Cisco路由交换--NAT详解一

NAT出现背景

话不多说大家应该很清楚NAT出现是因为IPv4在设计之初没有考虑到网络发展的如此迅猛以至于32位的地址容量迅速面临枯竭,为了寻求解决方案。一方面IPv6技术问世,另外一方面NAT技术出现。但是NAT的出现使得IPv4地址面临枯竭的状态得到了非常有效的缓解,让IPv4依然是当今网络环境的主流技术。而IPv6至今也因为易用性和IPv4地址枯竭问题的遏制等等很多原因导致没有好的实施。(IPv6依然是未来)

NAT类型

静态NAT

静态NAT就是把本地局域网IP地址和外部公网IP地址一对一的映射,该映射关系不存在时效性,不能动态变更

动态NAT

动态NAT就是把本地局域网IP地址和外部公网地址池中的某个地址进行一对一的映射,与静态NAT最大的不同点在于,该映射关系存在时效性,会随着应用和时间不断更改映射关系

静态PAT

静态PAT与静态NAT非常相似,也是一对一映射关系,映射关系不存在时效性,但是最大的不同在于端口参数的介于,只是把本地局域网IP和端口与公网IP地址和端口进行了一对一的映射,这样一个公网地址可以映射出65535+65535(TCP+UDP)个局域网设备

动态PAT

动态PAT和动态NAT与静态PAT和静态NAT的关系类似,在动态PAT中局域网IP与端口会和公网地址与端口产生一对一的映射关系,但是映射关系存在时效性,IP和端口的接口也让多个局域网地址可以共同使用一个公网地址进行常规网络活动

