Cisco–NAT和PAT的配置
Cisco–NAT和PAT的配置
下面是实验拓扑图:
相关说明:NAT用于提供几乎无限的地址空间并掩藏内部网络寻址方案,地址管理更加容易,它允许严格控制进入和离开网络的流量;但是静态或动态NAT都存在一个问题,它只能提供一对一的地址转换。使用端口地址转换PA T可以实现地址复用的功能,使用PAT后,所有通过地址转换设备的机器都拥有了分配给它们相同IP地址,因此源端口号用来区分不同的连接。实验过程:
I:配置各路由器的IP地址,确保直连接口能Ping通。
II:KC-R1模拟企业网关路由器。
KC-R1(config)#ip route 0.0.0.0 0.0.0.0 173.16.1.128 #指向外网的静态路由
IV:配置NAT。
方法一:静态NA T
KC-R1(config)#int f0/0
KC-R1(config-if)#ip nat inside #将f0/0设置为内网口
*Mar 1 00:05:49.875: %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to up
KC-R1(config-if)#exit
KC-R1(config)#int s1/0
KC-R1(config-if)#ip nat outside #将s1/0设置为外网口
KC-R1(config-if)#exit
KC-R1(config)#ip nat inside source static 10.1.1.1 173.16.1.56 #静态NAT
KC-R1(config)#exit
Ping测试:
PC-1#ping 202.101.1.149 #测试证明能通
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.101.1.149, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 120/122/132 ms
此时PC-1能通,PC-2不能通。
KC-R2#debug ip packet #查看数据包
*Mar 1 00:09:59.487: IP: tableid=0, s=10.1.1.2 (Serial1/0), d=173.16.1.128 (Serial1/0), routed via RIB
*Mar 1 00:09:59.491: IP: s=10.1.1.2 (Serial1/0), d=173.16.1.128 (Serial1/0), len 100, rcvd 3
*Mar 1 00:09:59.495: IP: s=173.16.1.128 (local), d=10.1.1.2, len 100, unroutable
………………….
*Mar 1 00:23:51.243: IP: s=202.101.1.149 (local), d=173.16.1.56 (Serial1/0), len 100, sending
*Mar 1 00:23:51.447: IP: tableid=0, s=173.16.1.56 (Serial1/0), d=202.101.1.149 (Loopback0), routed via RIB
方法二:动态NAT
KC-R1(config)# ip nat pool kachy 173.16.1.58 173.16.1.126 netmask 255.255.255.0 #创建地址池
KC-R1(config)#access-list 1 permit 10.1.1.0 0.0.0.255 #创建ACL
KC-R1(config)#ip nat inside source list 1 pool kachy #二者关联
KC-R1(config)#exit
Ping测试
PC-1#ping 202.101.1.149 #测试证明能通
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.101.1.149, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 96/125/148 ms
PC-1#telnet 202.101.1.149 #测试证明能远程连接
Trying 202.101.1.149 … Open
Password required, but none set
[Connection to 202.101.1.149 closed by foreign host]
此时PC-2也可以ping通,telnet上。
查看当前KC-R1的NA T表。
KC-R1#sh ip nat translations #查看NAT表
Pro Inside global Inside local Outside local Outside global
—173.16.1.58 10.1.1.1 ——
—173.16.1.59 10.1.1.2 ——
KC-R1#
方法三:配置PAT
KC-R1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any #创建访问列表
KC-R1(config)#ip nat inside source list 100 interface s1/0 overload #二者关联,地址重载KC-R1(config)#exit
测试
PC-1#ping 202.101.1.149
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.101.1.149, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 84/97/116 ms
PC-1#
PC-1#telnet 202.101.1.149
Trying 202.101.1.149 … Open
Password required, but none set
