公司中通常需要的是,内网可以访问公网,但是公网不可以随意访问公司内网,如何做到既保护公司隐私呢,可以使用下面放法

NAT配置思路:


1、配置内网和外网设备的IP地址


2、配置网关设备上的默认路由

     ip route 0.0.0.0 0.0.0.0 100.1.1.4 


3、配置 ISP 边的网络(内网启用IGP - RIP )

      ISP:

    router rip 

   version 2 

no auto-summary

network 200.1.1.0

network 100.0.0.0

passive-interface gi1/0

      R5:

    router rip 

   version 2

no auto-summary

   network 200.1.1.0

、在网关设备上配置 NAT 边界

     interface fa0/0

   ip nat inside 

     interface gi1/0

   ip nat outside 

4、配置 NAT 转换条目

     ip nat inside source static 192.168.10.1  100.1.1.3

 

5、验证、测试、保存

    show ip route 

show ip nat translation

debug ip nat 

PC-1:

  ping 200.1.1.5

静态NAT:

   在这种类型的NAT中,私有地址与公有地址的对应关系是 1:1 , 不节省IP地址;

   

   

在动态NAT的一种类型中 ---- PNAT(port NAT) ,

   所形成的私有地址与公有地址的对应关系是:n:1 ,节省IP地址;

   本质是:

       使用同一个公网IP地址的,不同的,端口号,来对应内网不同的私有主机   


配置思路:

    1、确定 NAT 边界

2、确定需要进行 NAT 转换的私有地址空间

工具

     -匹配感兴趣的流量

             内网中

所有的

数据包源Ip

为192.168.10.x的ip

数据包    

使用通配符

,可以抓住所有源IP地址

工具,称之为  ACL - access control list :访问控制列表

         ACL:

                规则 - 匹配感兴趣流量的; 

                动作 - permit /  deny 

                事件 - 需要对“感兴趣流量”做的事情。

3、针对私有地址,配置对应的 NAT 转换条目

           GW(config)#  ip nat inside source  list 1  interface gi1/0 

4、验证、测试、保存

      show ip nat statistics  //查看 NAT 的简要配置信息; 

  show ip access-list     // 查看配置好的 ACL ; 

  show ip nat translation // 查看 NAT 的核心工作表 - NAT表

GW#debug ip nat 

边界网关上,如果应用了NAT ,那么:


      1、当流量从inside到outside时,先查路由表,再查NAT表;

 

      2、当流量从outside到inside时,先查NAT表,再查路由表;  



所以,我们可以在 outside 主动向 inside 发起流量,前提是我们得保证

边界网关上面是有 NAT 条目的,

当然该条目不能是由内网流量触发的,而应该是永久存在的静态NAT条目。


我们将这种配置称之为:NAT的高级应用。

表1:

     端口映射

 

GW(config)#ip nat inside source static tcp 192.168.10.1 23(源端口,这里是远程访问,所以是TCP23)

       100.1.1.3  123456(这是边界网关上的外网端口以及随机设置的端口号,范围是1-65535)

通过以上方法可以实现内网通外网,同时外网也可以访问特定的内网设备