實驗拓撲
PC1屬於VLAN10,PC2屬於VLAN20
PC1 IP:192.168.10.254/24
R1 G0/0/0 IP:12.0.0.1/24
PC2 IP:192.168.20.254/24
R2 G0/0/0 IP: 12.0.0.2/24
SW1 VLAN1 IP:192.168.1.10/24
SW2 VLAN1 IP:192.168.1.20/24
實驗內容
R1模擬內網出口路由,R2模擬運營商設備
1、在R1上做靜態NAT使內網成員可以訪問外網
2、在R1上做動態NAT使內網成員可以訪問外網
3、在R1上做PAT使內網成員可以訪問外網
4、在R1上做靜態端口映射,使R2可以對SW1和SW2進行遠程管理
1、靜態NAT配置
現有2個公網地址
202.106.1.1/32
202.106.1.2/32
靜態NAT為一對一併不能節省IP地址
R1靜態NAT配置:
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]nat static global 202.106.1.1 inside 192.168.10.254 //將這個公網地址映射到內部IP為:192.168.10.254的主機也就是C1
[R1-GigabitEthernet0/0/0]nat static global 202.106.1.2 inside 192.168.20.254 //同上映射到C2
R2配置回程路由:
[R2]ip route-static 202.106.1.1 32 12.0.0.1
[R2]ip route-static 202.106.1.2 32 12.0.0.1
現在應該C1與C2都可以與外網通信了
在R2上抓包驗證看源地址是否是202.106.1.1和202.106.1.2
2、動態NAT
現有以下公網地址202.106.1.0/24
動態NAT是在出口路由器上做了一個地址池,內網PC訪問外網時會從地址池內獲取一個公網IP。
R1動態NAT配置:
[R1]nat address-group 1 202.106.1.1 202.106.1.254 //創建一個NAT地址池
[R1]acl 2000 //定義一個訪問控制列表
[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat //將ACL與地址池關聯,no-pat表示不可反覆使用
R2配置回程路由:
[R2]ip route-static 202.106.1.0 24 12.0.0.1
抓包測試
會發現這裡模擬器是有bug的,ping命令發送5個包,這裡每個包都獲取了一個地址
3、PAT配置
現有一個公網地址202.106.1.1/32
PAT是將一個公網地址反覆使用,所有主機都通過它來上網
R1 PAT配置:
[R1]nat address-group 1 202.106.1.1 202.106.1.1 //創建一個地址池
[R1]acl 2000 //定義一個訪問控制列表
[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 //將ACL與地址池關聯
R2上回程路由:
[R2]ip route-static 202.106.1.1 32 12.0.0.1
抓包測試
現在一個公網IP都沒有隻有一個外網口G0/0/0IP:12.0.0.1
[R1]acl 2000 //定義一個訪問控制列表
[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip address 12.0.0.1 24
[R1-GigabitEthernet0/0/0]nat outbound 2000 //反覆使用當前接口地址
抓包驗證
4、靜態端口映射
在PAT的基礎上輸入如下命令
R1:
[R1-GigabitEthernet0/0/0]nat static protocol tcp global current-interface telnet
inside 192.168.1.10 telnet
//將當前接口的23端口映射到192.168.1.10的23端口,這裡輸入端口號或者協議都可以
[R1-GigabitEthernet0/0/0]nat static protocol tcp global current-interface 1212 inside 192.168.1.20 telnet
//將當前接口的1212端口映射到192.168.1.20的23端口
測試
-------------------------------------------------------------------------------------------
閱讀更多 思恆科技 的文章