[Connection to 202.101.1.149 closed by foreign host]
同样,PC-2也能到达。
在路由器KC-R1上
KC-R1#debug ip nat #查看翻译过程
*Mar 1 00:19:32.843: NAT*: s=10.1.1.1->173.16.1.56, d=202.101.1.149 [46610]
*Mar 1 00:19:32.847: NAT*: s=10.1.1.1->173.16.1.56, d=202.101.1.149 [46611]
*Mar 1 00:19:33.083: NAT*: s=202.101.1.149, d=173.16.1.56->10.1.1.1 [31823]
在路由器KC-R2上
KC-R2#debug ip packet
*Mar 1 00:23:34.931: IP: tableid=0, s=173.16.1.56 (Serial1/0), d=202.101.1.149 (Loopback0), routed via RIB
*Mar 1 00:23:34.935: IP: s=173.16.1.56 (Serial1/0), d=202.101.1.149, len 100, rcvd 4
*Mar 1 00:23:34.939: IP: tableid=0, s=202.101.1.149 (local), d=173.16.1.56 (Serial1/0), routed via FIB
OK,实验完成。
思科NAT配置实例
CISCONAT配置 一、NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 二、NAT 的应用环境: 情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。 情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置: 设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用
路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。四、关于NAT的几个概念: 内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。 内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法: NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 静态地址转换基本配置步骤: (1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入: Ip nat inside source static 内部本地地址内部合法地址(2)、指定连接网络的内部端口在端口设置状态下输入:ip nat inside (3)、指定连接外部网络的外部端口在端口设置状态下输入:
思科交换机NAT配置介绍及实例
思科交换机NAT配置介绍及实例 CISCONAT配置 一、NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。二、NAT 的应用环境: 情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。 情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT 功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置: 设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。 内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。 四、关于NAT的几个概念: 内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。 内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法: NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 静态地址转换基本配置步骤:
思科NAT配置实例
CISCONAT配置 一、NAT简介NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 二、NAT 的应用环境:情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置:设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。
设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。 四、关于NAT的几个概念: 内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。 内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法: NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 静态地址转换基本配置步骤:(1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入:Ip nat inside source static 内部本地地址内部合法地址 (2)、指定连接网络的内部端口在端口设置状态下输入:
Cisco路由器的ADSL modem配置详解
