靜態nat:
本地位址與全域性位址(公網)之間一對一對映,即一台主機對應乙個公網ip。
#ip nat inside source static 192.168.1.10 188.188.90.18
#inte***ce fastethernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
#inte***ce fastethernet0/1
ip address 188.188.90.18 255.255.255.240
ip nat outside
動態nat:
需要乙個位址池為內部使用者提供公有ip位址,動態nat不能使用埠號,因此對於同時試圖訪問外網的每位使用者,都必須有乙個公網ip位址。
#ip nat pool wan 87.19.190.3 87.19.190.254 netmask 255.255.255.0
#access-list 1 permit 192.168.1.0 0.0.0.255
#ip nat inside source list 1 pool wan
#inte***ce fastethernet0/0
ip address 87.19.190.2 255.255.255.0
ip nat outside
#inte***ce fastethernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
nat過載(pat):
埠位址轉換,使用了傳輸層埠號來標識本地主機,理論上最多可讓大約 65000臺主機共用乙個公有ip位址,且路由器能夠確定應該將返回的資料流**給哪台主機。
#ip nat inside source list 1 inte***ce fastethernet0/1 overload
或者(#ip nat pool wan 188.188.90.18 188.188.90.18 netmask 255.255.255.0 注意這個子網掩碼僅決定的是廣域網ip的範圍與本地ip範圍無關,因這只有乙個廣域網ip,所以可以用255.255.255.255也行。在華為、h3c中只有乙個外網ip時,不能配置位址池的,否則在outbound時會出現位址衝突,所以乙個外網ip時,只配置acl並應用在outbound介面上即可)
#ip nat inside source list 1 pool wan overload)
#access-list 1 permit 192.168.1.0 0.0.0.255(為什麼會選用標準acl做內部本地位址?是因為標準acl是基於源ip位址的過濾,所以能篩選出要nat的本地ip。)
#inte***ce fastethernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
#inte***ce fastethernet0/1
ip address 188.188.90.18 255.255.255.240
ip nat outside
埠對映技術:
其實是靜態nat與pat的結合,即區域網中主機的某一埠通過靜態方式對映到公網ip位址埠上。對映技術只能單一的實現所對映埠的特定功能,但一台主機可對映多個不同埠到同一公網ip埠上。如23代表telnet,80代表http,21代表ftp等知名埠。
#ip nat inside source static tcp 192.168.1.10 21 188.188.90.18 21
#ip nat inside source static tcp 192.168.1.10 23 188.188.90.18 23 #
ip nat inside source static tcp 192.168.1.10 23 188.188.90.18 5099(擴充套件使用方法:可以將23埠對映全域性(公網)位址的非知名埠上,但這樣子對映後,訪問者要telnet 188.188.90.18的5099埠,這樣才能對映訪問到192.168.1.10的23上。如果訪問都使用預設telnet188.188.90.18的23埠是不行的)
注意:1、在pat區域網中使用埠對映時,必須先建立好pat,並測試能正常通訊,最後才配置埠對映。否則區域網中沒有對映的主機將無法通訊。
2、埠對映可跨內網路由器配置,即在公網出口的路由器上做nat及埠對映。乙個由多個路由器組成的內網,這個內網中的任何ip都是唯一的(即分組中的源ip位址和目標ip位址在內網是不變的),而埠對映是在第三層及以上才發生的,所以在內網中任何路由器上做nat和埠對映都可以,但前提是這個路由器是出公網端的路由器。
內網跨路由器埠對映配置方法如下:
華為做單臂路由+nat上網時的注意(其他品牌目前沒有發現這種情況):
華為ar2200路由器 #
acl number 2000
rule 5 permit
acl number 2010
rule 5 permit source 192.168.0.0 0.0.255.255 #
inte***ce gigabitethernet0/0/1
ip address 12.226.3.52 255.255.255.0
nat server protocol tcp global current-inte***ce 10000 inside 10.45.42.10 3389
nat server protocol tcp global current-inte***ce 8088 inside 10.45.42.10 8088
nat server protocol udp global current-inte***ce 8900 inside 10.45.42.10 8900
nat server protocol tcp global current-inte***ce 10001 inside 10.45.42.11 3389
nat server protocol tcp global current-inte***ce 9015 inside 10.45.42.20 9015
nat server protocol tcp global current-inte***ce 9016 inside 10.45.42.20 9016
nat server protocol udp global current-inte***ce 9015 inside 10.45.42.20 9015
nat server protocol udp global current-inte***ce 9016 inside 10.45.42.20 9016
nat outbound 2000 #
inte***ce gigabitethernet0/0/2 #
inte***ce gigabitethernet0/0/2.10
dot1q termination vid 10
ip address 192.168.10.244 255.255.255.0
arp broadcast enable(必須配置,才能nat)#
inte***ce gigabitethernet0/0/2.11
dot1q termination vid 11
ip address 192.168.1.244 255.255.255.0
arp broadcast enable#
inte***ce gigabitethernet0/0/2.20
dot1q termination vid 20
ip address 10.45.42.59 255.255.255.192
arp broadcast enable
nat outbound 2010 #
inte***ce null0 #
ip route-static 0.0.0.0 0.0.0.0 12.226.3.100
當配置完acl以及nat後,如果子介面不加
arp broadcast enable,那麼還是不能上外網的,所以華為時必須注意的這種特殊情況。
VMware網路模式 NAT埠對映
vmware網路模式配置 這部分資料網上一大片,就說說自己的配置經歷吧 vmware共3中網路模式,各有優缺,看需求 1.bridge橋接模式。這種模式是最簡單的,直接物理機跟虛擬機器聯接,物理機跟虛擬機器在同網段,如果物理機接的網可以連入網際網路,那麼虛擬機器也可以。其他同網段內的pc可以直接遠端...
埠對映 配置ssh埠對映
此手段用於在單向連通網路中進行雙向網路打穿 適用於未配埠對映的docker容器,不能反向訪問的受限網路等 在封閉網路內伺服器 容器執行以下命令,結果可以使目標伺服器通過訪問封閉網路內伺服器 容器的 ssh fgn r localhost root p 在目標伺服器執行以下命令,結果可以使目標伺服器通...
rhel下的nat埠對映設定
例項 埠 環境介紹 2個網路介面 lan口 192.168.1.1 24 eth0 lan內web server 192.168.1.100 80 wan口 10.111.1.199 24 eth1 確認linux的各項配置正常 1.使用sysctl net.ipv4.ip forward 1開啟l...