實驗拓撲:
R1做出口路由器,R2做運營商設備,R1做端口映射使R2可以對R3遠程管理
實驗需求
1、 在R1上做靜態NAT使內網主機可以訪問外網
2、 在R1上做動態NAT使內網主機可以訪問外網
3、 在R1上做PAT使內網主機可以訪問外網
4、 在R1上做靜態端口映射使R2可以遠程管理R3
R1配置:
R1(config)#inter f0/0
R1(config-if)#ip nat inside //指定內部接口
R1(config-if)#inter f0/1
R1(config-if)#ip nat outside //指定外部接口
R1(config-if)#exit
R1(config)#ip nat inside source static 192.168.1.10202.106.1.1 //配置靜態NAT使192.168.1.10訪問外網轉換爲202.106.1.1這個公網地址
在R2上做一條回程路由
R2(config)#ip route 202.106.1.1 255.255.255.255 12.0.0.1
Ping測試
在R1上開啓查看NAT轉換條目執行:
R1#debug ip nat //查看NAT轉換條目
動態NAT:
步驟:創建地址池→定義訪問控制列表→關聯地址池與訪問控制列表
R1配置:
R1(config)#inter f0/0
R1(config-if)#ip nat inside
R1(config-if)#inter f0/1
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#ip nat pool abc 202.106.1.1 202.106.1.10 netmask255.255.255.0 //創建一個地址池以202.106.1.1開始到202.106.1.10結束
R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255 //定義一個訪問控制列表
R1(config)#ip nat inside source list 10 pool abc //將列表10與地址池關聯起來,允許列表10的用戶去地址池裏面拿地址
動態NAT就配置完成了,然後在R2上配置回程路由就可以通了這裏就省略了。
Ping檢測
可以通過命令來查看NAT的映射條目
PAT配置
R1配置:
R1(config)#inter f0/0
R1(config-if)#ip nat inside
R1(config-if)#inter f0/1
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#ip nat pool abc 202.106.1.1 202.106.1.1 netmask255.255.255.0 //創建一個地址池只有一個地址
R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255 //定義一個訪問控制列表
R1(config)#ip nat inside source list 10 pool abc overload //將地址池與訪問控制列表關聯起來,並且超載使用地址池裏面的地址
Ping測試
會發現不管是C1還是C2都使用202.106.1.1這一個地址了
如果現在一個公網地址都沒有了呢?那就只能對外網口的IP進行復用了。
R1配置:
R1(config)#ip nat inside source list 10 interface f0/1overload //讓列表中的地址反覆是因F0/1的地址
Ping測試
靜態端口映射
如果我就一外網口的地址,如何才能讓外網的地址訪問內網的服務呢?
這裏以telnet爲例做靜態端口映射配置
在R1上做配置:
R1(config)#ip nat inside source static tcp 192.168.1.30 23interface f0/1 23
//將F0/1接口的23端口映射到內網192.168.1.30的23端口
驗證:
在R2上telnet R1的F0/1接口
Show ip nat translations :查看靜態映射條目
Show run | section nat :查看NAT配置命令
Cleaer ip nat translation * :清除NAT轉換條目
Debug IP nat :查看NAT轉換條目