Cisco路由器的ADSL modem配置详解 你还在为Cisco路由器的ADSL modem配置详解而烦恼么?不用担心,接下来是小编为大家收集的Cisco路由器的ADSL modem配置详解,欢迎大家阅读: Cisco路由器的ADSL modem配置详解具体的方法 路由器接入ADSL配置详解 1、Cisco路由器连接ADSL modem的PPPoE配置:说明:此案例为北京电信adsl PPPoE接入,需要使用一个普通adsl modem和一台cisco 2500路由器(双以太口),IOS 12.2(15)T,能够实现局域网共享上网. 此案例配置共分7步: 第一步:配置vpdn vpdn e 1、Cisco路由器连接ADSL modem的PPPoE配置:
说明:此案例为北京电信adsl PPPoE接入,需要使用一个普通adsl modem和一台cisco 2500路由器(双以太口),IOS 12.2(15)T,能够实现局域网共享上网. 此案例配置共分7步: 第一步:配置vpdn vpdn enable(启用路由器的虚拟专用拨号网络---d) vpdn-group office(建立一个vpdn组,) request-dialin(初始化一个d tunnel,建立一个请求拨入的vpdn子组,) protocol pppoe(vpdn子组使用pppoe建立会话隧道) 第二步: 配置路由器连接adsl modem的接口 interface Ethernet1 no ip address
pppoe enable允许以太接口运行pppoe pppoe-client dial-pool-number 1将以太接口的pppoe 拨号客户端加入拨号池1 第三步:配置逻辑拨号接口: interface Dialer1 ip address negotiated从adsl服务商动态协商得到ip地址 ip nat outside为该接口启用NAT encapsulation ppp为该接口封装ppp协议 dialer pool 1该接口使用1号拨号池进行拨号 dialer-group 1该命令对于pppoe是意义不大的 ppp authentication pap callin启用ppp pap验证
Cisco路由器配置入门知识(基础)
Cisco路由配置基础 刚刚接触cisco路由配置,下面是学习的笔记,感觉命令还是多敲才能熟悉一、所处状态各类 router> 用户处于用户命令状态,可以查看网络和主机 router# 用户处于特权模式,可以查看状态,还可以看到和更改路由器的设置内容router(config)# 全局配置状态,可以设置路由的全局参数 router(config-if)#;router(config-line)#;router(config-router)#..... 处于局部配置状态,可以设置路由的局部参数 二、配置端口ip 命令 en config t //全局模式 interface f0/0 ip address 192.168.1.1 255.255.255.0 //设置端口ip no shu //生效 exit interface f0/1 ip address 192.168.10.1 255.255.255.0 no shu exit
disable 三、配置静态路由 命令 en config t //全局模式 ip route 192.168.100.0 255.255.255.0 192.168.10.2 //到192.168.100.0/24通过192.168.10.2接口 end show ip route //可以看到前面标明S,即为静态路由 四、配置动态路由(RIP) 命令 en config t //全局模式 no route rip //禁止rip协议 route rip network 192.168.1.0 //network参数为路由的两个端口对应的网络地址network 192.168.10.0 exit end disable 五、配置DHCP
CISCO NAT配置命令
CISCO NAT 配置命令 21.1.在路由器上启用基本的NAT功能 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 15 permit 192.168.0.0 0.0.255.255 Router(config)#ip nat inside source list 15 interface FastEthernet0/0 overload Router(config)#interface FastEthernet0/2 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#ip nat inside Router(config-if)#exit Router(config)#interface FastEthernet0/1 Router(config-if)#ip address 192.168.2.1 255.255.255.0 Router(config-if)#ip nat inside Router(config-if)#exit Router(config)#interface Ethernet0/0 Router(config-if)#ip address 172.16.1.5 255.255.255.252 Router(config-if)#ip nat outside Router(config-if)#exit Router(config)#end Router# 注释例子中的配置实现了对地址段192.168.0.0/16访问外部网络重写为172.16.1.5的功能,基本的地址翻译功能 21.2. 动态分配外部地址 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 15 permit 192.168.0.0 0.0.255.255 Router(config)#ip nat pool NATPOOL 172.16.1.100 172.16.1.150 netmask 255.255.255.0 Router(config)#ip nat inside source list 15 pool NATPOOL Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#ip nat inside Router(config-if)#exit
