下面是小编精心整理的CISCO路由器网络地址转换(NAT)(共含6篇),希望能够帮助到大家。同时,但愿您也能像本文投稿人“黄焖鸡”一样,积极向本站投稿分享好文章。
实验名称:思科路由器网络地址转换(NAT)
实验目的:实现所有内网IP使用少量的公网IP连接Internet
实验介绍:
借助NAT技术,内网私有地址向路由器发送数据包时,私有地址被转换成合法的公网IP地址,从而实现大量内网计算机通过少量公网IP地址和互联网通信的需求,NAT技术解决了IP地址枯竭问题,还提高了内网的安全性。
实验拓扑
spacer.gif
wKioL1T5SougjTXdAAEGoNITeGg713.jpg
实验配置步骤
一.设置计算机IP地址
1.PC1设置IP地址
spacer.gifwKioL1T5SwzAADsYAADToZd5YFo566.jpg
2.PC2设置IP地址
spacer.gifwKiom1T5SgSDgM6zAADjERtttjU585.jpg
3.PC3设置IP地址
spacer.gifwKioL1T5Syqh8FXQAADf2s2RTHs621.jpg
二.配置路由器
1.配置R1
Router#conf t
R1(config)#hostname R1
R1(config)#int f0/0
R1(config-if)#ip add 192.168.75.30 255.255.255.0
R1(config-if)#ip nat inside
R1(config-if)#no shutdown
R1(config-if)#exi
R1(config)#int f1/0
R1(config-if)#ip add 202.96.0.1 255.255.255.248
R1(config-if)#ip nat outside
R1(config-if)#no shutdown
R1(config-if)#exi
R1(config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 1/0
2.配置R2
R2#conf t
R2(config)#hostname R2
R2(config)#int f0/0
R2(config-if)#ip add 192.168.0.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exi
R2(config)#int f1/0
R2(config-if)#ip add 202.96.0.2 255.255.255.248
R2(config-if)#no shutdown
R2(config-if)#exi
三、配置静态NAT
1.在R1上将PC1 192.168.75.2 映射到202.96.0.1
将PC2 192.168.75.3 映射到202.96.0.3
R1(config)#ip nat inside source static 192.168.75.2 202.96.0.1
R1(config)#ip nat inside source static 192.168.75.3 202.96.0.3
2.在PC1上ping PC3测试
PC>ping 192.168.0.2
Pinging 192.168.0.2 with 32 bytes of data:
Reply from 192.168.0.2: bytes=32 time=0ms TTL=126
Reply from 192.168.0.2: bytes=32 time=0ms TTL=126
Reply from 192.168.0.2: bytes=32 time=9ms TTL=126
Reply from 192.168.0.2: bytes=32 time=0ms TTL=126
Ping statistics for 192.168.0.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 9ms, Average = 2ms
3.在PC2上ping PC3测试
PC>ping 192.168.0.2
Pinging 192.168.0.2 with 32 bytes of data:
Reply from 192.168.0.2: bytes=32 time=1ms TTL=126
Reply from 192.168.0.2: bytes=32 time=0ms TTL=126
Reply from 192.168.0.2: bytes=32 time=0ms TTL=126
Reply from 192.168.0.2: bytes=32 time=0ms TTL=126
Ping statistics for 192.168.0.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
4.在路由器R1上查看
R1#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 202.96.0.1 192.168.75.2 --- ---
--- 202.96.0.3 192.168.75.3 --- ---
R1#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 202.96.0.1:73 192.168.75.2:73 192.168.0.2:73 192.168.0.2:73
icmp 202.96.0.1:74 192.168.75.2:74 192.168.0.2:74 192.168.0.2:74
icmp 202.96.0.1:75 192.168.75.2:75 192.168.0.2:75 192.168.0.2:75
icmp 202.96.0.1:76 192.168.75.2:76 192.168.0.2:76 192.168.0.2:76
icmp 202.96.0.3:45 192.168.75.3:45 192.168.0.2:45 192.168.0.2:45
icmp 202.96.0.3:46 192.168.75.3:46 192.168.0.2:46 192.168.0.2:46
icmp 202.96.0.3:47 192.168.75.3:47 192.168.0.2:47 192.168.0.2:47
icmp 202.96.0.3:48 192.168.75.3:48 192.168.0.2:48 192.168.0.2:48
--- 202.96.0.1 192.168.75.2 --- ---
--- 202.96.0.3 192.168.75.3 --- ---
小结
内网计算机被一对一的映射成了公网IP地址,使用此方法可以实现从外网访问内网特定网络设备,但安全性差,实际使用价值不高
四、配置动态NAT
1.路由器R1上移除两条静态IP映射
R1(config)#no ip nat inside source static 192.168.75.2 202.96.0.1
R1(config)#no ip nat inside source static 192.168.75.3 202.96.0.3
2.路由器R1上配置包含内网所有IP地址的ACL
R1(config)#access-list 1 permit 192.168.75.0 0.0.0.255
3.配置合法的IP地址池
R1(config)#ip nat pool abc 202.96.0.1 202.96.0.6 netmask 255.255.255.248
4.关联ACL和IP地址池
R1(config)#ip nat inside source list 1 pool abc
5.在PC1上ping PC3测试
PC>ping 192.168.0.2
Pinging 192.168.0.2 with 32 bytes of data:
Request timed out.
