3、配置 ISP 邊的網(wǎng)絡(luò)(內(nèi)網(wǎng)啟用IGP – RIP )
ISP:
router rip
version 2
no auto-summary
network 200.1.1.0
network 100.0.0.0
passive-interface gi1/0
R5:
router rip
version 2
no auto-summary
network 200.1.1.0
3、在網(wǎng)關(guān)設(shè)備上配置 NAT 邊界
interface fa0/0
ip nat inside
interface gi1/0
ip nat outside
4、配置 NAT 轉(zhuǎn)換條目
ip nat inside source static 192.168.10.1 100.1.1.3
5、驗(yàn)證、測試、保存
show ip route
show ip nat translation
debug ip nat
PC-1:
ping 200.1.1.5
==============================================================
靜態(tài)NAT:
在這種類型的NAT中,私有地址與公有地址的對應(yīng)關(guān)系是 1:1 , 不節(jié)省IP地址;
在動態(tài)NAT的一種類型中 —- PNAT(port NAT) ,
所形成的私有地址與公有地址的對應(yīng)關(guān)系是:n:1 ,節(jié)省IP地址;
本質(zhì)是:
使用同一個公網(wǎng)IP地址的,不同的,端口號,來對應(yīng)內(nèi)網(wǎng)不同的私有主機(jī)
配置思路:
1、確定 NAT 邊界
2、確定需要進(jìn)行 NAT 轉(zhuǎn)換的私有地址空間
工具
-匹配感興趣的流量
內(nèi)網(wǎng)中
所有
數(shù)據(jù)包源IP
為192.168.10.X 的
IP數(shù)據(jù)包
規(guī)則1: 192.168.10. 0
0 . 0 . 0.255 -->通配符
//按照這個規(guī)則,可以抓住所有源IP地址
為 192.168.10.X 的所有數(shù)據(jù)包;
工具,稱之為 ACL - access control list :訪問控制列表
ACL:
規(guī)則 - 匹配感興趣流量的;
動作 - permit / deny
事件 - 需要對“感興趣流量”做的事情。
access-list 1 permit 192.168.10.0 0.0.0.255
3、針對私有地址,配置對應(yīng)的 NAT 轉(zhuǎn)換條目
GW(config)# ip nat inside source list 1 interface gi1/0
4、驗(yàn)證、測試、保存
show ip nat statistics //查看 NAT 的簡要配置信息;
show ip access-list // 查看配置好的 ACL ;
show ip nat translation // 查看 NAT 的核心工作表 - NAT表
GW#debug ip nat
PC-1/2:
ping 200.1.1.5================================================================
在邊界網(wǎng)關(guān)上,如果事事了NAT ,那么:
1、當(dāng)流量從inside到outside時,先查路由表,再查NAT表;
2、當(dāng)流量從outside到inside時,先查NAT表,再查路由表; 所以,我們可以在 outside 主動向 inside 發(fā)起流量,前提是我們得保證
邊界網(wǎng)關(guān)上面是有 NAT 條目的,
當(dāng)然該條目不能是由內(nèi)網(wǎng)流量觸發(fā)的,而應(yīng)該是永久存在的靜態(tài)NAT條目。
我們將這種配置稱之為:NAT的高級應(yīng)用。
代表1:
端口映射
GW(config)#ip nat inside source static tcp 192.168.10.1 23
100.1.1.3 123456測試:
1、首先配置好 PC-1 的遠(yuǎn)程訪問密碼;
2、其次配置好 GW 的遠(yuǎn)程訪問密碼;
3、最后,在 R5 上進(jìn)行測試:
telnet 100.1.1.3 123456
================================================================
華為NAT (分類與思科完全相同)
靜態(tài)NAT :私有地址與公有地址是 1:1 ,不節(jié)省IP地址;
動態(tài)NAT :私有地址與公有地址是 多:1 , 節(jié)省IP地址;
-普通“動態(tài)NAT”
-PAT/PNAT/NAPT/端口復(fù)用
靜態(tài)NAT配置:
1、啟動NAT功能
#在任意端口上啟用都可以
例如:
interface gi0/0/1
nat static enable –>啟動靜態(tài)NAT功能
2、配置NAT轉(zhuǎn)換條目(兩種配置方式)
1# 可以在全局下配置
nat static global 100.1.1.3 inside 192.168.10.1
2# 可以在接口下配置(必須是數(shù)據(jù)包的出端口)
nat static global 100.1.1.3 inside 192.168.10.1
3、驗(yàn)證、測試、保存
display nat static
<ISP>terminal monitor
<ISP>terminal debugging
<ISP>debugging ip icmp
<GW>debugging nat all PNAT的配置:
1、定義感興趣的流量
acl 2000
rule 5 permit 192.168.10.0 0.0.0.255
2、在流量的出端口配置NAT
interface gi0/0/1
nat outbound 2000 -->在該端口上發(fā)送出去,并且被 ACL 2000
匹配的流量,其中的源IP地址轉(zhuǎn)換為該
接口的IP地址;
3、驗(yàn)證、測試、保存
display nat outbound華為端口映射:
interface g 0/0/0
nat server protocol tcp global current-interface 80 inside 192.168.1.1 80 //外網(wǎng)通過tcp協(xié)議的80端口訪問內(nèi)網(wǎng)的80端口
配置思路:
1.準(zhǔn)備環(huán)境
2.進(jìn)接口,確定in、out
3.靜態(tài)nat思科:
ip nat inside source list 1 interface FastEthernet0/1 overload
//pnat pat 端口多路復(fù)用 動態(tài)nat
ip nat inside source static tcp 192.168.1.1 23 200.1.1.3 6969 extendable
//nat高級應(yīng)用——端口映射
ip nat inside source static 192.168.1.1 200.1.1.3
//靜態(tài)nat
怎么把路由器搞成PC?
conf t
no ip routing //關(guān)閉路由功能
ip default-gateway 地址
如果不這么干,那么,你需要配置路由條目,才能和你的網(wǎng)關(guān)通信==========================================
華為:
靜態(tài)nat
interface GigabitEthernet0/0/1
ip address 200.1.1.3 255.255.255.0
nat static global 200.1.1.5 inside 192.168.1.1 netmask 255.255.255.255 //先打公網(wǎng)地址(不能和你的外部接口地址一致),再輸內(nèi)部地址
nat static enable //開服務(wù)
動態(tài)nat
[Huawei]acl 2000 //創(chuàng)建acl
rule 5 permit //創(chuàng)建規(guī)則
nat outbound 2000 //應(yīng)用acl
nat高級應(yīng)用
nat server protocol tcp global 200.1.1.10 6969 inside 192.168.1.2 www //高級應(yīng)用
端口映射:
內(nèi)網(wǎng)訪問外網(wǎng),寫默認(rèn)路由到外網(wǎng)即可
端口映射的場景:外網(wǎng)訪問內(nèi)網(wǎng),必須使用端口映射,(如果不做,只能訪問到邊
界路由器,無法訪問到內(nèi)網(wǎng)),把目標(biāo)地址進(jìn)行轉(zhuǎn)換,首先必須開
啟nat功能更多關(guān)于云服務(wù)器,域名注冊,虛擬主機(jī)的問題,請?jiān)L問三五互聯(lián)官網(wǎng):m.shinetop.cn