cisco路由器nat配置(参考内容)
NAT包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址;动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络;端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,选择相应的NAT技术类型。 一般我们实际工作中都使用复用NAT,即复用断口NAT,也叫PNAT,所以掌握最后配置就可以了。 静态NAT配置步骤: 首先,配置各接口的IP地址。内网使用私有IP.外网使用公网IP.并指定其属于内外接口。其次,定义静态建立IP地址之间的静态映射。最后,指定其默认路由。 Router>en (进入特权模式) Router#config (进入全局配置模式) Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho R3 (命名为R3) R3(config)#no ip domain-lo (关闭域名查询,在实验环境中,敲入错误的命令,它将进行域名查询,故关闭他) R3(config)#line c 0 (进入线路CONSOLE接口0下) R3(config-line)#logg syn (启用光标跟随,防止日志信息冲断命令显示的位置) R3(config-line)#exec-t 0 0 (防止超时,0 0 为永不超时) R3(config-line)#exit R3(config)#int e0 (进入以太网接口下) R3(config-if)#ip add 192.168.1.1 255.255.255.0 (设置IP地址) R3(config-if)#ip nat inside (设置为内部接口) R3(config-if)#no shut R3(config-if)#exit R3(config)#int ser1 (进入串口下) R3(config-if)#ip add 100.0.0.1 255.255.255.0 R3(config-if)#no shut R3(config-if)#ip nat outside (设置为外部接口) R3(config-if)#exit
Cisco–NAT和PAT的配置
Cisco–NAT和PAT的配置 下面是实验拓扑图: 相关说明:NAT用于提供几乎无限的地址空间并掩藏内部网络寻址方案,地址管理更加容易,它允许严格控制进入和离开网络的流量;但是静态或动态NAT都存在一个问题,它只能提供一对一的地址转换。使用端口地址转换PA T可以实现地址复用的功能,使用PAT后,所有通过地址转换设备的机器都拥有了分配给它们相同IP地址,因此源端口号用来区分不同的连接。实验过程: I:配置各路由器的IP地址,确保直连接口能Ping通。 II:KC-R1模拟企业网关路由器。 KC-R1(config)#ip route 0.0.0.0 0.0.0.0 173.16.1.128 #指向外网的静态路由 IV:配置NAT。 方法一:静态NA T KC-R1(config)#int f0/0 KC-R1(config-if)#ip nat inside #将f0/0设置为内网口 *Mar 1 00:05:49.875: %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to up KC-R1(config-if)#exit KC-R1(config)#int s1/0 KC-R1(config-if)#ip nat outside #将s1/0设置为外网口
KC-R1(config-if)#exit KC-R1(config)#ip nat inside source static 10.1.1.1 173.16.1.56 #静态NAT KC-R1(config)#exit Ping测试: PC-1#ping 202.101.1.149 #测试证明能通 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 202.101.1.149, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 120/122/132 ms 此时PC-1能通,PC-2不能通。 KC-R2#debug ip packet #查看数据包 *Mar 1 00:09:59.487: IP: tableid=0, s=10.1.1.2 (Serial1/0), d=173.16.1.128 (Serial1/0), routed via RIB *Mar 1 00:09:59.491: IP: s=10.1.1.2 (Serial1/0), d=173.16.1.128 (Serial1/0), len 100, rcvd 3 *Mar 1 00:09:59.495: IP: s=173.16.1.128 (local), d=10.1.1.2, len 100, unroutable …………………. *Mar 1 00:23:51.243: IP: s=202.101.1.149 (local), d=173.16.1.56 (Serial1/0), len 100, sending *Mar 1 00:23:51.447: IP: tableid=0, s=173.16.1.56 (Serial1/0), d=202.101.1.149 (Loopback0), routed via RIB 方法二:动态NAT KC-R1(config)# ip nat pool kachy 173.16.1.58 173.16.1.126 netmask 255.255.255.0 #创建地址池 KC-R1(config)#access-list 1 permit 10.1.1.0 0.0.0.255 #创建ACL KC-R1(config)#ip nat inside source list 1 pool kachy #二者关联