Reply from 192.168.0.2: bytes=32 time=0ms TTL=126
Reply from 192.168.0.2: bytes=32 time=0ms TTL=126
Reply from 192.168.0.2: bytes=32 time=2ms TTL=126
Ping statistics for 192.168.0.2:
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 2ms, Average = 0ms
6.在PC2上ping PC3测试
PC>ping 192.168.0.2
Pinging 192.168.0.2 with 32 bytes of data:
Request timed out.
Reply from 192.168.0.2: bytes=32 time=0ms TTL=126
Reply from 192.168.0.2: bytes=32 time=0ms TTL=126
Reply from 192.168.0.2: bytes=32 time=0ms TTL=126
Ping statistics for 192.168.0.2:
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
7.在路由器R1上查看
R1#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 202.96.0.5:81 192.168.75.2:81 192.168.0.2:81 192.168.0.2:81
icmp 202.96.0.5:82 192.168.75.2:82 192.168.0.2:82 192.168.0.2:82
icmp 202.96.0.5:83 192.168.75.2:83 192.168.0.2:83 192.168.0.2:83
icmp 202.96.0.5:84 192.168.75.2:84 192.168.0.2:84 192.168.0.2:84
icmp 202.96.0.4:5 192.168.75.3:5 192.168.0.2:5 192.168.0.2:5
icmp 202.96.0.4:6 192.168.75.3:6 192.168.0.2:6 192.168.0.2:6
icmp 202.96.0.4:7 192.168.75.3:7 192.168.0.2:7 192.168.0.2:7
icmp 202.96.0.4:8 192.168.75.3:8 192.168.0.2:8 192.168.0.2:8
小结
映射关系是随机的,最大映射数为配置的合法公网IP地址有多少个,实际还是不能满足日常需要
五、端口多路复用PAT
1. 在关联ACL和IP地址池后面加上关键词 overload
R1(config)#ip nat inside source list 1 pool abc overload
2.在PC1、PC2上Ping PC3后,在路由器R1上查看
R1#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 202.96.0.5:85 192.168.75.2:85 192.168.0.2:85 192.168.0.2:85
icmp 202.96.0.5:86 192.168.75.2:86 192.168.0.2:86 192.168.0.2:86
icmp 202.96.0.5:87 192.168.75.2:87 192.168.0.2:87 192.168.0.2:87
icmp 202.96.0.5:88 192.168.75.2:88 192.168.0.2:88 192.168.0.2:88
icmp 202.96.0.5:10 192.168.75.3:10 192.168.0.2:10 192.168.0.2:10
icmp 202.96.0.5:11 192.168.75.3:11 192.168.0.2:11 192.168.0.2:11
icmp 202.96.0.5:12 192.168.75.3:12 192.168.0.2:12 192.168.0.2:12
icmp 202.96.0.5:9 192.168.75.3:9 192.168.0.2:9 192.168.0.2:9
小结
内网计算机访问Internet 地址都映射成了同一个合法公网IP地址,内网计算机共用一个公网IP地址就能上互联网,最实用技术,
扩展知识
1.企业里常需要把特定内网计算机的某一端口映射到公网,在思科路由器上如何设置呢?
