1.静态NAT(一对一 static):
作用是为了让外网访问内网pc,一个私网地址对应一个公网地址。
R1:
ip route-static 0.0.0.0 0.0.0.0 12.1.1.6(默认路由指向外网)
interface GigabitEthernet0/0/1
ip address 12.1.1.1 255.255.255.248
nat static global 12.1.1.2 inside 192.168.1.30 netmask 255.255.255.255(将公网地址12.1.1.2映射到内外地址192.168.1.30)
2.动态NAT(多对多 不转换端口):
当pc或终端需要上网时nat会在公网地址池内取一个公网地址与一个私网地址作映射,
当公网地址池的地址被用完后,后面需要上网的终端需要等待公网地址空闲的时候才能与之映射上网。
R1:
ip route-static 0.0.0.0 0.0.0.0 12.1.1.6(默认路由指向外网)
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255 (指定私网访问控制范围)
nat address-group 1 12.1.1.2 12.1.1.5(创建可用公网地址池)
interface GigabitEthernet0/0/1
ip address 12.1.1.1 255.255.255.248
nat outbound 2000 address-group 1 no-pat(私网地址与公网地址作映射,no-pat--是不转换端口的意思)
3.NAPT(多对多映射关系,转换端口):
允许将多个私网地址映射到同一个公网地址的不同端口号;最少需要2个公网IP地址,
一个用作出口路由的公网ip,一个用作公网地址池做映射内网的公网ip;
NAPT允许将多个私网地址映射到同一个公网地址的不同端口号,当一个私网地址要访问外网时,
会在出口路由转换地址的同时给它增加或更换一个端口号用来做标记,回包时他会自动把端口变回来,
只有这样,当回包时,出口路由才能知道相同的公网地址不同的端口号对应的是哪个私网地址;
相当与内网的ip访问外网的时候都会在出口路由这做一个登记(端口号),回来的时候再根据
你登记的名字(端口号)给你回来。
R1:
ip route-static 0.0.0.0 0.0.0.0 12.1.1.6(默认路由指向外网)
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255 (指定私网访问控制范围)
nat address-group 1 12.1.1.2 12.1.1.5(创建可用公网地址池)
interface GigabitEthernet0/0/1
ip address 12.1.1.1 255.255.255.248
nat outbound 2000 address-group 1(私网地址与公网地址池作映射,可以端口转换)
4.Easy ip nat(基于接口映射地址):
Easy ip nat 可以基于出口接口的ip地址来映射内网,无论出口接口的IP地址如何改变
它都会根据此接口配置的ip地址来进行映射,这样不仅免去了出口地址改变了又要重新
配置的麻烦,而且只需要1个公网ip地址用来配置出口路由就可以,成本省下不少。
R1:
ip route-static 0.0.0.0 0.0.0.0 12.1.1.6(默认路由指向外网)
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255 (指定私网访问控制范围)
interface GigabitEthernet0/0/1 (进入路由出接口,配置基于接口映射)
ip address 12.1.1.1 255.255.255.248
nat oubount 2000(接口调用acl 2000的访问控制范围)
此后在acl 2000范围内的所有内网地址都会基于出口路由的ip地址 12.1.1.1 来转发。
5.Server nat (端口映射):
Server nat可以将内部服务器想要映射的端口映射到外网,列如:希望外网人员可以只访问内网服务器的ftp,或者只访问内网的www,
这样保证了内网服务器的安全,有选择性地开放服务,同时也可以将服务器放在路由器或防火墙的后面,不需要直接与外网接触;
!!!!Server nat可以选择公网地址段中的地址作映射,当公网地址只有一个的时候也可以基于出口路由接口地址作映射,具体如下配置
R1:
ip route-static 0.0.0.0 0.0.0.0 12.1.1.6(默认路由指向外网)
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255 (指定私网访问控制范围)
interface GigabitEthernet0/0/1
ip address 12.1.1.1 255.255.255.248
nat server protocol tcp global 12.1.1.2 ftp inside 192.168.1.30 ftp (将内网192.168.1.30的ftp21端口映射成公网12.1.1.2的ftp21端口)
nat server protocol tcp global current-interface (这里是基于接口地址映射)www inside 192.168.1.30 www(将内网192.168.1.30的www80端口映射成出口路由接口地址12.1.1.1的www80端口)
nat outbound 2000(接口调用acl 2000的访问控制范围)