IOS中NAT的配置

实验拓扑

image

基础配置:
Client-1:Client-1(config)#inter f0/0Client-1(config-if)#ip add 192.168.2.2 255.255.255.0Client-1(config-if)#no shutClient-1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1Client-1(config)#username  test privilege 15 password testClient-1(config)#line vty 0 15Client-1(config-line)#login localClient-2:Client-2(config)#inter f0/0Client-2(config-if)#ip add 192.168.2.3 255.255.255.0Client-2(config-if)#no shutClient-2(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1Client-2(config)#username  test privilege 15 password testClient-2(config)#line vty 0 15Client-2(config-line)#login localGW-WAN:GW-WAN(config)#inter f0/0GW-WAN(config-if)#ip add 192.168.2.1 255.255.255.0GW-WAN(config-if)#ip nat insideGW-WAN(config-if)#no shutGW-WAN(config-if)#inter f0/1GW-WAN(config-if)#ip add 200.1.1.2 255.255.255.0GW-WAN(config-if)#ip nat outsideGW-WAN(config-if)#no shutGW-WAN(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.1Internet:Internet(config)#inter f0/0Internet(config-if)#ip add 200.1.1.1 255.255.255.0Internet(config-if)#no shutInternet(config-if)#inter f0/1Internet(config-if)#ip add 100.1.1.1 255.255.255.0Internet(config-if)#no shutServer:Server(config)#inter f0/0Server(config-if)#ip add 100.1.1.100 255.255.255.0Server(config-if)#no shutServer(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.1Server(config)#username test priv 15 password testServer(config)#line vty 0 15Server(config-line)#login local
静态NAT
#配置GW-WAN(config)#ip nat inside source static 192.168.2.2 200.1.1.3 GW-WAN(config)#ip nat inside source static 192.168.2.3 200.1.1.4 #测试Server:Server#telnet 200.1.1.3Trying 200.1.1.3 ... OpenUser Access VerificationUsername: testPassword: Client-1#exit[Connection to 200.1.1.3 closed by foreign host]Server#telnet 200.1.1.4Trying 200.1.1.4 ... OpenUser Access VerificationUsername: testPassword: Client-2#exit[Connection to 200.1.1.4 closed by foreign host]
动态NAT
#配置GW-WAN(config)#ip access-list extended clientGW-WAN(config-ext-nacl)#permit ip host 192.168.2.2 anyGW-WAN(config-ext-nacl)#permit ip host 192.168.2.3 anyGW-WAN(config)#ip nat pool Nat 200.1.1.5 200.1.1.6 netmask 255.255.255.252GW-WAN(config)#ip nat inside source list client pool Nat #测试Client-1:Client-1#ping 100.1.1.100 repeat 100Client-2:Client-2#ping 100.1.1.100 repeat 100GW-WAN:GW-WAN#show ip nat translations Pro Inside global      Inside local       Outside local      Outside global--- 200.1.1.5          192.168.2.2        ---                ------ 200.1.1.6          192.168.2.3        ---                ---Server:Server#debug ip icmp*Mar  1 00:58:37.799: ICMP: echo reply sent, src 100.1.1.100, dst 200.1.1.5*Mar  1 00:58:37.799: ICMP: echo reply sent, src 100.1.1.100, dst 200.1.1.6
静态PAT
#配置GW-WAN(config)#ip nat inside source  static tcp 192.168.2.2 23 200.1.1.3 1025GW-WAN(config)#ip nat inside source  static tcp 192.168.2.3 23 200.1.1.3 1026GW-WAN(config)#inter f0/0GW-WAN(config-if)#ip nat inside GW-WAN(config-if)#inter f0/1GW-WAN(config-if)#ip nat outside#测试Server:Server#telnet 200.1.1.3 1025Trying 200.1.1.3, 1025 ... OpenUser Access VerificationUsername: testPassword: Client-1#exit[Connection to 200.1.1.3 closed by foreign host]Server#telnet 200.1.1.3 1026Trying 200.1.1.3, 1026 ... OpenUser Access VerificationUsername: testPassword: Client-2#exit
动态PAT
配置:GW-WAN(config)#ip access-list extended clientGW-WAN(config-ext-nacl)#permit ip host 192.168.2.2 anyGW-WAN(config-ext-nacl)#permit ip host 192.168.2.3 anyGW-WAN(config)#ip nat inside source list client interface f0/1 overload #测试Client-1:Client-1#ping 100.1.1.100 repeat 100Client-2:Client-2#ping 100.1.1.100 repeat 100GW-WAN:GW-WAN# show ip nat translations Pro Inside global      Inside local       Outside local      Outside globalicmp 200.1.1.2:2       192.168.2.2:2      100.1.1.100:2      100.1.1.100:2icmp 200.1.1.2:0       192.168.2.3:2      100.1.1.100:2      100.1.1.100:0Server:Server#debug ip icmp*Mar  1 00:56:48.427: ICMP: echo reply sent, src 100.1.1.100, dst 200.1.1.2*Mar  1 00:56:48.471: ICMP: echo reply sent, src 100.1.1.100, dst 200.1.1.2

相信大家都注意到了在配置NAT的时候命令会有inside、outside、destination、source、enable参数,下篇将会详细介绍这些参数的含义

原文地址:http://blog.51cto.com/7270589/2128595

时间: 2024-08-01 09:50:38

Cisco路由交换--NAT详解一的相关文章

Cisco路由交换-NAT详解二

概述 上篇最后说了在cisco IOS配置NAT的时候我们会发现inside.outside.source.destination这样的参数,我们常用的就是inside和source参数,今天就让我们来看一下之其中的玄奥之处.在此之前我们需要先了解一些基本的概念 基本概念 内部本地地址 内部局域网中的IP地址,常见的A.B.C类中的私网地址,转换前的源地址 内部全局地址 NAT设备外部地址,转化后的源地址 外部本地地址 常规配置方式下此地址为访问的公网地址.反向思考此地址和内部本地地址相同 外部

Cisco路由交换-NAT详解三(区域无关NAT)