CiscoASA防火墙nat配置示例
ASA的NAT配置 命令解释 版本前默认为nat-control,并且不可以更改 版本后默认为no nat-control。可以类似路由器一样,直接走路由;如果启用nat-control,那就与版本前同。 2.配置动态nat 把内部网段:/24 转换成为一个外部的地址池 - NAT配置命令 ASA(config)# nat (inside) 1 (定义源网段) ASA(config)# global (outside) 1 - (定义地址池) 注意:id必须匹配,并且大于1,这里先使用1 检测命令: ASA(config)# show run nat ASA(config)# show run global ASA(config)# show xlate ASA(config)# show connect 3.配置PAT 把内部网段:/24 转换成为一个外部的一个地址: NAT配置命令 ASA(config)# nat (inside) 2 (定义源网段) ASA(config)# global (outside) 2 (定义地址) ASA(config)# global (outside) 2 interface(或者直接转换为外网接口地址) 注意:id必须匹配,并且大于2,这里先使用2 4.配置static NAT 把内部网段:/24 转换成为一个外部的一个地址: NAT配置命令 ASA(config)# static (inside,outside) 命令格式是内外对应的,红色的接口和红色的地址对应。 实际工作中的应用: static主要是为内部服务器提供服务,如:web、ftp、telnet、mail等等。 access-list WEB permint tcp any host eq 80 access-list WEB in interface outside 应用ACL ASA(config)# static (inside,outside) tcp 80 80 ASA(config)# static (inside,outside) tcp interface 80 80 5.防止DOS攻击 防止外部对/24 的攻击 ASA(config)# static (inside,outside) tcp 100 1000 udp 1000 tcp 100 1000:表示正常tcp连接最大数量为100,半开连接最大的数量为1000。 udp 1000:表示正常udp连接最大的数量为1000,具体值设置为多少需要按工作中而定。配置 网关:LAN的网关:/24
CISCO_NAT_经典配置
CISCO NAT 经典配置合集(共5篇) 示例1 在本例中,公司使用一台两接口路由器,一个是Ethernet,另一个是串行接口。Ethernet0连接到内部网络,而串行接口则通过PPP链路连接到ISP路由器。在内部网络中,公司使用10.0.0.0/24地址范围内的地址。公司已从其供应商那里获得了一个单一的全局可路由的IP 地址171.100.1.1,并且该地址用于路由器的串行接口上。公司使用PAT将其所有的内部本地地址转换成单一的内部全局地址171.100.1.1。公司希望提供可以从Internet访问的FTP 和Web服务器,并且对Web服务器的请求应被送到Web服务器所在的地址10.1.1.100,而FTP请求则被送到FTP服务器所在的地址10.1.1.101。 1 解决方案 interface ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface serial0 ip address 171.100.1.1 255.255.255.252 ip nat outside ! ip access-list permit 10.0.0.0 0.255.255.255 ! ip nat inside source list 1 interface serial0 overload ip nat inside source list 1 static tcp 10.1.1.100 80 171.100.1.1 80 ip nat inside source list 1 static tcp 10.1.1.101 21 171.100.1.1 21 2 分析 先定义NAT所用的接口,并通过将合适的命令放在每个接口下面来定义接口是NAT内部或外部接口。通常,在定义NAT接口之后,就要定义NAT池来指定所用的内部全局地址。但是,在本例中只使用了一个单一的内部全局地址,并且将该单一内部全局地址用于路由器的serial 0接口上。由于只有一个单一内部全局地址并且用于路由器自己的接口上,所以我们不需要定义NAT池。我们只简单地使用示例中所示的inside source list语句即可。所定义源列表使用路由器接口的IP地址,并且超载该单一IP地址。该命令允许来自10.0.0.0/24网络的内部主机访问Internet。路由器执行PAT来创建TCP / UDP端口的NAT 映射。完成该步以后,接下来需要为内部Web和FTP服务器创建静态映射。 由于只有一个单一的内部全局IP地址,因此要根据IP地址以及TCP或UDP端口来定义静态映射。在本例中,将目的地址为171.100.1.1和目的TCP端口为80的报文地址转换成TCP 端口80上的10.1.1.100内部主机地址。我们还将目的地址为171.100.1.1和目的TCP端口
cisco 2821配置NAT上网
