目录
背景:PC1 ping AR2是ping不通的,因为两者不在同一个网段,PC1虽然知道AR2的地址,但是AR2不知道PC1的地址,所以要将PC1转为公网的IP地址
一.静态地址转换
(1)全局模式下配置
将内网主机的私有地址一对一映射到公有地址
nat static global 12.1.1.2 inside 192.168.1.1
公网ping192.168.1.1依然ping不通,因为是全局配置所以还要加
interface GigabotEthernet 0/0/1
nat static enable
经过nat转换之后
源地址变为 12.1.12
目的地址变为了12.1.1.254
(2)接口模式下配置:不需要nat static enable
nat static global 12.1.1.10 inside 192.168.1.1
源端口就变为了12.1.1.10
目的地址12.1.1.254
删除静态地址
Undo nat static global 12.1.1.2 inside 192.168.1.1(注:删除之前需quit退出来)
二.动态地址转换
使用公有地址池,并以先到先得的原则分配这些地址。当具有私有 IP 地址的主机请求访问 Internet 时,动态 NAT 从地址池中选择一个未被其它主机占用的 IP 地址一对一的转化。当数据会话结束后,路由器会释放掉公有IP地址回到地址池,以提供其他内部私有IP地址的转换。当同一时刻地址池中地址被NAT转换完毕,则其他私有地址不能够被NAT转换。
Nat address-group 1 12.1.1.2 12.1.1.10 #地址池
Acl 2000
Rule 10 permit source 192.168.1.1 0.0.0.255 #(匹配nat转换的源)
Interface g0/0/0
Nat outbound 2000 address -group 1 no-pat
# No-pat:表示不做端口转换,只做常规的地址转换
display current-configuration #查看当前配置
做转换的时候,会将地址池的地址都转换一遍(模拟器的问题),在实际工作中只会转换为一个
删除之前的配置
Interface g0/0/1
Undo nat outbound address group-1 no pat
删除地址池
undo nat address-group 1
三.端口nat(NAPT)
也叫端口nat或pat,从地址池中选择地址进行地址转换时不仅转换ip地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:N映射,可以提高公有地址的利用率
Nat address-group 1 12.1.1.2 12.1.1.2
Interface g0/0/1
Nat outbound 2000 address group 1
Display nat session all
两个内网地址都能通过一个IP地址 ping 通外网
删除之前配置
Interface g0/0/0
undo Nat outbound 2000 address group 1
四.easy-ip
特殊的napt,easy ip没有地址池的概念,使用设备接口地址作为nat转换的公有地址
Easy IP 方式可以实现自动根据路由器上WAN 接口的公网IP 地址实现与私网IP 地址之间的映射(无需创建公网地址池)。
Easy IP 主要应用于将路由器WAN 接口IP 地址作为要被映射的公网IP 地址的情形,特别适合小型局域网接入Internet 的情况。这里的小型局域网主要指中小型网吧、小型办公室等环境,一般具有以下特点:内部主机较少、出接口通过拨号方式获得临时(或固定)公网IP 地址以供内部主机访问Internet。
运营商不需要配置回程路由,因为是直连网段
Interface g0/0/1
nat outbound 2000
五.Nat server
NAT Server 和静态 NAT 类似:
静态 NAT 是地址的一对一转换,允许外部主机访问内网主机的所有端口,可以双向互访,不安全。
NAT Server 是地址和端口的 一对一转换,只能让外部主机访问内网服务器的特定端口,更加的安全,仅支持单向互访,及外网主动访问内网。一般用于提供外网主机访问内网服务器的场景。
NAT server的使用场景:
NAT Server
•指定 [公有地址:端口] 与 [私有地址:端口] 的一对一映射关系,将内网服务器映射到公网,当私有网络中的服务器需要对公网提供服务时使用。
•外网主机主动访问 [公有地址:端口] 实现对内网服务器的访问。
•当希望外部设备访问公司内部服务的时候,就可以使用 NAT Server 技术,可以让外部设备访问设定好的服务,不能访问公司所有服务,只允许访问这些允许访问的服务。
Interface g0/0/1
#端口转换
Nat server protocol tcp global 12.1.1.2 80 inside 192.168.1.2 80
#在互联网上访问12.1.1.2会默认转到192.168.1.2的80端口
这一篇是对静态nat,动态nat和napt的配置