)# ip nat out
router (config)# int f1/0
router(config-if)# ip nat in
(7)配置默认路由
router(config)#ip route 0.0.0.0 0.0.0.0 61.159.62.129
配置完成
本章内容就到这里,下章NAT将会讲解PAT的配置和分析并排查各类NAT故障。
创作不易,求关注,点赞,收藏,谢谢~