NAT实验 PC0:IP :192.168.0.2 /24 网关:192.168.0.1 PC1:IP:192.168.2.2/24 网关:192.168.2. Router 2 F0/0:192.168.0.1/24 S0/0 192.168.1.1/24 Router 3 F0/0:192.168.2.1/24 S0/0 192.168.1.2/24 ROUTER 2配置 version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Router interface FastEthernet0/0 ip address 192.168.0.1 255.255.255.0 ip nat inside duplex auto speed auto ! ! interface Serial0/0/0 ip address 192.168.1.1 255.255.255.0 ip nat outside
! ip nat pool xu 192.168.1.10 192.168.1.20 netmask 255.255.255.0 ip nat inside source list 2 pool xu overload ip classless ip route 0.0.0.0 0.0.0.0 192.168.1.2 ! access-list 2 permit 192.168.0.0 0.0.0.255 line con 0 line vty 0 4 login end router 3配置 interface FastEthernet0/0 ip address 192.168.2.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 ip address 192.168.1.2 255.255.255.0 clock rate 64000 ip classless line con 0 line vty 0 4 login end
CISCO路由器入门配置手册(详细)
CISCO路由器配置手册 第一章路由器配置基础 一、基本设置方式 一般来说,可以用5种方式来设置路由器: 1.Console口接终端或运行终端仿真软件的微机; 2.AUX口接MODEM,通过线与远方的终端或运行终端仿真软件的微机相连; 3.通过Ethernet上的TFTP服务器; 4.通过Ethernet上的TELNET程序; 5.通过Ethernet上的SNMP网管工作站。 但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下: 波特率:9600 数据位:8 停止位:1 奇偶校验: 无
二、命令状态 1.router> 路由器处于用户命令状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但不能看到和更改路由器的设置内容。 2.router# 在router>提示符下键入enable,路由器进入特权命令状态router#,这时不但可以执行所有的用户命令,还可以看到和更改路由器的设置内容。 3.router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#,此时路由器处于全局设置状态,这时可以设置路由器的全局参数。 4.router(config-if)#; router(config-line)#; router(config-router)#;… 路由器处于局部设置状态,这时可以设置路由器某个局部的参数。 5.> 路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。 6.设置对话状态 这是一台新路由器开机时自动进入的状态,在特权命令状态使用SETUP命令也可进入此状态,这时可通过对话方式对路由器进行设置。 三、设置对话过程 1.显示提示信息 2.全局参数的设置 3.接口参数的设置 4.显示结果 利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。
在CISCO路由器上配置NAT功能
在CISCO路由器上配置NAT功能 随着internet的网络迅速发展,IP地址短缺已成为一个十分突出的问题。为了解决这个问题,出现了多种解决方案。下面几 绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。 一、NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。 在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的 设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 二、NAT的应用环境 情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet隔离开,则外部 用户根本不知道通过NAT设置的内部IP地址。 情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个 合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置: 设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内 部IP地址。一般来说内、外部端口可以为任意指定。 设置NAT功能的路由器的IOS应支持NAT功能(本文示例所用路由器为Cisco2811)。 四、关于NAT的几个概念: 内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。 内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取 得的IP地址。 五、CISCO路由器NAT的设置方法: CISCO各种型号路由器NAT设置方法及命令基本相同。 NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有 E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使 用这些服务。 