NAT(Network Address Translator,网络地址转换)是用于在本地网络中使用私有地址,在连接互联网时转而使用全局 IP 地址的技术。
公有地址:连接互联网用的
私有地址:内部局域网用的
私有地址范围:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
NAT应用场景
NAT是将IP数据报报头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)
部署在连接内网和外网的网关设备上
NAT分类
静态NAT
公网和私网一对一映射
一个公网IP只分给一个固定私网IP
动态NAT
基于地址池实现公网和私网地址的转换
NAPT
网络地址端口转换
easy ip
将多个私网地址映射到网关出接口地址的不同端口
NAT服务器
使外网用户访问内网服务器
配置案列
- 静态NAT
AR1:
[AR1]int g 0/0/0 //进入接口
[AR1-GigabitEthernet0/0/0]ip a 192.168.1.254 24 //给接口配置ip地址
[AR1-GigabitEthernet0/0/0]int g 0/0/1 //进入接口
[AR1-GigabitEthernet0/0/1]ip a 200.0.0.1 24 //给接口配置ip地址
[AR1-GigabitEthernet0/0/1]q
[AR1]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 //添加一条向外的默认路由
[AR1]int g 0/0/1 //进入接口
[AR1-GigabitEthernet0/0/1]nat static enable //启动静态nat
[AR1-GigabitEthernet0/0/1]nat static global 200.0.0.10 inside 192.168.1.10 //绑定公网和私网ip映射
[AR1-GigabitEthernet0/0/1]nat static global 200.0.0.20 inside 192.168.1.20 //绑定公网和私网ip映射
AR2:[AR2]int g 0/0/1 //进入接口
[AR2-GigabitEthernet0/0/1]ip a 200.0.1.2 24 //给接口配置ip
[AR2-GigabitEthernet0/0/1]int g 0/0/0 //进入接口
[AR2-GigabitEthernet0/0/0]ip a 200.0.0.2 24 ///给接口配置ip
- 动态NAT
AR1:
[AR1]int g 0/0/0 //进入接口
[AR1-GigabitEthernet0/0/0]ip a 192.168.1.254 24 //配置ip地址
[AR1-GigabitEthernet0/0/0]int g 0/0/1 //进入接口
[AR1-GigabitEthernet0/0/1]ip a 200.0.0.1 24 //配置ip地址
[AR1-GigabitEthernet0/0/1]q
[AR1]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 //添加一条向外的默认路由
[AR1]nat address-group 1 200.0.0.10 200.0.0.20 //创建地址池
[AR1]acl 2000 //创建acl编号
[AR1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 //指定被转换的ip地址
[AR1-acl-basic-2000]q
[AR1]int g 0/0/1 //进入接口
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat //应用动态nat
[AR1-GigabitEthernet0/0/1]q
[AR1]display nat address-group 1 //查看动态nat
NAT Address-Group Information:
--------------------------------------
Index Start-address End-address
--------------------------------------
1 200.0.0.10 200.0.0.20
--------------------------------------
Total : 1
AR2:[AR2]int g 0/0/1 //进入接口
[AR2-GigabitEthernet0/0/1]ip a 200.0.1.2 24 //给接口配置ip
[AR2-GigabitEthernet0/0/1]int g 0/0/0 //进入接口
[AR2-GigabitEthernet0/0/0]ip a 200.0.0.2 24 ///给接口配置ip
验证:
- NAPT
AR1:
[AR1]int g 0/0/0 //进入接口
[AR1-GigabitEthernet0/0/0]ip a 192.168.1.254 24 //给接口配置ip地址
[AR1-GigabitEthernet0/0/0]int g 0/0/1 //进入接口
[AR1-GigabitEthernet0/0/1]ip a 200.0.0.1 24 //给接口配置ip
[AR1-GigabitEthernet0/0/1]q
[AR1]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 //添加一条向外的默认路由
[AR1]nat address-group 1 200.0.0.10 200.0.0.10 //创建转换地址池
[AR1]acl 2000 //创建编号为2000的acl
[AR1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 //指定被转换的ip
[AR1-acl-basic-2000]q
[AR1]int g 0/0/1 //进入接口
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //在接口应用nat
AR2:[AR2]int g 0/0/1 //进入接口
[AR2-GigabitEthernet0/0/1]ip a 200.0.1.2 24 //给接口配置ip
[AR2-GigabitEthernet0/0/1]int g 0/0/0 //进入接口
[AR2-GigabitEthernet0/0/0]ip a 200.0.0.2 24 ///给接口配置ip
验证:
- Esay ip
AR1:
[AR1]int g 0/0/0 //进入接口
[AR1-GigabitEthernet0/0/0]ip a 192.168.1.254 24 //给接口配置ip
[AR1-GigabitEthernet0/0/0]int g 0/0/1 //进入接口
[AR1-GigabitEthernet0/0/1]ip a 200.0.0.1 24 //给接口配置ip
[AR1-GigabitEthernet0/0/1]q
[AR1]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 //创建一条向外的默认路由
[AR1]acl 2000 //创建编号为2000的acl
[AR1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 //指定允许被转换的网段
[AR1-acl-basic-2000]q
[AR1]int g 0/0/1 //进入接口
[AR1-GigabitEthernet0/0/1]nat outbound 2000 //在接口应用acl
AR2:[AR2]int g 0/0/1 //进入接口
[AR2-GigabitEthernet0/0/1]ip a 200.0.1.2 24 //给接口配置ip
[AR2-GigabitEthernet0/0/1]int g 0/0/0 //进入接口
[AR2-GigabitEthernet0/0/0]ip a 200.0.0.2 24 ///给接口配置ip
验证:
