缺省值:没有启用NAT。
命令模式:全局配置模式。
说明:静态NAT主要用于那些对需要对外部用户开放的服务,如Web服务器等,它可以把本地地址映射为指定的全局地址。
第一种格式实现的是一对一的NAT映射。第二种格式可实现一对多的映射,即一个全局地址可映射多个内部地址,用端口号区分各个映射。
范例1:
本例定义了一个内部源地址静态NAT,内部本地地址为192.168.1.6,内部全局地址为200.10.10.2。外网用户只能用200.10.10.2访问这台主机,内网用户只能用192.168.1.6访问这台主机,如果加上permit-inside关键字,内网用户也能用200.10.10.2访问。
范例2:
本例定义了两个内部源地址静态NAT,两个服务都是Web服务,内网用户可以用http://192.168.1.6和http://192.168.1.8访问这两个网站,外网用户需要用http://200.10.10.2和http://200.10.10.2:8080访问这两个网站。
语法:
启用外部源地址转换的动态NAT。使用 no 选项可关闭该动态NAT。
参数:
access-list-number:访问控制列表的表号。它指定由哪个访问控制列表来定义源地址的规则。
pool-name:IP地址池名字。该地址池定义了用于NAT转换的外部本地地址。
缺省值:没有启用NAT。
命令模式:全局配置模式。
说明:外部源地址NAT用于有地址重叠的情况。当两个需要互访的私有网络使用了同样的IP地址,或一个私有网络和公有网络使用了同样的IP地址,则产生地址重叠。这时需要把外部全局地址映射为一个本地没有的外部本地地址才能实现互访。
配置外部源地址的动态NAT时,访问控制列表定义的是外部全局地址的格式,IP地址池中定义的是外部本地地址,它应该和内部本地地址没有重叠。
范例:
本例定义了一个外部源地址动态NAT,外部全局地址为192.168.1.*的格式,由access-list 1定义,它和内部地址有重叠。外部本地地址为172.18.1.1~172.18.1.254,由地址池outp定义,这组地址是内部网络中不使用的可路由地址。当从外部来的数据包,源地址是192.168.1.*的格式时,用172.18.1.*的地址替换,再进入内部网络。
相关命令:
| ip nat pool | 创建一个NAT地址池 |
| access-list | 定义访问控制列表 |
语法:
启用外部源地址转换的静态NAT。使用 no 选项可删除该静态NAT。
参数:
global-address:外部全局地址。是外部主机在外部网络的地址。
local-address:外部本地地址。是外部主机在网络内部表现的IP地址。
protocol:协议。可以是 TCP 或 UDP。
global-port:外部全局地址的服务端口号。
local-port:外部本地地址的服务端口号,它可以和global-port不同。
缺省值:没有启用NAT。
命令模式:全局配置模式。
说明:外部源地址静态NAT用于有地址重叠的情况。第一种格式实现的是一对一的NAT映射。第二种格式可实现一对多的映射,即一个本地地址可映射多个全局地址,用端口号区分各个映射。
范例:
本例定义了一个外部源地址静态NAT,外部全局地址为192.168.1.1,外部本地地址为172.18.1.6。当从外部来的数据包,源地址是192.168.1.1时,用172.18.1.6的地址替换,再进入内部网络。
语法:
定义一个IP地址池。使用 no 选项可删除地址池。
参数:
pool-name:地址池名字。在动态NAT配置命令中用这个名字引用地址池。
start-address:地址块起始IP地址。
end-address:地址块结束IP地址。
subnet-mask:地址块的子网掩码。
prefix-length:使用长度表示的掩码,是掩码的简化写法。
type rotary:表示定义为轮转型地址池,每个地址分配的概率相等。锐捷路由器默认的地址池类型就是轮转型,所以有没有 rotary 关键字都一样,保留此关键字是为了和 Cisco 命令兼容。
缺省值:没有定义地址池。
命令模式:全局配置模式。
说明:第一种格式定义了一个包含地址块的地址池。第二种格式定义的是一个空地址池,之后可以用 address 命令向其中添加一个或多个地址块。
范例1:
本例定义了一个名为 np 的地址池,地址范围是 200.10.10.1~200.10.10.9,掩码是 255.255.255.0。
范例2:
本例定义的地址池和例1完全相同,只是掩码用的是长度写法。
范例3:
本例先定义了一个空地址池,再用 addess 命令向其中加入了两个地址块。
相关命令:
| addess | 向NAT地址池中添加地址 |
语法:
配置NAT转换记录的超时时间和转换记录条数限制。使用 no 选项可恢复缺省配置。
该命令有多种用法:
定义DNS转换记录的超时时间,单位为秒。缺省值为 60 秒。
定义TCP连接FIN及RESET后转换记录的超时时间,单位为秒。缺省值为 60 秒。
定义ICMP转换记录的超时时间,单位为秒。缺省值为 60 秒。
定义TCP发出syn后没有收到应答的超时时间,单位为秒。缺省值为 60 秒。
定义UDP连接转换记录的超时时间,单位为秒。缺省值为 300 秒。
定义NAT转换记录的最大个数。缺省为 30000 条。
指定内网某个用户所允许的最大转换记录数。user-ip时用户的IP地址,如果为 0.0.0.0,则内网所有用户使用相同的条数限制。具体IP的配置优先级高于 0.0.0.0 的配置。如果user-ip后没有给出具体数值,则为300条。缺省情况下,不做限制。
命令模式:全局配置模式。
范例1:
本例对内网用户转换记录条数做了限制,用户192.168.5.112限制为1000条,其他用户统一限制为500条。
范例2:
本例把ICMP的NAT转换记录的超时时间设置为30秒。
之前,必须从外部网络始发数据包。
本例中需要注意两点:
第一,当数据包从外部传输到内部时,先进行转换,然后检查目的地的路由表。当数据包从内部传输到外部时,先检查目的地的路由表,然后进行转换。
第二,使用上述每条命令时,记录IP数据包的哪个部分被转换很重要。下表给出了一个纲要:
| 命令 | 操作 |
|---|---|
| ip nat outsidesource list |
|
|
以上表明有多种方法可以转换包。根据您的具体要求,您应该确定如何定义NAT接口(内部或外部