静态地址转换基本配置步骤: (1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入: Ip nat inside source static内部本地地址内部合法地址 (2)、指定连接网络的内部端口,在端口设置状态下输入: ip nat inside (3)、指定连接外部网络的外部端口,在端口设置状态下输入: ip nat outside 注:可以根据实际需要定义多个内部端口及多个外部端口。 CISCO2811配置NAT静态地址转换实例: 本实例实现静态NAT地址转换功能。将2811的FastEthernet0/0作为外部端口,FastEthernet0/1作为内部端口。其中192.168.3.10,192.168.3.11,192.168.3.12的内部本地地址采用静态地址转换,其内部合法地址分别对应为192.168.2.10, 192.168.2.11,192.168.2.12。 路由器2811的配置: route2811#show run Building configuration...
思科路由器NAT配置详解
一、NAT简介: 1.NAT(Network Address Translation)网络地址转换。 2.最早出现在思科11.2 IOS中,定义在RFC1631和RFC3022中。 3.NAT最主要的作用是为了缓解IPv4地址空间的不足。 4.同时也带来了一些问题,如每个数据包到达路由器后都要进行包头的转换 操作,所以增加了延迟;DNS区域传送,BOOTP/DHCP等协议不可穿越NAT路由器; 5.改动了源IP,失去了跟踪到端IP流量的能力,所以使责任不明确了。 6.但是利还是要大于弊的,不然也不会学习它了!最新的CCNA640-802 学习指南中依然有专门的一章来讲解NAT,它的重要性可见一斑。 二、NAT术语:比较难理解,所以这里用最明了的语言总结如下 1.内部本地地址(inside local address ):局域网内部主机的地址,通常 是RFC1918地址空间中的地址,称为私有地址。(待转换的地址) 2.内部全局地址(inside global address):内部本地地址被NAT路由器转 换后的地址,通常是一个可路由的公网地址。 3.外部全局地址(outside global address):是与内部主机通信的目标主机 的地址,通常是一个可路由的公网地址。 4.外部本地地址(outside local address):是目标主机可路由的公网地址被 转换之后的地址,通常是RFC1918地址空间中的地址。 三、NAT配置详解: 1.静态NAT:将一个私有地址和一个公网地址一对一映射的配置方法,这 种方式不能节省IP,通常只为需要向外网提供服务的内网服务器配置。 如图所示:PC1地址:192.168.0.2/24 PC2地址:192.168.0.3/24 R1 E0/0地址:192.168.0.1/24 R1 S0/0地址:202.106.0.1/24 R2 S0/0地址:202.106.0.2/24 R2 E0/0地址:202.106.1.1/24
思科路由器交换机配置命令大全
思科路由器交换机配置命令大全 1. 交换机支持的命令: 交换机基本状态:switch: ;ROM状态,路由器是rommon> hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态 交换机口令设置:switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname ;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口令 switch(config)#enable password xxa ;设置特权非密口令switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令 交换机VLAN设置:switch#vlan database ;进入VLAN设置switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线
CISCO ASA Hairpinning+NAT配置
1、same-security-traffic permit intra-interface !--- 启用Hairpinning功能,允许流量直接原路径返回。 2、nat (inside) 1 192.168.100.0 255.255.255.0 !--- 为内网用户访问公网定义NA T。 3、global (outside) 1 interface !--- 为内网用户访问公网定义global地址。 4、global (inside) 1 interface !--- 为内网用户使用Hairpinning访问内部服务器定义global地址。 5、static (inside,outside) 8.8.8.8 192.168.1.8 netmask 255.255.255.255 !--- 使用Static NAT映身一台服务器,公网IP 8.8.8.8,内网IP 192.168.1.8。 6、static (inside,inside) 8.8.8.8 192.168.1.8 netmask 255.255.255.255 !--- 为Hairpinning流量返回路径定义NAT映射:8.8.8.8 ----> 192.168.1.8。 7、access-list outside_access_in extended permit tcp any host 8.8.8.8 eq 80 !--- 配置ACL对外发布WWW服务,端口为80。 8、access-group outside_access_in in interface outside !--- 将ACL应用到外部接口。
Cisco设备静态NAT基本配置步骤
