NAT 网络地址转换(共有地址和私有地址相互转换)
内网 源地址(私有地址——共有地址) 目标(共有地址)
外网 源地址 (共有) 目标(共有——私有地址)
动态ANT地址池
配置一个地址池做NAT转换,本质上仍然是1对1的转换
[R3-GigabitEthernet0/0/2]ip address 100.1.1.1 24
[ISP-GigabitEthernet0/0/0]ip address 100.1.1.2 24(AR4为ISP)
只允许192.168.1.0网段上网
[R3]rip 1
[R3-rip-1]version 2
[R3-rip-1]default-route originate(给内网在R3上下放一条缺省)
[R3]ip route-static 0.0.0.0 0 100.1.1.2 (R3上写缺省)
[R3]acl 2000
[R3-acl-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255
[R3]interface g0/0/2
[R3-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 no-pat(动态NAT地址池的做法)
PC1,PC2可ping通100.1.1.2,其他的ping不通
允许192.168.1.0,192.168.2.0,192.168.3.0全部可以上网
[R3]acl 2000
[R3-acl-basic-2000]undo rule 1
[R3-acl-basic-2000]rule 1 permit source any
有时需要在出接口上重新调用,有时不用
静态NAT(1对1,用于外到内的访问)
通过R4可以远程登录到R1
在R1上设置:
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
[R1-ui-vty0-4]aaa
[R1-aaa]local-user huawei password cipher huawei
Info: Add a new user.
[R1-aaa]local huawei service-type telnet
[R3]interface g0/0/2
[R3-GigabitEthernet0/0/2]nat static global 100.1.1.101 inside 12.1.1.1 (全地址映射(不安全))(外网的设备通过访问100.1.1.101实际上访问的是内网的设备12.1.1.1,即R4可以远程登录R1)
[R3-GigabitEthernet0/0/2]undo nat static global 100.1.1.101 inside 12.1.1.1
[R3-GigabitEthernet0/0/2]nat server protocol tcp global 100.1.1.101 23 inside 12.1.1.1 23
NAPT配置(网络地址端口转换:映射到某一个或多个公网地址,非出口地址,即PAT)
acl 2000
rule permit source 12.1.1.0 0.0.255
nat address-group 1 23.1.1.3 23.1.1.10 //公网地址池中不能包含出口IP地址
interface s2/0/1
nat outbound 2000 address-group 1
Easy IP及配置(直接映射到出口地址上)——常用
acl 2000
rule permit source 12.1.1.0 0.0.0.255
interface s2/0/1
nat outbound 2000
dis nat outbound
dis nat session all
外到内NAT原理(端口映射)
内部的服务器地址映射到公网,供外网用户访问这台服务器
内部服务器一般不会直接配置公网地址给外网访问的原因:
1.安全性
2.公网地址浪费:一台服务器就会占用一个公网地址