拓扑图
如图配置IP地址
PC7 IP 192.168.10.2/24
PC8 IP 192.168.10.1/24
1. 静态NAT配置;
进入边界路由R4的外网端口gi 0/0/1:
Interface gi0/0/1
Ip add 1.1.1.1 255.0.0.0
nat server global 1.1.1.3 inside 192.168.10.1(在此端口下将内网ip 192.168.10.1 映射到外网ip 1.1.1.3 上,此处外网ip地址不能写此端口IP地址,会有冲突,如果写R5的gi0/0/1 ip 1.1.1.2的话,会造成整个网络都能ping通但R5的gi0/0/1 1.1.1.2ping不通,所以建议写外网同网段IP地址即可 )
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 (指一条通向外网的默认路由)
这个时候就可以用PC8 ping 服务器2.2.2.1/8 了但是PC7 是不通的,因为静态NAT是不节省IP地址的,一个内网ip对应一个外网ip
抓包测试:
从抓包图上可以看到,使用的是PC8 ping 2.2.2.1/8,但ping包的源ip是1.1.1.3/8,说明ping 包在出外网的端口进行了网络地址转换成了1.1.1.3/8
2. 动态NAT配置
清除之前命令配置,IP地址还是如图配置
R4:(系统试图下)
Nat address-group 1 1.1.3 1.1.1.10 (建立一个外网段的转换地址池)
Acl 2000
Rule 10 permit source 192.168.10.0 0.0.0.255 (建立规则10 ,允许源ip在192.168.10.0/24网段内的ip地址访问)
Interface gi 0/0/1
Ip add 1.1.1.1 255.0.0.0
Nat outbound 2000 address-group 1 no-pat (端口下将acl与地址池关联起来,端口下出向流量允许acl中允许的地址转换为地址池address-group1 中的随机地址,no-pat代表不允许重复使用,否则会访问外网会混乱 )
系统试图下: Ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
这个时候PC7 PC8 都可以访问外网的
Ping 测试:
抓包分析:
可以看出ICMP 包的源ip是变化的ping 通的包中,每个包都是不同的源ip地址,但是本质上还是一个内网ip地址对应一个公网地址的,不能节省ip地址
3. PNAT配置
PNAT 是将一个公网地址反复使用
清除之前配置,ip地址规划不变
R4:
Acl 2000
Rule 10 permit source 192.168.10.0 0.0.0.255
Nat address-group 1 1.1.3 1.1.1.3(不要忘了)
Interface gi0/0/1
Nat outbound 2000 address-group 1(这里地址池就一个地址,故没加no-pat,地址池随意)
Ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
这个和之前静态类似,如果不设置地址池的话,可以直接使用当前端口网络地址
Interface gi 0/0/1
Nat bound 2000
ping 测试:
抓包:
从图中可以看出ping 包的源ip地址都是1.1.1.1/8 是出端口ip地址,实现了多个私网ip地址对应一个公网ip地址
4. 静态NAT端口映射
不需要清除PNAT的配置
Interface gi0/0/1
nat static protocol tcp global current-interface 1212 inside 192.168.10.1 23
(将当前端口ip的1212端口映射到 192.168.10.1的23端口,这里可以直接写端口号,也可以写telnet)
这样公网就可以远程连接pc8(192.168.10.1),当然前提是远程允许连接
这里把pc8 换成路由器,修改名称为PC8并配置接口ip地址i192.168.10.1/24 ,添加默认路由 0.0.0.0 0.0.0.0 192.168.10.254 (相当于网关)
使用R5远程访问路由器:
telnet 1.1.1.1 1212
访问成功 以上是一些huawei 的通过nat来访问外网的一些 的简单应用,希望对大家有些帮助!!!!
