NAT 用于实现私网和公网之间的互访。
静态NAT
静态NAT实现私网地址和公网地址的一对一转换。
有2种配置方法:
全局模式下设置静态NAT
[R1]nat static global 172.10.10.10 inside 192.168.10.10
[R1]int g0/0/1 #外网出口
[R1-GigabitEthernet0/0/1]nat static enable
直接在接口上声明静态NAT
[R1]int g0/0/1 #外网出口
[R1-GigabitEthernet0/0/1]nat static global 172.10.10.10 inside 192.168.10.10
[R1]dis nat static #查看NAT静态配置信息动态NAT
有地址池的概念,多个私网IP地址对应多个公网IP地址,基于地址池一对一映射。
配置方法:
定义合法IP地址池
[R1]nat address-group 1 100.0.0.100 100.0.0.200
定义ACL
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
在外网出口配置动态IP地址转换,no pat表示不做端口转换,只做IP地址转换,默认为pat
[R1-acl-basic-2000]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
查看NAT Outbound的信息
[R1]dis nat outbound
PAT端口多路复用
PAT引入了端口的概念,可以将多个私网IP映射到同一个外网IP的不同端口上。
PAT的类型有以下:
- 动态PAT,包括NAPT和Easy IP。
- 静态PAT,包括NAT Server。
NAPT
多个私网I P对应外网地址池IP,配置方法与动态NAT类似。
定义合法IP地址池
[R1]nat address-group 1 100.0.0.100 100.0.0.200
定义ACL
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
在外网出口配置PAT转化
[R1-acl-basic-2000]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
查看NAT Outbound的信息
[R1]dis nat outbound
EasyIp
EasyIp实现多个私网IP对应外网出口的公网IP地址
定义ACL
[R1]acl 2000
[R1-acl-adv-2000]rule permit ip source 192.168.10.0 0.0.0.255
在外网出口上设置IP地址转换
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000
查看NAT的流表信息
[R1]display nat session all
NATServer
端口映射,将私网地址端口映射到公网地址,实现内网服务器供外网用户访问。
在外网接口,将私网服务器地址和公网地址做IP映射绑定
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 12.12.12.12 www inside 10.1.1.1 www
在外网接口,将内网服务器地址和外网接口做端口映射绑定
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 10.1.1.1 www
