公司中通常需要的是,內網可以訪問公網,但是公網不可以隨意訪問公司內網,如何做到既保護公司隱私呢,可以使用下面放法
NAT配置思路:
1、配置內網和外網設備的IP地址
2、配置網關設備上的默認路由
ip route 0.0.0.0 0.0.0.0 100.1.1.4
3、配置 ISP 邊的網絡(內網啓用IGP - RIP )
ISP:
router rip
version 2
no auto-summary
network 200.1.1.0
network 100.0.0.0
passive-interface gi1/0
R5:
router rip
version 2
no auto-summary
network 200.1.1.0
、在網關設備上配置 NAT 邊界
interface fa0/0
ip nat inside
interface gi1/0
ip nat outside
4、配置 NAT 轉換條目
ip nat inside source static 192.168.10.1 100.1.1.3
5、驗證、測試、保存
show ip route
show ip nat translation
debug ip nat
PC-1:
ping 200.1.1.5
靜態NAT:
在這種類型的NAT中,私有地址與公有地址的對應關係是 1:1 , 不節省IP地址;
在動態NAT的一種類型中 ---- PNAT(port NAT) ,
所形成的私有地址與公有地址的對應關係是:n:1 ,節省IP地址;
本質是:
使用同一個公網IP地址的,不同的,端口號,來對應內網不同的私有主機
配置思路:
1、確定 NAT 邊界
2、確定需要進行 NAT 轉換的私有地址空間
工具
-匹配感興趣的流量
內網中
所有的
數據包源Ip
爲192.168.10.x的ip
數據包
使用通配符
,可以抓住所有源IP地址
工具,稱之爲 ACL - access control list :訪問控制列表
ACL:
規則 - 匹配感興趣流量的;
動作 - permit / deny
事件 - 需要對“感興趣流量”做的事情。
3、針對私有地址,配置對應的 NAT 轉換條目
GW(config)# ip nat inside source list 1 interface gi1/0
4、驗證、測試、保存
show ip nat statistics //查看 NAT 的簡要配置信息;
show ip access-list // 查看配置好的 ACL ;
show ip nat translation // 查看 NAT 的核心工作表 - NAT表
GW#debug ip nat
邊界網關上,如果應用了NAT ,那麼:
1、當流量從inside到outside時,先查路由表,再查NAT表;
2、當流量從outside到inside時,先查NAT表,再查路由表;
所以,我們可以在 outside 主動向 inside 發起流量,前提是我們得保證
邊界網關上面是有 NAT 條目的,
當然該條目不能是由內網流量觸發的,而應該是永久存在的靜態NAT條目。
我們將這種配置稱之爲:NAT的高級應用。
表1:
端口映射
GW(config)#ip nat inside source static tcp 192.168.10.1 23(源端口,這裏是遠程訪問,所以是TCP23)
100.1.1.3 123456(這是邊界網關上的外網端口以及隨機設置的端口號,範圍是1-65535)
通過以上方法可以實現內網通外網,同時外網也可以訪問特定的內網設備