ip nat inside source static tcp 192.168.75.2 80 202.96.0.2 80 extendable 映射80端口用于发布网站
ip nat inside source static tcp 192.168.75.2 3080 202.96.0.2 3389 extendable 映射3389端口用于远程桌面连接
ip nat inside source static tcp 192.168.75.2 3090 202.96.0.2 3090 extendable 映射特别端口用于软件发布
ip nat inside source static tcp 192.168.75.2 22 202.96.0.2 22 extendable 映射22端口用于SSH远程连接
2.如果我们只有一个公网地址且已经分配给了R1的F1/0口,怎么反复利用或超载?
R1(config)#ip nat inside source list 10 interface f1/0 overload //在R1上不设置地址池,因为只有一个公网地址,而只对F1/0接口的地址超载
或者
R1(config)#ip nat pool abc 202.96.0.1 202.96.0.1 netmask 255.255.255.248
3.怎么计算路由器NAT转换条目数?
一条NAT转换条目要占用160字节内存,因此NAT的转换数目受路由器的内存限制。
NAT,又叫做网络地址类型转换,其主要有三种类型,分别为静态NAT、动态NAT与端口地址映射,这里需要注意,这三种类型之间有很大的差异。网络管理员在使用这个技术的时候,必须要了解它们之间的差异,然后结合企业的实际情况,选择合适的实现手段。
第一种类型是静态网络地址转换。其主要的特点是一对一。也就是说,这种类型的网络地址转换是为了在本地和全球地址之间进行一对一的映射而设计的。这就要求网络中的每一台主机都有用一个真实的合法的IP地址。结合上面这个案例,如果企业内部三台服务器都需要被外部用户访问的话,那么就需要至少三个IP地址。显然这种方式并不能够达到节省IP地址的目的。一般来说,静态NAT主要的目的是为了隐藏企业内部服务器的IP地址,以达到保护服务器的目的。
第二种类型是动态NAT,
这种类型的网络地址转换是将一个企业内部的IP地址与一个合法的IP地址进行映射。虽然这也是一对一的关系,但是与静态NAT有很大的差别。前者要求企业内部服务器也必须有一个公网IP地址。而动态NAT则没有这个要求,即企业内部的服务器可以采用内部地址。不过此时一个公网IP地址也只能够解决一台内部服务器的访问问题。这与我们上面提到的需求还是有一定的差异。www.dnzg.cn
第三种类型是端口地址映射。端口地址映射在动态NAT上又进了一步。简单的说,其工作模式就是多对对一。可以将多个内部IP地址(内网地址)对应到一个公网IP地址。具体的说,就是内网地址+端口号与公网地址进行对应。采用这个端口地址映射,那么企业网络管理员就可以将企业内部的应用服务器(即使其不具有合法的公网地址)放置到外网上,供外网用户访问。
可见在实现NAT网络地址转换的过程中,了解这三种不同的工作模式,然后结合企业的实际情况,来选择合适的实现方式,这是最关键的内容。一般来说,如果企业有足够多的公网地址,而只是出于安全考虑,要隐藏内部服务其,则采用静态的NAT为好。相反,如果企业有多台服务器,而合法的IP地址又不够用。在这种情况下,就需要采用端口地址映射,将多个内部IP地址通过端口这个参数对应到公网IP地址。
ip nat
ip nat inside destination
ip nat inside source list
ip nat inside source static
ip nat outside source list
ip nat outside source static
ip nat pool
ip nat translation
ip nat 语法:
ip nat {inside | outside}
no ip nat {inside | outside}
本命令用于设置应用NAT的内网和外网的接口,使用 no 选项可使接口不再应用NAT。
参数:
inside:表示该接口连接内部网络。
outside:表示该接口连接外部网络。
缺省值:接口上没有应用NAT。
命令模式:接口配置模式。
说明:数据包只有在 outside 接口和 inside 接口之间路由时,并且符合一定规则的,才会进行NAT转换。所以实现NAT的路由器必须配置至少一个 outside 接口和一个 inside 接口,也可配置多个。
范例:
Router(config)#interface f0/0
Router(config-if)#ip address 192.168.10.1 255.255.255.0
Router(config-if)#ip nat inside
Router(config-if)#no shutdown
Router(config-if)#interface f0/1
Router(config-if)#ip address 200.19.12.17 255.255.255.0
Router(config-if)#ip nat outside
