NAT分类
- 动态NAT
- 动态PAT
- 静态NAT
- 静态PAT
实验拓扑
拓扑和上次一样。基础的配置和上次一样,我这里就不多说了。请查看:https://blog.csdn.net/GhostRaven/article/details/85568626 。10.1.1.0/24 为inside van2 ;192.168.1.0/24为DMZ vlan 3; 202.1.1.0/24为outside vlan4
1、动态NAT
实验要求:将内网10.1.1.0/24 动态NAT到202.202.202.1
动态NAT将一组IP地址转换为指定地址池中的IP地址,是动态一对一的轮询的关系;适合拥有多个公网IP、多个内网PC要访问互联网的环境使用(单向)
object network inside-net #NAT 原网络
subnet 10.1.1.0 255.255.255.0
object network outside-net #NAT后网络
range 202.202.202.1 202.202.202.10
object network inside-net #动态ANT
nat (inside,Outside) dynamic outside-net
2、动态PAT
动态PAT,动态多对一的关系;适合只有一个公网IP、多个内网PC要访问互联网的环境使用(单向)。和动态NAT基本一致,只是公网出口只有一个。
实验要求:将Inside 的10.1.1.0/24 网段访问DMZ时,NAT为192.168.2.1.
object network inside-net
subnet 10.1.1.0 255.255.255.0
object network DMZ-nat
host 192.168.2.1
nat (inside,dmz) dynamic DMZ-nat
3、静态转换
实验要求:将DMZ中的server1:192.168.1.0/24 去outside 转换成202.2.2…0/24 网段供公网访问。
object network dmz-servers
subnet 192.168.1.0 255.255.255.0
object network outside-server
subnet 202.2.2.0 255.255.255.0
object network dmz-servers
nat (dmz,Outside) static outside-server
access-list dmz-outside extended permit tcp any 192.168.1.0 255.255.255.0 eq telnet #因为是低安全级别去高安全级别,所以要做ACL
access-group dmz-outside in interface Outside
4、静态PAT
实验要求:将DMZ内的服务器192.168.1.1/24 的服务器的80 端口,映射到外网202.3.3.3的8000端口
object network DMZ-servers
host 192.168.1.1
object network outside-server
host 202.3.3.3
object network DMZ-servers
nat (dmz,Outside) static outside-server service tcp 80 8000 #80转8000
access-list dmz-80 extended permit tcp any host 192.168.1.1 eq 80
access-group dmz-80 in interface Outside
5.NAT豁免
某些应用场合(例如配置VPN)需要绕过NAT规则:一种办法就是NAT豁免。这个EVE改变拓扑要都关机,我这里直接就在4的基础上做了。
实验目的:将4中的192.168.1.1 使用NAT豁免,供外部访问。
object network DMZ-servers
nat (dmz,Outside) static DMZ-servers service tcp www 8000
这里要多说一句:
(1)8.3之前的NAT豁免:nat (inside) 0 access-list ACL_NAME.
(2)8.4往后的NAT豁免:就是自己转自己而已
下面是一些可能用到的命令:
| 命令 | 功能 |
|---|---|
| show xlate | 查看NAT转换表 |
| clear xlate | 清空NAT转换表(静态的不会被清除) |
| show run ob | 查看object配置 |
| show run nat | 查看nat的配置 |