1、动态NAT配置(内访问外,多对多):
定义内部inside网段: nat (inside) 1 网段 子网掩码
或: nat (inside) 1 0 0 (代表内部所有网段)
定义外部outside映射地址:global (outside) 1 起始IP地址-结束IP地址
如:global (outside) 1 192.168.1.100-192.168.1.200
2、动态PAT配置(内访问外,多对一):
方法一(映射到外部的一个IP地址):
定义内部inside网段: nat (inside) 1 网段 子网掩码
nat (inside) 1 0 0 (代表内部所有网段)
定义外部outside映射地址:global (outside) 1 ip地址
如:global (outside) 1 192.168.1.100
方法二(映射到外部的接口上):
定义内部inside网段: nat (inside) 1 网段 子网掩码
nat (inside) 1 0 0 (代表内部所有网段)
定义外部outside映射接口:global (outside) 1 interface
3、静态NAT配置(发布服务器,一对一):
static (dmz,outside) 映射的IP地址 内部服务器IP地址
如:static (dmz,outside) 200.0.0.10 192.168.1.10
还需配置ACL(outside能访问dmz):
access-list out_to_dmz permit ip any(外部主机地址) host 200.0.0.10(映射的IP地址)
access-group out_to_dmz in int outside
4、静态PAT配置(发布服务器,多对一):
static (dmz,outside) tcp 映射的IP地址 端口号 内部服务器IP地址 端口号
如:static (dmz,outside) tcp 200.0.0.10 80 192.168.1.10 80
还需配置ACL(outside能访问dmz):
access-list out_to_dmz permit ip any(外部主机地址) host 200.0.0.10(映射的IP地址)
access-group out_to_dmz in int outside
5、查看xlate(nat缓存表)
show xlate detail
6、删除xlate
全局下:clear xlate
7、启用NAT控制
nat-control
8、豁免
为网段10.2.2.0/24配置NAT豁免
access-list nonat extended permit ip 10.2.2.0(源地址)255.255.255.0(子网掩码)目标地址 子网掩码
nat (inside) 0 access-list nonat
9、开启路由器的http服务
ip http server