Router(config-if)#no shutdown
本例路由器的 fastethernet 0/0 连接的是内网,被定义为 inside 接口, fastethernet 0/1 连接的是外网,被定义为 outside 接口。
相关命令:
show ip nat statistics 查看NAT统计数据和规则,包括inside和outside接口
ip nat inside destination 语法:
ip nat inside destination list access-list-number pool pool-name
no ip nat inside destination list access-list-number pool pool-name
启用NAT内部目标地址转换。使用 no 选项可关闭NAT内部目标地址转换。
参数:
access-list-number:访问控制列表的表号。它指定由哪个访问控制列表来定义目标地址的规则。
pool-name:IP地址池名字。该地址池定义了用于NAT转换的内部本地地址。
缺省值:没有启用NAT内部目标地址转换。
命令模式:全局配置模式。
说明:NAT内部目标地址转换可用于实现TCP负载均衡,你可以用一台虚拟主机代替多台实际主机接收用户的TCP请求,由NAT把这些请求轮流映射到各个实际主机上,达到负载分流的目的。
配置TCP负载均衡时,访问控制列表定义的是虚拟主机的地址,IP地址池中定义的是各台实际主机的地址。
范例:
Router(config)#ip nat pool np 192.168.1.1 192.168.1.3 netmask 255.255.255.0 type rotary
Router(config)#access-list 1 permit 60.8.1.1 0.0.0.0
Router(config)#ip nat inside destination list 1 pool np
本例定义了一个TCP负载均衡,虚拟主机地址为60.8.1.1,由access-list 1定义,实际主机地址为192.168.1.1~192.168.1.3,由地址池np定义。
相关命令:
ip nat pool 创建一个NAT地址池
access-list 定义访问控制列表
ip nat inside source list 语法:
ip nat inside source list access-list-number {pool pool-name | interface interface-id} [overload]
no ip nat inside source list access-list-number
启用内部源地址转换的动态NAT,
使用 no 选项可关闭该动态NAT。
参数:
access-list-number:访问控制列表的表号。它指定由哪个访问控制列表来定义源地址的规则。
pool-name:IP地址池名字。该地址池定义了用于NAT转换的内部全局地址。
interface-id:接口号。指定用该接口的IP地址作为内部全局地址。
overload:启用端口复用,使每个全局地址可以和多个本地地址建立映射。
缺省值:没有启用NAT。
命令模式:全局配置模式。
说明:在锐捷路由器中,端口复用默认是启用的,有没有overload关键字都是一样的,保留这个参数是为了和Cisco的命令兼容。
配置内部源地址的动态NAT时,访问控制列表定义的是内部本地地址的规则,IP地址池中定义的是内部全局地址,它通常是注册的合法地址。
范例1:
Router(config)#ip nat pool np 200.10.10.1 200.10.10.9 netmask 255.255.255.0
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255
Router(config)#ip nat inside source list 1 pool np overload
本例定义了一个内部源地址动态NAT,内部本地地址为192.168.1.*和172.16.*.*的格式,由access-list 1定义,只有这两种地址才会进行NAT转换。内部全局地址为200.10.10.1~200.10.10.9,共9个地址,由地址池np定义。每个全局地址都可以和多个本地地址建立映射,用端口号区分各个映射。
范例2:
Router(config)#access-list 1 permit 192.168.0.0 0.0.255.255
Router(config)#ip nat inside source list 1 interface s1/0 overload
本例定义了一个内部源地址动态NAT,内部本地地址为192.168.*.*的格式,由access-list 1定义。内部全局地址为 Serial 1/0 的IP地址。所有本地地址都会映射为这一个IP地址,用端口号区分各个映射。
相关命令:
ip nat pool 创建一个NAT地址池
access-list 定义访问控制列表
ip nat inside source static 语法:
ip nat inside source static local-address global-address [permit-inside]
