2020-09-23

标准ACL命令格       式	access-list 列表号 permit|deny 源IP 反向掩码		acl <acl-number> [match-order config|auto]                     rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
扩展ACL配置	access-list 列表号 permit|deny 协议 源IP 反向掩码 目的IP 反向掩码 eq 端口号		acl <acl-number> [match-order config|auto] rule{normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any} eq 服务名
静态nat		(1) 为内外部接口配IP 并激活； (2) 在接口上启用NAT ；   内部接口：ip nat inside   外部接口：ip nat outside  (3) 建立静态地址转换 (config)#ip nat inside source static  私有IP     公网IP		interface 接口 nat server global <ip> [port] inside <ip> port [protocol]
动态NAT		(1) 为内外部接口配IP 并激活； (2) 在接口上启用NAT ；   内部接口：ip nat inside   外部接口：ip nat outside (3) 定义内网允许访问外网的ACL (config)#access-list 列表号 permit 源IP    反向掩码 (4) 定义合法IP 地址池 (config)#ip nat pool 地址池名    公网起始IP    公网终止IP     netmask   掩码 (5) 实现地址转换 (config)#ip nat inside source list 列表号 pool 地址池名		(1)    建立地址池 nat address-group 公网起始IP    公网终止IP pool 1  (2) 定义内网允许访问外网的ACL acl 列表号 rule permit source  源IP    反向掩码           rule deny source any (3) 实现地址转换 int 公网接口 nat outbound 列表号address-group pool 1
显示vlan 信息		show vlan		display vlan
进入vlan 模式		interface vlan vlan 号		interface vlan vlan 号
VLAN 中增加       端口				port e0/1 port e0/2 to e0/4
当前端口加入       到VLAN		switchport access vlan vlan 号		port access vlan vlan 号
设置端口工作       模式		switchport mode trunk|access|dynamic		port link-type trunk|access|hybrid
设trunk 允许的       VLAN		switchport trunk allowed vlan remove|add ID		port trunk permit vlan  ID|All

静态NAT（主要用于外网访问内网服务器）

ip nat inside source static 192.168.1.1 100.1.1.1      //外网地址100.1.1.1转换为内网地址192.168.1.1
ip nat inside source static tcp 192.168.1.1 80 100.1.1.1 80
int f0/0       //内网接口下
ip nat inside
int f0/1      //外网接口下
ip nat outside

 

动态NAT（先设置地址池，然后匹配ACL）

ip nat pool AAA 100.1.1.1 100.1.1.10 netmask 255.255.255.0      //注意是外网的地址池
access-list 1 permit 192.168.1.0 0.0.0.255              //允许192.168.1.0网段的地址访问
int f0/0       //内网接口下
ip nat inside
int f0/1      //外网接口下
ip nat outside
ip nat inside source access-list 1 pool AAA    //执行NAT

 

PNAT(基于接口)

access-list 1 permit 192.168.1.0 0.0.0.255              //允许192.168.1.0网段的地址访问
int f0/0       //内网接口下
ip nat inside
int f0/1      //外网接口下
ip nat outside
ip nat inside source list 1 int f1/0 overload            //f1/0为外网接口

 

华为NAT配置

静态NAT

int f1/0  //直接在外网接口下配置
nat static global 100.1.1.1 192.168.1.1   //不安全
nat server protocol tcp global 100.1.1.1 80192.168.1.1 80   //较为安全

 

动态NAT

nat address-group 1 100.1.1.1 100.1.1.10    //先建地址池
acl 2000         //匹配ACL
rule 10 per source 192.168.1.0 0.0.0.255  
int f1/0     //然后在外网接口下执行NAT
nat outbound 2000 address-group 1 no-pat

 

PNAT(基于接口的)

acl 2000          //匹配ACL
rule 10 per source 192.168.1.0 0.0.0.255  
int f1/0     //然后在外网接口下执行NAT
nat outbound 2000

参考：https://blog.51cto.com/13721474/2140296

参考：https://blog.csdn.net/weixin_43479408/article/details/90270590?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522160085922219724836754406%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=160085922219724836754406&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_v2~rank_v25-2-90270590.nonecase&utm_term=%E6%80%9D%E7%A7%91+%E5%8D%8E%E4%B8%BA+nat%E5%AF%B9%E6%AF%94&spm=1018.2118.3001.4187