cisco nat总结

Cisco NAT
IOS router
Inside-----outside
NAT NPAT 内网----外网(动态)
ip nat inside source ….
Static NAT Static PAT 外网—内网
ip nat inside source static ….

以上其实内网--?外网 inside 方向 source NAT
发布外网服务器 也是从内网inside 看source
其实应该从外网逻辑上outside 看destination 地址转换
Cisco ios inside 有destination NAT主要2次NAT解决外网重复的场合
Outside 只有source NAT无destination NAT
存在的问题:
整个地址转换内网发布服务器—意味着该服务器也能上网而且NAT 后对外部显示也是该地址,如果限制不能上网,不知如何解决?
ACL?
执行顺序:
1、manual NAT:(Twice NAT):、Twice NAT+Identify (××× 旁路) 、优先选择Twice NAT 有服务的转换、选择Twice
NAT
关于Twice NAT 的顺序完全是谁在最前面谁最优,没有什么比较的,可以通过人为的修改顺序。
2、Auto NAT :1、identify 2、static 3、dynamic 其中static 是优于dynamic 的。
如果static 存在多个,那么首先比较子网掩码范围,大的优先,也就是32 位由于24 位,如果都一样,就比较网络位,小的
优先,就是10.1.1.0/24 网段比20.1.1.0/24 优先,最后都相同比较object name,字母最前面的优先,也就是ab 是优于
bc 的
Dynamic 的话,顺序也跟static 一样,只是static 是优于dyanmic 的
show ip nat trans
clear ip nat
debug ip nat
debug ip packet

ASA Firewall
show xlate
clear xlate

原文地址:http://blog.51cto.com/372560/2177969

时间: 2024-10-25 06:26:59

cisco nat总结的相关文章

Cisco NAT Fundation

Topology 1. DNAT (Dynamic) int fa0/0 ip nat inside int fa0/1 ip nat outside ip nat pool ISP-POOL 198.51.100.3 192.51.100.14 netmask 255.255.255.240 ip nat inside source list 1 pool ISP-POOL access-list 1 permit 10.1.1.0 0.0.0.255 show ip nat translat

【资料整理】cisco [nat, pat]

NAT { A(config)#ip nat pool GlobalNet 171.16.10.50 171.16.10.55 netmask 255.255.255.0 A(config)#access-list 1 permit 192.168.20.0 0.0.0.255 A(config)#access-list 1 permit 192.168.30.0 0.0.0.255 A(config)#ip nat inside source list 1 pool GlobalNet A(c

cisco NAT网络地址转换配置

网络地址转换(NAT)通过将内部网络的私有ip地址翻译成全球唯一的公网ip地址,使内部网络可以连接到互联网上,广泛应用于各种类型的互联网接入方式和各种类型的网络中.NAT的作用:缓解ip不足,隐藏内部服务器的私有ip,NAT用于局域网中末端的路由器(直接连接外网的那个路由),而且和vlan环境,或者中间经过的设备没有任何关系. NAT的实现方式: 静态转换(将内网私有ip转换为公有合法ip,而且是一对一,不变的.可以实现外部网络对内网中服务器设备的访问) 简单转换条目 :静态nat端口映射(将不

路由器NAT功能配置简介

CISCO NAT 配置(值得一看)                   路由器NAT功能配置简介 随着internet的网络迅速发展,IP地址短缺已成为一个十分突出的问题.为了解决这个问题,出现了多种解决方案.下面几绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能. 一.NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请.在网络内部,各计算机间通过内部的IP地址进行通讯.而当内

CISCO router 做VPN

NAT(config)#username velino password 0 123456      //设置用户名密码(vpn client连接后提示的用户名和密码)!NAT(config)#aaa new-model        //启用AAA认证!NAT(config)#aaa authentication login vpn-authen local     //设置AAA认证组vpn-authen为本地认证NAT(config)#crypto isakmp xauth timeout

Cisco配置VLAN+中继代理+NAT转发上网

实验环境: 路由器 使得TP-link 设置NAT转发使用,tp-link路由器网关设置成 192.168.30.254 (核心层)Cisco 3550三层交换机(型号C3550-I5Q3L2-M)配置三个VLAN,VLAN 10.VLAN 20和VLAN 30 VLAN 10 的IP地址:192.168.10.1/24 VLAN 20 的IP地址:192.168.20.1/24 Fa0/24端口配置成Trunk端口级连汇聚层Cisco 2960交换机fa0/24端口透传VLAN 10和VLAN

Cisco PT模拟实验(19) 路由器的NAT功能配置

Cisco PT模拟实验(19) 路由器的NAT功能配置 实验目的: 掌握NAT网络地址转换的原理及功能 掌握静态NAT的配置,实现局域网访问互联网 掌握广域网(WAN)接入技术的原理 实验背景: 为适应公司不断增长的业务需求,公司欲通过Web服务器发布网站,现要求将内网的服务器IP地址映射为全局IP地址,实现外部网络可以访问公司内部服务器www服务,可在出口路由器上配置NAT功能. 技术原理: 网络地址转换(NAT,Network Address Translation)属于接入广域网(WAN

CISCO 在NAT下做IPsec VPN常见的问题及配置实例详解

前言: VPN作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条"专线",将组织的分支机构和总部连接起来,组成一个大的局域网.IPSEC引进了完整的安全机制,包括加密.认证和数据防篡改功能. IPsec的协商分为两个阶段: 第一阶段:验证对方,协商出IKE SA ,保护第二阶段IPSEC Sa协商过程 第二阶段:保护具体的数据流 拓扑如下: (测试结果用红色字体展现) 在这种情况下,不做NAT的时候,VPN可以正常使用,两边的私网是不

CISCO ASA NAT 回流解决方案

实际案例中也不少碰到此类问题,客户内网有台服务器映射在互联网上,外网用户访问Global-IP没问题,但是内网用户想要访问Global-IP就会不通,典型的就是用户将内网服务器做了公网DNS A记录,无论内外网均通过域名访问. JUNIPER系列设备包括Netscreen/ISG/SSG没有这类问题,直接通过普通的DIP即可实现,后续产品SRX防火墙也需通过双向NAT来解决,下面通过CISCO ASA来解决这个CASE,JUNIPER SRX解决原理类似. 假想拓扑如下: ASA内网网段192.