no ip nat inside source static local-address global-address [permit-inside]
ip nat inside source static protocol local-address local-port global-address global-port [permit-inside]
no ip nat inside source static protocol local-address local-port global-address global-port [permit-inside]
启用内部源地址转换的静态NAT。使用 no 选项可删除该静态NAT。
参数:
local-address:内部本地地址。是主机在网络内部的IP地址,一般是未注册的私有地址。
global-address:内部全局地址。是内部主机在外部网络表现出的地址,一般是注册的合法地址。
protocol:协议。可以是 TCP 或 UDP。
local-port:本地地址的服务端口号。
global-port:全局地址的服务端口号,它可以和local-port不同。
permit-inside:允许内部用户使用全局地址访问本地主机。
缺省值:没有启用NAT。
命令模式:全局配置模式。
说明:静态NAT主要用于那些对需要对外部用户开放的服务,如Web服务器等,它可以把本地地址映射为指定的全局地址。
第一种格式实现的是一对一的NAT映射。第二种格式可实现一对多的映射,即一个全局地址可映射多个内部地址,用端口号区分各个映射。
范例1:
Router(config)#ip nat inside source static 192.168.1.6 200.10.10.2
互联网如火如荼的应用,加剧了IP地址匮乏的问题,为了缓解这一问题,一个重要的应用:NAT(NetworkAddressTranslation?D网络地址转换),日益广泛地应用起来,NAT通过地址转换的方式,使企业可以仅使用较少的互联网有效IP地址,就能获得互联网接入的能力,有效地缓解了地址不足的问题,同时提供了一定的安全性。
NAT的实现方案多种多样,本文以思科2611路由器为平台,通过一个实例描述了NAT的应用。
思科路由器上NAT通常有3种应用方式,分别适用于不同的需求:
1.静态地址转换:适用于企业内部服务器向企业网外部提供服务(如WEB,FTP等),需要建立服务器内部地址到固定合法地址的静态映射。
2.动态地址转换:建立一种内外部地址的动态转换机制,常适用于租用的地址数量较多的情况;企业可以根据访问需求,建立多个地址池,绑定到不同的部门。这样既增强了管理的粒度,又简化了排错的过程。
3.端口地址复用:适用于地址数很少,多个用户需要同时访问互联网的情况。
图1
如图1所示,企业从ISP获得6个有效IP地址(202.103.100.128~202.103.100.135,掩码为255.255.255.248,128和135为网络地址和广播地址,不可用),通过一台2611路由器接入互联网。内部网络根据职能分成若干子网,并期望服务器子网对外提供WEB服务,财务部门使用独立的地址池接入互联网,其它部门共用剩余的地址池。地址具体分配如下表:
具体配置步骤如下:
1.选择E0作为内部接口,S0作为外部接口
interfacee0
ipaddress192.168.100.1255.255.255.0
ipnatinside/*配置e0为内部接口*/
interfaces0
ipaddress202.103.100.129255.255.255.248
ipnatoutside/*配置s0为外部接口*/
2.为各部门配置地址池(finance-财务部门;other-其它部门):
ipnatpoolfinance202.103.100.131202.103.100.131netmask255.255.255.248
ipnatpoolother202.103.100.132202.103.100.134netmask255.255.255.248
3.用访问控制列表检查数据包的源地址并映射到不同的地址池
ipnatinsidesourcelist1poolfinanceoverload/*overload-启用端口复用*/
ipnatinsidesourcelist2poolother/*动态地址转换*/
4.定义访问控制列表
access-list1permit192.168.20.00.0.0.255
access-list2permit192.168.30.00.0.0.255
5.建立静态地址转换,并开放WEB端口(TCP80)
ipnatinsidesourcestatictcp192.168.10.280202.103.100.13080
6.设置缺省路由
iproute0.0.0.00.0.0.0s0
经过上述配置后,互联网上的主机可以通过202.103.100.130:80访问到企业内部WEB服务器192.168.10.2;财务部门的接入请求将映射到202.103.100.131;其它部门的接入请求被映射到202.103.100.131~134地址段,
至此,一个企业NAT互联网接入方案就完成了。
