NAT

一、基本配置

根据拓扑图做基本配置

PC配置-PC1为例:

路由器配置:

R1

interface g0/0/0

ip address 202.169.10.1 24

interface g0/0/1

ip address 172.16.1.254 24

interface g0/0/2

ip address 172.17.1.254 24

R2

interface g0/0/0

ip address 202.169.10.2 24

interface loopback 0

ip address 202.169.20.1 24

二、配置静态NAT

1、在网关路由器R1上配置访问外网的默认路由。

ip route-static 0.0.0.0 0 202.169.10.2

2、静态NAT转换

目的:配置PC1,实现PC1可以与外网互相访问

方法:分配给PC1一个公网IP 202.169.10.5,在G0/0/0接口下使用nat static配置内部地址到外部地址的一对一转换

interface g0/0/0

nat static global 202.169.10.5 inside 172.16.1.1

检查配置结果:

(1)、用 display nat static 命令查看配置信息

(2)、PC1 ping 外网,测是与外网连通性并抓包

可以观察到由于PC-1的私网地址被转换为唯一的公网地址,外网用户也能主动访问PC-1,且数据包在经过R1进入内网的时候,R1把目的P转换为与公网地址202.169.10.5对应的私网地址172.16.1.1发给PC-1。

三、配置NAT Outbound

目的:公司127.17.1.0网段所属部门都能够访问外网。

方法:配置公网地址池,使用202.169.10.50~202.169.10.60为整个部门员工做NAT转换。

nat address-group 1 202.169.10.50 202.169.10.60

acl 2001

rule 5 permit source 172.17.1.0 0.0.0.255

interface g0/0/0

nat outbound 2001 address-group 1 no-pat

注:

nat address-group :配置NAT地址池,设置起始和结束地址。

acl :基本ACL(2000~2999),高级ACL(3000~3999),二层ACL(4000~4999),基本ACL可以使用报文的源IP地址(最常用)、分片标记和时间段信息来匹配报文,取值编号范围使2000~2999。

rule:5为规则编号,多个rule序号小优先级高,permit为允许通过,source为源地址。

nat outbound:将ACL2001与地址池相关联,是的ACL中规定的地址可以使用地址池地址进行转换。

查看配置信息:在R1上查看NAT Outbound信息

display nat outbound

测试配置结果:测试127.17.1.0网段所在PC与外网的连通性,并在R1 g0/0/0接口上抓包

以PC 2 ping 202.169.20.1为例:

 

 

 可以观察到PC-2可以成功访问外网,且通过抓包分析,来自PC-2的ICMP数据包在R1的GE0/00接口上源地址172.17.1.2被替換为地址池中第一个地址202.169.10.50。

四、配置NAT Easy-ip

目的:满足公司人员不断扩张,如果继续使用多对多NAT转换方式会增加地址池压力,这时需要使用多对一的Easy-ip转换方式。

方法

1、使用过NAT Outbound配置。

需要先删除G0/0/0 接口的配置,后直接进行端口ip与acl 关联

interface g0/0/0

undo nat outbound 2001 address-group 1 no-pat

nat outbound 2001

2、没有使用过NAT Outbound配置。

acl 2001

rule 5 permit source 172.17.1.0 0.0.0.255

interface g0/0/0

nat outbound 2001

测试配置结果:PC-2发送UDP数据包到公网地址202.169.20.1后,在R1上查看NAT Session详细信息。

display nat session protocol udp verbose1

可以观察到,源地址为172.17.1.2的UDP数据包被新源地址202.169.10.1和新源端口号10255替换。R1借用自身GE0/0/0接口的公网IP地址为所有私网地址做NAT转换,使用不同的端口号区分不同私网数据。此方式不需要创建地址池,大大节省了地址空间。

五、配置NAT Server

目的:公司内Server提供FTP服务供外网用户访问。

方法:在R1g0/0/0接口上,使用nat server定义内部服务器的映射表,指定服务通信协议类型为TCP,配置服务器使用公网IP地址202.169.10.6,内网IP172.16.1.3,指定端口号为21,该常用端口号可以直接使用关键字“ftp”代替。

1、开启服务器FTP功能

 

 

2、配置路由器R1

interface g0/0/0

nat server protocol tcp global 202.169.10.6 ftp inside 172.16.1.3 ftp

quit

nat alg ftp enable

查看配置信息:在R1上查看NAT Server信息。

display nat server

测试配置结果:在R2上模拟公网用户访问该私网服务器。

 

posted @ 2019-12-11 17:09  燕钰达  阅读(850)  评论(0编辑  收藏  举报