概述 上篇文章介绍了在不同区域下各个参数搭配使用的不同效果(实现tcp的负载均衡.地址伪装),今天给大家带了一个不太被常用但是确实很好用的NAT配置方法.大家应该很清楚常规的NAT配置下经常会碰到NAT回流的问题(内部的服务器映射给公网使用,常规ip nat inside source static映射后,外网用户可以正常访问该服务器,但是内网用户则无法使用该服务器映射公网地址访问服务器).归根结底问题出在内网用户访问其公网地址时因为数据包处理逻辑问题无法匹配到该静态NAT,而是做完动态NAT后

cisco路由交换基础综合实验

公司分为总公司和分公司两个公司. 总公司配置 1. 所有交换机之间使用trunk链路,来实现vlan间的通信. 2. 在二层和三层交换机上面部署了VTP域,使用建立vlan的同步 3. 使用生成树控制公司数据的走向,一半的数据是通过SW1走,一般的数据通过SW2走,而且两台设备互为备份,也就是其中一台设备坏掉,另一台还可以继续工作. 4. 使用SHRP技术做了一个网关方面的冗余,在SW1和SW2之间虚拟出来一个网关,PC机都指向这个网关,如果其中的一台设备坏道,另一台设备还继续保证公司的电脑可以

Cisco三层交换机的配置详解

当公司网络规模较小.划分的VLAN比较少时,可能单臂路由就可以满足各VLAN间的通信,但是当VLAN较多.网络规模比较大时.那么使用单臂路由技术就显得有点力不从心了,这是我们就要引入三层交换机了. 现在大多数新型的catalyst交换机都支持CEF(Cisco快速转发)多层交换,CEF是一种基于拓扑的转发模型,可预先将所有的路由选择信息加入到FIB( forWord information base,转发信息库)中,这样,交换机就能够快速查找路由选择信息. CEF--主要包括如下两个转发用的信息

Cisco GRE 基础配置详解

今天,我来大家介绍一下思科GRE隧道技术.配置GRE隧道之前我们先来了解一下思科的GR隧道技术.GRE(Generic Routing Encapsulation)即通用路由封装协议,是有Cisco公司开发的一项轻量级隧道协议(目前网络厂商基本都支持GRE协议).它能够将各种网络协议(IP协议与非IP协议)封装在隧道内.GRE之所以称为轻量级隧道协议时因为GRE头部小,所以封装效率高.但是GRE没有任何安全机制,是以明文方式传输,可通过抓包看到Tunnl IP信息.一般都是使用IPSec来对GR

网络基础Cisco路由交换三

热备份路由协议HSRP:Cisco私有协议 确保了当网络边缘设备或接入链路出现故障时,用户通信能迅速并透明地恢复,以此为ip网络提供余性,通过使用同意虚拟ip地址和虚拟mac地址,LAN网段上的两台或者多台路由器可以作为一台虚拟路由器对外提供服务. HSRP使组内的cisco路由器能互相监视对方的运行状态. HSRP组成员: 活跃路由器 备份路由器 虚拟路由器(lan上的网关) 其他路由器 HSRP虚拟mac地址格式 0000.0c07.ac2f 厂商编码:HSRP虚拟mac地址,HSRP编码总

Cisco路由交换 破解密码步骤

Cisco 2800密码破解 1.重启路由器按ctrl + break +fn键 进入监控模式 2.修改寄存器值改变启动次序remmon>confreg 0x2142 3.在监控模式下重启路由remmon>reset 看这里进入系统之后 直接就进入了用户模式 没要密码Router>enableRouter#copy start running-configDestination filename [running-config]?552 bytes copied in 0.416 sec

Cisco IPSec VPN 配置详解

前言: VPN作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条"专线",将组织的分支机构和总部连接起来,组成一个大的局域网.IPSEC引进了完整的安全机制,包括加密.认证和数据防篡改功能. IPsec的协商分为两个阶段: 第一阶段:验证对方,协商出IKE SA ,保护第二阶段IPSEC Sa协商过程 第二阶段:保护具体的数据流 拓扑如下 配置IPSec VPN 常规的步骤如下(建议复制下来): 启用IKE 配置第一阶段策略    /

华三路由_BGP技术详解(H3C)

1.BGP的基本概念1)BGP ( Border Gateway Protocol,边界网关协议)是一种既可以用于不同 AS ( Autonomous System,自治系统)之间,又可以用于同一 AS 内部的动态路由协议.当 BGP 运行于同一 AS 内部时,被称为 IBGP( Internal BGP):当 BGP 运行于不同 AS 之间时,称为 EBGP( External BGP). AS 是拥有同一选路策略,属于同一技术管理部门的一组路由器.2)BGP 具有如下特点:? BGP 是一种