没有启用NAT。
全局配置模式。
静态NAT主要用于那些对需要对外部用户开放的服务,如Web服务器等,它可以把本地地址映射为指定的全局地址。
第一种格式实现的是一对一的NAT映射。第二种格式可实现一对多的映射,即一个全局地址可映射多个内部地址,用端口号区分各个映射。
本例定义了一个内部源地址静态NAT,内部本地地址为192.168.1.6,内部全局地址为200.10.10.2。外网用户只能用200.10.10.2访问这台主机,内网用户只能用192.168.1.6访问这台主机,如果加上permit-inside关键字,内网用户也能用200.10.10.2访问。
本例定义了两个内部源地址静态NAT,两个服务都是Web服务,内网用户可以用http://192.168.1.6和http://192.168.1.8访问这两个网站,外网用户需要用http://200.10.10.2和http://200.10.10.2:8080访问这两个网站。
access-list-number pool pool-name
access-list-number
启用外部源地址转换的动态NAT。使用 no 选项可关闭该动态NAT。
access-list-number:访问控制列表的表号。它指定由哪个访问控制列表来定义源地址的规则。
pool-name:IP地址池名字。该地址池定义了用于NAT转换的外部本地地址。
没有启用NAT。
全局配置模式。
外部源地址NAT用于有地址重叠的情况。当两个需要互访的私有网络使用了同样的IP地址,或一个私有网络和公有网络使用了同样的IP地址,则产生地址重叠。这时需要把外部全局地址映射为一个本地没有的外部本地地址才能实现互访。
配置外部源地址的动态NAT时,访问控制列表定义的是外部全局地址的格式,IP地址池中定义的是外部本地地址,它应该和内部本地地址没有重叠。
本例定义了一个外部源地址动态NAT,外部全局地址为192.168.1.*的格式,由access-list 1定义,它和内部地址有重叠。外部本地地址为172.18.1.1~172.18.1.254,由地址池outp定义,这组地址是内部网络中不使用的可路由地址。当从外部来的数据包,源地址是192.168.1.*的格式时,用172.18.1.*的地址替换,再进入内部网络。
global-address local-address
global-address local-address
protocol global-address global-port local-address local-port
protocol global-address global-port local-address local-port
启用外部源地址转换的静态NAT。使用 no 选项可删除该静态NAT。
global-address:外部全局地址。是外部主机在外部网络的地址。
local-address:外部本地地址。是外部主机在网络内部表现的IP地址。
protocol:协议。可以是 TCP 或 UDP。
global-port:外部全局地址的服务端口号。
local-port:外部本地地址的服务端口号,它可以和global-port不同。
没有启用NAT。
全局配置模式。
外部源地址静态NAT用于有地址重叠的情况。第一种格式实现的是一对一的NAT映射。第二种格式可实现一对多的映射,即一个本地地址可映射多个全局地址,用端口号区分各个映射。
本例定义了一个外部源地址静态NAT,外部全局地址为192.168.1.1,外部本地地址为172.18.1.6。当从外部来的数据包,源地址是192.168.1.1时,用172.18.1.6的地址替换,再进入内部网络。
pool-name start-address end-address {netmask subnet-mask|prefix-length prefix-length} [type rotary]
pool-name {netmask subnet-mask|prefix-length prefix-length} [type rotary]
pool-name
定义一个IP地址池。使用 no 选项可删除地址池。
pool-name:地址池名字。在动态NAT配置命令中用这个名字引用地址池。
start-address:地址块起始IP地址。
end-address:地址块结束IP地址。
subnet-mask:地址块的子网掩码。
prefix-length:使用长度表示的掩码,是掩码的简化写法。
type rotary:表示定义为轮转型地址池,每个地址分配的概率相等。锐捷路由器默认的地址池类型就是轮转型,所以有没有 rotary 关键字都一样,保留此关键字是为了和 Cisco 命令兼容。
没有定义地址池。
全局配置模式。
第一种格式定义了一个包含地址块的地址池。第二种格式定义的是一个空地址池,之后可以用 address 命令向其中添加一个或多个地址块。
本例定义了一个名为 np 的地址池,地址范围是 200.10.10.1~200.10.10.9,掩码是 255.255.255.0。
本例定义的地址池和例1完全相同,只是掩码用的是长度写法。
本例先定义了一个空地址池,再用 addess 命令向其中加入了两个地址块。
参数名 参数值
参数名
配置NAT转换记录的超时时间和转换记录条数限制。使用 no 选项可恢复缺省配置。
ip nat translation dns-timeout seconds
定义DNS转换记录的超时时间,单位为秒。缺省值为 60 秒。
ip nat translation finrst-timeout seconds
定义TCP连接FIN及RESET后转换记录的超时时间,单位为秒。缺省值为 60 秒。
ip nat translation icmp-timeout seconds
定义ICMP转换记录的超时时间,单位为秒。缺省值为 60 秒。
ip nat translation syn-timeout seconds
定义TCP发出syn后没有收到应答的超时时间,单位为秒。缺省值为 60 秒。
ip nat translation tcp-timeout seconds
定义TCP连接转换记录的超时时间,单位为秒。缺省值为 1 天。
ip nat translation udp-timeout seconds
定义UDP连接转换记录的超时时间,单位为秒。缺省值为 300 秒。
ip nat translation max-entries number
定义NAT转换记录的最大个数。缺省为 30000 条。
ip nat translation pre-user user-ip [number]
指定内网某个用户所允许的最大转换记录数。user-ip时用户的IP地址,如果为 0.0.0.0,则内网所有用户使用相同的条数限制。具体IP的配置优先级高于 0.0.0.0 的配置。如果user-ip后没有给出具体数值,则为300条。缺省情况下,不做限制。
全局配置模式。
本例对内网用户转换记录条数做了限制,用户192.168.5.112限制为1000条,其他用户统一限制为500条。
本例把ICMP的NAT转换记录的超时时间设置为30秒。
使用 ip nat outside source list 命令(动态NAT)而不是 ip nat outside source static 命令(静态NAT)的主要区别在于,在(为NAT配置的)路由器检验数据包的转换标准之前,在转换表中没有条目。在上例中,SA为172.16.88.1的数据包(进入Router 2514x的外部接口)符合访问列表1,即 ip nat outside source list 命令使用的标准。因此,在内部网络的包可以与Router 2514w的loopback0接口通信之前,必须从外部网络始发数据包。
本例中需要注意两点:
第一,当数据包从外部传输到内部时,先进行转换,然后检查目的地的路由表。当数据包从内部传输到外部时,先检查目的地的路由表,然后进行转换。
第二,使用上述每条命令时,记录IP数据包的哪个部分被转换很重要。下表给出了一个纲要:
命令
操作
ip nat outside source list
-
转换IP包的源,这些IP包正在从外部传输到内部
-
转换IP包的目的地,这些IP包正在从内部传输到外部
ip nat inside source list
-
转换IP包的源,这些IP包正在从内部传输到外部
-
转换IP包的目的地,这些IP包正在从外部传输到内部