INTERNET共享资源的方式越来越多,就大多数而言,DDN专线以其性能稳定、扩充性好的优势成为普遍采用的方式,DDN方式的连接在硬件的需求上是简单的,仅需要一台路由器(router)、代理服务器(proxyserver)即可,但在系统的配置上对许多的网络管理人员来讲是一个比较棘手的问题,下面以CISCO路由器为例,笔者就几种比较成功的配置方法作以介绍,以供同行借鉴:
一、直接通过路由器访问INTERNET资源的配置
1.总体思路和设备连接方法一般情况下,单位内部的局域网都使用INTERNET上的保留地址:
10.0.0.0/8:10.0.0.0~10.255.255.255
172.16.0.0/12:172.16.0.0~172.31.255.255
192.168.0.0/16:192.168.0.0~192.168.255.255在常规情况下,单位内部的工作站在直接利用路由对外访问时,会因工作站使用的是互联网上的保留地址,而被路由器过滤掉,从而导致无法访问互联网资源。解决这一问题的办法是利用路由操作系统提供的NAT(Network AddressTranslation)地址转换功能,将内部网的私有地址转换成互联网上的合法地址,使得不具有合法IP地址的用户可以通过NAT访问到外部Internet。这样做的好处是无需配备代理服务器,减少投资,还可以节约合法IP地址,并提高了内部网络的安全性。 NAT有两种类型:Single模式和global模式。
使用NAT的single模式,就像它的名字一样,可以将众多的本地局域网主机映射为一个Internet地址,
局域网内的所有主机对外部Internet网络而言,都被看做一个Internet用户。本地局域网内的主机继续使用本地地址。
使用NAT的global模式,路由器的接口将众多的本地局域网主机映射为一定的Internet地址范围(IP地址池)。当本地主机端口与Internet上的主机连接时,IP地址池中的某个IP地址被自动分配给该本地主机,连接中断后动态分配的IP地址将被释放,释放的IP地址可被其他本地主机使用。
下面以我单位的网络环境为例,将配置方法及过程列示出来,供大家参考。
我单位利用联通光缆(V.35)接入INTERNET的,路由器是CISCO2610,局域网采用的是INTEL550百兆交换机,联通向我们提供了下列四个IP地址:
211.90.137.25(255.255.255.252) 用于本地路由器的广域网端口
211.90.137.26(255.255.255.252) 用于对方(联通)的端口
211.90.139.41(255.255.255.252) 供自己支配
211.90.139.42(255.255.255.252) 供自己支配
2. 路由器的配置
(1) 网络连接示意图:
说明:校内所有的工作站都与交换机连接,路由器也通过以太口连接在内部交换机上,路由器上以太口使用内部私有地址,光纤的两端分别使用了联通分配的两个有效IP地址。在这种连接方式下,只要在路由器内部设置NAT,便可以使得单位内部的所有工作站访问INTERNTE了,在每台工作站上只需设置网关指向路由器的以太口(192.168.0.3)即可上网,无需设代理,并节省了两个有效IP地址可供自己自由支配(如建立单位自已的WEB和E-MAIL服务器)。但也存在缺点:不能享受代理服务器提供的CACHE服务来提高访问速度。所以本配置
如果ISP提供的IP地址比较多可以使用NAT为每一个服务器映射一个外部地址,但如果不是的时候(如就两个时),内网有四台服务器需要团对外提供服务,一个用于内网地址转换,另一个用于对外网提供服务
Interface fastethernet0/0(内网接口)
Ip address 192.168.1.1 255.255.255.0
Duplex auto
Speed auto
Ip nat inside
No shutdown
Interface fastethernet0/1(外网接口)
Ip address 211.82.220.129 255.255.255.248
Duplex auto
Speed auto
Ip nat outside
No shutdown
Access-list 1 permit 192.168.1.0 0.0.0.255(指定内网的地址范围)
Ip nat inside source list1 interface fastethernet0/1(外网接口) overload
ip route 0.0.0.0 0.0.0.0 211.82.220.132(做默认路由指向外网)
再加所需的ACL基本配置就完了,
如果公司有DDN要跑的话,再加下路由即可
如果有足够多的公网IP的话:
Ip nat inside source static tcp 192.168.1.2 80 202.99.220.130 80 (静态映射)
Ip nat inside source static tcp 192.168.1.3 21 202.99.220.130 21
Ip nat inside source static tcp 192.168.1.4 25 202.99.220.130 25
Ip nat inside source static tcp 192.168.1.5 110 202.99.220.130 110
★ 转换思想心情日记