Cisco设备静态NAT基本配置步骤[组图] 以下内容摘自笔者即将出版上市的《金牌网管师——大中型企业网络组建、配置与管理》一书,或者于明年将出版的《Cisco/H3C路由器配置与管理完全手册》一书。 当你与外部网络执行通信时,你可以转换自己的私有IP地址到全局唯一的IP地址。可以通过静态或动态NAT来实现以上目的。静态NAT在内部本地址和内部全局地址之间建立一对一的映射联系,而动态NAT建立一个内部本地址到一个全局地址池的映射联系。 一、静态NAT工作原理 静态NAT是最基本的NAT形式,也是最常用的NAT形式之一。本节要运用网络拓扑结构和细致的示例介绍Cisco设备上的静态NAT基本配置步骤。示例中的基本网络拓扑结构如图1所示。 NAT路由器的两个接口(s0和s1)分别连接了内、外两个不同的网络(10.10.10.0/24和 171.16.68.1/24)。现要使内部网络中的10.10.01.1主机和外部网络中的171.16.68.5主机间执行数据包传输。 图1 静态NAT基本配置示例网络结构 在上一篇说到了,NAT的运用可以是单方向(包括正向或反向),也可以是双方向的地址转换。 我们把内部网络中的地址转换成外部网络中的地址,称之为正向转换,运用的NAT命令为“ip nat inside source static {local-ip global-ip}”,把本地网络的本地址转换成外部网络的全局地址。把外 部网络中的地址转换成内部网络中的地址称之为反向转换,运用的NAT命令为“ip nat outside source static global-ip local-ip}”,把外部网络的全地址转换成本地网络的本地地址。比较可以看出,两个命令中的本地IP地址(local-ip)和全局IP地址(global-ip)的位置是相互调换的。而把须要同时具有两方面的转换,称之为双向转换。正向转换时只须要解释内部本地址和内部全局地址; 反方向的转换时则须要解释外部本地址和外部全局地址;双向转换时则须要同时解释内部本地址、内部全局地址、外部本地址和外部全局地址。下面分别予以介绍。
Cisco静态NAT基本配置步骤
当你与外部网络进行通信时,你可以转换自己的私有IP地址到全局唯一的IP地址。可以通过静态或动态NAT来实现以上目的。静态NAT在内部本地址和内部全局地址之间建立一对一的映射关系,而动态NAT建立一个内部本地址到一个全局地址池的映射关系。 一、静态NAT工作原理 静态NAT是最基本的NAT方式,也是最常用的NAT方式之一。本节要利用网络拓扑结构和具体的示例介绍Cisco设备上的静态NAT基本配置步骤。示例中的基本网络拓扑结构如图1 所示。NAT路由器的两个接口(s0和s1)分别连接了内、外两个不同的网络(10.10.10.0/24和171.16.68.1/24)。现要使内部网络中的10.10.01.1主机和外部网络中的171.16.68.5主机间进行数据包传输。 图1 静态NAT基本配置示例网络结构 在上一篇说到了,NAT的应用可以是单方向(包括正向或反向),也可以是双方向的地址转换。我们把内部网络中的地址转换成外部网络中的地址,称之为正向转换,使用的NAT命令为“ip nat inside source static {local-ip global-ip}”,把本地网络的本地址转换成外部网络的全局地址。把外部网络中的地址转换成内部网络中的地址称之为反向转换,使用的NAT命令为“ip nat outside source static global-ip local-ip}”,把外部网络的全地址转换成本地网络的本地地址。对比可以看出,两个命令中的本地IP地址(local-ip)和全局IP地址(global-ip)的位置是相互调换的。而把需要同时具有两方面的转换,称之为双向转换。正向转换时只需要定义内部本地址和内部全局地址;反方向的转换时则需要定义外部本地址和外部全局地址;双向转换时则需要同时定义内部本地址、内部全局地址、外部本地址和外部全局地址。下面分别予以介绍。 1. 正向NAT地址转换配置 仅需要正向NAT转换时,只需要定义内部本地地址和内部全局地址。下面是一个配置示例(网络结构参见图1),要实现以下目的:当NAT路由器的内部网络s0接口上接收到一个源地址为10.10.10.1内部本地地址的数据包时,源地址被转换成171.16.68.5内部全局地址。同样,当在NAT路由器的外部网络接口s1上接收源地址为172.16.68.5内部全局地址的数据包时,目的地址将被转换成10.10.10.1这个内部本地地址。 (1)使用ip nat inside source static全局配置命令创建从内网到外网的静态NAT IP 地址转换。 Router(config)#ip nat inside source static 10.10.10.1 171.16.68.5 # 在内部网络本地地址10.10.10.1与内部网络全局地址171.16.68.5之间建立静态NAT转换关系,使内部网络主机知道要以171.16.68.5这个地址到达外部网络主机 (2)使用以下两条语句配置路由器的NAT内部接口s0。 Router(config)#interface s 0 # 进入s0串口配置模式 Router(config-if)#ip nat inside # 把s0串口指定为内部网络接口
相关文档
- CiscoASA防火墙nat配置示例
- Cisco2600路由器的ACL和NAT配置
- 思科NAT配置实例
- CISCO端口映射
- Cisco路由器配置入门知识(基础)
- cisco 2821配置NAT上网
- 思科路由器NAT配置详解s
- 思科NAT配置实例
- Cisco路由器的ADSL modem配置详解
- Cisco–NAT和PAT的配置
- 在CISCO路由器上配置NAT功能
- CISCO ASA Hairpinning+NAT配置
- 思科交换机NAT配置介绍及实例
- Cisco静态NAT基本配置步骤
- 思科课件9、配置静态NAT、配置动态NAT和配置NAPT
- Cisco路由器的配置实例
- 思科路由器NAT配置详解
- 调试cisco路由器修改NAT配置
- CISCO路由器NAT功能的配置案例
- cisco路由器nat配置(参考内容)